Lea Linux - Contributions [fr]

Léannuaire Musique libre

2007-11-26T11:30:12Z

Merlin8282 (phorum) : /* Stonehenge */

==Musique libre==

===Navigation dans les logiciels===

* [[Annuaire:Art libre|Retour à Art libre]]

===Liste de sites de musique libre ===

====Au bout du fil====
Une centaine d'artistes de la musique libre à découvrir sur ce blog.
* {{flag-fr}} [http://www.auboutdufil.com Le podcast de la musique libre]

====Kéopz====
Kéopz est une nouvelle plate-forme de musique en ligne, destinée à promouvoir des artistes indépendants et la musique libre. Kéopz est également un site d'actualité sur la musique numérique et les nouvelles technologies.
* {{flag-fr}} [http://keopz.com http://keopz.com]

====Cobeweb====
Un site perso où Cobe met à disposition la musique sans prétention qu'il réalise dans son petit coin... plus de 30 morceaux au format mp3 sous licence creative commons à télécharger librement... chanson française et musique acoustique.
* {{flag-fr}} [http://cobeweb.free.fr http://cobeweb.free.fr]

====ANGSTPROD====
Angstprod est un Net-label consacré aux arts multimedias et aux musiques electroniques evoluées, industrielles, conceptuelles, experimentales en copyleft.
Organisation strictement non commerciale et à but non lucratif.
Le site et les oeuvres sont sous licence Creative Commons
* {{flag-fr}} [http://www.angstprod.org http://www.angstprod.org]

====la musique qui transpire sous les bras====
Tous les morceaux de DogBreath en mp3 et ogg
* {{flag-fr}} [http://dogbreath.free.fr http://dogbreath.free.fr]

====Ma musique sur le web====
chanteur auteur compositeur interprète :dobro,autoharp pedal steel guitar,harmonica.
* {{flag-fr}} [http://www.ebusinessgeneration.net/christian-maucery http://www.ebusinessgeneration.net/christian-maucery]

====Musique-libre.org====
un portail de la musique libre : site de débat et de réflexion avec ses rubriques d’information sur la propriété intellectuelle, l’économie de la musique, le mouvement "copyleft" et les licences libres mais aussi un site ressource, avec un répertoire de la musique libre disponible en ligne "librement et légalement écoutable, diffusable, téléchargeable et partageable"
* {{flag-fr}} [http://musique-libre.org/ http://musique-libre.org/]

====revolution sound records====
net label libre et indépendant.
4 artistes sous licence creative commons.
mp3, clips, remix, radio-blog
free music for all
* {{flag-fr}} [http://revolutionrecords.free.Fr http://revolutionrecords.free.Fr]

====Stonehenge====
Un morceau de musique de près de 27 minutes, à savourer tout le temps !
* {{flag-fr}} [http://stonehenge.ouvaton.org http://stonehenge.ouvaton.org]

====¨Prison soup¨ Records====
Net label. Musique sous licence artlibre.
* {{flag-en}} [http://www.prisonsoup.com http://www.prisonsoup.com]

== MonCulProd ==

Outil de création collective. Musiciens, graphistes et auteurs, venez participer aux oeuvres collectives MCP.
[http://monculprod.tuxfamily.org MonCulProd]

Convertir DV vers DVD

2006-09-13T13:21:00Z

Merlin8282 (phorum) : /* Pourquoi ? */

[[Category:Créer ses CD et DVD]]
= Convertir mini DV vers DVD de salon =

<div class="leatitre">Convertir mini DV vers DVD de salon</div><div class="leapar">Par Antoine</div>

== Introduction ==

=== But de ce document ? ===

Ce document a pour but d'expliquer comment faire un DVD lisible sur un lecteur DVD de salon à partir d'une caméra mini-dv. Ce document a été créé en utilisant XML Docbook.

=== Pourquoi ? ===

Lorsque j'ai acheté mon mini-dv, je voulais simplement créer un DVD de salon pour m'affranchir de l'utilisation de mon PC pour regarder mes vidéos personnelles. (en fait ma femme n'est pas très PC, et le DVD de salon est la meilleure méthode pour qu'elle puisse regarder nos vidéos).<br /> J'ai trouvé de la doc éparpillée un peu partout (les liens sont à la fin de chaque chapitre) et je me suis dit que créer une documentation en français regroupant toutes les informations serait une bonne idée.

=== Mon matériel ===

* Camescope : Sony DCR PC120E PAL
* Carte firewire : Lucent Microelectronics FW323
* PC de compression : Athlon XP2400 512 Ram 80go + 160go
* Graveur de DVD : NEC ND1300

Il faut une heure pour capturer la vidéo du camescope (le temps de lecture de toute la bande de 60min), 6h30 de conversion au format DVD MPEG2 (option vidéo pipe dans kino en -q 2, en -q 1, il faut compter les doubles), et 5 minutes pour créer les .VOB du DVD, et 25 minutes pour graver le DVD. Donc en moins de 7 heures, vous avez un DVD de salon à partir de votre caméscope :-)

=== Logiciels utilisés ===

J'utilise Mandrake Linux 10 community avec la suite de logiciels suivant qui me permet de faire : la capture, le montage vidéo, la conversion au format DVD, et finalement graver le DVD. Voici donc la liste des logiciels utilisés tout au long de ce HOWTO

* '''dvgrab-1.5''' capturer les vidéos de la caméra [http://www.schirmacher.de/arne/dvgrab/index_e.html (http://www.schirmacher.de/arne/dvgrab/index_e.html)]
* '''kino-0.7.0''' faire le montage vidéo [http://www.schirmacher.de/arne/kino/ (http://www.schirmacher.de/arne/kino/) ]
* '''mkisofs-2.01 ''' créer l'image iso DVD [http://www.fokus.gmd.de/research/cc/glone/employees/joerg.schilling/private/cdrecord.html (http://www.fokus.gmd.de/research/cc/glone/employees/joerg.schilling/private/cdrecord.html)]
* '''dvdauthor-0.6''' créer le DVD avec chapitre [http://dvdauthor.sourceforge.net (http://dvdauthor.sourceforge.net)]
* '''cdrecord-2.01''' outil de gravure cd [http://www.fokus.gmd.de/research/cc/glone/employees/joerg.schilling/private/cdrecord.html (http://www.fokus.gmd.de/research/cc/glone/employees/joerg.schilling/private/cdrecord.html)]
* '''dvd+rw-tools-5.13.4.7.4''' graver mes dvd [http://fy.chalmers.se/~appro/linux/DVD+RW/ (http://fy.chalmers.se/~appro/linux/DVD+RW/)]
* '''mjpegtools-1.6.1''' suite d'outils MJPEG [http://mjpeg.sourceforge.net (http://mjpeg.sourceforge.net)]
* '''libdv2-0.99''' lib pour DV [http://libdv.sourceforge.net/ (http://libdv.sourceforge.net/)]
* '''libraw1394_5-0.9.0''' librairie firewire [http://linux1394.sourceforge.net/ (http://linux1394.sourceforge.net/)]
* '''transcode-0.6.12-4plf''' couteau suisse de la video [http://www.theorie.physik.uni-goettingen.de/~ostreich/transcode (http://www.theorie.physik.uni-goettingen.de/~ostreich/transcode)]

=== Oublis, Erreurs ===

Bien sur il existe certainement d'autres méthodes pour arriver à un DVD de salon à partir de son caméscope, en voici une, et j'attends les retours d'expériences, les oublis et les corrections d'erreurs qui existent certainement dans ce document.

== Récupération de la vidéo ==

=== Carte firewire ===

Il faut avoir un kernel qui supporte le ieee1394, sinon votre carte firewire ne fonctionnera pas :-( La plupart des distributions ont le support ieee1394.

