Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 Re : Les logiciels libres » Alternatives à nos commandes CLI de tous les jours » 26-08-2021 21:20:46

Le paquet fournit, entre autres, la page info du logiciel info. Pas besoin de texinfo. wink

#2 Re : Les logiciels libres » Alternatives à nos commandes CLI de tous les jours » 25-08-2021 16:23:44

Mieux en effet ! big_smile
Je me suis enquiquiné à lancer dpkg -S sur les fichiers en évitant le répertoire lui-même ainsi que ses sous-répertoires...

#3 Re : Autres » [Résolu] TOR - Téléverser » 25-08-2021 16:12:37

Salut !

C'est une mesure de sécurité. Le Tor Browser ne peut pas lire et écrire en dehors de son dossier d'installation.
Si tu l'as installé à l'aide du Tor Browser Launcher, le Tor Browser est confiné dans $HOME/.local/share/torbrowser/tbb/x86_64/tor-browser_fr/.

#4 Re : Les logiciels libres » Alternatives à nos commandes CLI de tous les jours » 25-08-2021 16:00:20

Salut !

À ne pas oublier : la commande (GNU) Info. wink

Habituellement, les pages de manuel sont des fichiers en texte plein au format *roff. Elles se contentent de lister les options disponibles et d'en donner quelques exemples d'usages.

À l'exacte opposée, les pages infos sont d'abord rédigées au format texinfo, puis, avec la commande du même nom, transformées en fichiers binaires. Les pages infos sont de véritables guides comprenant une introduction, de nombreux chapitres et sous chapitres appelés nœuds, ainsi que de nombreux exemples. Elles documentent également de nombreux langages comme Bash (bash-doc), Python (python3.7-doc), Guile (guile-2.2-doc).
L’intérêt du format binaire est de pouvoir rechercher des nœuds et s'y rendre facilement, entre autres.

À noter également, GNU ne fournit pas d'exemple pour les commandes de base (Coreutils) dans les pages de manuel (contrairement aux BSD). Elles sont justement dans les pages infos.

Pour installer Info  :

apt install info texinfo-doc-nonfree



Il est assez peu évident de trouver quels paquets fournissent des pages infos. Voici donc quelques commandes utiles :
- lister les paquets installés fournissant des pages infos (lent et moche):

#! /usr/bin/env bash

fifo="$(mktemp -u)"
info_dir=/usr/share/info

mkfifo "$fifo"

(awk -F':' '{print $1}' | sort | uniq) < "$fifo" &

shopt -s globstar
for file in "${info_dir}"/** ; do
  if [[ ! -d "${file}" ]]; then
    dpkg -S "${file}" 2> /dev/null
  fi
done > "$fifo"

rm "${fifo}"
 



- chercher les paquets ayant le tag made-of::info :

apt install debtags


debtags search made-of::info


Malheureusement, peu de paquets sont tagués.

- chercher tous les paquets installant un fichier dans /usr/share/info

apt install apt-file
apt-file update


apt-file search /usr/share/info | awk -F':' '{print $1}' | uniq | sort



Les raccourcis claviers pour naviguer dans les pages sont ceux de GNU Emacs (M-x info) mais ceux de Vi sont disponibles avec l'option --vi.

#5 Re : Autres News » debian 11 stable » 16-08-2021 17:09:34

Salut !

Tawal a écrit :

Il ne reste plus que 3.1 Go de libre sur ma partition système /, contre 7 Go auparavant. Et ce malgré le passage de "# apt autoremove" !
Il était prévu (pour moi) 2.3 Go supplémentaires ! J'ai dû louper quelque chose ...



Les paquets sont désinstallés, mais les fichiers de configuration n'ont pas été supprimés avec l'option purge/--purge. Avec autant de paquets, ça peut faire du volume. wink
Tu peux lister les paquets désinstallés dont les fichiers de configurations sont toujours présents avec la commande suivante :

dpkg -l | grep  ^rc



Tu peux trouver la signification des codes d'état des paquets renvoyés par dpkg -i dans le manuel de dpkg-query.

Édit : Après quelques tests dans une vm qui traîne,

dpkg --purge $(dpkg -l | grep ^rc | awk '{print $2}')


semble fonctionner sans problème pour supprimer les fichiers de config.

