Lea Linux - Contributions [fr]

/proc

2007-11-20T11:01:28Z

Oudoubah (phorum) : /* Introduction */

{{En construction}}

= Introduction =

/proc est un pseudo système de fichiers. Il est montable, démontable et apparait dans la fstab.
Pour monter un psudo système de fichiers /proc, il suffit de monter un type de système de fichier proc (option -t de mount).
Exemple : mount -t proc nom /repertoire

La visualisation des fichiers de /proc permettent à tout instant de connaître la configuration de son système. La modification des fichiers permettent de tuner à chaud son système (via la commande /bin/echo ou cat)

Attention : La commande "echo" de certains shells ne renvoie pas de message d'erreur en cas d'incident. Il est donc préférable d'utiliser /bin/echo.

/proc continue d'évoluer avec le noyau, et certains fichiers décrits ci-dessous n'existent pas dans certaines versions. La branche du noyau qui a servi de référence est la 2.6

== Les processus ==

Les processus sont identifiés par leur identifiant de tâche (TID). Pour simplifier, on peut assumer que le TID et le PID sont équivalent. (La notion de TID est apparue dans les noyaux 2.6, avec l'utilisation de la librairie NPTL).

Il y a deux types de processus : les processus système (ou noyau) et les processus utilisateur. Ils sont tous deux basés sur la même hiérarchie. Nous verrons au cours de la description du contenu de /proc/TID les différences d'un pocessus système et d'un processus utilisateur

=== Contenu du répertoire d'un processus ===

'''attr''' : répertoire contenant les attributs de sécurité
'''auxv''' : fichier binaire. Informations passées par le noyau lors de l'édition de liens dynamiques <br/>
'''cmdline''' : Fichier texte contenant la ligne de commande :<br/>
<span style="text-decoration:underline;">Exemple : </span><br/>
''<nowiki># tr '\0' ' '< cmdline </nowiki><br/>
''dhcpcd -t 30 -h Tuxtop ath0''<br/>
'''cwd''' : lien vers le répertoire courant<br/>
'''environ''' : Variables d'environnement. Pour les afficher clairement, faire un ''tr '\0' '\n' < environ''<br/>
'''exe''' : lien vers l'exécutable<br/>
'''fd''' : répertoire contenant les descripteurs des fichiers ouverts. Les fichiers 0, 1 et 2 correspondent à l'entrée standard, la sortie standard et la sortie d'erreur. Les autres descripteurs correspondent aux autres "fichiers" ouverts (un fichier peut être un fichier, une socket, un tube). Dans certains cas, on peut utiliser ces descripteurs de fichiers pour récupérer un fichier ouvert supprimé : il suffit de copier /proc/pid/fd/X vers un autre répertoire.<br/>
'''maps''' : carte des composants de l'espace d'adresses<br/>
'''mem''' : fichier d'accès à la mémoire<br/>
'''mounts''' : systèmes de fichiers montés visibles<br/>
'''oom_adj''' : ajustement du score OOM (Out Of Memory). Ce score permet au système de choisir quelle tâche sera supprimée en cas d'OOM. La valeur peut être située entre -16(tâche prioritaire) à 15 (tâche à supprimer en priorité). Il y a de plus la valeur particulière -17 qui empêche la suppression de la tâche en cas d'OOM. Ce fichier est modifiable et on peut donc modifier le score avec une simple commande /bin/echo<br/>
'''oom_score''' : score actuel de la tâche. Plus le score est élevée, plus la tâche risque d'être supprimée en cas d'OOM.<br/>
'''root''' : lien vers le répertoire racine <br/>
'''smaps''' : donne des informations plus précises que le fichier maps. La partie résidente en mémoire de chaque composant est indiqué.<br/>
'''stat''' : état détaillé <br/>
'''statm''' : information sur la mémoire <br/>
'''status''' : description de la tâche (reprend les informations de stat et statm, et les affiche dans un format plus lisible<br/>
'''tasks''' : fichier contenant des liens vers le différents threads de la tâche. <br/>

== Les informations système ==

== Les informations réseau ==

Ces informations se trouvent dans /proc/net. Les adresses IP sont écrites en hexa. On retrouve toutes les informations des commandes usuelles (ifconfig, route, iptables, netstat,...)

/proc/net/route correspond à la table de routage

/proc

2007-11-13T12:01:41Z

Oudoubah (phorum) : /* Les processus */

{{En construction}}

= Introduction =

/proc est un pseudo système de fichiers. Il est montable, démontable et apparait dans la fstab.
Pour monter un psudo système de fichiers /proc, il suffit de monter un type de système de fichier proc (option -t de mount).
Exemple : mount -t proc nom /repertoire

La visualisation des fichiers de /proc permettent à tout instant de connaître la configuration de son système. La modification des fichiers permettent de tuner à chaud son système (via la commande /bin/echo ou cat)

Attention : La commande "echo" de certains shells ne renvoie pas de message d'erreur en cas d'incident. Il est donc préférable d'utiliser /bin/echo.

Cette documentation est basée sur un noyau 2.6

== Les processus ==

Les processus sont identifiés par leur identifiant de tâche (TID). Pour simplifier, on peut assumer que le TID et le PID sont équivalent. (La notion de TID est apparue dans les noyaux 2.6, avec l'utilisation de la librairie NPTL).

Il y a deux types de processus : les processus système (ou noyau) et les processus utilisateur. Ils sont tous deux basés sur la même hiérarchie. Nous verrons au cours de la description du contenu de /proc/TID les différences d'un pocessus système et d'un processus utilisateur

=== Contenu du répertoire d'un processus ===

'''attr''' : répertoire contenant les attributs de sécurité
'''auxv''' : fichier binaire. Informations passées par le noyau lors de l'édition de liens dynamiques <br/>
'''cmdline''' : Fichier texte contenant la ligne de commande :<br/>
<span style="text-decoration:underline;">Exemple : </span><br/>
''<nowiki># tr '\0' ' '< cmdline </nowiki><br/>
''dhcpcd -t 30 -h Tuxtop ath0''<br/>
'''cwd''' : lien vers le répertoire courant<br/>
'''environ''' : Variables d'environnement. Pour les afficher clairement, faire un ''tr '\0' '\n' < environ''<br/>
'''exe''' : lien vers l'exécutable<br/>
'''fd''' : répertoire contenant les descripteurs des fichiers ouverts.<br/>
'''maps''' : carte des composants de l'espace d'adresses<br/>
'''mem''' : fichier d'accès à la mémoire<br/>
'''mounts''' : systèmes de fichiers montés visibles<br/>
'''oom_adj''' : ajustement du score OOM (Out Of Memory). Ce score permet au système de choisir quelle tâche sera supprimée en cas d'OOM. La valeur peut être située entre -16(tâche prioritaire) à 15 (tâche à supprimer en priorité). Il y a de plus la valeur particulière -17 qui empêche la suppression de la tâche en cas d'OOM. Ce fichier est modifiable et on peut donc modifier le score avec une simple commande /bin/echo<br/>
'''oom_score''' : score actuel de la tâche. Plus le score est élevée, plus la tâche risque d'être supprimée en cas d'OOM.<br/>
'''root''' : lien vers le répertoire racine <br/>
'''smaps''' : donne des informations plus précises que le fichier maps. La partie résidente en mémoire de chaque composant est indiqué.<br/>
'''stat''' : état détaillé <br/>
'''statm''' : information sur la mémoire <br/>
'''status''' : description de la tâche (reprend les informations de stat et statm, et les affiche dans un format plus lisible<br/>
'''tasks''' : fichier contenant des liens vers le différents threads de la tâche. <br/>

== Les informations système ==

== Modifier le système ==

== Les informations réseau ==

== Modifier le réseau ==

/proc

2007-11-13T11:26:33Z

Oudoubah (phorum) : Début d'article

Proposition d'article

2007-11-13T10:33:41Z

Oudoubah (phorum) : /* Rubrique : Léavancé */

= Proposition d'article =
Indiquer ici les articles qui manquent et que vous vous proposez de créer, puis créez les ! Si vous avez besoin de mettre des images dans votre article, n'hésitez pas à demander à Léa les [[Lea_Linux:Groupe_Editeur|droit d'éditeurs]]. '''Ne mettez pas''' des articles que vous désireriez voir écrits par quelqu'un d'autre que vous !

<cadre type=alert>'''Note :''' pour proposer un nouveau truc ou une nouvelle astuce, utiliser [[Trucs:Proposition_d'un_truc|cette page]].</cadre>

Il suffit d'insérer dans la section qui correspond à votre article, quelque chose du genre :
* exemple : <nowiki>[[Nom de l'article]]</nowiki>
qui donnera :
* exemple : [[Nom de l'article]] (SVP ne créez pas l'article '''Nom de l'article''').

<cadre type=alert>'''Publication :''' Léa étant un wiki, c'est à vous de modifier la page principale de la rubrique dans laquelle vous voulez voir votre article publié, lorsque vous jugez que celui-ci est suffissament complet. Nous pouvons également ajouter votre article sur la page principale de Léa, pour ce faire, contactez-nous à admin <chez> lea-linux.org (en remplaçant <chez> par @). Si nous jugeons cet article de qualité, il sera publié.</cadre>

== Rubrique : Installation ==
* en construction :
** [[UBUNTU et eagle-usb]] [[Utilisateur: mujma|Marc UJMA]]
** [[Guide d'installation Linux SuSE 10.0 pas à pas]] leibowitz 29 janvier 2006
** [[Guide d'installation et de configuration de Fluxbox,Conky, Idesk, Fbpager]] pingadaroça 31/01/06
** [[Installation et (surtout) configuration post-installation de Slackware 11.0]]
** [[Configuration messagerie sur Debian]]
** [[MANDRIVA 2007 - installation d'un système complet]] Zorglub 18/12/2006

* ébauche :
** [[Installation serveur LAMP uniquement en mode texte]]

* contesté :
** [[L'erreur est humaine, ou bienvenue dans le monde de l'informatique libre]] (à caser dans philo et histoire je pense, ou dans découvrir Linux... bref on verra ça après) --[[Utilisateur:Linux.tar.gz|Linux.tar.gz]] 7 sep 2006 à 17:01 (CEST)

== Rubrique : X Window ==

== Rubrique : Logiciels ==
[[codecs_encodage|Installer les codecs nécessaires à l'encodage audio et vidéo]]
* plans :
** [[Java et linux]]
** [[Netbeans|Environnements de développement Java]]
** [[J2EE|La version java entreprise edition]]

* todo :
** [[GlassFish|La version Open Source du Serveur d'application d'entreprise de SUN]]

== Rubrique : Matériel ==
* [[Installation d'une ATI Radeon X1600 sur Mandriva]]
* [[Clavier Logitech G15]]

=== Publiés ===

* [[Souris Logitech MediaPlay]]
* [[Le X10 et Linux]]
* [[Hardware-hard_plus-matos_bis]]
* [[AC775|Carte PCMCIA GPRS/EDGE Sierra Wireless AC775]]
* [[Numériser vos anciennes cassettes VHS sous Linux]]

== Rubrique : Le réseau ==
* [[Streaming mp3 avec Icecast2 et ices]]. --[[Utilisateur:CoKe|CoKe]] 4 avr 2006 à 16:04 (CEST)
* [[Debian GNU/Linux et IPv6]]. [[Utilisateur: Thomas Carlu|Thomas Carlu]] 25 oct 2005 à 1:15 (CEST)
* [[Sécurité des réseaux WIFI]]. --[[Utilisateur:Maston28|Maston28]] 13 nov 2005 à 16:30 (CET)
* [[Configurer le wifi avec une livebox, freebox etc...]] par Samiche, avril 2006
* [[Nagios]] par [[Utilisateur:Jiel|Jiel]] 4 avr 2007 à 15:10 (CEST)
*[[SASL sous Debian]] par [[Utilisateur:Zebu|Zebu]] 16 mai 2007 à 20:55 (CET)
*[[Mldonkey : créer un client/serveur P2P]] par [[Utilisateur:Jeannedarc|Jeannedarc]] 17 mai 2007 à 10:59 (CEST)
*[[Actualiser une adresse DNS dynamique (dyndns, ...)]]--[[Utilisateur:Jeannedarc|Jeannedarc]] 18 mai 2007 à 12:59 (CEST)
*[[Configurer postfix derrière une LiveBox (et une FreeBox)]]
*[[reseau-partfic-sfs|Installation d'un serveur SFS]] --[[Utilisateur:Richard|Richard]] 16 aou 2006 13:46 (CEST)
=== Publiés ===
* [[Tunnels ethernet avec openssh]]. --[[Utilisateur:Misc|Misc]] 12 fév 2006 à 13:30 (CET)
* [[SFTP & RSSH : Créer un serveur de fichiers sécurisé]] par [[Utilisateur:Jeannedarc|Jeannedarc]] 17 mai 2007 à 10:55 (CEST)
* [[Créer un point d'accès sécurisé avec hostAPd]] --[[Utilisateur:Glandos|Glandos]] 26 avr 2006 à 23:16 (CEST)
*[[postfix-courier-mysql-quota-spamassassin-amavis|Serveur de mail multi-domaines postfix - mysql (quota, antivirus, spamassasin) sous Debian]] --[[Utilisateur:Space2d|Space2d]] 29 nov 2006 à 12:25 (CET)

== Rubrique : Administrer ==
* [[Arrêter Windows et son routeur Linux]], [[Utilisateur:Vivecom|Vivecom]] 26 nov 2005 à 16:40 (CET)
* [[Les sauvegardes]], [[Utilisateur:oudoubah|oudoubah]] 05 sep 2006
* [[Utilisation de webmin administration a distance]] --[[Utilisateur:Pascalfares|Pascalfares]] 10 jan 2007 à 00:42 (CET)

=== Publiés ===
* [[S'identifier par une clé USB]], [[Utilisateur:thomas debay]] 28 fév 2006
* [[Gestion des ACL]] (ou [[ACL]] pour le titre). [[Utilisateur:Vincent Ramos|Vincent Ramos]] 24 oct 2005 à 23:00 (CEST)
::Fait. Bien qu'améliorable, l'article me semble complet. [[Utilisateur:Vincent Ramos|Vincent Ramos]] 26 oct 2005 à 00:22 (CEST) ;
* [[Attributs étendus]] (''chattr'' sur ext2 et ext3, outils efs2progs) [[Utilisateur:Vincent Ramos|Vincent Ramos]] 26 oct 2005 à 17:40 (CEST)

== Rubrique : Noyau et modules ==

* [[RT2500]] : compilation et installation du modules RT2500 Pour les cartes wifi , essai avec la carte '''PCI PC54G2''' , Auteur: Laplaine Freddy, Alias mr_pupu[corbeille]

=== Publiés ===
* [[HOWTO Dkms]] : Utiliser dkms pour gérer ses drivers dynamiquement et facilement

== Rubrique : Développer ==

* [[Ocaml]] : une présentation du langage ocaml
*[[FreePascal]] : Un langage familier pour nombre de développeurs [[Utilisateur: mujma|Marc UJMA]]
*[[Trucs:Obtenir le code HTML d'un glyphe]] [[Utilisateur:Nicola|Nicola]] 2 jan 2006 à 19:10 (CET)

== Rubrique : Léavancé ==

* [[Virtualisation avec Xen]]
* [[OpenMosix]] axé Slackware mais applicable à d'autres distributions
* [[Compilation Distribuée]] ou comment accélérer ses compilations
* [[L'arborescence /proc]], [[Utilisateur:oudoubah|oudoubah]] (13/11/2007)

Trucs:Proposition d'un truc

2007-11-09T14:53:08Z

Oudoubah (phorum) : /* Proposition d'un truc ou d'une astuce */

= Proposition d'un truc ou d'une astuce =
Indiquer ici les trucs ou astuces qui manquent et que vous désirez créer. '''Ne mettez pas''' des articles que vous désireriez voir écrits !
* exemple : <nowiki>[[Trucs:Nom du truc]]</nowiki>

[[Trucs:Résoudre les problèmes de clé dans Debian]]

[[Trucs:Formater un baladeur mp3 type CREATIVE MuVo N200]]

[[Trucs:Utiliser les boutons de son scanneur]]

[[Trucs: Se connecter à WindowsUpdate via un serveur Squid authentifiant]]

[[Trucs: Résoudre le problème de l'écran qui s'éteint automatiquement sous KDE3.5 même si dans la configuration, l'économie d'energie est désactivé, mais qu'on a activé Compiz]]

[[Trucs: Spécifier le format A4 dans quelques fichiers où c'est oublié]]

[[Trucs: Rajouter un fichier de mémoire swap temporaire]]

== tarball des sources du driver de conexant pour modem hcf pci ==

Bonjour,

Je ne sais pas si c'est ici qu'il faut que je le fasse, mais aprés avoir googlelisé la terre entière, j'ai réussis à trouver les sources (assez anciennes, mais libres) pour les modems hcf pci de Conexant.