Charger les modules nécessaires :

<div class="code">

[root@xp2400 ~/]# modprobe ohci1394
[root@xp2400 ~/]# modprobe raw1394

</div>

voici la liste des modules ieee1394 de mon système :

<div class="code">

[root@xp2400 root]# lsmod | grep 1394
raw1394 19416 0 (unused)
dv1394 20208 0 (unused)
ohci1394 27696 0 [dv1394]
ieee1394 201284 0 [raw1394 dv1394 ohci1394]

</div>

Utilisez testlibraw pour vérifier que ça fonctionne :

<div class="code">

[root@xp2400 root]# testlibraw
successfully got handle
current generation number : 1
1 card(s) found
nodes on bus : 2, card name : ohci1394
using first card found : 2 nodes on bus, local ID is 1, IRM is 1

doing transactions with custom tag handler
trying to send read request to node 0... completed with value 0x334275a5
trying to send read request to node 1... completed with value 0x406175a5

using standard tag handler and synchronous calls
trying to read from node 0... completed with value 0x3cc676a5
trying to read from node 1... completed with value 0x10e076a5

testing FCP monitoring on local node
got fcp command from node 1 of 8 bytes : 01 23 45 67 89 ab cd ef
got fcp response from node 1 of 8 bytes : 01 23 45 67 89 ab cd ef

polling for leftover messages

</div>

=== Capturer la vidéo avec dvgrab ===

dvgrab permet de récupérer en ligne de commande la vidéo de votre mini-dv. Ce logiciel est assez simple d'utilisation. Utilisez la version 1.3 (ou supérieur) qui est interactive et très intuitive dans son utilisation. Il faut compter pas loin de 14 Go d'espace disque pour capturer une heure de DV.

Utilisation de dvgrab en mode interactif :

<div class="code">

[guibo@xp2400 ~/]# dvgrab -i
Going interactive. Press '?' for help.
q=quit, p=play, c=capture, Esc=stop, h=reverse, j=backward scan, k=pause
l=forward scan, a=rewind, z=fast forward, 0-9=trickplay, space=play/pause
"Playing Paused" ff :ff :ff :ff "" sec

</div>

Lancer la capture de la vidéo :

<div class="code">

[guibo@xp2400 ~/]# dvgrab -i --format dv2 --timestamp --autosplit outfile

</div>

Pressez '''a''' pour rembobiner la cassette au début, puis '''c''' pour lancer la capture. Cela prendra le temps d'enregistrement de votre vidéo (soit une heure pour une cassette complète)

* '''"-i" '''mode interactif lecture et capture vidéo
* '''"--format dv2" '''sauve en utilisant le format "Type 2 DV"
* '''"--timestamp" '''ajoute la date et l'heure sur le fichier
* '''"--autosplit" '''crée un nouveau fichier à chaque séquence vidéo
* '''"outfile" '''nom de base du fichier d'enregistrement

Cela va créer des fichiers du type '''outfile1998.12.04_16-14-22.avi''' dans votre répertoire de travail. Ce sont ces fichiers que nous utiliserons pour faire le montage sous Kino. Attention dans certains cas, le mini-DV ne gère pas la date-heure, et donc chaque nouvelle séquence vidéo capturée et enregistrée efface l'ancienne (outfile000-000-000--0-00-0.avi). Dans ce cas ne pas utiliser '''--timestamp''' et '''--autosplit ''', mais '''--size 2048''' pour couper le fichier tous les 2048Mo. Attention à ne pas travailler avec des fichiers .avi d'une taille supérieure, sinon vous risquez de rencontrer des problèmes de son, et certain encodeurs vidéos ne le supportent pas.

=== Screenshot première image de la vidéo ===

Pour se repérer dans les vidéos, rien de tel qu'un screenshot de la première image du .avi. Transcode est bien pratique pour faire cela, même si la quantité d'arguments à lui spécifier peut faire peur.

<div class="code">

[guibo@xp2400 ~/]# transcode -a 0 -c 1 -x dv -i fichier.avi -y jpg -o screenshot.jpg

</div>

* '''"-a 0" '''channel audio à extraire
* '''"-c 1" '''convertir seulement une image
* '''"-x dv" '''définit le type de fichier à convertir
* '''"-i" '''nom du fichier à convertir
* '''"-y jpg" '''type de format de sortie
* '''"-o" '''fichier de sortie

Il arrive parfois que les couleurs ne soient pas correctes, et que l'image soit inversée, dans ce cas-là, utiliser l'option '''"-V" '''et tout devrait rentrer dans l'ordre. Vous pouvez aussi faire des screenshots de fichiers vidéo sans préciser le format d'entrée du fichier, dans ce cas retirez l'option "-x format_vidéo".

Convertir l'image avec convert de ImageMagick

<div class="code">

[guibo@xp2400 ~/]# convert -verbose -size 320x200 screenshot.jpg screenshot.jpg

</div>

* '''"-verbose" '''expliquer ce qu'il effectue
* '''"-size" '''définir la taille

Il vous suffira ensuite de reprendre ces images dans un document OpenOffice ou autre, pour vous faire une jaquette pour votre DVD de salon.

=== Url externes ===

* '''ieee1394 pour Linux''' http://www.linux1394.org/
* '''digital8/DV library''' : [http://libdv.sourceforge.net http://libdv.sourceforge.net ]
* '''doc dvgrab ''' : http://kino.schirmacher.de/article/archive/14/
* '''ImageMagick''' : http://www.imagemagick.org/

== Utilisation de kino ==

=== kino et vos fichiers ===

Une fois la capture de vos vidéos terminée, il faut faire un montage vidéo. Kino permet de faire de nombreux traitements sur la vidéo, mais nous nous intéresserons plus particulièrement à sa configuration, pour obtenir un format de sortie DVD.

lancez Kino en ouvrant toutes les vidéos que vous avez capturées :

<div class="code">

[guibo@xp2400 ~/]# kino *.avi

</div>

'''Figure 3.1. vous devriez obtenir quelque chose ressemblant à ça :'''

[[Image:dvtodvd-dvtodvd_kino.png]]

Effectuez toutes les opérations nécessaires au traitement de vos vidéos. Vous trouverez la doc complète de Kino sur son site web :[http://kino.schirmacher.de/article/archive/13/ http://kino.schirmacher.de/article/archive/13/]

Personnellement j'utilise beaucoup le '''"Commands/Append Movie"''' qui permet de fusionner les séquences vidéos (virtuellement les fichiers .avi restent inchangés). Ce qui permet de faire un regroupement des vidéos, et donc plus tard de faire des "Chapitres" pour notre futur DVD.

N'oubliez pas de sauver votre projet '''"File/Save As SMIL"''' pour pouvoir le rééditer plus simplement plus tard.

== Configuration de kino ==

Voici la configuration que j'utilise dans kino pour obtenir mes fichiers .mpeg. J'utiliserai ensuite ces .mpeg pour créer mes .VOB du futur DVD.

'''Figure 3.2. Cliquez sur longlet "Export" puis "MPEG"'''

[[Image:dvtodvd-dvtodvd_kino_export.png]]

Ajustez votre configuration comme ci-dessus

* '''File :''' le nom de base des fichiers de sortie (il rajoutera l'extension .mpeg)
* '''File Format :''' dans notre cas choisir "8 - DVD"
* '''Deinterlace :''' désinterlace la video
* '''Video Pipe :'''
** '''"-v 1"''' niveau de log normal
** '''"-q 2"''' Image data quantisation factor (1 est la meilleure qualité)
** '''"-M 0"''' active le multi-threading (mettre 1 ou plus si vous avez plusieurs CPU)
* '''Audio Encoding :'''"-v 1" active le niveau de log à normal
* '''Multiplexer :'''
** '''"-v 1"''' niveau de log normal
** '''"-b 230"''' spécifie le decoder buffers en kB
** '''"-V"''' Multiplex variable bit-rate video
** '''"-f 8"''' se met automatiquement, ne PAS rajouter cette option
* '''Scene split :''' génère autant de fichier .mpeg qu'il y a de .avi. Il faut mettre cette option si vous voulez avoir un DVD avec des chapitres correspondant à chaque vidéo.
* '''Cleanup :''' retire les fichiers .mpeg en cas d'erreur

=== Lancez l'exportation ===

'''Figure 3.3. Cliquez sur le bouton "Export"'''

[[Image:dvtodvd-dvtodvd_kino_go.png]]

L'exportation en format DVD se lance :-)

Vous devriez avoir les fichiers suivants dans votre répertoire :

<div class="code">

[guibo@xp2400 ~/]# ls -1 *.mpeg
dvd_out000_001.mpeg
dvd_out001_001.mpeg
dvd_out002_001.mpeg
dvd_out003_001.mpeg
dvd_out004_001.mpeg
dvd_out005_001.mpeg

</div>

=== Url externes ===

* '''Doc kino''' : http://kino.schirmacher.de/article/archive/13/
* '''Kino préférences''' : [http://fr.linuxfocus.org/common/src/article254/manual/prefs.html http://fr.linuxfocus.org/common/src/article254/manual/prefs.html]
* '''Kino par linuxfocus''' : [http://fr.linuxfocus.org/common/src/article254/manual/index.html http://fr.linuxfocus.org/common/src/article254/manual/index.html]

== Utilisation de transcode ==

Ce logiciel est vraiment le couteau suisse du montage vidéo. C'est comme emacs, ça fait tout ! Je vais juste vous montrer les options qui sont intéressantes pour convertir au format DVD.