#6 Re : Autres » Tour d'horizon des solutions de paiement en ligne sans smartphone » 16-08-2021 11:31:13

solar66, une coquille s'est glissée dans la commande. C'est

systemctl start anbox-container-manager.service


Sans le the. J'ai corrigé la commande.
Tu peux trouver plus d'informations si besoin, notamment la note du mainteneur, dans le répertoire qui contient la documentation : /usr/share/doc/anbox/.

#7 Re : Autres » Tour d'horizon des solutions de paiement en ligne sans smartphone » 14-08-2021 19:50:45

Salut !
Je me suis absenté un moment, mais j'ai bien vu vos réponses. wink

Finalement, tout est bon pour l'OTP par SMS. J'ai bien été obligé de me rendre à l'agence pour effectuer le virement, faute d'authentification mise en place. Et puis j'ai manqué de temps à consacrer à mes bidouilles. Ce qui m'a bien obligé à faire le nécessaire pour l'OPT par SMS. Mais comme d'habitude, quelle démarche labyrinthique ! Même si c'est lié à mon agence en particulier. Agence qui m'a d'ailleurs confirmé l'obligation de fournir un numéro de téléphone portable, au grand mépris de la loi. Pour moi, la question ne se pose pas, je n'ai pas de téléphone fixe. Mais l'obligation me dérange tout de même.

Ensuite, il reste bien une question : pourquoi les payements habituels ont continué à se dérouler comme avant l'entrée en vigueur de la loi, mais pas celui pour le renouvellement annuel du service énoncé plus haut ? scratchhead.gif

Après ce petit hors sujet, voici au moins comment lancer une Image Android sur Debian avec Anbox. cool

---

Anbox est un logiciel permettant de faire tourner une image Android dans un conteneur LXC.


apt install anbox
 



À ce niveau-là, Anbox ne fonctionne pas, son service systemd n'a pas réussi à démarrer et les logs ne sont pas bavards. Une note du mainteneur du paquet est disponible pour la suite des opérations. Merci aux mainteneurs des paquets Debian pour leurs notes additionnelles toujours bienvenues.

On vérifie la présence des modules du noyau requis :


test -a /lib/modules/$(uname -r)/kernel/drivers/android/binder_linux.ko || echo "absent"
test -a /lib/modules/$(uname -r)/kernel/drivers/staging/android/ashmem_linux.ko || echo "absent"
 



On télécharge l'image Android et ainsi que sa somme de contrôle :

wget -i - \
  https://build.anbox.io/android-images/2018/07/19/android_amd64.img \
  https://build.anbox.io/android-images/2018/07/19/android_amd64.img.sha256sum
 




sha256sum -c android_amd64.img.sha256sum
 




android_amd64.img: Réussi
 



On copie l'image Android dans le répertoire d'Anbox :


cp android_amd64.img /var/lib/anbox/android.img
 



On lance les services :


systemctl --user start anbox-session-manager.service
 



systemctl start anbox-container-manager.service
 



Anbox peut maintenant être lancé depuis le terminal ou depuis le lanceur de logiciels du bureau.

#8 Autres » Tour d'horizon des solutions de paiement en ligne sans smartphone » 13-07-2021 15:53:32

cicxjo
Réponses : 18
Salut tout le monde,

Dans ce fil, face à la généralisation du « tout par le smartphone », je vais essayer de présenter mes réussites (et échecs) concernant les paiements en ligne avec l'application de sécurité bancaire dédiée MAIS sans smartphone.

État des opérations bancaires

Depuis le 15 mai 2021, toutes les opérations bancaires à risque sont soumises à de l'authentification forte. Authentification reposant sur un logiciel développé et fournit par les banques, reposant sur au moins 2 des 3 critères suivants :
    - un mot de passe, code secret, phrase de passe
    - l'utilisation d'un appareil, le smartphone étant imposé de facto par les banques
    - une caractéristique personnelle (empreintes digitales, reconnaissance faciale)

Une exception est prévue pour les clients ne disposant pas d'un smartphone ou uniquement d'un smartphone obsolète. Cela concerne aussi officieusement les détenteurs de smartphones rootés ou équipés d'un système d'exploitation alternatif sur lesquels les applications bancaires refusent de se lancer.