Si je peux les déposer sur le site et ainsi faire profiter la communauté d'un bien retiré de la toile, veuillez me laissez un message.

Le tarball en question est le suivant et il fonctionne. Le seul impératif est qu'il ne tourne que sur noyau 2.4 + ACPI, donc recompilation du noyau. Pour la compilation proprement dite du driver, il est besoin des sources et/ou des headers du noyau. pour les autre noyaux, 2.2 et 2.6, je n'ai rien essayé.

hcfpcimodem-0.99lnxtbeta03042700.tar.gz

Bien à vous.

°¿° Skippy the Kangoo °¿°

== écouter ses messages téléphoniques Free ==

Dans son offre de téléphonie, Free propose un répondeur : les messages enregistrés peuvent alors être reçus par mail ou bien téléchargés depuis une interface Web.

Le problème est de réussir à les écouter depuis Linux : 'a marche pô.

'''Solution :''' il suffit d'enregistrer le fichier, et de changer son extension en ".snd". Il est alors parfaitement reconnu par votre lecteur audio favori.

Remarque : ceci étant établi, reste à voir comment faire pour éviter cette étape d'enregistrement et de renommage, mais en attendant...

== restriction horaires de connexion sur KDE via Pam ==

Voilà quelque chose qui peut-être utile si vous avez des enfants et que vous ne voulez pas qu'ils passent leur vie sur le PC contrairement à leur père ;-).

Pour commencer il faut modifier le module de pam qui sert à la connexion de KDE, ce module se trouve dans le répertoire:

<div class="code">ls -all /etc/pam.d/kde*
-rw-r--r-- 1 root root 333 mar 14 11:56 /etc/pam.d/kde3
-rw-r--r-- 1 root root 368 mar 14 11:29 /etc/pam.d/kde3~
-rw-r--r-- 1 root root 326 mai 14 2005 /etc/pam.d/kde3-np</div>

Le module qui nous intéresse est kde3.

<div class="code">cat /etc/pam.d/kde3
#%PAM-1.0
account required pam_time.so

auth required pam_stack.so service=system-auth
auth required pam_nologin.so
account required pam_stack.so service=system-auth
password required pam_stack.so service=system-auth
session required pam_stack.so service=system-auth
session optional pam_console.so</div>

nous insérons comme indiqué plus haut la ligne
<div class="code">account required pam_time.so</div>

en s'assurant que la lib pam_time.so est bien dans /usr/lib/security

une fois cette étape réalisée, il nous faut configurer le fichier /etc/security/time.conf

l'explication de la syntaxe est jointe dans le fichier, pour notre exemple nous prendrons (extrait du fichier)

<div class="code"># times
# the format here is a logic list of day/time-range
# entries the days are specified by a sequence of two character
# entries, MoTuSa for example is Monday Tuesday and Saturday. Note
# that repeated days are unset MoMo = no day, and MoWk = all weekdays
# bar Monday. The two character combinations accepted are
#
# Mo Tu We Th Fr Sa Su Wk Wd Al
#
# the last two being week-end days and all 7 days of the week
# respectively. As a final example, AlFr means all days except Friday.
#
# each day/time-range can be prefixed with a '!' to indicate "anything
# but"
#
# The time-range part is two 24-hour times HHMM separated by a hyphen
# indicating the start and finish time (if the finish time is smaller
# than the start time it is deemed to apply on the following day).
#
# for a rule to be active, ALL of service+ttys+users must be satisfied
# by the applying process.

kde3;*;anne;Wd0800-0900</div>

cette ligne signifie que nous autorisons le service kde3 sur tous les tty (*) pour le user anne les jours de la semaine de 8h00 à 9h00

Ce système peut être complèté via squid et squidguard qui gère les accès internet et les sites autorisés, c'est ce que j'ai fait chez moi.

mali44

== restriction horaires de connexion sur KDE via Pam ==

Voilà quelque chose qui peut-être utile si vous avez des enfants et que vous ne voulez pas qu'ils passent leur vie sur le PC contrairement à leur père ;-).

pour commencer il faut modifier le module de pam qui sert à la connexion de KDE, ce module se trouve dans le répertoire:

ls -all /etc/pam.d/kde*

-rw-r--r-- 1 root root 333 mar 14 11:56 /etc/pam.d/kde3

-rw-r--r-- 1 root root 368 mar 14 11:29 /etc/pam.d/kde3~

-rw-r--r-- 1 root root 326 mai 14 2005 /etc/pam.d/kde3-np

le module qui nous intéresse est kde3.

cat /etc/pam.d/kde3

#%PAM-1.0

account required pam_time.so

auth required pam_stack.so service=system-auth

auth required pam_nologin.so

account required pam_stack.so service=system-auth

password required pam_stack.so service=system-auth

session required pam_stack.so service=system-auth

session optional pam_console.so

nous insérons comme indiqué plus haut la ligne
account required pam_time.so

en s'arrurant que la lib pam_time.so est bien dans /usr/lib/security

une fois cette étape réalisée, il nous faut configurer le fichier /etc/security/time.conf

l'explication de la syntaxe est jointe dans le fichier, pour notre exemple nous prendrons (extrait du fichier)

# times
# the format here is a logic list of day/time-range
# entries the days are specified by a sequence of two character
# entries, MoTuSa for example is Monday Tuesday and Saturday. Note
# that repeated days are unset MoMo = no day, and MoWk = all weekdays
# bar Monday. The two character combinations accepted are
#
# Mo Tu We Th Fr Sa Su Wk Wd Al
#
# the last two being week-end days and all 7 days of the week
# respectively. As a final example, AlFr means all days except Friday.
#
# each day/time-range can be prefixed with a '!' to indicate "anything
# but"
#
# The time-range part is two 24-hour times HHMM separated by a hyphen
# indicating the start and finish time (if the finish time is smaller
# than the start time it is deemed to apply on the following day).
#
# for a rule to be active, ALL of service+ttys+users must be satisfied
# by the applying process.

kde3;*;anne;Wd0800-0900

cette ligne signifie que nous autorisons le service kde3 sur tous les tty (*) pour le user anne les jours de la semaine de 8h00 à 9h00

Ce système peut être complété via squid et squidguard qui gère les accès internet et les sites autorisés, c'est ce que j'ai fait chez moi.

mali44

Bonjour

Cette modification fonctionne a merveille effectivement pour restreindre l'heure de connexion cependant une fois que l'utilisateur est connecte, il n'y a pas de deconnexion lorsqu'il depasse sa plage horaire. Quel type de modification dois-je apporter pour forcer la deconnexion qund la plage horaire se termine?

exemple:

l'utilisateur peut se connecter tous les jours entre 15 et 17 heures. Il se connecte a 15 heures mais arrivé a 17 heures sa session continue comme si de rien n'etait.

== Spécifier le format A4 dans quelques fichiers où c'est oublié ==

Ce chapitre ne semble pas venir sur la page de consultation. Je publie une modif en mode majeure pour voir.

Si votre imprimante A4 centre mal certaines impressions, c'est que l'application envoie des données en format A4 et que l'imprimante reste en configuration Letter, ou l'inverse. Le format Letter est le défaut pour quasiment toutes les applications quand elles ignorent le format prévu par l'imprimante. Certaines applications ont des options à spécifier, d'autres non et il faut chercher plus profond pour remédier. Si on peut changer les options par défaut, c'est mieux car on ne risque plus d'oublier de les spécifier.

Je propose de recenser les applications qui nécessitent une modification de leur configuration, afin d'agir une fois pour toutes, voire de créer un script qui fait le travail.

Configuration de '''enscript'''

modifier le fichier '''/etc/enscript.cfg''' : changer la valeur de ''DefaultMedia''
<code>DefaultMedia: A4
</code>
modifier le fichier '''/usr/share/enscript/enscript.hdr''' : changer la valeur de ''moddatestr'' et ''pagenumstr'' pour les mettre au style français
<code>%Format: moddatestr $F
%Format: pagenumstr $%/$=</code>

Configuration de '''mpage'''

créer le fichier '''/etc/profile.d/mpage.sh''' avec la protection '''775''', et contenant la ligne
<code>export MPAGE="-bA4 -f -o"
</code>

Configuration de '''ghostscript''', nécessaire pour l'impression de fichiers PostScript car utilisé par '''foomatic''' quand on envoie un fichier .ps à l'imprimante via '''lpr''' (cas d'une imprimante non PostScript)

modifier le fichier '''/usr/share/ghostscript/.../gs_init.ps''' : décommenter la ligne
<code>DEFAULTPAPERSIZE (a4) def
</code>

Les sauvegardes

2006-09-28T19:10:38Z

Oudoubah (phorum) : Correction

== Les sauvegardes ==

[[Category:Les plus de l'administration]]
= Sauvegarder son système, ses données =

<div class="leatitre">Sauvegarder</div><div class="leapar">Par [[Utilisateur:oudoubah|oudoubah]]</div><div class="leadesc">
Sauvegarder son système ou ses données : que garder ? Quels logiciels utiliser ? Sur quel support ?
</div>

== Que sauvegarder ==

Avant d'entamer les différentes manières et d'apprendre les divers outils permettant d'effectuer une sauvegarde, il est tout d'abord nécessaire de définir ce que l'on souhaite sauver. On peut soit choisir de sauvegarder uniquement ses données importantes (plus simple à mettre en place), soit son système entier.

=== Les types de sauvegardes ===

Il existe deux types de sauvegardes :
* '''Totales''' : avec une sauvegarde totale, on sauve l'intégralité des données que l'on souhaite garder
* '''Partielles''' : Une sauvegarde partielle suit une sauvegarde totale ou une sauvegarde partielle. Ici, nous allons seulement sauver les nouveaux fichiers ou ceux qui ont été modifiés depuis la dernière sauvegarde. Cette sauvegarde est beaucoup plus rapide, mais peut demander beaucoup de manipulations en cas de restauration. Pour restaurer, il faudra partir de la dernière sauvegarde totale, puis passer dans l'ordre chronologique les sauvegardes partielles.

=== Les médias ===

Les médias possibles sont :
* '''CD/DVD''' : ils permettent de stocker les données par tranches de 650 Mo, 700 Mo, 4.7 Go ou 8 Go. Ces médias optiques ont un support chimique, ce qui implique une déterioration avec le temps. Un CD gravé aujourd'hui et stocké dans son boîtier ne sera peut être pas lisible dans 10 ans!
* '''disque dur''' : ce disque peut être interne, usb, un disque réseau (NAS), ou un partage réseau (lufs/nfs/samba/ftp). Il présente d'avoir l'avantage d'une capacité plus importante, voire la possibilité d'externaliser ses sauvegardes (utile si la maison brûle).
* '''Clé usb''' : leurs capacités augmentent et peuvent être supérieures à celle d'un CD. Un de ses avantages est que c'est un média de stockage peu cher qui peut fonctionner sur d'anciens ordinateurs (pas besoin de graveur). C'est un des médias les plus pratiques : rapidité d'écriture par rapport à un CD (pas d'image à faire), peu encombrant, mais il est limité en cycles de lecture/écriture.

Le choix du média sera dicté en partie selon la quantité de données à sauvegarder.

== Les outils de sauvegarde ==

Avant de sauvegarder, il faut commencer par recenser ce que l'on souhaite garder. De plus, l'idée serait que les utilisateurs n'aient aucun fichier en cours de modification au moment de la sauvegarde. On ne pourra pas garantir, le cas contraire, que son fichier sera bien sauvegardé.

=== la commande tar ===

La commande tar permet de sauvegarder un ensemble de fichiers dans une archive qui peut être compressée. Les fichiers ne seront donc pas directement lisibles.

==== Sauvegarde avec tar ====

===== Présentation des options =====
Pour créer une archive, il suffit d'utiliser la commande:
<code>tar c nom_archive [fichier repertoire1] [fichier ou repertoire2]...</code>
Différentes options peuvent s'avérer utiles :
* -v : mode verbeux, liste les fichiers qui sont en cours d'archivage
* -z (resp. j) : permet de compresser l'archive avec le format gzip (resp. bzip2). Le format bzip2 permet d'avoir des fichiers plus petits au coût d'un traitement plus long
* --preserve : permet de sauvegarder les permissions. De plus, lors de la restauration, les fichiers seront "détarrés" dans le même ordre
* --same-owner : permet de sauvegarder l'appartenance du fichier
* -T fichier : ''fichier'' est un fichier où chaque ligne correspond à un fichier ou répertoire à sauvegarder
* -X fichier : ''fichier'' est un fichier où chaque ligne correspond à un fichier ou répertoire à exclure parmis les répertoires à sauvegarder
* --exclude=fichier : ''fichier'' sera exclu de la sauvegarde
* -N date : permet de ne sauvegarder que les fichiers postérieurs à la date définie. La date doit être fournie sous la forme ''AAAA-MM-JJ HH:MM:SS". On obtient se format grâce à la commande <code>date "+%Y:%m:%d %H:%M:%S"</code>
* --totals : affiche le nombre d'octets écrits lors de la sauvegarde
* -g fichier : permet d'effectuer des sauvegardes incrémentales, en se basant sur un fichier de status. Ce fichier est soit utilisé (sauvegarde incrémentale), soit créé (sauvegarde full). Attention, cette option n'est valable que pour les versions GNU!

'''ATTENTION:''' Il faut '''toujours''' exclure les répertoires /dev et /proc! Sous linux, tout est fichier. Le matériel est identifié dans /dev par des fichiers spéciaux. Vouloir sauvegarder /dev via tar est vain. Dans /proc, il y a un fichier spécial, /proc/kcore, qui correspond à la RAM de l'ordinateur. Je n'ai pas fait le test, mais le "restaurer" est à vos risques et périls (kernel panic).