=== Méthode : --export_prof dvd ===

transcode supporte plusieurs profils d'exportation vidéo : --export_prof. Il suffit de lui préciser lequel utiliser, dans notre cas le profil dvd.

<div class="code">

[guibo@xp2400 ~/]# transcode -a 0 -i nom_video.avi -Q 5,5 -o fichier_converti -I 3 --export_prof dvd

</div>

* '''"-a 0" '''extrait l'audio, track 0
* '''"-i" '''fichier d'entrée vidéo
* '''"-o" '''fichier vidéo converti
* '''"-Q 5,5" '''qualité encodage, décodage (0=rapide, 5=excellent)
* '''"-I 3" '''active le désinterlacing ("zoom to full frame")
* '''"--export_prof dvd" '''profil d'exportation en dvd

Cette méthode fonctionne très bien, mais ne donne pas à mon gout un très bon résultat comparé à l'exportation via kino.

=== Méthode utilisant mpeg2enc,mp2enc ===

On utilise juste transcode comme flux d'entrée vidéo, et on l'exporte en utilisant mpeg2enc. Bon je sais la ligne de commande suivante est vraiment... comment dire, affreuse... mais croyez moi ça fonctionne parfaitement.

<div class="code">

[guibo@xp2400 ~/]# transcode -a 0 -i nom_video.avi -w 9500 -b 224
--encode_fields b \
--export_asr 2 \
-u 10,2 -I 5 \
-F 8,'-v 0 -S 4400 -a 2 -K kvcd -q 2 -N 1' \
-y mpeg2enc,mp2enc -o fichier_converti \
--print_status 100

</div>

* '''"-w 9500" '''encodeur bitrate : utilisez au moins 6000
* '''"-b 224" '''audio encodeur bitrate
* '''"--encode_fields b" '''encodage par champs (progressif)
* '''"--export_asr 2" '''format d'exportation : 4 :3
* '''"-u 10,2" '''utilisez 10 framebuffer,2 threads
* '''"-I 5" '''active le désinterlacing ("interpolate scanlines/blend frames")
* '''"-F 8" '''paramètre de l'encodeur en format DVD
* '''"-y mpeg2enc,mp2enc" '''encodage passé à mpeg2enc
* '''"--print_status 100" '''affiche le status tous les 100 frames
* '''"-o" ''' : spécifie le fichier de sortie, transcode rajoutera .mpa pour l'audio, et .m2v pour la vidéo.
* arguments passés à mpeg2enc :
* '''"-v 0" '''niveau de log nul
* '''"-S 4400" '''taille du fichier 4.4go
* '''"-a 2" '''aspect ratio 4 :3
* '''"-K kvcd" '''matrice de quantization kvcd (tmpgenc,default,hi-res)
* '''"-q 2" '''quantization minimum de 2
* '''"-N 1" '''réduit les informations Haute-Fréquences 50 à 2)

Une fois la conversion du DV en .m2v et .mpa, on va fusionner le son et la vidéo dans un meme fichier. Pour cela on utilise mplex.

<div class="code">

[guibo@xp2400 ~/]# mplex -v 1 -f 8 -S 4400 -o video_fini.mpeg fichier_converti.m2v fichier_converti.mpa

</div>

* '''"-v 1" '''niveau de log normal
* '''"-f 8" '''format DVD
* '''"-S 4400" '''taille du fichier à 4.4go
* '''"-o" '''fichier de sortie

=== Url externes ===

* '''transcode''' : [http://zebra.fh-weingarten.de/~transcode/ http://zebra.fh-weingarten.de/~transcode/]<br />[http://www.theorie.physik.uni-goettingen.de/~ostreich/transcode/ http://www.theorie.physik.uni-goettingen.de/~ostreich/transcode/]
* '''mjpegtools''' : [http://mjpeg.sourceforge.net/ http://mjpeg.sourceforge.net/]

== Utilisation de dvdauthor ==

=== dvdauthor ===

Ce logiciel permet de créer votre DVD avec les chapitres pour chaque fichiers .mpeg.

Maintenant il s'agit de construire la structure des répertoires du DVD. Placez-vous dans le répertoire où il y a les fichiers .mpeg et tapez :

<div class="code">

[guibo@xp2400 ~/]# dvddirgen -o dvd -r

</div>

* '''"-o" '''crée la structure du répertoire du DVD
* '''"-r" '''efface l'ancien répertoire dvd

Il semblerait que sur les dernières versions de dvdauthor, l'utilisation de dvddirgen ne soit plus obligatoire, donc s'il ne crée pas le répertoire désiré (dvd dans notre cas), passez à l'étape suivante.

Maintenant nous allons créer les .VOB à partir des .mpeg de notre répertoire.

<div class="code">

[guibo@xp2400 ~/]# dvdauthor -o dvd *.mpeg

</div>

* '''"-o" '''spécifie d'utiliser le répertoire dvd

dvdauthor va créer automatiquement un chapitre par .mpeg dans votre répertoire.

Pour finir nous allons créer la TOC de notre DVD, qui permettra de savoir où se trouve quel chapitre. En fait cela va fabriquer les fichiers vidéo_TS.BUP et vidéo_TS.IFO.

<div class="code">

[guibo@xp2400 ~/]# dvdauthor -T -o dvd

</div>

* '''"-T" '''crée la TOC du DVD (table of content)

=== qdvdauthor ===

J'ai longtemps cherché un logiciel capable de m'aider dans la création de menu interactif sur un DVD. qdvdauthor, bien qu'en release alpha, permet de le faire assez simplement. Il faudra faire quelques modifications à la main pour ajuster la configuration, mais il est très pratique pour créer le menu, avec un image en arrière-plan, et ajouter des boutons pour aller directement au chapitre voulu./p>

=== Url externes ===

* '''dvdauthor''' : [http://sourceforge.net/projects/dvdauthor/ http://sourceforge.net/projects/dvdauthor/]
* '''Doc dvdauthor''' : [http://dvdauthor.sourceforge.net/doc/index.html http://dvdauthor.sourceforge.net/doc/index.html]
* '''Doc qui permet de créer des menus avec dvdauthor''' : http://www.tappin.me.uk/Linux/dvd.html
* '''divers exemples et scripts pour créer des menus avec dvdauthor''' : http://www.pcxperience.org/james/dvd/
* '''DVD with linux''' [http://gecius.de/linux/dvd.html http://gecius.de/linux/dvd.html]
* '''DVD-slideshow''' [http://66.123.212.164/~scott/computer/linux/scripts/dvd/index.php http://66.123.212.164/~scott/computer/linux/scripts/dvd/index.php]
* '''Qdvdauthor''' [http://qdvdauthor.sourceforge.net/ http://qdvdauthor.sourceforge.net/]

== Graver son DVD ==

=== Créer l'image iso du DVD ===

Nous avons désormais toute la structure de notre DVD, reste à créer l'image iso au format DVD, puis la graver, et la tester sur votre platine salon. Nous allons utiliser '''mkisofs''' pour créer cette image iso.

<div class="code">

[guibo@xp2400 ~/]# mkisofs -o /tmp/dvdvideo.iso -V NOMVOLUME -dvd-video repertoire_dvd

</div>

* '''"-o" '''spécifie où stocker l'image iso (ici /tmp/dvdvideo.iso)
* '''"-V" '''nom du volume sur le futur DVD
* '''"-dvd-video" '''option OBLIGATOIRE pour avoir un iso DVD
* '''"repertoire_dvd" '''l'emplacement du répertoire où se trouvent les fichiers du futur DVD

=== vérification de l'iso ===

Nous allons maintenant vérifier que notre iso contient la bonne structure de répertoires et les bons fichiers.