Cette exception prévoit donc 2 solutions alternatives :
    - l'OTP SMS, c'est-à-dire un code à usage unique reçu par SMS
    - le lecteur CAP, capable de générer un code unique à partir d'une carte

Solutions déployées par les banques tout en exigeant que le client fournisse un numéro de téléphone portable. Qu'importe que les téléphones fixes puissent lire les SMS. Qu'importe que le lecteur CAP ne nécessite pas de téléphone tout court.
À noter également que le lecteur CAP n'est souvent pas gratuit.

Situation personnelle

Comme tant d'autres j'imagine, c'est sous la contrainte que je me penche sur les solutions alternatives. Je me retrouve aujourd'hui coupé d'un service important faute de renouvellement, toutes tentatives de paiement s'étant soldées par un échec.

J'envisage donc la solution OTP SMS. Mais comme tout ce qui est bancaire prend toujours du temps... Surtout avec autant de mauvaise foi de la part des banques :

Voici donc l'occasion de partager mes recherches et bidouilles sur le sujet à base de machines virtuelles et de conteneurs. J'éditerai ce poste au fur et à mesure.

(Au passage, je serai ravi de lire un fil intitulé « J'ai testé pour vous : faire un scandale pour recevoir les SMS sur mon téléphone fixe » big_smile).

Tour d'horizon des solutions de paiement en ligne sans smartphone

1. Anbox

Anbox est un logiciel permettant de faire tourner une image Android dans un conteneur LXC.

Installation


apt install anbox
 



À ce niveau-là, Anbox ne fonctionne pas, son service systemd n'a pas réussi à démarrer et les logs ne sont pas bavards. Une note du mainteneur du paquet est disponible pour la suite des opérations. Merci aux mainteneurs des paquets Debian pour leurs notes additionnelles toujours bienvenues.

On vérifie la présence des modules du noyau requis :


test -a /lib/modules/$(uname -r)/kernel/drivers/android/binder_linux.ko || echo "absent"
test -a /lib/modules/$(uname -r)/kernel/drivers/staging/android/ashmem_linux.ko || echo "absent"
 



On télécharge l'image Android et ainsi que sa somme de contrôle :

wget -i - \
  https://build.anbox.io/android-images/2018/07/19/android_amd64.img \
  https://build.anbox.io/android-images/2018/07/19/android_amd64.img.sha256sum
 




sha256sum -c android_amd64.img.sha256sum
 




android_amd64.img: Réussi
 



On copie l'image Android dans le répertoire d'Anbox :


cp android_amd64.img /var/lib/anbox/android.img
 



On lance les services :


systemctl --user start anbox-session-manager.service
 



systemctl start anbox-container-manager.service
 



Anbox peut maintenant être lancé depuis le terminal ou depuis le lanceur de logiciels du bureau.

Suite

...

#9 Re : Système » [Résolu] Chroot Setuid + Pérennité du système de fichier hôte » 27-03-2021 00:23:03

Merci pour ta réponse, raleur.

Je vais donc utiliser schroot qui règle, entre autre, ce problème.
Mais aurais-tu un exemple à me montrer d'usage détourné de chroot ?

À propos du mkdir, tu as raison, il est inutile. D'ailleurs, si je monte /run/user/${uid}/ après avoir créé l'utilisateur dans le chroot, ça règle le problème de permissions. Donc, plus de chmod/chown non plus.

Et en effet, le montage de /tmp n'a pas d'intérêt. Ni le chmod sur ${chroot}/dev/shm/ au passage.

Si je trouve (ou constate) quelque chose à propos du partage de /run, j'en ferai part ici.
À moins que tu aies noté autre chose qui te fasse tiquer, je marque le fil comme résolu. wink

#10 Re : Autres » [Résolu] Virtualbox - Boot failed : Press a key to retry » 20-03-2021 16:31:52

Arf, le mystère reste entier... big_smile

D'autant que si j'avais été plus attentif, j'aurais remarqué cette ligne roll

vboxdrv: Successfully loaded version 6.1.18 (interface 0x00300000)

#11 Re : Autres » [Résolu] Virtualbox - Boot failed : Press a key to retry » 20-03-2021 15:59:17

Salut !

vboxdrv: module verification failed: signature and/or required key missing - tainting kernel



La ligne indique que le module vboxdrv n'est pas chargé parce qu'il n'est pas signé.
Le Secure Boot empêche le chargement de noyaux et modules du noyau non signés par une clé provenant de chez Debian.