===== Exemple de sauvegarde de données =====
Voici un petit script permettant de mettre en place une sauvegarde totale et/ou différentielle de données :
<code>#!/bin/bash

# Options
# -d : sauvegarde differentielle
# -h : affiche les options possibles

# Si on demande l'aide, on l'affiche, et on sort
if [ $1 = "-h" ] ; then
echo "Usage : $0 : sauvegarde totale"
echo "Usage : $0 -d : sauvegarde différentielle"
echo "Usage : $0 -h : cette aide"
fi

# Initialisation des variables
DATE=$(date "+%Y-%m-%d %H:%M:%S")
TYPE="FULL"
REP=/backup
FICHIER_EXCLUDE=/etc/save.exclude
FICHIER_INCLUDE=/etc/save.include
FICHIER_STATUS=/etc/save.state
COMPRESSION=9

# Si le script est appelé avec l'option "-d", alors on fait une sauvegarde différentielle
if [ $1 = "-d" ] ; then
TYPE="INCR"
tar cP --atime-preserve -g $FICHIER_STATUS --preserve --same-owner --totals -T $FICHIER_INCLUDE -X $FICHIER_EXCLUDE | gzip -$COMPRESSION > ${REP}/save-INCR-${date}.tgz
# Sinon, on fait une sauvegarde totale
else
rm -f $FICHIER_STATUS
tar cP -g $FICHIER_STATUS --atime-preserve --preserve --same-owner --totals -T $FICHIER_INCLUDE -X $FICHIER_EXCLUDE | gzip -$COMPRESSION > ${REP}/save-FULL-${date}.tgz
fi
</code>

===== Exemple de sauvegarde système =====
Le script suivant permet de faire une sauvegarde système, plus complet, a pour but de faire une sauvegarde système sur un serveur NFS. Il utilise un fichier de configuration. Le prérequis est de renseigner le fichier /etc/save.conf et d'utiliser udev.

Le fichier save.conf doit être de la forme :
<code>EXCLUDE="/repertoire1 /repertoire2"
# Le reste est optionnel

#COMPRESSION=1
#SERVEUR="10.0.0.2:/path
#MONTAGE="/mnt/nfs"
#INCLUDE="/toto"
</code>

Et le script :

<code>#!/bin/sh

# Options
# -d : sauvegarde differentielle
# -h : affiche les options possibles

# Si on demande l'aide, on l'affiche, et on sort
if [ $1 = "-h" ] ; then
echo "Usage : $0 : sauvegarde totale"
echo "Usage : $0 -d : sauvegarde différentielle"
echo "Usage : $0 -h : cette aide"
fi

PID=$$

# On donne une priorité faible au processus pour ne pas dégrader les performances des autres applications
renice +19 $PID
. /etc/save.conf

MONTAGE=${MONTAGE:="/tmp/save.$PID"}
SERVEUR=${SERVEUR:="10.0.0.1:/backup"}

COMPRESSION=${COMPRESSION:=9}
NOM=$(hostname)
CONFIGURATION=${MONTAGE}/${NOM}.conf
DATE="$(date "+%Y-%m-%d %H:%M:%S")"
FICHIER_EXCLUDE=/tmp/save.$PID.exlude
FICHIER_INCLUDE=/tmp/save.$PID.include
FICHIER_STATUS=/etc/save.state
LVMVERSION=1

affiche_action() {
echo -e "$1 ........... \c"
}

affiche_resultat() {
if [ $1 = 0 ] ; then
echo -e '[\c'
tput setaf 2
echo -e "OK\c"
tput setaf 7
echo -e ']'
return 0
else
echo -e '[\c'
tput setaf 1
echo -e "KO\c"
tput setaf 7
echo -e ']'
return 1
fi
}

quit() {
affiche_action "Nettoyage en cours"
rm -f $FICHIER_EXCLUDE
rm -f $FICHIER_INCLUDE
umount $MONTAGE
rmdir $MONTAGE
affiche_resultat $?
exit $1
}

# Montage du partage nfs
affiche_action "Montage du partage NFS vers $SERVER"
mkdir $MONTAGE
mount -t nfs $SERVER $MONTAGE
affiche_resultat $? || quit 1

# Sauvegarde des donnees de partitionnement
affiche_action "Sauvegarde du partitionnement"
echo "[disks]" > $CONFIGURATION
/sbin/fdisk -l | tr '*' ' ' | awk '/^\/dev/ {print $1,$2,$3,$5}' >> $CONFIGURATION
affiche_resultat $? || quit 1

echo "[bootdisk]" >> $CONFIGURATION
fdisk -l | awk '/^\/dev\/.*\*/ {print $1}' >> $CONFIGURATION

# Sauvegarde du lvm : PV, VG, LV et version du LVM
affiche_action "Sauvegarde des groupes de volumes du LVM"

echo "[LVM-VG]" >> $CONFIGURATION
liste=$(pvscan | grep -o 'PV.*/dev/.*VG.*' | tr -d '"' | sed 's,^.*PV $/dev/[^ ]*$.* VG $[^ ]*$.*,\1 \2,')
liste2=$(echo $liste | grep -o '/dev/[^ ]*')
for element in $liste2 ; do
LVM=1
$REP/bin/lvm.static pvscan 2>/dev/null | grep $element 2>/dev/null | grep -q lvm2
[ $? = 0 ] && LVM=2
echo $(echo $liste | grep -o "$element [^ ]*") $LVM >> $CONFIGURATION
done
affiche_resultat $? || quit 1

affiche_action "Sauvegarde des volumes logiques du LVM"
echo "[LVM-LV]" >> $CONFIGURATION
for volume in $(lvscan | grep -o '"/dev[^"]*"' | tr -d '"') ; do
extend=$(lvdisplay $volume | awk '/Allocated LE/ {print $3}')
echo "$volume $extend" >> $CONFIGURATION
done
affiche_resultat $? || quit 1

# Sauvegarde des labels
affiche_action "Sauvegarde des labels des partitions"
echo "[labels]" >> $CONFIGURATION
for partition in $(/sbin/fdisk -l | grep -o '^/dev/[^ ]*') ; do
label=$(/sbin/e2label $partition 2>/dev/null)
echo "$partition=$label" >> $CONFIGURATION
done
affiche_resultat $? || quit 1

# Sauvegarde des points de montage
affiche_action "Sauvegarde des points de montage"
echo "[montage]" >> $CONFIGURATION
mount | awk '/ext[23]/ {print $1,$3}' >> $CONFIGURATION
affiche_resultat $? || quit 1

# Sauvegarde de la hierarchie exclue
affiche_action "Creation de la liste des repertoires exclus a recontruire"
echo "[hierarchie]" >> $CONFIGURATION
rm -f $FICHIER_EXCLUDE

# On exclu les partages NFS et les montages loop
mount | awk '/type nfs/ { print $3}' >> $FICHIER_EXCLUDE
mount | awk '/loop=/ { print $3}' >> $FICHIER_EXCLUDE

# Rajout des répertoires à exclure par défaut
[ -d /media ] && EXCLUDE="/media $EXCLUDE"
EXCLUDE="/mnt /sys /dev /tmp /proc /var/run /var/log /var/lock /var/spool /var/tmp /var/cache $EXCLUDE"
for rep in $EXCLUDE ; do
case $rep in
/mnt)
echo "/mnt" >> $CONFIGURATION
for rep in $(ls -F /mnt | tr -d '/') ; do
[ -d /mnt/$rep ] && echo "/mnt/$rep" >> $CONFIGURATION
done
;;
/media)
echo "/media" >> $CONFIGURATION
[ -d /media ] && for rep in $(ls -F /media | tr -d '/') ; do
[ -d /media/$rep ] && echo "/media/$rep" >> $CONFIGURATION
done
;;
/dev) echo "/dev" >> $CONFIGURATION ;;
/tmp) echo "/tmp" >> $CONFIGURATION ;;
/proc) echo "/proc" >> $CONFIGURATION ;;
/sys) echo "/sys" >> $CONFIGURATION ;;
/var*)
echo "/var" >> $CONFIGURATION
ls -R $rep | grep ':$' | tr -d ':' >> $CONFIGURATION ;;
/usr/src) echo $rep >> $CONFIGURATION ;;
/home)
echo "/home" >> $CONFIGURATION
for rep in $(ls -F /home | tr -d '/') ; do
[ -d /home/$rep ] && echo "/home/$rep" >> $CONFIGURATION
done
;;
/usr*) ls -R $rep | grep ':$' | tr -d ':' >> $CONFIGURATION ;;
/bin*) ls -R $rep | grep ':$' | tr -d ':' >> $CONFIGURATION ;;
/sbin*) ls -R $rep | grep ':$' | tr -d ':' >> $CONFIGURATION ;;
/lib*) ls -R $rep | grep ':$' | tr -d ':' >> $CONFIGURATION ;;
/boot*) ls -R $rep | grep ':$' | tr -d ':' >> $CONFIGURATION ;;
*) [ -d $rep ] && echo $rep >> $CONFIGURATION ;;
esac
echo $rep >> $FICHIER_EXCLUDE
done
affiche_resultat $? || quit 1
echo '*/lost+found' >> $FICHIER_EXCLUDE

# Sauvegarde de grub
affiche_action "Sauvegarde de grub"
echo "[GRUB]" >> $CONFIGURATION
cat /boot/grub/menu.lst | grep '^[^#].*root (hd' | head -n 1 | grep -o 'root.*' >> $CONFIGURATION
affiche_resultat $? || quit 1

# Si l'option -d est passee en parametre, on fait une sauvegarde differentielle
INCLUDE=${INCLUDE:=/}
rm -f $FICHIER_INCLUDE
for rep in $INCLUDE ; do
echo $rep >> $FICHIER_INCLUDE
done

if [ $# -ge 1 ] && [ $1 = "-d" ] ; then
affiche_action "Sauvegarde du systeme sur $SERVEUR/${NOM}-INCR-${DATE}"
tar cP -g $FICHIER_STATUS --atime-preserve --preserve --same-owner --totals -T $FICHIER_INCLUDE -X $FICHIER_EXCLUDE | gzip -$COMPRESSION > $MONTAGE/${NOM}-INCR-${DATE}.tar.gz
affiche_resultat $? || quit 1
else
affiche_action "Sauvegarde du systeme sur $SERVEUR/${NOM}-FULL-${DATE}"
rm -f $FICHIER_STATUS
tar cP -g $FICHIER_STATUS --atime-preserve --preserve --same-owner --totals -T $FIC_INCLUDE -X $FIC_EXCLUDE | gzip -$COMPRESSION > $MONTAGE/${NOM}-FULL-${DATE}.tar.gz
affiche_resultat $? || quit 1
fi

# Sauvegarde de MAKEDEV qui se trouve dans /dev
affiche_action "Sauvegarde de MAKEDEV"
[ -f /dev/MAKEDEV ] && cp /dev/MAKEDEV $MONTAGE/
affiche_resultat 0

quit 0
</code>

==== Restauration avec tar ====
===== Présentation de la commande =====
Pour restaurer un tar, il suffit d'utiliser la commande:
<code>tar x nom_archive</code>
Là encore, il existe diverses options:
* -v : mode verbeux : afficher les fichiers en cours d'extraction
* -z (resp. j) : permet de décompresser l'archive compressée avec le format gzip (resp. bzip2)
* --atime-preserve : permet de ne pas modifier la date d'accès du fichier restauré
* -C repertoire : permet de désarchiver dans le répertoire mentionné
* --preserve : permet de restaurer les permissions. De plus, lors de la restauration, les fichiers seront "détarrés" dans le même ordre
* --same-owner : permet de restaurer l'appartenance du fichier
* --numeric-owner : utilise les numéros pour les appartenances group/utilisateur. Petit exemple vécu : restauration à partir d'un live-cd. Sur le live-cd, l'utilisateur gdm avait comme uid 32. Sur la distrib, gdm correspondait à 42, et 32 à rpc. Lors du reboot, gdm refusait de se lancer car le répertoire /var/gdm ne lui appartenait pas. Il est donc préférable de restaurer les uid/gid au lieu d'utiliser les noms.

Voici un exemple de commande pour restaurer une archive :
<code>tar zxvf --atime-preserve --preserve --same-owner --numeric-owner /backup/archive.tgz</code>

=== la commande rsync ===

rsync permet de synchroniser des répertoires/fichiers destinations par rapport à des répertoires/fichiers sources. La synchronisation se fait soit en local, soit sur une machine distante. Il est possible de demander à rsync d'utiliser ssh afin de crypter les transmissions.

==== La commande rsync ====
Pour l'utiliser il suffit d'utiliser:
<code>rsync [options] source(s) destination</code>

Les options :
* -v : mode verbeux
* -a : mode archive (correspond à -rlptgoD)
* -q : supprime les messages d'information (mais pas d'erreur)
* -r : récursif (pour les répertoires)
* -l : copie les liens symboliques en liens symboliques
* -p : préserve les permissions
* -o : garde le propriétaire (option disponible uniquement pour root)
* -g : garde le groupe
* --device : garde les fichiers de périphériques (uniquement pour root, et utile pour une sauvegarde système)
* -H : garde les hardlink. Attention, cette option est coûteuse en ressources!
* --specials : garde les fichiers spéciaux
* -t : garde l'horodatage
* -e remoteshell : spécifie le shell distant à utiliser (ssh par exemple)
* --delete : supprime sur la destination les fichiers qui n'existent pas sur la source
* --numeric-ids : ne fait pas la conversion uid/gid en user/group.
* -z : compresse pendant la transmission
* --exclude=PATTERN : définit un motif à exclure (par exemple */lost+found)
* --exclude-from fichier : lit les motifs dans le fichier
* --bwlimit=VALEUR : limit la bande passante à VALEUR Ko

Bien entendu, ''man rsync'' vous donnera toutes les options disponibles

==== Exemple de sauvegarde incrémentale avec rsync ====
=====Côté machine à sauvegarder=====
Dans la crontab de la machine à sauvegarder, vers 22h00, on lance le script suivant :

<code>#!/bin/sh
# répertoires à sauvegarder
DIRS="/home/jice /home/fred /etc /root /boot /var/lib/mysql /var/spool/mail"
# fichier contenant les fichiers à exclure de la sauvegarde
# voir EXCLUDE PATTERNS dans rsync(1)
EXCLUDEFILE="/home/jice/bin/excludes"
OPTIONS="-avz -e ssh"
OPTIONS="$OPTIONS --exclude-from $EXCLUDEFILE --bwlimit=50"
OPTIONS="$OPTIONS $*"
rsync $OPTIONS $DIRS jice@mon.serveur.net:backup/current
# copie du fichier "flag" pour dire au serveur que le backup a été fait
scp /home/jice/bin/backup_done jice@mon.serveur.net:~
</code>

Ce script fait un backup vers le répertoire <code>backup/current</code> du serveur (nommé <code>mon.serveur.net</code>) ; à la fin, il copie un fichier (vide) <code>backup_done</code> à la racine de mon compte sur le serveur, afin de dire au serveur que le backup a bien été fait.