<div class="code">

<nowiki>
[guibo@xp2400 ~/]# isoinfo -l -i /tmp/dvdvideo.iso
Directory listing of /
d--------- 0 0 0 2048 Nov 14 2003 [ 275 02] .
d--------- 0 0 0 2048 Nov 14 2003 [ 275 02] ..
d--------- 0 0 0 2048 Nov 14 2003 [ 277 02] AUDIO_TS
d--------- 0 0 0 2048 Nov 14 2003 [ 276 02] vidéo_TS

Directory listing of /AUDIO_TS/
d--------- 0 0 0 2048 Nov 14 2003 [ 277 02] .
d--------- 0 0 0 2048 Nov 14 2003 [ 275 02] ..

Directory listing of /vidéo_TS/
d--------- 0 0 0 2048 Nov 14 2003 [ 276 02] .
d--------- 0 0 0 2048 Nov 14 2003 [ 275 02] ..
---------- 0 0 0 6144 Nov 14 2003 [ 281 00] vidéo_TS.BUP;1
---------- 0 0 0 6144 Nov 14 2003 [ 278 00] vidéo_TS.IFO;1
---------- 0 0 0 28672 Nov 14 2003 [ 832133 00] VTS_01_0.BUP;1
---------- 0 0 0 28672 Nov 14 2003 [ 284 00] VTS_01_0.IFO;1
---------- 0 0 0 1073709056 Nov 14 2003 [ 298 00] VTS_01_1.VOB;1
---------- 0 0 0 629889024 Nov 14 2003 [ 524570 00] VTS_01_2.VOB;1 </nowiki>

</div>

* '''"-l" '''liste le contenu de l'iso (comme ls -lR)
* '''"-i" '''spécifie l'image iso

=== Astuce pour tester l'iso ===

Il est très désagréable de graver une image iso non compatible DVD sur votre platine salon, surtout que même si le prix des DVD a baissé, il reste non négligeable. Voila donc comment tester votre DVD, en faisant croire à xine, mplayer ou ogle (en fait n'importe quel player de DVD linux) qu'il s'agit d'un DVD inséré dans votre lecteur.

Tout d'abord repérer quel périphérique pointe vers votre lecteur de DVD, pour pouvoir le restaurer ensuite :

<div class="code">

[guibo@xp2400 ~/]# ls -la /dev/dvd
lr-xr-xr-x 1 root root 30 Jun 25 19 :48 /dev/dvd -> ide/host0/bus1/target0/lun0/cd

</div>

Notre lecteur DVD pointe donc vers ''' ide/host0/bus1/target0/lun0/cd''' qui n'est autre que /dev/hdc comme nous le confirmera un :

<div class="code">

[guibo@xp2400 ~/]# dmesg | grep -i dvd

</div>

Ensuite effectuer ces manipulations pour faire croire à un DVD inséré dans votre lecteur DVD :

<div class="code">

[root@xp2400 ~/]# mkdir /mnt/dvd_test/
[root@xp2400 ~/]# mount /tmp/dvdvideo.iso /mnt/dvd_test/ -o loop
[root@xp2400 ~/]# ln -sf /mnt/dvd_test /dev/dvd

</div>

Lancez xine et cliquez sur DVD ou ogle ou tout autre player DVD sous linux , et vous devriez normalement être capable de parcourir les chapitres de votre futur DVD de salon. C'est que votre iso est bonne à être gravée. Nous allons désormais démonter l'image iso, et rétablir le lien /dev/dvd pour qu'il pointe de nouveau sur le bon device. Cette manipulation nécessite d'être root.

<div class="code">

[root@xp2400 ~/]# umount /mnt/dvd_test/
[root@xp2400 ~/]# ln -sf /dev/ide/host0/bus1/target0/lun0/cd /dev/dvd

</div>

Et voila, il ne nous reste plus qu'à graver cette image iso :-)

=== Gravez l'image iso ===

L'ultime étape consiste à graver cette iso, puis à la tester. Pour cela j'utilise les outils de dvd+rw-tools. Il existe aussi k3b-dvd qui est très pratique et fonctionne parfaitement bien pour graver CD/DVD. A noter que si vous gravez l'iso sur un DVD+RW (DVD réinscriptibles), certains lecteurs de DVD ne les supportent pas.

<div class="code">

[guibo@xp2400 ~/]# growisofs -Z /dev/scd0=/tmp/dvdvideo.iso

</div>

* '''"-Z" '''spécifie le device, et l'image iso à graver

Voila c'est fini. Vous Pouvez courrir vers votre Platine DVD de salon pour tester :-) J'espère que tous s'est bien déroulé. N'oubliez pas de me contacter en cas d'oublis, erreurs ou tout simplement si vous avez aimé.

=== Url externes ===

* '''dvd+rw-tools''' : [http://fy.chalmers.se/~appro/linux/DVD+RW/tools/?M=A http://fy.chalmers.se/~appro/linux/DVD+RW/tools/?M=A]
* '''FAQ dvd+rw-tools ''' : [http://fy.chalmers.se/~appro/linux/DVD+RW/ http://fy.chalmers.se/~appro/linux/DVD+RW/]
* '''k3b interface pour graver CD/DVD''' : [http://www.k3b.org/ http://www.k3b.org/]
* '''xine lecteur multimédia''' : [http://www.xinehq.de/ http://www.xinehq.de/]
* '''Mplayer lecteur multimédia''' : [http://www.mplayerhq.hu/ http://www.mplayerhq.hu/]http://www.mplayerhq.hu/
* '''Ogle lecteur de DVD''' : [http://www.dtek.chalmers.se/groups/dvd/ http://www.dtek.chalmers.se/groups/dvd/]
* '''cdrecord''' : [http://www.fokus.gmd.de/research/cc/glone/employees/joerg.schilling/private/cdrecord.html http://www.fokus.gmd.de/research/cc/glone/employees/joerg.schilling/private/cdrecord.html]

== Voila les scripts Vidéo que j'utilise chez moi ==

* '''doall-video''' : probe les modules, convertit en Divx5, capture la video... [doall-video.txt (DL doall-video)]
* '''dus''' : fait la somme "extension" des fichiers d'un répertoire [dus.txt dus]
* '''dvdvideo''' : crée l'image iso DVD et la grave [dvdvideo.txt (DL dvdvideo)]
* '''cluster_transcode''' : permet de gérer du transcode sur plusieurs PC (Mandrakeclustering rulez) [cluster_transcode.txt (DL cluster_transcode)]

<div class="merci">Cette page est issue de la documentation 'pré-wiki' de Léa a été convertie avec HTML::WikiConverter. Elle fut créée par Antoine le 25/06/2004.</div>

= Copyright =
Copyright © 25/06/2004, Antoine
{{CC-BY-NC-SA}}

Tenir compte de la sécurité au quotidien

2006-07-06T08:32:36Z

Merlin8282 (phorum) :

[[Category:Fiche sécurité]]

<div class="leapar">Par [mailto:merlin8282@_rien_du_tout_gmail.com merlin8282]</div>

== Introduction ==
Un ordinateur n'est jamais en sécurité, quand bien même on croit qu'il l'est. Un dicton informatique ne dit-il pas que le maillon le plus faible dans un système informatique est l'utilisateur ? D'ailleurs il est courant d'entendre dire que "l'ordinateur le plus sécurisé, c'est celui qui n'est pas branché à un réseau, qu'il soit ethernet ou électrique" ! Cette fiche est là pour connaître les différents risques que l'on court en ayant un ordinateur, connecté à un réseau ou non, ainsi que pour se parer contre toute attaque et enfin pour savoir comment nettoyer l'ordinateur d'une attaque que l'on vient de subir.

Pour tout le document (et de manière générale), il est évidemment conseillé de lire les pages de manuel des commandes avant de poser des questions.
Lisez aussi les articles connexes en cliquant sur les hyperliens dans le texte car dans ce document je ne m'étale justement pas sur les sujets pour lesquels il existe déjà un article.