L'usage de modules/noyaux signés est apparu chez Debian avec Buster.

Je suis surpris que tu aies réussi à démarrer une machine virtuelle.

À titre informatif, si tu rencontres à nouveau ce problème, tu peux résoudre le problème de deux manières :

- Auto-signer le module vboxdrv
Pour ça, tu auras besoin de openssl (pour générer la clé de chiffrement), mokutil (pour enregistrer la clé dans l'UEFI) et sbsign (paquet sbsigntool, pour signer le module)

- Désactiver le Secure Boot
Soit depuis le menu de l'UEFI, soit avec mokutil.

Tu peux trouver la procédure dans la doc : https://wiki.debian.org/SecureBoot#Generating_a_new_key

Pour vérifier que le Secure Boot est activé :

mokutil --sb-state



Voilà au moins une piste si le problème ressurgit. wink

#12 Système » [Résolu] Chroot Setuid + Pérennité du système de fichier hôte » 19-03-2021 21:18:53

cicxjo
Réponses : 2
Salut !

J'ai réalisé avec succès un chroot qui me permet de lancer des logiciels de manière transparente. C’est-à-dire que les logiciels chrootés peuvent accéder normalement à la caméra et au micro ainsi que diffuser du son normalement.

Contexte :
Test dans une machine virtuelle Qemu+Kvm, la caméra/micro étant une caméra USB.
Chaque utilisateur créé dans le chroot doit correspondre à un utilisateur du système hôte. Ainsi, les utilisateurs peuvent lancer les logiciels chrootés.

Dans l'immédiat, j'ai deux questions :
1. Pour permettre aux utilisateurs de lancer les logiciels chrootés, j'ai positionné le bit Setuid sur le binaire chroot. Existe-t-il un risque d'usage détourné qui puissent être dangereux ?
2. Est-ce que le montage du système de fichier tel que je l'ai effectué représente un risque pour la stabilité et la pérennité du système hôte ?


Voici les différentes étapes, du chroot jusqu'au lancement de Firefox :

* Variables :
Le nom d'utilisateur et l'UID sont ceux de l'utilisateur du système hôte.

chroot=/srv/chroot/debian
user=cicxjo
uid=1000



* Installation du système :

debootstrap --verbose --arch amd64 --include=locales,console-setup-linux,ncurses-term,bash-completion buster ${chroot}/ http://deb.debian.org/debian/



* Montage du système de fichier :

mkdir -p ${chroot}/run/user/${uid}

mount --bind /dev/             ${chroot}/dev/
mount --bind /dev/pts/         ${chroot}/dev/pts/
mount --bind /dev/shm/         ${chroot}/dev/shm/
mount --bind /home/            ${chroot}/home/
mount --bind /proc/            ${chroot}/proc/
mount --bind /run/             ${chroot}/run/
mount --bind /run/user/${uid}/ ${chroot}/run/user/${uid}/
mount --bind /sys/             ${chroot}/sys/
mount --bind /tmp/             ${chroot}/tmp/



* Sources.list :

echo | tee ${chroot}/etc/apt/sources.list
echo "deb http://deb.debian.org/debian/ buster main" | tee -a ${chroot}/etc/apt/sources.list
echo "deb http://security.debian.org/debian-security buster/updates main" | tee -a ${chroot}/etc/apt/sources.list
echo "deb http://deb.debian.org/debian/ buster-updates main" | tee -a ${chroot}/etc/apt/sources.list



* Nom du chroot :

echo "debian" | tee ${chroot}/etc/debian_chroot



* Configuration de la langue :

chroot ${chroot}/ dpkg-reconfigure locales



* Création de l'utilisateur :

chroot ${chroot}/ useradd -m -s /bin/bash ${user} -u ${uid}
chroot ${chroot}/ usermod -aG audio,video ${user}