PS : voici un exemple de fichier <code>excludes</code>
<code># excludes pour le backup sur zowie
jice/tmp*
jice/multimedia/video/*
jice/compil/*
fred/compil/*
*/.local/share/Trash/*
*/.kde/share/config/session/konqueror*
*/temp/*
*/tmp/*
*/cache/*
*/Cache/*
*/.thumbnails/*
*/.xvpics/*
*/.kde/tmp-*
*/.mcop/*
*/.ncftp/trace*
*/.nx/*
*.o
*.so
*.mp3
*.avi
*.rar
*.ace</code>

Notez que ce fichier peut contenir ou bien le nom complet d'un fichier, ou bien un "morceau" de nom de fichier avec des étoiles comme caractère joker. Pour plus d'information, tapez dans une console : <code>man rsync</code> et cherchez EXCLUDE PATTERNS.

=====Côté serveur de sauvegarde=====
Côté serveur, j'ai ce script qui fait une rotation des backups (en cron tous les midi) :
<code>#!/bin/sh

if [ -f ~/backup_done ]; then
KEEP=8
DIR=~/backup

# arborescence :
# ~/backup/2006-04-03
# ~/backup/2006-04-04
# ~/backup/2006-04-05
# ~/backup/current

# calcule date du jour
DATE=`date --date=yesterday "+%Y-%m-%d"`

# crée le répertoire pour les backups du jour
mkdir $DIR/$DATE

# supprime les vieux directories
ls -d $DIR/2* | sort | head --lines=-$KEEP | xargs rm -rf

# copie (hard links) les données
cp -al $DIR/current/* $DIR/$DATE

# supprime le fichier flag
rm ~/backup_done

# on fait le rsync ensuite
fi</code>

Si le backup a été fait (présence du fichier <code>backup_done</code>, il effectue une rotation des backups.<br>
En utilisant le <code>cp</code> avec les hard links, on ne copie pas réellement les fichiers, mais on crée un deuxième fichier qui pointe vers le contenu du premier (donc on peut avoir autant de hardlink qu'on veut sur le même fichier, la place disque utilisée n'est toujours que de la taille d'un seul fichier).<br>
Rsync lorsqu'il enverra, lors de la prochaine sauvegarde, un fichier modifié, utilisera un nom différent temporaire, avant de le renommer vers son nom normal. Ainsi, il ne va pas écraser le contenu du fichier hardlinké, car à la fin de la copie du fichier, Rsync supprime le fichier, puis renomme le fichier temporaire vers son nom normal.<br>

A ce moment là, on a sur le serveur 2 versions du même fichier : la version courante qui vient d'être sauvegardée dans <code>~/backup/current/repertoire/fichier</code> et la version précédente qui a été copiée par le script ci-dessus dans <code>~/backup/<la date du dernier backup>/repertoire/fichier</code>.

'''Plus d'explications''' :
* on a deux fichiers <code>current/toto</code> et <code>hier/toto</code> qui pointent vers le même contenu. Ces 2 fichiers (ou plus) on été obtenus suite au script de rotation, par la copie avec hardlinks. On a donc :
<code>current/toto --> contenu <-- hier/toto
\
'--------- avant-hier/toto
</code>
* si le fichier a été modifié, rsync va envoyer le nouveau fichier sous un nom temporaire <code>toto.tmp</code> (par exemple). On a donc :
<code>current/toto --> contenu <-- hier/toto
\
'--------- avant-hier/toto

current/toto.tmp --> nouveau contenu</code>
* ensuite, rsync supprime <code>current/toto</code> On obtient, par la magie des hardlinks :
<code> contenu <-- hier/toto
\
'--------- avant-hier/toto

current/toto.tmp --> nouveau contenu</code>
* enfin, <code>toto.tmp</code> est renommé en <code>toto</code> :
<code> contenu <-- hier/toto
\
'--------- avant-hier/toto

current/toto --> nouveau contenu</code>
* on obtient bien 2 versions différentes, celle d'hier et d'avant-hier (le fichier n'avait alors pas changé), et celle d'aujourd'hui.

Ainsi j'ai toujours les backup des 8 (réglable par la variable <code>KEEP</code> ci-dessus) derniers jours disponible. Je peux retrouver les dernières versions d'un fichier en cas de problème.

== Spécificités de la sauvegarde système ==

Si l'on veut effectuer une sauvegarde système, il est nécessaire de prendre en compte les points suivants:
* faire une sauvegarde en gardant les uid/gid
* ne pas sauvegarder les répertoires inutiles (/tmp, /dev, /proc, /sys, le contenu des points de montages hors disques locaux (nfs, cdrom,...)) On peut également ne pas sauvegarder le contenu de /var/tmp, /var/cache, /var/lock, /var/run, /var/spool. Attention, il est important de garder la hiérarchie de ces répertoires!
* garder la table des partitions, avec le label des partitions si il y en a un (commande 'e2label')
* sauvegarder les informations de lvm (l'idéal étant de pouvoir utiliser lvmcfgbackup et lvmcfgrestore. Sinon, ce n'est pas la taille de chaque volume qu'il faut sauvegarder, mais le nombre de Logical Extends. En spécifiant une taille, celle-ci sera arrondie pour avoir un nombre de LE fixe. Ce nombre ne sera pas forcément identique que celui utilisé lors de la création, et empêchera donc de restaurer le système de manière identique).
* arrêter autant que faire se peut les services qui tournent.

== Les conseils ==
* Vérifier la sauvegarde après l'avoir faite : test md5 par exemple. Ce n'est pas lorsqu'on en aura besoin qu'il faut se rendre compte que le graveur ne gravait plus!
* Tester la restauration
* Vérifier régulièrement (tous les ans) que l'on arrive bien à relire sa sauvegarde (voire refaire une sauvegarde sur un média neuf tous les 2 ans par exemple)

== Les outils graphiques / semi-graphiques ==
* mondorescue
* kbackup
* armanda backup
* bacula

NFS

2006-09-25T11:48:29Z

Oudoubah (phorum) : Modification des options pour plus de sécurité

[[Category:Partager ses fichiers]]
= Installation d'un serveur NFS =

<div class="leatitre">Installation d'un serveur NFS</div><div class="leapar">Guillaume Pierronnet</div><div class="leadesc">NFS, ou le partage des ressources selon Unix.</div>
----

== Introduction ==

NFS signifie Network File System. C'est, comme son nom l'indique, un système de fichiers en réseau qui permet de partager ses données principalement entre systèmes UNIX. À la différence de SAMBA, NFS gère les permissions sur les fichiers et on peut donc l'utiliser de manière totalement transparente dans son arborescence Linux.

'''ATTENTION !'''

Comme toute application réseau, NFS ouvre des trous dans la sécurité du système. Je vous invite donc à consulter les liens à la fin de cet article pour des précisions sur la sécurité ([http://www.linuxselfhelp.com/HOWTO/NFS-HOWTO/security.html celui-ci], en anglais, indique quelques règles à suivre, en parallèle des démarches indiquées [http://people.via.ecp.fr/~alexis/formation-linux/nfs.html dans ce guide nfs pour Debian] ou ci-dessous). <br />

== Les softs ==

=== Les modules du noyau ===

Dans la configuration du noyau, on va dans la section "'''File systems ---> Network File Systems'''"

* <u>Pour le client:</u>
<br /><tt>NFS file system support et Provide NFSv3 client support</tt>
CONFIG_NFS_FS=y ou m
CONFIG_NFS_V3=y
* <u>Pour le serveur:</u>
<br /><tt>NFS server support et Provide NFSv3 server support</tt>
CONFIG_NFSD=y ou m
CONFIG_NFSD_V3=y

À partir du noyau 2.2.18, les modules supportent entièrement la version 3 du protocole ainsi que différentes corrections de bug. <br />Il serait temps d'upgrader si tu ne l'as pas déjà fait! (profites-en pour passer au 2.4, ce sera réglé :)

=== Les packages ===

Les packages (sur ma Debian) sont :

* <tt>nfs-common</tt>
* <tt>nfs-user-server</tt> pour le serveur.

Tu peux toujours récupérer les sources qui se trouvent sur http://nfs.sourceforge.net/.

On va aussi installer le ''wrapper'' TCP pour un minimum de sécurité. Toujours sur ma Debian, le paquet s'appelle <tt>tcpd</tt>. Les sources se trouvent [ftp://ftp.porcupine.org/pub/security/index.html ici].

== Le serveur ==

Les 3 fichiers de configuration principaux sont <tt>/etc/exports</tt>, <tt>/etc/hosts.deny</tt> et <tt>/etc/hosts.allow</tt>.

=== /etc/exports ===

Le fichier <tt>/etc/exports</tt> est très simple :

<code>répertoire machine1(option11,option12) machine2(option21,option22)</code>

par exemple :

<code>/home 192.168.0.10(rw) 192.168.0.25(ro)</code>

signifie que l'on autorisera la machine ''192.168.0.10'' à accéder à notre répertoire <tt>/home</tt> en lecture et écriture (<tt>rw</tt>) ainsi que la machine ''192.168.0.25'' mais uniquement en lecture (<tt>ro</tt>).

* <tt><u>répertoire</u></tt> :<br /> le répertoire du serveur à partager.<br />
* <tt><u>machine</u></tt> :<br /> Une liste de machines séparée par des virgules et autorisées à monter ce répertoire (utilisez des adresses IP plutôt que des noms à cause des problèmes de "''dns spoofing''").<br />
* <tt><u>options</u></tt> :
** '''ro''' : <br />C'est la valeur par défaut, lecture seule.
** '''rw''' : <br />La machine à un accès en lecture/écriture au répertoire.
** '''no_root_squash''' : <br />Les accès par l'utilisateur root sur le serveur se font sous l'identité root, au contraire de nobody (par défaut)<br /> À UTILISER AVEC PRÉCAUTION
** '''sync''' : <u>uniquement NFS v2</u><br />Ne diffère pas les écritures physiques au volume, augmente la fiabilité en cas de mauvais démontage. La version 3 dispose d'un mécanisme de ''commit-rollback'' donc cette option n'est pas utile.

Un point important, pour un bon fonctionnement : tu dois avoir les mêmes numéros de groupes et d'utilisateurs sur les deux machines. <br />Des systèmes permettent de gérer çà, NIS (assez ancien) ou LDAP (plus récent). Avec peu d'utilisateurs, tu peux tout simplement éditer <tt>/etc/group</tt> et <tt>/etc/passwd</tt> pour synchroniser ces numéros.

Il n'est pas recommandé d'exporter un système DOS ou VFAT à cause de leurs absences de gestion multi-utilisateurs ; ils ne sont pas fait pour être partagés avec NFS. <br />

=== /etc/hosts.deny ===

On va interdire toutes les machines qui ne sont pas autorisées explicitement dans le <tt>/etc/hosts.allow</tt>. <br />Un bon vieux "<tt>ALL: ALL</tt>" interdira l'accès à tous les services à partir de toutes les machines. On peut cependant être plus précis en écrivant :

portmap:ALL
lockd:ALL
mountd:ALL
rquotad:ALL
statd:ALL

=== /etc/hosts.allow ===

Dans le même esprit que pour le <tt>/etc/hosts.deny</tt>, ce fichier a l'architecture suivante :

[service]: [IP de la machine client]

Donc pour autoriser 192.168.1.34 à se connecter à un partage NFS, on écrira :

portmap:192.168.1.34
lockd:192.168.1.34
mountd:192.168.1.34
rquotad:192.168.1.34
statd:192.168.1.34

On va pouvoir lancer les services ; sur ma Debian, je lance :

<code># /etc/init.d/nfs-server start</code>

Pour Slackware, ce serait

<code># /etc/rc.d/rc.nfsd start</code>

La commande <tt>rpcinfo -p</tt> permet de vérifier que les services fonctionnent. Elle devrait produire un résultat dans cet esprit :

<code> cacahuete:~# rpcinfo -p
program vers proto port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100024 1 udp 737 status
100024 1 tcp 739 status
100011 1 udp 851 rquotad
100011 2 udp 851 rquotad
100003 2 udp 2049 nfs
100003 2 tcp 2049 nfs
100005 1 udp 872 mountd
100005 2 udp 872 mountd
100005 1 tcp 875 mountd
100005 2 tcp 875 mountd
cacahuete:~#
</code>

Pour recharger les services NFS (par exemple après une modification du fichier de config) :

<code> cacahuete:~# killall -HUP nfsd
</code>

le serveur est prêt ! <br />

== Le client ==

Pour utiliser NFS v3, il faut au minimum la version 2.10m du programme <tt>mount</tt>. Pour voir sa version, taper :

<code> cacahuete:~# mount -V
mount: mount-2.11h
cacahuete:~#
</code>

On va maintenant pouvoir monter notre partage!

<code> cacahuete:~# mount mon.serveur.nfs:/home /mnt/home
cacahuete:~#
</code>

En principe tout devrait bien se dérouler.

Pour monter ce partage définitivement à chaque démarrage de la machine, éditons notre <tt>/etc/fstab</tt><nowiki>: </nowiki>

<code># device mountpoint fs-type options dump fsckorder
...
master.foo.com:/home /mnt nfs rw 0 0
...</code>

'mount' possède quelques options spécifiques au nfs, et qui peuvent s'avérer utiles :
* '''tcp''' : permet de préciser qu'on ne travaille qu'en TCP
* '''rsize=XXX''' et '''wsize=XXX''' : permet de modifier la taille par défaut (1024) du buffer. Une taille de 8192 par exemple permet d'accélerer le transfert.
* '''soft''' et '''timeo=XXX''': sur un problème de transmission, le client peut perdre la connection. Le noyau continuera d'essayer ad vitam eternam. Les processus risquent de se retrouver dans un état D (ininterruptible sleep) que seul un reboot permet de résoudre. L'option '''soft''' dit au noyau d'abandonner au bout d'un certain temps, et l'option '''timeo''' permet de définir le timeout.

== Sécuriser le NFS ==

Les données transitent en clair sur le réseau, néanmoins il est possible de crypter les échange grâce au ''port forwarding'' de ssh.
La mise en place de la cryptographie se fait en deux parties : une partie sur le serveur, une partie sur le client.

=== Configuration du serveur ===

Nous avons besoin de connaître et/ou de définir le port tcp utilisé par mountd. Un petit <code>rpcinfo -p</code> permettra de savoir quel port est utilisé par mountd. On peut définir celui-ci via l'option ''-d'' lors du lancement du service. Dans notre exemple, il s'agit du port 875.
Il faut également rajouter l'option ''insecure'' pour les machines/réseaux concernés dans <tt>/etc/exports</tt>. Cette option permet seulement de pouvoir atteindre le serveur via un port > 1024 (ce que nous allons faire).