== Avant tout, connaître son système ==
D'abord et avant tout il faut être à l'aise avec les concepts essentiels de [http://fr.wikipedia.org/wiki/Linux linux]. Cela permettra d'une part de mieux connaître et comprendre ce que nous faisons et d'autre part de mieux réagir en cas d'attaque. Donc documentez vous sur ce système et son langage de commande ([[Admin-admin_env-shell|shell]]).Lisez aussi la documentation expliquant ce que sont [[Admin-admin_boot-daemons|les démons et comment ils fonctionnent]]. Voyez comment fonctionne un réseau, ce que sont les ports réseau, les permissions des fichiers, ce que sont les failles de sécurité des logiciels, etc.

== Connaître les risques ==
=== La compromission des logiciels ===
==== Les logiciels binaires ====
Il faut savoir qu'en informatique il existe des logiciels malveillants ([http://fr.wikipedia.org/wiki/Logiciel_malveillant malware] en anglais). Ces logiciels peuvent être des virus, des vers, des chevaux de Troie ou encore des rootkits. Mais ils ont tous en commun d'exploiter des failles classiques ou de rendre les systèmes sur lesquels ils résident plus faibles face à des attaquants extérieurs.

Les virus sont de petits programmes qui ont la particularité de se reproduire et de se propager d'un système à l'autre suivant certains vecteurs. Cela peut être les mails ou même l'utilisateurs lui-même qui va copier le logiciel sur d'autres systèmes. Les vers est une sorte particulière de virus qui se propage uniquement via le réseau Internet (l'un des plus célèbre fut Blaster en 2003 qui visait essentiellement des systèmes Microsoft Windows). Certains virus fonctionnent et infectent les systèmes linux, mais leur nombre est plus réduit que ceux qui attaquent les systèmes Windows. Grâce à la rareté de ces virus et à la réactivité de la communauté libre face aux nouvelles failles découvertes, ce genre de malware ne se propage que très difficilement sur les systèmes Unix. Cependant il faut être vigilant et appliquer régulièrement les correctifs de sécurité de votre système pour ne pas s'exposer à des malwares qui pourraient alors s'infiltrer facilement via les failles que vous auriez laissé béantes.

Les chevaux de Troie sont des logiciels qui tentent d'abuser l'utilisateur en se faisant passer pour autre chose que ce qu'ils sont réellement (un jeu, un petit utilitaire, ou encore une commande classique comme <code>ssh</code> pour collecter les mots de passe vers d'autres systèmes, etc). Ils peuvent être aussi un vecteur de propagation pour les virus comme le célèbre ver "I love you" qui se propagait par mail ou aussi être contenu dans un virus qui va l'installer sur le système qu'il a infecté avant de tenter de se propager vers d'autres systèmes.

Enfin, les rootkits sont des logiciels qui facilitent l'accès réseau discret des pirates sur le système. Leur nom venant du fait qu'ils permettent aux pirates d'accéder au système infecté avec des droits équivalents (ou même supérieurs) au root. À l'origine ces rootkits étaient un ensemble de chevaux de Troie mimant les commandes classiques du système (<code>ps</code>,
<code>login</code>, <code>ls</code>, etc). De nos jours, les rootkits sont quasi-essentiellement des kernel-rootkits, c'est à dire qu'ils se branchent directement sur le noyau pour modifier les informations que pourraient lire les utilisateurs du système. Ce dernier type de rootkits permet aux pirates une réelle invisibilité du point de vue des autres utilisateurs (y compris du root). Vous l'aurez compris, ces rootkits sont très difficiles à repérer avec des moyens standards et compromettent très profondément votre système. C'est pour cela qu'il n'est jamais mauvais d'installer et de lancer régulièrement ''chkrootkit'', qui vérifie la présence de [http://fr.wikipedia.org/wiki/Rootkit rootkits].

Évidemment, tout ces malwares peuvent se combiner entre eux pour former des combinaisons souvent difficiles à contrer. On peut citer l'exemple du vers 1i0n ([http://www.cert.org/incident_notes/IN-2001-03.html|rapport CERT], Mars 2001) qui ciblait essentiellement des failles sur les systèmes Unix faisant tourner un serveur BIND et qui installait le rootkit erkms avant de continuer à se propager. Ce malware combinais à la fois un vers et un rootkit lui-même composé d'un certain nombre de chevaux de Troie.

==== Les logiciels interprétés (scripts) ====
Si la machine possède un serveur apache fournissant des pages dynamiques (cgi mais surtout php et autres langages de script web. En fait, cgi est parfois sous la forme d'un binaire, mais souvent sous forme de script) il faut se méfier des attaques du type injection de code.

Veillez aussi à ne pas avoir de script contenant un mot de passe codé en clair !
Parfois, lorsque votre mot de passe est demandé (en l'occurence pour sudo) et que vous savez qu'on va vous le demander, vous tapez celui-ci sans regarder l'écran. Sauf que le terminal présente un prompt et non un "please type your password:", car vous avez tapé la commande trop vite, ou mal. Donc si par malheur vous avez tapé votre mot de passe (alors en clair) et que vous avez validé -- le shell retournant naturellement "commande inconnue" -- il vous faut éditer votre fichier <code>~/.bash_history</code> pour y supprimer le mot de passe. Il est possible et tout à fait anodin de supprimer ce fichier, mais vous n'aurez alors plus d'historique des commandes tapées.

=== Les méthodes des pirates ===
Vérifier la présence de [http://fr.wikipedia.org/wiki/Keylogger keylogger]. C'est un logiciel chargé de détecter et logger les touches pressées au clavier. Vous imaginez donc aisément le problème : les identifiants et mots de passe tapés au clavier sont alors facilement accessibles pour l'attaquant. Attention cependant : même si aucun logiciel de ce type n'est détecté, la présence d'un keylogger matériel est possible. Vérifiez en suivant le cordon du clavier jusqu'à l'ordinateur : s'il est directement relié à celui-ci, c'est bon. Sinon, s'il y a un petit câble avec un petit boîtier, il est fort probable que c'est un keylogger.
L'[http://fr.wikipedia.org/wiki/Ing%C3%A9nierie_sociale ingéniérie sociale] est une méthode consistant à profiter de la crédulité des gens, qui souvent écrivent leurs mots de passe sur un bout de papier et le laissent à proximité de l'ordinateur. D'autres sont par exemple appelés par l'attaquant, se faisant alors passer pour le service technique de l'entreprise, qui prétend avoir besoin du mot de passe de l'utilisateur pour faire des tests.

== Protéger son ordinateur ==
=== Sécuriser son boot ===
Si l'accès physique à la machine est une faille, il faut configurer son bios. Celui-ci ne doit autoriser que le boot sur disque dur, et doit être protégé par mot de passe.
[http://fr.wikipedia.org/wiki/GRand_Unified_Bootloader Grub] permettant d'éditer manuellement le boot (périphérique de démarrage, noyau, options pour l'init...), il est nécessaire de le protéger par mot de passe afin qu'on ne puisse pas modifier les configurations prédéfinies.
En fait il est même parfois conseillé de supprimer tout périphérique susceptible d'être source d'insécurité à ce niveau, comme le lecteur de disquettes par exemple. Cela dit, si c'est une station de bureau il vaut mieux garder ce dont on a besoin, cela va sans dire. C'est à vous d'en juger.

De toute manière, un système n'est jamais sûr puisque pour l'exemple présent, il est possible de supprimer le mot de passe du [http://fr.wikipedia.org/wiki/Basic_Input_Output_System BIOS] en réinitialisant celui-ci. Ainsi pour quelqu'un ayant un accès physique à la machine il est facile d'ouvrir le boîtier et de retirer quelques secondes la batterie alimentant le BIOS. La parade consisterait à verrouiller l'accès à l'intérieur de la machine (cadenas).

Pire encore : le BIOS étant de nos jour stocké dans une mémoire accessible en écriture -- généralement de la mémoire flash. Sur les carte-mères plus anciennes le BIOS est stocké dans une ROM. -- ce qui permet potentiellement à quelqu'un de le flasher (le mettre à jour) pour le remplacer par une version vérolée.