* Installation de la bibliothèque Alsa :

chroot ${chroot}/ apt update
chroot ${chroot}/ apt install libasound2



* Correction des permissions :

chroot ${chroot}/ chmod 1777 /dev/shm/

chroot ${chroot}/ chown ${user}:${user} /run/user/${uid}/
chroot ${chroot}/ chmod 700 /run/user/${uid}/



* Bit setuid sur le binaire chroot :

chmod +s /usr/sbin/chroot



* Installation de Firefox :

chroot ${chroot}/ apt install firefox-esr firefox-esr-l10n-fr



* Lancement de Firefox :

/usr/sbin/chroot --userspec=${user}:${user} ${chroot}/ firefox-esr




À propos du montage et des permission de /dev/shm et /dev/user :
Il s'agissait de résoudre les messages d'erreurs retournés par les logiciels lancés.
Voici celles de Firefox :

[884, Main Thread] WARNING: failed to open shm: Permission non accordée: file /build/firefox-esr-YMT803/firefox-esr-78.8.0esr/ipc/chromium/src/base/shared_memory_posix.cc, line 246


(firefox-esr:2271): dconf-CRITICAL **: 22:37:51.692: unable to create directory '/run/user/1000/dconf': Permission non accordée.  dconf will not work properly.


J'ai calqué les permissions sur celle du système hôte.

#13 Re : Gestion des paquets Debian » Appimage et sandbox » 13-03-2021 02:17:53

Salut !

Le problème ne vient pas des paquets AppImage mais de Electron (encore et toujours lui !).

Pour faire simple, Electron est une technologie qui se base sur le navigateur Chromium, destiné à créer facilement des logiciels multi systèmes d'exploitation. Il permet d'utiliser des langages de programmation normalement destinés au web pour faire des logiciels de bureau. Donc, un logiciel utilisant Electron est en faite un navigateur Chromium déguisé.

Le problème avec Chromium, c'est que son fameux bac à sable est un programme SUID. Et les programmes SUID peuvent être très dangereux s'ils sont malveillants ou détournés de leur usage ! Et par chance, le noyau Linux tel que configuré chez Debian bloque l'exécution dans certaines conditions (Lesquelles ? Je ne sais pas).

Si on lance un logiciel Electron ne venant pas des dépôts, ceci nous est retourné  :

[16014:0312/233301.537646:FATAL:setuid_sandbox_host.cc(158)] The SUID sandbox helper binary was found, but is not configured correctly. Rather than run without sandboxing I'm aborting now. You need to make sure that /tmp/.mount_molotoNsprdZ/chrome-sandbox is owned by root and has mode 4755.



Nous indiquant de faire ceci :

chown root:root chrome-sandbox
chmod 4755 chrome-sandbox



Toutefois, cette solution n'est valable que si l'on récupère une archive plutôt qu'un AppImage.

Autre solution: Lancer le logiciel avec l'option --no-sandbox comme vu plus haut.

Autre solution : Autoriser le lancement en l'autorisant dans les paramètres du noyau :

sysctl kernel.unprivileged_userns_clone=1



Le réglage n'est pas persistant. Pour ça, il faut l'indiquer en dur en ajoutant kernel.unprivileged_userns_clone=1 dans le fichier /etc/sysctl.conf.
On peut recharger manuellement les règles contenues dans le fichier avec la commande  :

sysctl -p /etc/sysctl.conf



---

Après rédaction, je constate avoir totalement dévié de la question d'origine. wink

La recommandation de Google, c'est d'utiliser un autre navigateur plutôt que d'utiliser Chromium/Chrome sans le bac à sable.

Mon avis sur la question, c'est qu'un logiciel qui met en place son propre bac à sable, ce n'est pas sérieux. Si en plus, c'est un programme SUID non-vérifié par l'équipe de chez Debian... Et si en plus, il est propriétaire...
À voir également ce que fait le logiciel. Par exemple, pourquoi un éditeur de texte devrait-il pouvoir communiquer sur le réseau ?

Une bonne pratique serait d'emprisonner les AppImages dans un vrai bac à sable. cyrille a justement rédigé une page wiki sur Firejail. Également, l'article de Solène peut servir comme courte introduction.

Pied de page des forums

Propulsé par FluxBB