=== Configuration du client ===

Nous avons besoin de deux ports libres, par exemple 38000 et 38001 pour créer un tunnel sécurisé entre le client et le serveur :

<code>ssh -f -L38000:serveur:2049 -L38001:serveur:875 -l root serveur sleep 60</code>

L'utilisation de l'utilisateur root est nécessaire car on va travailler avec un port < 1024. La mise en place d'une authentification par clé peut être dans ce cas très intéressante.
Avec cette commande nous venons de créer un tunnel chiffré entre le port 38000 (resp. 38001) de notre client et le 2049 (resp. 875) du serveur.
La commande 'sleep 60' fait tomber le tunnel sécurisé au bout de 60 secondes si celui-ci n'est pas utilisé.
Il ne reste plus qu'à monter le partage! Le fait d'utiliser un tunnel ssh implique que nous allons utiliser exclusivement une connection tcp.
Pour monter le partage :

<code>mount -t nfs -o tcp,rw,port=38000,mountport=38001,soft,timeo=60 localhost:/repertoire /mnt/nfs</code>

Cette commande permet de monter serveur:/repertoire dans /mnt/nfs. Il faut bien utiliser localhost:/repertoire pour monter le partage. C'est justement cela qui va permettre d'utiliser la connexion sécurisée.

On peut également rajouter cette ligne dans le /etc/fstab :

<code># device mountpoint fs-type options dump fsckorder
...
localhost:/home /mnt nfs tcp,rw,port=38000,mountport=38001,soft,timeo=60 0 0
...</code>

== Liens ==

* Cet article est principalement basé sur le [http://www.linuxdoc.org/HOWTO/NFS-HOWTO/index.html NFS howto]
* Les sources des logiciels NFS sur http://nfs.sourceforge.net/
* [http://www.linuxdoc.org/HOWTO/LDAP-HOWTO.html LDAP howto]
* [http://www.linuxdoc.org/HOWTO/NIS-HOWTO.html NIS howto]
* Va te faire peur sur [http://www.securityfocus.com/ security focus]

<div class="merci">Cette page est issue de la documentation 'pré-wiki' de Léa a été convertie avec HTML::WikiConverter. Elle fut créée par Guillaume Pierronnet le 22/10/2001.</div>

= Copyright =
Copyright © 22/10/2001, Guillaume Pierronnet - 2006 Oudoubah
{{CC-BY-NC-SA}}

=Autres ressources=
* Cet article est principalement basé sur le [http://www.linuxdoc.org/HOWTO/NFS-HOWTO/index.html NFS howto]
* Les sources des logiciels NFS sur http://nfs.sourceforge.net/
* [http://en.tldp.org/HOWTO/LDAP-HOWTO/ LDAP howto]
* [http://www.linuxdoc.org/HOWTO/NIS-HOWTO.html NIS howto]
* Va te faire peur sur [http://www.securityfocus.com/ security focus]

NFS

2006-09-21T13:15:15Z

Oudoubah (phorum) : /* Le client */

[[Category:Partager ses fichiers]]
= Installation d'un serveur NFS =

<div class="leatitre">Installation d'un serveur NFS</div><div class="leapar">Guillaume Pierronnet</div><div class="leadesc">NFS, ou le partage des ressources selon Unix.</div>
----

== Introduction ==

NFS signifie Network File System. C'est, comme son nom l'indique, un système de fichiers en réseau qui permet de partager ses données principalement entre systèmes UNIX. À la différence de SAMBA, NFS gère les permissions sur les fichiers et on peut donc l'utiliser de manière totalement transparente dans son arborescence Linux.

'''ATTENTION !'''

Comme toute application réseau, NFS ouvre des trous dans la sécurité du système. Je vous invite donc à consulter les liens à la fin de cet article pour des précisions sur la sécurité ([http://www.linuxselfhelp.com/HOWTO/NFS-HOWTO/security.html celui-ci], en anglais, indique quelques règles à suivre, en parallèle des démarches indiquées [http://people.via.ecp.fr/~alexis/formation-linux/nfs.html dans ce guide nfs pour Debian] ou ci-dessous). <br />

== Les softs ==

=== Les modules du noyau ===

Dans la configuration du noyau, on va dans la section "'''File systems ---> Network File Systems'''"

* <u>Pour le client:</u>
<br /><tt>NFS file system support et Provide NFSv3 client support</tt>
CONFIG_NFS_FS=y ou m
CONFIG_NFS_V3=y
* <u>Pour le serveur:</u>
<br /><tt>NFS server support et Provide NFSv3 server support</tt>
CONFIG_NFSD=y ou m
CONFIG_NFSD_V3=y

À partir du noyau 2.2.18, les modules supportent entièrement la version 3 du protocole ainsi que différentes corrections de bug. <br />Il serait temps d'upgrader si tu ne l'as pas déjà fait! (profites-en pour passer au 2.4, ce sera réglé :)

=== Les packages ===

Les packages (sur ma Debian) sont :

* <tt>nfs-common</tt>
* <tt>nfs-user-server</tt> pour le serveur.

Tu peux toujours récupérer les sources qui se trouvent sur http://nfs.sourceforge.net/.

On va aussi installer le ''wrapper'' TCP pour un minimum de sécurité. Toujours sur ma Debian, le paquet s'appelle <tt>tcpd</tt>. Les sources se trouvent [ftp://ftp.porcupine.org/pub/security/index.html ici].

== Le serveur ==

Les 3 fichiers de configuration principaux sont <tt>/etc/exports</tt>, <tt>/etc/hosts.deny</tt> et <tt>/etc/hosts.allow</tt>.

=== /etc/exports ===

Le fichier <tt>/etc/exports</tt> est très simple :

<code>répertoire machine1(option11,option12) machine2(option21,option22)</code>

par exemple :

<code>/home 192.168.0.10(rw) 192.168.0.25(ro)</code>

signifie que l'on autorisera la machine ''192.168.0.10'' à accéder à notre répertoire <tt>/home</tt> en lecture et écriture (<tt>rw</tt>) ainsi que la machine ''192.168.0.25'' mais uniquement en lecture (<tt>ro</tt>).

* <tt><u>répertoire</u></tt> :<br /> le répertoire du serveur à partager.<br />
* <tt><u>machine</u></tt> :<br /> Une liste de machines séparée par des virgules et autorisées à monter ce répertoire (utilisez des adresses IP plutôt que des noms à cause des problèmes de "''dns spoofing''").<br />
* <tt><u>options</u></tt> :
** '''ro''' : <br />C'est la valeur par défaut, lecture seule.
** '''rw''' : <br />La machine à un accès en lecture/écriture au répertoire.
** '''no_root_squash''' : <br />Les accès par l'utilisateur root sur le serveur se font sous l'identité root, au contraire de nobody (par défaut)<br /> À UTILISER AVEC PRÉCAUTION
** '''sync''' : <u>uniquement NFS v2</u><br />Ne diffère pas les écritures physiques au volume, augmente la fiabilité en cas de mauvais démontage. La version 3 dispose d'un mécanisme de ''commit-rollback'' donc cette option n'est pas utile.

Un point important, pour un bon fonctionnement : tu dois avoir les mêmes numéros de groupes et d'utilisateurs sur les deux machines. <br />Des systèmes permettent de gérer çà, NIS (assez ancien) ou LDAP (plus récent). Avec peu d'utilisateurs, tu peux tout simplement éditer <tt>/etc/group</tt> et <tt>/etc/passwd</tt> pour synchroniser ces numéros.

Il n'est pas recommandé d'exporter un système DOS ou VFAT à cause de leurs absences de gestion multi-utilisateurs ; ils ne sont pas fait pour être partagés avec NFS. <br />

=== /etc/hosts.deny ===

On va interdire toutes les machines qui ne sont pas autorisées explicitement dans le <tt>/etc/hosts.allow</tt>. <br />Un bon vieux "<tt>ALL: ALL</tt>" interdira l'accès à tous les services à partir de toutes les machines. On peut cependant être plus précis en écrivant :

portmap:ALL
lockd:ALL
mountd:ALL
rquotad:ALL
statd:ALL

=== /etc/hosts.allow ===

Dans le même esprit que pour le <tt>/etc/hosts.deny</tt>, ce fichier a l'architecture suivante :

[service]: [IP de la machine client]

Donc pour autoriser 192.168.1.34 à se connecter à un partage NFS, on écrira :

portmap:192.168.1.34
lockd:192.168.1.34
mountd:192.168.1.34
rquotad:192.168.1.34
statd:192.168.1.34

On va pouvoir lancer les services ; sur ma Debian, je lance :

<code># /etc/init.d/nfs-server start</code>

Pour Slackware, ce serait

<code># /etc/rc.d/rc.nfsd start</code>

La commande <tt>rpcinfo -p</tt> permet de vérifier que les services fonctionnent. Elle devrait produire un résultat dans cet esprit :

<code> cacahuete:~# rpcinfo -p
program vers proto port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100024 1 udp 737 status
100024 1 tcp 739 status
100011 1 udp 851 rquotad
100011 2 udp 851 rquotad
100003 2 udp 2049 nfs
100003 2 tcp 2049 nfs
100005 1 udp 872 mountd
100005 2 udp 872 mountd
100005 1 tcp 875 mountd
100005 2 tcp 875 mountd
cacahuete:~#
</code>

Pour recharger les services NFS (par exemple après une modification du fichier de config) :

<code> cacahuete:~# killall -HUP nfsd
</code>

le serveur est prêt ! <br />

== Le client ==

Pour utiliser NFS v3, il faut au minimum la version 2.10m du programme <tt>mount</tt>. Pour voir sa version, taper :

<code> cacahuete:~# mount -V
mount: mount-2.11h
cacahuete:~#
</code>

On va maintenant pouvoir monter notre partage!

<code> cacahuete:~# mount mon.serveur.nfs:/home /mnt/home
cacahuete:~#
</code>

En principe tout devrait bien se dérouler.

Pour monter ce partage définitivement à chaque démarrage de la machine, éditons notre <tt>/etc/fstab</tt><nowiki>: </nowiki>

<code># device mountpoint fs-type options dump fsckorder
...
master.foo.com:/home /mnt nfs rw 0 0
...</code>

'mount' possède quelques options spécifiques au nfs, et qui peuvent s'avérer utiles :
* '''tcp''' : permet de préciser qu'on ne travaille qu'en TCP
* '''rsize=XXX''' et '''wsize=XXX''' : permet de modifier la taille par défaut (1024) du buffer. Une taille de 8192 par exemple permet d'accélerer le transfert.
* '''soft''' et '''timeo=XXX''': sur un problème de transmission, le client peut perdre la connection. Le noyau continuera d'essayer ad vitam eternam. Les processus risquent de se retrouver dans un état D (ininterruptible sleep) que seul un reboot permet de résoudre. L'option '''soft''' dit au noyau d'abandonner au bout d'un certain temps, et l'option '''timeo''' permet de définir le timeout.

== Sécuriser le NFS ==

Les données transitent en clair sur le réseau, néanmoins il est possible de crypter les échange grâce au ''port forwarding'' de ssh.
La mise en place de la cryptographie se fait en deux parties : une partie sur le serveur, une partie sur le client.

=== Configuration du serveur ===

Nous avons besoin de connaître et/ou de définir le port tcp utilisé par mountd. Un petit <code>rpcinfo -p</code> permettra de savoir quel port est utilisé par mountd. On peut définir celui-ci via l'option ''-d'' lors du lancement du service. Dans notre exemple, il s'agit du port 875.
Il faut également rajouter l'option ''insecure'' pour les machines/réseaux concernés dans <tt>/etc/exports</tt>. Cette option permet seulement de pouvoir atteindre le serveur via un port > 1024 (ce que nous allons faire).

=== Configuration du client ===

Nous avons besoin de deux ports libres, par exemple 38000 et 38001 pour créer un tunnel sécurisé entre le client et le serveur :

<code>ssh -f -N -L38000:serveur:2049 -L38001:serveur:875 -l root serveur</code>

L'utilisation de l'utilisateur root est nécessaire car on va travailler avec un port < 1024. La mise en place d'une authentification par clé peut être dans ce cas très intéressante.
Avec cette commande nous venons de créer un tunnel chiffré entre le port 38000 (resp. 38001) de notre client et le 2049 (resp. 875) du serveur.
Il ne reste plus qu'à monter le partage! Le fait d'utiliser un tunnel ssh implique que nous allons utiliser exclusivement une connection tcp.
Pour monter le partage :

<code>mount -t nfs -o rw,port=38000,mountport=38001 localhost:/repertoire /mnt/nfs</code>

Cette commande permet de monter serveur:/repertoire dans /mnt/nfs. Il faut bien utiliser localhost:/repertoire pour monter le partage. C'est justement cela qui va permettre d'utiliser la connexion sécurisée.

On peut également rajouter cette ligne dans le /etc/fstab :

<code># device mountpoint fs-type options dump fsckorder
...
localhost:/home /mnt nfs rw,port=38000,mountport=38001 0 0
...</code>

== Liens ==

* Cet article est principalement basé sur le [http://www.linuxdoc.org/HOWTO/NFS-HOWTO/index.html NFS howto]
* Les sources des logiciels NFS sur http://nfs.sourceforge.net/
* [http://www.linuxdoc.org/HOWTO/LDAP-HOWTO.html LDAP howto]
* [http://www.linuxdoc.org/HOWTO/NIS-HOWTO.html NIS howto]
* Va te faire peur sur [http://www.securityfocus.com/ security focus]

<div class="merci">Cette page est issue de la documentation 'pré-wiki' de Léa a été convertie avec HTML::WikiConverter. Elle fut créée par Guillaume Pierronnet le 22/10/2001.</div>

= Copyright =
Copyright © 22/10/2001, Guillaume Pierronnet - 2006 Oudoubah
{{CC-BY-NC-SA}}

=Autres ressources=
* Cet article est principalement basé sur le [http://www.linuxdoc.org/HOWTO/NFS-HOWTO/index.html NFS howto]
* Les sources des logiciels NFS sur http://nfs.sourceforge.net/
* [http://en.tldp.org/HOWTO/LDAP-HOWTO/ LDAP howto]
* [http://www.linuxdoc.org/HOWTO/NIS-HOWTO.html NIS howto]
* Va te faire peur sur [http://www.securityfocus.com/ security focus]

Les sauvegardes

2006-09-20T20:20:42Z

Oudoubah (phorum) : rsync, sauvegarde système + début outils graphiques

== Les sauvegardes ==

[[Category:Les plus de l'administration]]
= Sauvegarder son système, ses données =

<div class="leatitre">Sauvegarder</div><div class="leapar">Par [[Utilisateur:oudoubah|oudoubah]]</div><div class="leadesc">
Sauvegarder son système ou ses données : que garder ? Quels logiciels utiliser ? Sur quel support ?
</div>

== Que sauvegarder ==

Avant d'entamer les différentes manières et d'apprendre les divers outils permettant d'effectuer une sauvegarde, il est tout d'abord nécessaire de définir ce que l'on souhaite sauver. On peut soit choisir de sauvegarder uniquement ses données importantes (plus simple à mettre en place), soit son système entier.

=== Les types de sauvegardes ===

Il existe deux types de sauvegardes :
* '''Totales''' : avec une sauvegarde totale, on sauve l'intégralité des données que l'on souhaite garder
* '''Partielles''' : Une sauvegarde partielle suit une sauvegarde totale ou une sauvegarde partielle. Ici, nous allons seulement sauver les nouveaux fichiers ou ceux qui ont été modifiés depuis la dernière sauvegarde. Cette sauvegarde est beaucoup plus rapide, mais peut demander beaucoup de manipulations en cas de restauration. Pour restaurer, il faudra partir de la dernière sauvegarde totale, puis passer dans l'ordre chronologique les sauvegardes partielles.