Avant de continuer sur le BIOS, voyons un peu comment celui-ci fonctionne et pourquoi il existe :
Immédiatement à la mise sous tension, le BIOS déroule la procédure de POST (''Power-On Self Test'' ou ''vérification de mise sous tension''). Durant cette phase, le BIOS effectue divers contrôles : [http://fr.wikipedia.org/wiki/Processeur CPU], [http://fr.wikipedia.org/wiki/Somme_de_contrôle autovérification par chiffre de contrôle], contrôle des paramètres BIOS enregistrés (mémoire de "setup"), initialisation de divers composants (horloge, [http://fr.wikipedia.org/wiki/Accès_direct_mémoire DMA], etc), vérification de la mémoire, des périphériques (claviers, lecteur(s) de disquette, disque(s) dur(s), etc.).
En cas d'erreur, le BIOS tente de continuer ou, en cas d'erreur grave il arrête le système et affiche, si possible, un message d'erreur. Autrement il fait une série de beep pour aider au diagnostic de la panne. Il envoie également un code sur le port série, code qui peut être récupéré par divers moyens.
Immédiatement après le POST, le BIOS va charger le premier secteur du disque amorçable. Ce secteur contient un petit programme de chargement (boot loader) du chargeur du (des) système(s) d'exploitation (grub, lilo ou, pour Windows, NTLDR). Le POST se termine en transférant l'exécution au boot loader.
C'est en fait, à l'origine, la fonctionnalité principale (c'est elle qui a donné son nom au BIOS) du BIOS : fournir une couche logicielle d'abstaction (permettant d'ignorer lors de la programmation les aspects purement matériels) pour les périphériques les plus courants : clavier, écran, floppy, disques durs, souris, etc.
On accède à ces fonctions par l'envoi d'interruptions logicielles ou, plus rarement, par accès direct à la mémoire BIOS.

Fort heureusement, linux étant un bon système d'exploitation il n'utilise pas le BIOS, qui sert comme on l'a vu de couche d'abstraction entre le logiciel et le matériel. Le risque d'attaque via le BIOS est donc considéré comme nul. Cependant, il reste techniquement possible -- mais les pirates n'y auraient aucun intérêt -- de flasher le BIOS de telle sorte qu'il ne puisse plus booter l'ordinateur, bloqué dans une boucle infinie.

=== Partitionnement conséquent ===
À l'installation du système, il faut bien réfléchir au partitionnement des disques. Les données statiques (binaires, fichiers de configuration, etc.) seront sur une partition montée en lecture seule pour éviter toute modification :
* /bin
* /boot
* /lib
* /sbin
* /usr
Eventuellement d'autres dossiers, selon la distribution.

Lorsque l'accès physique à la machine est une faille potentielle de sécurité, il n'est pas une mauvaise idée que de créer une partition dédiée à /etc , qui serait formatée en un système de fichiers chiffré (voir [http://www.tldp.org/HOWTO/Encrypted-Root-Filesystem-HOWTO/ Encrypted root filesystem howto]).

=== N'installer que le strict nécessaire ===
Chaque bout de code est potentiellement une faille. C'est pour cela que moins il y a de logiciels installés, plus le risque d'avoir une faille est réduit. Un exemple courant pour faire comprendre le principe est que sur un serveur il n'est généralement nul besoin de serveur X. Un autre exemple, dans un environnement unix il n'est nul besoin de serveur Samba.
Une fois le ménage fait dans votre installation, il faut bien configurer ses logiciels.

=== Utilisateurs ===
Vérifier que root n'est pas autorisé à se connecter. [[Sudo|Utiliser sudo]] plutôt que [[Fiches:Securite-ficheroot|le compte root directement]] pour les tâches d'administration.
Evitez par ailleurs d'avoir des comptes inutiles sur votre machine car même s'ils n'ont que des droits restreints, l'utilisation d'une faille pour obtenir plus de permissions par un intrus n'est pas impossible.

=== Permissions ===
De manière générale, éviter autant que possible le ''sticky bit'', qui permet d'exécuter un programme avec les droits de root alors qu'on est connecté en simple utilisateur.

<cadre>'''sticky bit :''' droit donné à un fichier exécutable d'utiliser les droits de l'administrateur.</cadre>

Utiliser chroot pour les services et les utilisateurs distants qui doivent avoir un accès restreint à la machine : [[Admin-admin_env-chroot]]

== Bien configurer ses démons ==
[[Reseau-web-Apache_protec|Sécuriser Apache]] en limitant les accès aux répertoires. On peut pour cela utiliser les fichiers .htaccess ou modifier directement la configuration du serveur, généralement <code>/etc/apache/httpd.conf</code> ou <code>/etc/apache2/apache2.conf</code> .

Utilisez [[Reseau-secu-ssh|ssh/sshd]] plutôt que <code>telnet</code>. En effet, ce dernier ne chiffre pas ses flux de données, contrairement à ssh, ce qui permet grâce à un simple sniffeur réseau de voler identifiants et mots de passe via le réseau.

Les serveurs de fichiers (ou apparents) tels <code>Samba</code>, <code>NFS</code> ou encore <code>FTP</code> ne doivent accepter de connexion que des utilisateurs enregistrés : une section est prévue à cet effet dans le fichier de configuration de chaque serveur. Il est préférable de faire ceci, même si les services n'autorisent que les connexions locales et même si l'authentification des utilisateurs est déjà limitée : mieux vaut trop de sécurité que pas assez. Si vous cherchez à faire du transfert de fichiers de manière sécurisée, préférez <code>scp</code> (qui est en fait une manière d'utiliser le protocole ssh).

Si vous utilisez vnc, préférez le faire de manière sécurisée : [[Reseau-resau_plus-vnc|vnc au-dessus de ssh]].

== Barrer la route aux connexions non souhaitées ==
Une fois limité les ports réseau attendant des connexions, il faut mettre en place un firewall filtrant grâce à iptables (ou autre). Netfilter est le nom de la couche du noyau qui permet de filtrer tout ce qui passe par les interfaces réseau, tandis que iptables est une interface permettant de piloter Netfilter. Ne pas confondre, donc.
Des articles ont déjà été écrits à ce propos :
* [[Reseau-secu-iptables|iptables par l'exemple]]
* [[Reseau-secu-murdefeu|Mur de feu pas à pas]]
* [[Leapro-pro_reseau-qos|QoS via iptables]]

De manière très succincte, il faut fermer tous les ports puis ouvrir ceux dont on a besoin : le port 80 (et le 443 pour du https) doit être ouvert si l'on a un serveur web, le port 110 si l'on a un serveur pop dont on veut qu'il soit accessible d'internet, etc.

Voici un bon script de base qu'on peut adapter :
<code>#!/bin/sh
# firewall v1.0.1 Oct 13 09:48:57 PDT 2003 written by : Kernel <kernel@trustonme.net>
# Modifié par merlin8282 (je ne sais plus où j'ai pioché l'original mais il y ressemble encore vraiment beaucoup).
# this script is free software according to the GNU General Public License (see [www.gnu.org])
# Start/stop/restart/status firewall:

firewall_start() {

echo "[Démarrage du firewall]"

############################### REGLES PAR DEFAUT ###########################

echo "[Initialisation de la table filter]"
iptables -F
iptables -X

echo "[Politique par défaut de la table filter]"

# On ignore tout ce qui entre ou transite par la passerelle
iptables -P INPUT DROP
iptables -P FORWARD DROP

# On accepte, ce qui sort
iptables -P OUTPUT ACCEPT

# Pour éviter les mauvaises suprises, on va autoriser l'accès à la loopback :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

############################### LOCAL-INTERNET ###########################

echo "[On autorise les clients à accéder à internet]"

#On créé une nouvelle chaîne, le nom est indifférent
# appelons-la "local-internet"
iptables -N local-internet

# On définit le profil de ceux qui appartiendront à "local-internet"
# "local-internet" concerne toutes les connections sauf celles venant d'internet ( ! = non)
# En gros avec ça, vous rendez, vos serveurs inaccessibles depuis internet.
# Pas de panique, certains serveurs seront autorisés explicitement dans la suite.
# (Remplacer ppp0 en fonction de votre configuration)
iptables -A local-internet -m state --state NEW -i ! ppp0 -j ACCEPT

#Evidemment, une fois acceptées comme "local-internet", les connections peuvent continuer
# et faire des petits :
iptables -A local-internet -m state --state ESTABLISHED,RELATED -j ACCEPT

# On termine en indiquant que les connections appartenant à "local-internet"
# accèdent à internet de manière transparente.
iptables -A INPUT -j local-internet
iptables -A FORWARD -j local-internet

############################### LES TABLES NAT ET MANGLE #############################

echo "[Initialisation des tables nat et mangle]"

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

############################### LE MASQUERADING #########################

# Commentez ces 2 lignes, si vous ne faîtes pas du masquerading (nat)
#echo "[Mise en place du masquerading]"
#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

########################### ACTIVATION DE LA PASSERELLE ##################

#echo "[Activation de la passerelle]"
#echo 1 > /proc/sys/net/ipv4/ip_forward

############################## PAS DE SPOOFING ##########################

echo "[Pas de spoofing]"
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi

########################## PAS DE SYNFLOOD ####################

echo "[Pas de synflood]"
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

############################### PAS DE PING ############################

# commentez ces 6 lignes, si vous autorisez les pings sur votre passerelle
echo "[Pas ping]"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
fi

############# Priorisation de la bande passante et des connections - QoS ############

echo "[priorisation des connections ssh ...]";
iptables -A PREROUTING -t mangle -p tcp --sport 443 -j TOS --set-tos Minimize-Delay

echo "[priorisation des connections http ...]";
iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos Maximize-throughput
iptables -A PREROUTING -t mangle -p tcp --sport 3129 -j TOS --set-tos Maximize-throughput

############################ Fonctionnalités serveurs #####################################

echo "[Etude des fonctionalités serveurs, visibles depuis internet]"

# A ce stade, tous vos clients du réseau local et de la passerelle ont accès à internet. Mieux,
# vos clients du réseau local, ont accès à vos serveurs apache, proftp ... localement. Mais personne
# depuis internet ne peux accéder à l'un des serveurs que vous hébergez.

# Il est bien-sûr possible de dévérrouiller pontuellement l'accès à un serveur depuis internet,
# en décommentant les 2 ou 3 lignes correspondantes.

#echo "[autorisation du serveur ssh(22) ...]"
#iptables -A INPUT -p tcp --dport ssh -j ACCEPT

#echo "[autorisation du serveur smtp(25) ...]"
#iptables -A INPUT -p tcp --dport smtp -j ACCEPT

#echo "[autorisation du serveur http(80) ...]"
#iptables -A INPUT -p tcp --dport www -j ACCEPT

#echo "[autorisation du serveur https(443) ...]"
#iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#echo "[autorisation du serveur DNS(53) ...]"
#iptables -A INPUT -p udp --dport domain -j ACCEPT
#iptables -A INPUT -p tcp --dport domain -j ACCEPT

#echo "[autorisation du serveur irc(6667) ...]"
#iptables -A INPUT -p tcp --dport ircd -j ACCEPT

#echo "[autorisation du serveur cvs (2401) ...]"
#iptables -A INPUT -p tcp --dport cvspserver -j ACCEPT

#echo "[autorisation du serveur FTP(21 et 20) ...]"
#iptables -A INPUT -p tcp --dport ftp -j ACCEPT
#iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT

# Ne pas décommenter les 3 lignes qui suivent.
# Plus généralement :
#echo "[autorisation du serveur Mon_truc(10584) ...]"
#iptables -A INPUT -p tcp --dport 10584 -j ACCEPT

#echo "[autorisation du serveur aMule (4662/tcp) ...]"
#iptables -A INPUT -p tcp --dport 4662 -j ACCEPT

#echo "[autorisation du serveur BitTorrent (6881-6889/tcp) ...]"
#iptables -A INPUT -p tcp --dport 6881:6889 -j ACCEPT

echo "[firewall activé !]"
}

firewall_stop() {

iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

echo " [firewall descativé!]"
}

firewall_restart() {
firewall_stop
sleep 2
firewall_start
}

case "$1" in
'start')
firewall_start
;;
'stop')
firewall_stop
;;
'restart')
firewall_restart
;;
'status')
iptables -L
iptables -t nat -L
iptables -t mangle -L
;;
*)
echo "Usage: firewall {start|stop|restart|status}"
esac</code>
Ce script est à mettre généralement dans un fichier du dossier <code>/etc/init.d/</code> .

== Détecter les intrusions, connaître les outils ==
=== who ===
La commande <code>who</code> ou <code>w</code> permet de voir les utilisateurs actuellement connectés (loggés) au système. Attention cependant car un agresseur peut être -- et l'est certainement si c'est le cas -- connecté sous votre nom, s'il est parvenu à s'immiscer dans votre système.

=== ps ===
La commande <code>ps</code> liste tous les processus actuellement en cours d'exécution sur le système. S'il en est un que vous ne connaissez pas, identifiez-le. Si vous ne savez toujours pas ce que c'est, pas d'affollement : utilisez la commande <code>lsof</code> et voyez si vous trouvez des fichiers en rapport avec ce processus. Vous pouvez alors identifier le processus et déterminer si c'est un processus "innofensif". Si ce n'est pas le cas, vous pouvez supprimer les fichiers qu'il faut. Attention toutefois à bien être certain que ce soit un logiciel malveillant que vous supprimez ! En revanche, si c'est un logiciel qui s'est fait infecter (par exemple apache) il suffit de réinstaller celui-ci, après avoir vidé le cache des paquets de votre gestionnaire de packages. Vérifiez aussi la configuration après réinstallation. Nul besoin de redémarrer, sauf si évidemment c'est le noyau qui est corrompu, chose qui est à mon avis très rare.

=== netstat ===
La commande <code>netstat</code> est une commande qui liste toutes les connexions réseau actives sur votre machine ainsi que l'état dans lequel elles sont (listening, connected, established, etc.) :
<code>Proto Recv-Q Send-Q Adresse locale Adresse distante Etat
tcp 0 0 0.0.0.0:3129 0.0.0.0:* LISTEN
tcp6 0 0 :::443 :::* LISTEN</code>
On voit ici par exemple que le port 3129 écoute (LISTEN) sur la machine locale (0.0.0.0) et que le port 443 en fait de même.
Vérifiez les connexions actives, les ports ouverts, et faites le lien avec vos démons et autres programmes qui tournent. Si un port ne vous dit rien, informez-vous.

=== lsof ===
La commande <code>lsof</code> liste tous les fichiers ouverts actuellement. Elle indique aussi quel utilisateur utilise quel fichier.
<code>COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
init 1 root mem REG 3,65 31432 1720343 /sbin/init
apache2 597 root mem REG 3,65 385484 25423 /usr/sbin/apache2</code>
Les informations parlent d'elle-mêmes. Ce sont deux cas précis parce-que le processus <code>init</code> a le fichier <code>/sbin/init</code> d'ouvert (de même pour apache).

=== fcheck ===
C'est un utilitaire qui notifie l'administrateur en cas de modification de fichiers. On précise dans le fichier de configuration quels fichiers ou dossiers on veut surveiller et un mail est envoyé en cas de changement.

=== logcheck ===
<code>logcheck</code> est un outil qui scrute les logs, en fait un résumé et envoie un courriel à l'administrateur (généralement root en local) régulièrement. Evidemment, il est possible de configurer le niveau de ce qui est rapporté.

=== chkrootkit ===
C'est un logiciel important, puisqu'il détecte la présence de rootkits. Son principe de fonctionnement est l'écoute des ports réseau. Relativement souvent, cependant, des logiciels tels les clients peer2peer sont détectés comme une menace, bien qu'ils soient innofensifs. En effet, ils utilisent des ports qui ne sont pas "officiellement" connus (contrairement au port 80, par exemple, qui est celui de tout serveur web). Donc pas d'affollement.

=== Les systèmes de détection d'intrusion ===
Un [http://fr.wikipedia.org/wiki/Système_de_détection_d'intrusion IDS (''Intrusion Detection System'')] est un logiciel qui a pour but de détecter toute intrusion dans le système. On peut citer par exemple [[Reseau-secu-SNORT|snort]] et tiger mais il en existe d'autres.
Un tel logiciel fait des vérifications sur le système (logs, réseau, etc.) et reporte toute anomalie, tout ce qui est suspect.

== Localiser le problème et nettoyer ==
Grâce aux outils précédents il est plus ou moins facile de localiser d'où vient le problème. On peut alors agir en conséquence, à savoir tuer les processus incriminés et supprimer les logiciels correspondants. Au préalable on peut aussi, si l'on est curieux, regarder ce qu'a fait l'attaquant : il a certainement laissé des traces que l'on peut examiner pour mieux comprendre.