=== Les médias ===

Les médias possibles sont :
* '''CD/DVD''' : ils permettent de stocker les données par tranches de 650 Mo, 700 Mo, 4.7 Go ou 8 Go. Ces médias optiques ont un support chimique, ce qui implique une déterioration avec le temps. Un CD gravé aujourd'hui et stocké dans son boîtier ne sera peut être pas lisible dans 10 ans!
* '''disque dur''' : ce disque peut être interne, usb, un disque réseau (NAS), ou un partage réseau (lufs/nfs/samba/ftp). Il présente d'avoir l'avantage d'une capacité plus importante, voire la possibilité d'externaliser ses sauvegardes (utile si la maison brûle).
* '''Clé usb''' : leurs capacités augmentent et peuvent être supérieures à celle d'un CD. Un de ses avantages est que c'est un média de stockage peu cher qui peut fonctionner sur d'anciens ordinateurs (pas besoin de graveur). C'est un des médias les plus pratiques : rapidité d'écriture par rapport à un CD (pas d'image à faire), peu encombrant, mais il est limité en cycles de lecture/écriture.

Le choix du média sera dicté en partie selon la quantité de données à sauvegarder.

== Les outils de sauvegarde ==

Avant de sauvegarder, il faut commencer par recenser ce que l'on souhaite garder. De plus, l'idée serait que les utilisateurs n'aient aucun fichier en cours de modification au moment de la sauvegarde. On ne pourra pas garantir, le cas contraire, que son fichier sera bien sauvegardé.

=== la commande tar ===

La commande tar permet de sauvegarder un ensemble de fichiers dans une archive qui peut être compressée. Les fichiers ne seront donc pas directement lisibles.

==== Sauvegarde avec tar ====

===== Présentation des options =====
Pour créer une archive, il suffit d'utiliser la commande:
<code>tar c nom_archive [fichier repertoire1] [fichier ou repertoire2]...</code>
Différentes options peuvent s'avérer utiles :
* -v : mode verbeux, liste les fichiers qui sont en cours d'archivage
* -z (resp. j) : permet de compresser l'archive avec le format gzip (resp. bzip2). Le format bzip2 permet d'avoir des fichiers plus petits au coût d'un traitement plus long
* --preserve : permet de sauvegarder les permissions. De plus, lors de la restauration, les fichiers seront "détarrés" dans le même ordre
* --same-owner : permet de sauvegarder l'appartenance du fichier
* -T fichier : ''fichier'' est un fichier où chaque ligne correspond à un fichier ou répertoire à sauvegarder
* -X fichier : ''fichier'' est un fichier où chaque ligne correspond à un fichier ou répertoire à exclure parmis les répertoires à sauvegarder
* --exclude=fichier : ''fichier'' sera exclu de la sauvegarde
* -N date : permet de ne sauvegarder que les fichiers postérieurs à la date définie. La date doit être fournie sous la forme ''AAAA-MM-JJ HH:MM:SS". On obtient se format grâce à la commande <code>date "+%Y:%m:%d %H:%M:%S"</code>
* --totals : affiche le nombre d'octets écrits lors de la sauvegarde
* -g fichier : permet d'effectuer des sauvegardes incrémentales, en se basant sur un fichier de status. Ce fichier est soit utilisé (sauvegarde incrémentale), soit créé (sauvegarde full). Attention, cette option n'est valable que pour les versions GNU!

'''ATTENTION:''' Il faut '''toujours''' exclure les répertoires /dev et /proc! Sous linux, tout est fichier. Le matériel est identifié dans /dev par des fichiers spéciaux. Vouloir sauvegarder /dev via tar est vain. Dans /proc, il y a un fichier spécial, /proc/kcore, qui correspond à la RAM de l'ordinateur. Je n'ai pas fait le test, mais le "restaurer" est à vos risques et périls (kernel panic).

===== Exemple de sauvegarde de données =====
Voici un petit script permettant de mettre en place une sauvegarde totale et/ou différentielle de données :
<code>#!/bin/bash

# Options
# -d : sauvegarde differentielle
# -h : affiche les options possibles

# Si on demande l'aide, on l'affiche, et on sort
if [ $1 = "-h" ] ; then
echo "Usage : $0 : sauvegarde totale"
echo "Usage : $0 -d : sauvegarde différentielle"
echo "Usage : $0 -h : cette aide"
fi

# Initialisation des variables
DATE=$(date "+%Y-%m-%d %H:%M:%S")
TYPE="FULL"
REP=/backup
FICHIER_EXCLUDE=/etc/save.exclude
FICHIER_INCLUDE=/etc/save.include
FICHIER_STATUS=/etc/save.state
COMPRESSION=9

# Si le script est appelé avec l'option "-d", alors on fait une sauvegarde différentielle
if [ $1 = "-d" ] ; then
TYPE="INCR"
tar cP --atime-preserve -g $FICHIER_STATUS --preserve --same-owner --totals -T $FICHIER_INCLUDE -X $FICHIER_EXCLUDE | gzip -$COMPRESSION > ${REP}/save-INCR-${date}.tgz
# Sinon, on fait une sauvegarde totale
else
rm -f $FICHIER_STATUS
tar cP -g $FICHIER_STATUS --atime-preserve --preserve --same-owner --totals -T $FICHIER_INCLUDE -X $FICHIER_EXCLUDE | gzip -$COMPRESSION > ${REP}/save-FULL-${date}.tgz
fi
</code>

===== Exemple de sauvegarde système =====
Le script suivant permet de faire une sauvegarde système, plus complet, a pour but de faire une sauvegarde système sur un serveur NFS. Il utilise un fichier de configuration. Le prérequis est de renseigner le fichier /etc/save.conf et d'utiliser udev.

Le fichier save.conf doit être de la forme :
<code>EXCLUDE="/repertoire1 /repertoire2"
# Le reste est optionnel

#COMPRESSION=1
#SERVEUR="10.0.0.2:/path
#MONTAGE="/mnt/nfs"
#INCLUDE="/toto"
</code>

Et le script :

<code>#!/bin/sh

# Options
# -d : sauvegarde differentielle
# -h : affiche les options possibles

# Si on demande l'aide, on l'affiche, et on sort
if [ $1 = "-h" ] ; then
echo "Usage : $0 : sauvegarde totale"
echo "Usage : $0 -d : sauvegarde différentielle"
echo "Usage : $0 -h : cette aide"
fi

PID=$$

# On donne une priorité faible au processus pour ne pas dégrader les performances des autres applications
renice +19 $PID
. /etc/save.conf

MONTAGE=${MONTAGE:="/tmp/save.$PID"}
SERVEUR=${SERVEUR:="10.0.0.1:/backup"}

COMPRESSION=${COMPRESSION:=9}
NOM=$(hostname)
CONFIGURATION=${MONTAGE}/${NOM}.conf
DATE="$(date "+%Y-%m-%d %H:%M:%S")"
FICHIER_EXCLUDE=/tmp/save.$PID.exlude
FICHIER_INCLUDE=/tmp/save.$PID.include
FICHIER_STATUS=/etc/save.state
LVMVERSION=1

affiche_action() {
echo -e "$1 ........... \c"
}

affiche_resultat() {
if [ $1 = 0 ] ; then
echo -e '[\c'
tput setaf 2
echo -e "OK\c"
tput setaf 7
echo -e ']'
return 0
else
echo -e '[\c'
tput setaf 1
echo -e "KO\c"
tput setaf 7
echo -e ']'
return 1
fi
}

quit() {
affiche_action "Nettoyage en cours"
rm -f $FICHIER_EXCLUDE
rm -f $FICHIER_INCLUDE
umount $MONTAGE
rmdir $MONTAGE
affiche_resultat $?
exit $1
}

# Montage du partage nfs
affiche_action "Montage du partage NFS vers $SERVER"
mkdir $MONTAGE
mount -t nfs $SERVER $MONTAGE
affiche_resultat $? || quit 1

# Sauvegarde des donnees de partitionnement
affiche_action "Sauvegarde du partitionnement"
echo "[disks]" > $CONFIGURATION
/sbin/fdisk -l | tr '*' ' ' | awk '/^\/dev/ {print $1,$2,$3,$5}' >> $CONFIGURATION
affiche_resultat $? || quit 1

echo "[bootdisk]" >> $CONFIGURATION
fdisk -l | awk '/^\/dev\/.*\*/ {print $1}' >> $CONFIGURATION

# Sauvegarde du lvm : PV, VG, LV et version du LVM
affiche_action "Sauvegarde des groupes de volumes du LVM"

echo "[LVM-VG]" >> $CONFIGURATION
liste=$(pvscan | grep -o 'PV.*/dev/.*VG.*' | tr -d '"' | sed 's,^.*PV $/dev/[^ ]*$.* VG $[^ ]*$.*,\1 \2,')
liste2=$(echo $liste | grep -o '/dev/[^ ]*')
for element in $liste2 ; do
LVM=1
$REP/bin/lvm.static pvscan 2>/dev/null | grep $element 2>/dev/null | grep -q lvm2
[ $? = 0 ] && LVM=2
echo $(echo $liste | grep -o "$element [^ ]*") $LVM >> $CONFIGURATION
done
affiche_resultat $? || quit 1

affiche_action "Sauvegarde des volumes logiques du LVM"
echo "[LVM-LV]" >> $CONFIGURATION
for volume in $(lvscan | grep -o '"/dev[^"]*"' | tr -d '"') ; do
extend=$(lvdisplay $volume | awk '/Allocated LE/ {print $3}')
echo "$volume $extend" >> $CONFIGURATION
done
affiche_resultat $? || quit 1

# Sauvegarde des labels
affiche_action "Sauvegarde des labels des partitions"
echo "[labels]" >> $CONFIGURATION
for partition in $(/sbin/fdisk -l | grep -o '^/dev/[^ ]*') ; do
label=$(/sbin/e2label $partition 2>/dev/null)
echo "$partition=$label" >> $CONFIGURATION
done
affiche_resultat $? || quit 1

# Sauvegarde des points de montage
affiche_action "Sauvegarde des points de montage"
echo "[montage]" >> $CONFIGURATION
mount | awk '/ext[23]/ {print $1,$3}' >> $CONFIGURATION
affiche_resultat $? || quit 1

# Sauvegarde de la hierarchie exclue
affiche_action "Creation de la liste des repertoires exclus a recontruire"
echo "[hierarchie]" >> $CONFIGURATION
rm -f $FICHIER_EXCLUDE

# On exclu les partages NFS et les montages loop
mount | awk '/type nfs/ { print $3}' >> $FICHIER_EXCLUDE
mount | awk '/loop=/ { print $3}' >> $FICHIER_EXCLUDE

# Rajout des répertoires à exclure par défaut
[ -d /media ] && EXCLUDE="/media $EXCLUDE"
EXCLUDE="/mnt /sys /dev /tmp /proc /var/run /var/log /var/lock /var/spool /var/tmp /var/cache $EXCLUDE"
for rep in $EXCLUDE ; do
case $rep in
/mnt)
echo "/mnt" >> $CONFIGURATION
for rep in $(ls -F /mnt | tr -d '/') ; do
[ -d /mnt/$rep ] && echo "/mnt/$rep" >> $CONFIGURATION
done
;;
/media)
echo "/media" >> $CONFIGURATION
[ -d /media ] && for rep in $(ls -F /media | tr -d '/') ; do
[ -d /media/$rep ] && echo "/media/$rep" >> $CONFIGURATION
done
;;
/dev) echo "/dev" >> $CONFIGURATION ;;
/tmp) echo "/tmp" >> $CONFIGURATION ;;
/proc) echo "/proc" >> $CONFIGURATION ;;
/sys) echo "/sys" >> $CONFIGURATION ;;
/var*)
echo "/var" >> $CONFIGURATION
ls -R $rep | grep ':$' | tr -d ':' >> $CONFIGURATION ;;
/usr/src) echo $rep >> $CONFIGURATION ;;
/home)
echo "/home" >> $CONFIGURATION
for rep in $(ls -F /home | tr -d '/') ; do
[ -d /home/$rep ] && echo "/home/$rep" >> $CONFIGURATION
done
;;
/usr*) ls -R $rep | grep ':$' | tr -d ':' >> $CONFIGURATION ;;
/bin*) ls -R $rep | grep ':$' | tr -d ':' >> $CONFIGURATION ;;
/sbin*) ls -R $rep | grep ':$' | tr -d ':' >> $CONFIGURATION ;;
/lib*) ls -R $rep | grep ':$' | tr -d ':' >> $CONFIGURATION ;;
/boot*) ls -R $rep | grep ':$' | tr -d ':' >> $CONFIGURATION ;;
*) [ -d $rep ] && echo $rep >> $CONFIGURATION ;;
esac
echo $rep >> $FICHIER_EXCLUDE
done
affiche_resultat $? || quit 1
echo '*/lost+found' >> $FICHIER_EXCLUDE

# Sauvegarde de grub
affiche_action "Sauvegarde de grub"
echo "[GRUB]" >> $CONFIGURATION
cat /boot/grub/menu.lst | grep '^[^#].*root (hd' | head -n 1 | grep -o 'root.*' >> $CONFIGURATION
affiche_resultat $? || quit 1

# Si l'option -d est passee en parametre, on fait une sauvegarde differentielle
INCLUDE=${INCLUDE:=/}
rm -f $FICHIER_INCLUDE
for rep in $INCLUDE ; do
echo $rep >> $FICHIER_INCLUDE
done

if [ $# -ge 1 ] && [ $1 = "-d" ] ; then
affiche_action "Sauvegarde du systeme sur $SERVEUR/${NOM}-INCR-${DATE}"
tar cP -g $FICHIER_STATUS --atime-preserve --preserve --same-owner --totals -T $FICHIER_INCLUDE -X $FICHIER_EXCLUDE | gzip -$COMPRESSION > $MONTAGE/${NOM}-INCR-${DATE}.tar.gz
affiche_resultat $? || quit 1
else
affiche_action "Sauvegarde du systeme sur $SERVEUR/${NOM}-FULL-${DATE}"
rm -f $FICHIER_STATUS
tar cP -g $FICHIER_STATUS --atime-preserve --preserve --same-owner --totals -T $FIC_INCLUDE -X $FIC_EXCLUDE | gzip -$COMPRESSION > $MONTAGE/${NOM}-FULL-${DATE}.tar.gz
affiche_resultat $? || quit 1
fi

# Sauvegarde de MAKEDEV qui se trouve dans /dev
affiche_action "Sauvegarde de MAKEDEV"
[ -f /dev/MAKEDEV ] && cp /dev/MAKEDEV $MONTAGE/
affiche_resultat 0

quit 0
</code>

==== Restauration avec tar ====
===== Présentation de la commande =====
Pour restaurer un tar, il suffit d'utiliser la commande:
<code>tar x nom_archive</code>
Là encore, il existe diverses options:
* -v : mode verbeux : afficher les fichiers en cours d'extraction
* -z (resp. j) : permet de décompresser l'archive compressée avec le format gzip (resp. bzip2)
* --atime-preserve : permet de ne pas modifier la date d'accès du fichier restauré
* -C repertoire : permet de désarchiver dans le répertoire mentionné
* --preserve : permet de restaurer les permissions. De plus, lors de la restauration, les fichiers seront "détarrés" dans le même ordre
* --same-owner : permet de restaurer l'appartenance du fichier
* --numeric-owner : utilise les numéros pour les appartenances group/utilisateur. Petit exemple vécu : restauration à partir d'un live-cd. Sur le live-cd, l'utilisateur gdm avait comme uid 32. Sur la distrib, gdm correspondait à 42, et 32 à rpc. Lors du reboot, gdm refusait de se lancer car le répertoire /var/gdm ne lui appartenait pas. Il est donc préférable de restaurer les uid/gid au lieu d'utiliser les noms.
* -g fichier:

Voici un exemple de commande pour restaurer une archive :
<code>tar zxvf --atime-preserve --preserve --same-owner --numeric-owner /backup/archive.tgz</code>

=== la commande rsync ===

rsync permet de synchroniser des répertoires/fichiers destinations par rapport à des répertoires/fichiers sources. La synchronisation se fait soit en local, soit sur une machine distante. Il est possible de demander à rsync d'utiliser ssh afin de crypter les transmissions.

==== La commande rsync ====
Pour l'utiliser il suffit d'utiliser:
<code>rsync [options] source(s) destination</code>

Les options :
* -v : mode verbeux
* -a : mode archive (correspond à -rlptgoD)
* -q : supprime les messages d'information (mais pas d'erreur)
* -r : récursif (pour les répertoires)
* -l : copie les liens symboliques en liens symboliques
* -p : préserve les permissions
* -o : garde le propriétaire (option disponible uniquement pour root)
* -g : garde le groupe
* --device : garde les fichiers de périphériques (uniquement pour root, et utile pour une sauvegarde système)
* -H : garde les hardlink. Attention, cette option est coûteuse en ressources!
* --specials : garde les fichiers spéciaux
* -t : garde l'horodatage
* -e remoteshell : spécifie le shell distant à utiliser (ssh par exemple)
* --delete : supprime sur la destination les fichiers qui n'existent pas sur la source
* --numeric-ids : ne fait pas la conversion uid/gid en user/group.
* -z : compresse pendant la transmission
* --exclude=PATTERN : définit un motif à exclure (par exemple */lost+found)
* --exclude-from fichier : lit les motifs dans le fichier
* --bwlimit=VALEUR : limit la bande passante à VALEUR Ko

Bien entendu, ''man rsync'' vous donnera toutes les options disponibles

==== Exemple de sauvegarde incrémentale avec rsync ====
=====Côté machine à sauvegarder=====
Dans la crontab de la machine à sauvegarder, vers 22h00, on lance le script suivant :

<code>#!/bin/sh
# répertoires à sauvegarder
DIRS="/home/jice /home/fred /etc /root /boot /var/lib/mysql /var/spool/mail"
# fichier contenant les fichiers à exclure de la sauvegarde
# voir EXCLUDE PATTERNS dans rsync(1)
EXCLUDEFILE="/home/jice/bin/excludes"
OPTIONS="-avz -e ssh"
OPTIONS="$OPTIONS --exclude-from $EXCLUDEFILE --bwlimit=50"
OPTIONS="$OPTIONS $*"
rsync $OPTIONS $DIRS jice@mon.serveur.net:backup/current
# copie du fichier "flag" pour dire au serveur que le backup a été fait
scp /home/jice/bin/backup_done jice@mon.serveur.net:~
</code>

Ce script fait un backup vers le répertoire <code>backup/current</code> du serveur (nommé <code>mon.serveur.net</code>) ; à la fin, il copie un fichier (vide) <code>backup_done</code> à la racine de mon compte sur le serveur, afin de dire au serveur que le backup a bien été fait.

PS : voici un exemple de fichier <code>excludes</code>
<code># excludes pour le backup sur zowie
jice/tmp*
jice/multimedia/video/*
jice/compil/*
fred/compil/*
*/.local/share/Trash/*
*/.kde/share/config/session/konqueror*
*/temp/*
*/tmp/*
*/cache/*
*/Cache/*
*/.thumbnails/*
*/.xvpics/*
*/.kde/tmp-*
*/.mcop/*
*/.ncftp/trace*
*/.nx/*
*.o
*.so
*.mp3
*.avi
*.rar
*.ace</code>

Notez que ce fichier peut contenir ou bien le nom complet d'un fichier, ou bien un "morceau" de nom de fichier avec des étoiles comme caractère joker. Pour plus d'information, tapez dans une console : <code>man rsync</code> et cherchez EXCLUDE PATTERNS.

=====Côté serveur de sauvegarde=====
Côté serveur, j'ai ce script qui fait une rotation des backups (en cron tous les midi) :
<code>#!/bin/sh

if [ -f ~/backup_done ]; then
KEEP=8
DIR=~/backup

# arborescence :
# ~/backup/2006-04-03
# ~/backup/2006-04-04
# ~/backup/2006-04-05
# ~/backup/current

# calcule date du jour
DATE=`date --date=yesterday "+%Y-%m-%d"`

# crée le répertoire pour les backups du jour
mkdir $DIR/$DATE

# supprime les vieux directories
ls -d $DIR/2* | sort | head --lines=-$KEEP | xargs rm -rf

# copie (hard links) les données
cp -al $DIR/current/* $DIR/$DATE

# supprime le fichier flag
rm ~/backup_done

# on fait le rsync ensuite
fi</code>

Si le backup a été fait (présence du fichier <code>backup_done</code>, il effectue une rotation des backups.<br>
En utilisant le <code>cp</code> avec les hard links, on ne copie pas réellement les fichiers, mais on crée un deuxième fichier qui pointe vers le contenu du premier (donc on peut avoir autant de hardlink qu'on veut sur le même fichier, la place disque utilisée n'est toujours que de la taille d'un seul fichier).<br>
Rsync lorsqu'il enverra, lors de la prochaine sauvegarde, un fichier modifié, utilisera un nom différent temporaire, avant de le renommer vers son nom normal. Ainsi, il ne va pas écraser le contenu du fichier hardlinké, car à la fin de la copie du fichier, Rsync supprime le fichier, puis renomme le fichier temporaire vers son nom normal.<br>

A ce moment là, on a sur le serveur 2 versions du même fichier : la version courante qui vient d'être sauvegardée dans <code>~/backup/current/repertoire/fichier</code> et la version précédente qui a été copiée par le script ci-dessus dans <code>~/backup/<la date du dernier backup>/repertoire/fichier</code>.

'''Plus d'explications''' :
* on a deux fichiers <code>current/toto</code> et <code>hier/toto</code> qui pointent vers le même contenu. Ces 2 fichiers (ou plus) on été obtenus suite au script de rotation, par la copie avec hardlinks. On a donc :
<code>current/toto --> contenu <-- hier/toto
\
'--------- avant-hier/toto
</code>
* si le fichier a été modifié, rsync va envoyer le nouveau fichier sous un nom temporaire <code>toto.tmp</code> (par exemple). On a donc :
<code>current/toto --> contenu <-- hier/toto
\
'--------- avant-hier/toto

current/toto.tmp --> nouveau contenu</code>
* ensuite, rsync supprime <code>current/toto</code> On obtient, par la magie des hardlinks :
<code> contenu <-- hier/toto
\
'--------- avant-hier/toto

current/toto.tmp --> nouveau contenu</code>
* enfin, <code>toto.tmp</code> est renommé en <code>toto</code> :
<code> contenu <-- hier/toto
\
'--------- avant-hier/toto

current/toto --> nouveau contenu</code>
* on obtient bien 2 versions différentes, celle d'hier et d'avant-hier (le fichier n'avait alors pas changé), et celle d'aujourd'hui.

Ainsi j'ai toujours les backup des 8 (réglable par la variable <code>KEEP</code> ci-dessus) derniers jours disponible. Je peux retrouver les dernières versions d'un fichier en cas de problème.

== Spécificités de la sauvegarde système ==

Si l'on veut effectuer une sauvegarde système, il est nécessaire de prendre en compte les points suivants:
* faire une sauvegarde en gardant les uid/gid
* ne pas sauvegarder les répertoires inutiles (/tmp, /dev, /proc, /sys, le contenu des points de montages hors disques locaux (nfs, cdrom,...)) On peut également ne pas sauvegarder le contenu de /var/tmp, /var/cache, /var/lock, /var/run, /var/spool. Attention, il est important de garder la hiérarchie de ces répertoires!
* garder la table des partitions, avec le label des partitions si il y en a un (commande 'e2label')
* sauvegarder les informations de lvm (l'idéal étant de pouvoir utiliser lvmcfgbackup et lvmcfgrestore. Sinon, ce n'est pas la taille de chaque volume qu'il faut sauvegarder, mais le nombre de Logical Extends. En spécifiant une taille, celle-ci sera arrondie pour avoir un nombre de LE fixe. Ce nombre ne sera pas forcément identique que celui utilisé lors de la création, et empêchera donc de restaurer le système de manière identique).
* arrêter autant que faire se peut les services qui tournent.

== Les conseils ==
* Vérifier la sauvegarde après l'avoir faite : test md5 par exemple. Ce n'est pas lorsqu'on en aura besoin qu'il faut se rendre compte que le graveur ne gravait plus!
* Tester la restauration
* Vérifier régulièrement (tous les ans) que l'on arrive bien à relire sa sauvegarde (voire refaire une sauvegarde sur un média neuf tous les 2 ans par exemple)

== Les outils graphiques / semi-graphiques ==
* mondorescue
* kbackup
* armanda backup
* bacula

Les sauvegardes

2006-09-19T18:37:32Z

Oudoubah (phorum) : mise en page

Les sauvegardes

2006-09-19T18:18:47Z

Oudoubah (phorum) : doc modifiée pour la version GNU de tar

NFS

2006-09-19T16:30:20Z

Oudoubah (phorum) : Rajout partie sécurisation à travers SSH

[[Category:Partager ses fichiers]]
= Installation d'un serveur NFS =

<div class="leatitre">Installation d'un serveur NFS</div><div class="leapar">Guillaume Pierronnet</div><div class="leadesc">NFS, ou le partage des ressources selon Unix.</div>
----

== Introduction ==

NFS signifie Network File System. C'est, comme son nom l'indique, un système de fichiers en réseau qui permet de partager ses données principalement entre systèmes UNIX. À la différence de SAMBA, NFS gère les permissions sur les fichiers et on peut donc l'utiliser de manière totalement transparente dans son arborescence Linux.

'''ATTENTION !'''

Comme toute application réseau, NFS ouvre des trous dans la sécurité du système. Je vous invite donc à consulter les liens à la fin de cet article pour des précisions sur la sécurité ([http://www.linuxselfhelp.com/HOWTO/NFS-HOWTO/security.html celui-ci], en anglais, indique quelques règles à suivre, en parallèle des démarches indiquées [http://people.via.ecp.fr/~alexis/formation-linux/nfs.html dans ce guide nfs pour Debian] ou ci-dessous). <br />

== Les softs ==

=== Les modules du noyau ===

Dans la configuration du noyau, on va dans la section "'''File systems ---> Network File Systems'''"

* <u>Pour le client:</u>
<br /><tt>NFS file system support et Provide NFSv3 client support</tt>
CONFIG_NFS_FS=y ou m
CONFIG_NFS_V3=y
* <u>Pour le serveur:</u>
<br /><tt>NFS server support et Provide NFSv3 server support</tt>
CONFIG_NFSD=y ou m
CONFIG_NFSD_V3=y

À partir du noyau 2.2.18, les modules supportent entièrement la version 3 du protocole ainsi que différentes corrections de bug. <br />Il serait temps d'upgrader si tu ne l'as pas déjà fait! (profites-en pour passer au 2.4, ce sera réglé :)

=== Les packages ===

Les packages (sur ma Debian) sont :

* <tt>nfs-common</tt>
* <tt>nfs-user-server</tt> pour le serveur.

Tu peux toujours récupérer les sources qui se trouvent sur http://nfs.sourceforge.net/.

On va aussi installer le ''wrapper'' TCP pour un minimum de sécurité. Toujours sur ma Debian, le paquet s'appelle <tt>tcpd</tt>. Les sources se trouvent [ftp://ftp.porcupine.org/pub/security/index.html ici].

== Le serveur ==

Les 3 fichiers de configuration principaux sont <tt>/etc/exports</tt>, <tt>/etc/hosts.deny</tt> et <tt>/etc/hosts.allow</tt>.

=== /etc/exports ===

Le fichier <tt>/etc/exports</tt> est très simple :

<code>répertoire machine1(option11,option12) machine2(option21,option22)</code>

par exemple :

<code>/home 192.168.0.10(rw) 192.168.0.25(ro)</code>

signifie que l'on autorisera la machine ''192.168.0.10'' à accéder à notre répertoire <tt>/home</tt> en lecture et écriture (<tt>rw</tt>) ainsi que la machine ''192.168.0.25'' mais uniquement en lecture (<tt>ro</tt>).

* <tt><u>répertoire</u></tt> :<br /> le répertoire du serveur à partager.<br />
* <tt><u>machine</u></tt> :<br /> Une liste de machines séparée par des virgules et autorisées à monter ce répertoire (utilisez des adresses IP plutôt que des noms à cause des problèmes de "''dns spoofing''").<br />
* <tt><u>options</u></tt> :
** '''ro''' : <br />C'est la valeur par défaut, lecture seule.
** '''rw''' : <br />La machine à un accès en lecture/écriture au répertoire.
** '''no_root_squash''' : <br />Les accès par l'utilisateur root sur le serveur se font sous l'identité root, au contraire de nobody (par défaut)<br /> À UTILISER AVEC PRÉCAUTION
** '''sync''' : <u>uniquement NFS v2</u><br />Ne diffère pas les écritures physiques au volume, augmente la fiabilité en cas de mauvais démontage. La version 3 dispose d'un mécanisme de ''commit-rollback'' donc cette option n'est pas utile.

Un point important, pour un bon fonctionnement : tu dois avoir les mêmes numéros de groupes et d'utilisateurs sur les deux machines. <br />Des systèmes permettent de gérer çà, NIS (assez ancien) ou LDAP (plus récent). Avec peu d'utilisateurs, tu peux tout simplement éditer <tt>/etc/group</tt> et <tt>/etc/passwd</tt> pour synchroniser ces numéros.