== Voir aussi ==
* [http://fr.wikipedia.org/wiki/Cat%C3%A9gorie:Logiciel_de_s%C3%A9curit%C3%A9_informatique Wikipédia : Catégorie:Logiciel de sécurité informatique]
* [http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_informatique Wikipédia : Sécurité des systèmes d'information]
* [http://fr.wikipedia.org/wiki/Risques_en_s%C3%A9curit%C3%A9_informatique Wikipédia : Risques en sécurité informatique]
* [http://www.debian.org/doc/manuals/securing-debian-howto/index.fr.html Une excellente documentation concernant la sécurisation de la distribution Debian GNU/Linux]

== Conclusion ==
Même si l'on connaît les risques, il est toujours impératif de rester sur ses gardes. De nouvelles menaces apparaissent régulièrement, de nouvelles failles sont découvertes chaque jour, de nouveaux virus aussi, etc. L'avenir nous dira si un jour on aura des ordinateurs sûrs à 100%, chose qui n'est pas impossible mais cependant improbable.

== Remerciements ==
Un grand merci à abgech pour sa contribution à la partie concernant le BIOS,
Merci à oudoubah, pour ses idées et son expérience,
Merci à Morgan pour l'aide qu'il m'a apporté pour restructurer l'article, ainsi que pour ses idées et ses critiques également.
Merci enfin à Léa d'être là pour le logiciel libre !

== Copyright ==
Copyright © merlin8282
{{CC-BY-NC-SA}}

Tenir compte de la sécurité au quotidien

2006-06-27T20:03:54Z

Merlin8282 (phorum) :

== Introduction ==
Un ordinateur n'est jamais en sécurité, quand bien même on croit qu'il l'est. Un dicton informatique ne dit-il pas que le maillon le plus faible dans un système informatique est l'utilisateur ? Cette fiche est là pour connaître les différents risques que l'on court en ayant un ordinateur, connecté à un réseau ou non, ainsi que pour se parer contre toute attaque et enfin pour savoir comment nettoyer l'ordinateur d'une attaque que l'on vient de subir.

== Les bases : connaître son système ==
D'abord et avant tout il faut être à l'aise avec les concepts essentiels de [http://fr.wikipedia.org/wiki/Linux linux]. Cela permettra d'une part de mieux connaître et comprendre ce que nous faisons et d'autre part de mieux réagir en cas d'attaque. Donc documentez vous sur ce système et son langage de commande ([[Admin-admin_env-shell|shell bash]]).Lisez aussi la documentation expliquant ce que sont [[Admin-admin_boot-daemons|les démons et comment ils fonctionnent]]. Voyez comment fonctionne un réseau, ce que sont les ports réseau, les permissions des fichiers.

== Bien configurer ses démons ==
[[Reseau-web-Apache_protec|Apache]]
sshd plutôt que telnetd
samba
NFS
vnc au-dessus de ssh

Ensuite, il faut installer le strict minimum, par exemple sur un serveur il n'est nul besoin de serveur X.

Par ailleurs, veillez à ne pas démarrer des services inutiles (nul besoin d'un serveur ntp si la machine n'est utilisée qu'en tant que client sur internet, par exemple).

Une fois les risques liés aux connexions externes limités, il faut mettre en place un firewall filtrant grâce à iptables (ou autre), qui permet de commander Netfilter.

Un antivirus n'est nécessaire que si l'ordinateur est en dual boot avec windows. En revanche, il n'est jamais mauvais d'installer et de lancer régulièrement ''chkrootkit'', qui vérifie la présence de rootkits (équivalent des vers, troyens, etc.).

<cadre info>'''rootkits :''' logiciel permettant d'utiliser une faille de sécurité pour obtenir les droits de l'administrateur (root).</cadre>

Si la machine possède un serveur apache fournissant des pages dynamiques (cgi mais surtout php et autres langages de script web) il faut se méfier des attaques du type injection de code.

A l'installation du système, il faut bien réfléchir au partitionnement des disques. Les données statiques (binaires, configuration, etc.) seront sur une partition montée en lecture seule.

De manière générale, éviter autant que possible le ''sticky bit''.

<cadre>'''sticky bit :''' droit donné à un fichier exécutable d'utiliser les droits de l'administrateur.</cadre>

Recompiler le noyau en ne laissant que le nécessaire n'est pas une mauvaise initiative.

== Connaître les risques ==

Vérifier la présence de keyloggers.

== Détecter les intrusions ==
Les systèmes de détection d'intrusion (IDS) : snort, tiger,
chkrootkit
fcheck

== Que faire en cas d'attaque ? ==
=== Connaître les outils ===
* who
* netstat
* lsof
* ps

Modèle:Ã‰bauche

2006-06-27T11:26:56Z

Merlin8282 (phorum) :

''Cet article est une ébauche à compléter.''

Tenir compte de la sécurité au quotidien

2006-06-27T11:25:19Z

Merlin8282 (phorum) :

{{ébauche}}

== Les bases ==

D'abord et avant tout il faut être à l'aise avec les concepts essentiels de [http://fr.wikipedia.org/wiki/Linux linux]. Donc documentez vous sur ce système et son langage de commande.

Ensuite, il faut installer le strict minimum, par exemple sur un serveur il n'est nul besoin de serveur X.

Par ailleurs, veillez à ne pas démarrer des services inutiles (nul besoin d'un serveur ntp si la machine n'est utilisée qu'en tant que client sur internet, par exemple).

Une fois les risques liés aux connexions externes limités, il faut mettre en place un firewall filtrant grâce à iptables (ou autre), qui permet de commander Netfilter.

Un antivirus n'est nécessaire que si l'ordinateur est en dual boot avec windows. En revanche, il n'est jamais mauvais d'installer et de lancer régulièrement ''chkrootkit'', qui vérifie la présence de rootkits (équivalent des vers, troyens, etc.).

Si la machine possède un serveur apache fournissant des pages dynamiques (cgi mais surtout php et autres langages de script web) il faut se méfier des attaques du type injection de code.

A l'installation du système, il faut bien réfléchir au partitionnement des disques. Les données statiques (binaires, configuration, etc.) seront sur une partition montée en lecture seule.

De manière générale, éviter autant que possible le ''sticky bit''.

Recompiler le noyau en ne laissant que le nécessaire n'est pas une mauvaise initiative.

== Connaître les risques ==

Vérifier la présence de keyloggers.

== Que faire en cas d'attaque ? ==
=== Connaître les outils ===
* who
* netstat
* lsof
* ps

Tenir compte de la sécurité au quotidien

2006-06-27T11:00:25Z

Merlin8282 (phorum) :

{{ébauche}}

=== Les bases ===

D'abord et avant tout il faut être à l'aise avec les concepts essentiels de [http://fr.wikipedia.org/wiki/Linux linux]. Donc documentez vous sur ce système et son langage de commande.

Ensuite, il faut installer le strict minimum, par exemple sur un serveur il n'est nul besoin de serveur X.

Par ailleurs, veillez à ne pas démarrer des services inutiles (nul besoin d'un serveur ntp si la machine n'est utilisée qu'en tant que client sur internet, par exemple).

Une fois les risques liés aux connexions externes limités, il faut mettre en place un firewall filtrant grâce à iptables (ou autre), qui permet de commander Netfilter.

Un antivirus n'est nécessaire que si l'ordinateur est en dual boot avec windows. En revanche, il n'est jamais mauvais d'installer et de lancer régulièrement ''chkrootkit'', qui vérifie la présence de rootkits (équivalent des vers, troyens, etc.).

Si la machine possède un serveur apache fournissant des pages dynamiques (cgi mais surtout php et autres langages de script web) il faut se méfier des attaques du type injection de code.

A l'installation du système, il faut bien réfléchir au partitionnement des disques. Les données statiques (binaires, configuration, etc.) seront sur une partition montée en lecture seule.

De manière générale, éviter autant que possible le ''sticky bit''.

Recompiler le noyau en ne laissant que le nécessaire n'est pas une mauvaise initiative.

=== Connaître les risques ===

Vérifier la présence de keyloggers.

=== Que faire en cas d'attaque ? ===
== Connaître les outils ==
who
netstat
lsof
ps