Il n'est pas recommandé d'exporter un système DOS ou VFAT à cause de leurs absences de gestion multi-utilisateurs ; ils ne sont pas fait pour être partagés avec NFS. <br />

=== /etc/hosts.deny ===

On va interdire toutes les machines qui ne sont pas autorisées explicitement dans le <tt>/etc/hosts.allow</tt>. <br />Un bon vieux "<tt>ALL: ALL</tt>" interdira l'accès à tous les services à partir de toutes les machines. On peut cependant être plus précis en écrivant :

portmap:ALL
lockd:ALL
mountd:ALL
rquotad:ALL
statd:ALL

=== /etc/hosts.allow ===

Dans le même esprit que pour le <tt>/etc/hosts.deny</tt>, ce fichier a l'architecture suivante :

[service]: [IP de la machine client]

Donc pour autoriser 192.168.1.34 à se connecter à un partage NFS, on écrira :

portmap:192.168.1.34
lockd:192.168.1.34
mountd:192.168.1.34
rquotad:192.168.1.34
statd:192.168.1.34

On va pouvoir lancer les services ; sur ma Debian, je lance :

<code># /etc/init.d/nfs-server start</code>

Pour Slackware, ce serait

<code># /etc/rc.d/rc.nfsd start</code>

La commande <tt>rpcinfo -p</tt> permet de vérifier que les services fonctionnent. Elle devrait produire un résultat dans cet esprit :

<code> cacahuete:~# rpcinfo -p
program vers proto port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100024 1 udp 737 status
100024 1 tcp 739 status
100011 1 udp 851 rquotad
100011 2 udp 851 rquotad
100003 2 udp 2049 nfs
100003 2 tcp 2049 nfs
100005 1 udp 872 mountd
100005 2 udp 872 mountd
100005 1 tcp 875 mountd
100005 2 tcp 875 mountd
cacahuete:~#
</code>

Pour recharger les services NFS (par exemple après une modification du fichier de config) :

<code> cacahuete:~# killall -HUP nfsd
</code>

le serveur est prêt ! <br />

== Le client ==

Pour utiliser NFS v3, il faut au minimum la version 2.10m du programme <tt>mount</tt>. Pour voir sa version, taper :

<code> cacahuete:~# mount -V
mount: mount-2.11h
cacahuete:~#
</code>

On va maintenant pouvoir monter notre partage!

<code> cacahuete:~# mount mon.serveur.nfs:/home /mnt/home
cacahuete:~#
</code>

En principe tout devrait bien se dérouler.

Pour monter ce partage définitivement à chaque démarrage de la machine, éditons notre <tt>/etc/fstab</tt><nowiki>: </nowiki>

<code># device mountpoint fs-type options dump fsckorder
...
master.foo.com:/home /mnt nfs rw 0 0
...</code>

== Sécuriser le NFS ==

Les données transitent en clair sur le réseau, néanmoins il est possible de crypter les échange grâce au ''port forwarding'' de ssh.
La mise en place de la cryptographie se fait en deux parties : une partie sur le serveur, une partie sur le client.

=== Configuration du serveur ===

Nous avons besoin de connaître et/ou de définir le port tcp utilisé par mountd. Un petit <code>rpcinfo -p</code> permettra de savoir quel port est utilisé par mountd. On peut définir celui-ci via l'option ''-d'' lors du lancement du service. Dans notre exemple, il s'agit du port 875.
Il faut également rajouter l'option ''insecure'' pour les machines/réseaux concernés dans <tt>/etc/exports</tt>. Cette option permet seulement de pouvoir atteindre le serveur via un port > 1024 (ce que nous allons faire).

=== Configuration du client ===

Nous avons besoin de deux ports libres, par exemple 38000 et 38001 pour créer un tunnel sécurisé entre le client et le serveur :

<code>ssh -f -N -L38000:serveur:2049 -L38001:serveur:875 -l root serveur</code>

L'utilisation de l'utilisateur root est nécessaire car on va travailler avec un port < 1024. La mise en place d'une authentification par clé peut être dans ce cas très intéressante.
Avec cette commande nous venons de créer un tunnel chiffré entre le port 38000 (resp. 38001) de notre client et le 2049 (resp. 875) du serveur.
Il ne reste plus qu'à monter le partage! Le fait d'utiliser un tunnel ssh implique que nous allons utiliser exclusivement une connection tcp.
Pour monter le partage :

<code>mount -t nfs -o rw,port=38000,mountport=38001 localhost:/repertoire /mnt/nfs</code>

Cette commande permet de monter serveur:/repertoire dans /mnt/nfs. Il faut bien utiliser localhost:/repertoire pour monter le partage. C'est justement cela qui va permettre d'utiliser la connexion sécurisée.

On peut également rajouter cette ligne dans le /etc/fstab :

<code># device mountpoint fs-type options dump fsckorder
...
localhost:/home /mnt nfs rw,port=38000,mountport=38001 0 0
...</code>

== Liens ==

* Cet article est principalement basé sur le [http://www.linuxdoc.org/HOWTO/NFS-HOWTO/index.html NFS howto]
* Les sources des logiciels NFS sur http://nfs.sourceforge.net/
* [http://www.linuxdoc.org/HOWTO/LDAP-HOWTO.html LDAP howto]
* [http://www.linuxdoc.org/HOWTO/NIS-HOWTO.html NIS howto]
* Va te faire peur sur [http://www.securityfocus.com/ security focus]

<div class="merci">Cette page est issue de la documentation 'pré-wiki' de Léa a été convertie avec HTML::WikiConverter. Elle fut créée par Guillaume Pierronnet le 22/10/2001.</div>

= Copyright =
Copyright © 22/10/2001, Guillaume Pierronnet
{{CC-BY-NC-SA}}

=Autres ressources=
* Cet article est principalement basé sur le [http://www.linuxdoc.org/HOWTO/NFS-HOWTO/index.html NFS howto]
* Les sources des logiciels NFS sur http://nfs.sourceforge.net/
* [http://en.tldp.org/HOWTO/LDAP-HOWTO/ LDAP howto]
* [http://www.linuxdoc.org/HOWTO/NIS-HOWTO.html NIS howto]
* Va te faire peur sur [http://www.securityfocus.com/ security focus]

Les sauvegardes

2006-09-09T05:26:11Z

Oudoubah (phorum) : supprimer la sauvegarde de /dev avec tar (inutile ici car udev)

Les sauvegardes

2006-09-08T20:46:21Z

Oudoubah (phorum) : corrections

Les sauvegardes

2006-09-08T20:41:59Z

Oudoubah (phorum) : Rajout script sauvegarde système tar

Les sauvegardes

2006-09-08T18:22:43Z

Oudoubah (phorum) : premier jet tar fini

Discussion:Les sauvegardes

2006-09-08T18:02:48Z

Oudoubah (phorum) :

salut ! est-ce que tu comptes parler des outils spécifiques des distributions, comme celui de Mandriva par exemple ? [[Utilisateur:LeaJice|LeaJice]] 5 sep 2006 à 20:40 (CEST)
Pas du tout dans le sens où les seules distribs que j'ai sous la main sont Arch et Debian. Par contre, je vais regarder un peu ce qui se fait avec des interfaces graphiques. [[Utilisateur:oudoubah|oudoubah]] 7 sep 2006 19h30

re. Tu pourrais ajouter dans ton § rsync un truc sur les ''sauvegardes incrémentales''. Je m'explique. Je fais un backup régulier sur un serveur sur le net, et j'ai sur le serveur les n derniers backups. Tu peux copier/coller ça :

Je pense boucler tar ce soir (il ne reste que la restorre). Ensuite, je vais commencer par donner les options de rsync les plus communes (on ne va pas refaire le man), et reprendre ce que tu as écrit.

====Sauvegardes incrémentales avec rsync====
=====Côté machine à sauvegarder=====
Dans la crontab de la machine à sauvegarder, vers 22h00, je lance le script suivant :

<code>#!/bin/sh
# répertoires à sauvegarder
DIRS="/home/jice /home/fred /etc /root /boot /var/lib/mysql /var/spool/mail"
# fichier contenant les fichiers à exclure de la sauvegarde
# voir EXCLUDE PATTERNS dans rsync(1)
EXCLUDEFILE="/home/jice/bin/excludes"
OPTIONS="-avz -e ssh"
OPTIONS="$OPTIONS --exclude-from $EXCLUDEFILE --bwlimit=50"
OPTIONS="$OPTIONS $*"
rsync $OPTIONS $DIRS jice@mon.serveur.net:backup/current
# copie du fichier "flag" pour dire au serveur que le backup a été fait
scp /home/jice/bin/backup_done jice@mon.serveur.net:~
</code>

Ce script fait un backup vers le répertoire <code>backup/current</code> du serveur (nommé <code>mon.serveur.net</code>) ; à la fin, il copie un fichier (vide) <code>backup_done</code> à la racine de mon compte sur le serveur, afin de dire au serveur que le backup a bien été fait.

PS : voici un exemple de fichier <code>excludes</code>
<code># excludes pour le backup sur zowie
jice/tmp*
jice/multimedia/video/*
jice/compil/*
fred/compil/*
*/.local/share/Trash/*
*/.kde/share/config/session/konqueror*
*/temp/*
*/tmp/*
*/cache/*
*/Cache/*
*/.thumbnails/*
*/.xvpics/*
*/.kde/tmp-*
*/.mcop/*
*/.ncftp/trace*
*/.nx/*
*.o
*.so
*.mp3
*.avi
*.rar
*.ace</code>

Notez que ce fichier peut contenir ou bien le nom complet d'un fichier, ou bien un "morceau" de nom de fichier avec des étoiles comme caractère joker. Pour plus d'information, tapez dans une console : <code>man rsync</code> et cherchez EXCLUDE PATTERNS.

=====Côté serveur de sauvegarde=====
Côté serveur, j'ai ce script qui fait une rotation des backups (en cron tous les midi) :
<code>#!/bin/sh

if [ -f ~/backup_done ]; then
KEEP=8
DIR=~/backup

# arborescence :
# ~/backup/2006-04-03
# ~/backup/2006-04-04
# ~/backup/2006-04-05
# ~/backup/current

# calcule date du jour
DATE=`date --date=yesterday "+%Y-%m-%d"`

# crée le répertoire pour les backups du jour
mkdir $DIR/$DATE

# supprime les vieux directories
ls -d $DIR/2* | sort | head --lines=-$KEEP | xargs rm -rf

# copie (hard links) les données
cp -al $DIR/current/* $DIR/$DATE

# supprime le fichier flag
rm ~/backup_done

# on fait le rsync ensuite
fi</code>

Si le backup a été fait (présence du fichier <code>backup_done</code>, il effectue une rotation des backups.<br>
En utilisant le <code>cp</code> avec les hard links, on ne copie pas réellement les fichiers, mais on crée un deuxième fichier qui pointe vers le contenu du premier (donc on peut avoir autant de hardlink qu'on veut sur le même fichier, la place disque utilisée n'est toujours que de la taille d'un seul fichier).<br>
Rsync lorsqu'il enverra, lors de la prochaine sauvegarde, un fichier modifié, utilisera un nom différent temporaire, avant de le renommer vers son nom normal. Ainsi, il ne va pas écraser le contenu du fichier hardlinké, car à la fin de la copie du fichier, Rsync supprime le fichier, puis renomme le fichier temporaire vers son nom normal.<br>

A ce moment là, on a sur le serveur 2 versions du même fichier : la version courante qui vient d'être sauvegardée dans <code>~/backup/current/repertoire/fichier</code> et la version précédente qui a été copiée par le script ci-dessus dans <code>~/backup/<la date du dernier backup>/repertoire/fichier</code>.

'''Plus d'explications''' :
* on a deux fichiers <code>current/toto</code> et <code>hier/toto</code> qui pointent vers le même contenu. Ces 2 fichiers (ou plus) on été obtenus suite au script de rotation, par la copie avec hardlinks. On a donc :
<code>current/toto --> contenu <-- hier/toto
\
'--------- avant-hier/toto
</code>
* si le fichier a été modifié, rsync va envoyer le nouveau fichier sous un nom temporaire <code>toto.tmp</code> (par exemple). On a donc :
<code>current/toto --> contenu <-- hier/toto
\
'--------- avant-hier/toto

current/toto.tmp --> nouveau contenu</code>
* ensuite, rsync supprime <code>current/toto</code> On obtient, par la magie des hardlinks :
<code> contenu <-- hier/toto
\
'--------- avant-hier/toto

current/toto.tmp --> nouveau contenu</code>
* enfin, <code>toto.tmp</code> est renommé en <code>toto</code> :
<code> contenu <-- hier/toto
\
'--------- avant-hier/toto

current/toto --> nouveau contenu</code>
* on obtient bien 2 versions différentes, celle d'hier et d'avant-hier (le fichier n'avait alors pas changé), et celle d'aujourd'hui.

Ainsi j'ai toujours les backup des 8 (réglable par la variable <code>KEEP</code> ci-dessus) derniers jours disponible. Je peux retrouver les dernières versions d'un fichier en cas de problème.
<br>
Si tu veux, tu peux reprendre ça dans ton article. [[Utilisateur:LeaJice|LeaJice]] 6 sep 2006 à 11:48 (CEST)

== en utilisant xdeltas ==

Sur Léa j'utilise un script du style :
<code>#!/bin/sh
FICHIERS="user@serveur:/path/to/backup-mysql.tar.bz2 user@serveur:/path/to/backup-www.tar.gz"

if [ ! "$1" = "--skip-download" ] ; then

rm -f *bz2 *gz
scp ${FICHIERS} .

DATE=$(date +"%Y%m%d")

mkdir ${DATE}
mv *bz2 *gz ${DATE}/

cd ${DATE}
for file in *bz2 ; do
echo -n "bunziping ${file} "
nice -n 19 bunzip2 ${file}
echo " [ok]"
echo -n "gziping ${file%%.bz2} "
nice -n 19 gzip ${file%%.bz2}
echo " [ok]"
done
cd ..

fi

DSTDIR=$(ls -dp * | grep -E "/\$" | sort | uniq | tail -n 2|head -n 1)
SRCDIR=$(ls -dp * | grep -E "/\$" | sort | uniq | tail -n 1)

echo "SOURCE DIR : ${SRCDIR}"
echo "DESTINATION DIR : ${DSTDIR}"

if [ -f ${DSTDIR}deltas ] ; then
source ${DSTDIR}deltas
DELTAS=$((DELTAS+1))
else
DELTAS=1
fi

if [ $DELTAS -gt 9 ] ; then
echo "Vous avez créé 10 deltas de suite, par sécurité je ne créee pas de deltas cette fois"
exit 0
else
echo "C'est votre delta n°${DELTAS}/10"
fi

echo "DELTAS=${DELTAS}" > ${SRCDIR}deltas

cd ${SRCDIR}
for file in *.gz ; do
if [ -f ../${DSTDIR}${file} ] ; then
echo -n "Création du delta : ../${DSTDIR}${file}.delta "
nice -n 19 xdelta delta ${file} ../${DSTDIR}${file} ../${DSTDIR}${file}.delta
echo "[ok]"
echo -n "J'efface : ../${DSTDIR}${file} "
rm ../${DSTDIR}${file}
echo "[ok]"
fi
done
cd ..
</code>
le script doit être lancé dans le répertoire où doivent se retrouver les backups et les backups doivent être en .bz2 ou .gz.
à chaque nouvel appel du script un répertoire est créé, et le dernier contient une version complète, les précédants des xdeltas entre la version n et la n+1

C'est quoi xdeltas ? [[Utilisateur:LeaJice|LeaJice]] 6 sep 2006 à 20:08 (CEST)

C'est l'équivalent de diff mais fonctionne aussi pour des fichiers binaires (et ça gère nativement le gzip pour faire le ''xdelta'' - aka: ''diff'')

Les sauvegardes

2006-09-08T17:42:33Z

Oudoubah (phorum) : completion tar

Les sauvegardes

2006-09-08T08:22:19Z

Oudoubah (phorum) :

Discussion:Les sauvegardes

2006-09-07T17:38:46Z

Oudoubah (phorum) :

salut ! est-ce que tu comptes parler des outils spécifiques des distributions, comme celui de Mandriva par exemple ? [[Utilisateur:LeaJice|LeaJice]] 5 sep 2006 à 20:40 (CEST)
Pas du tout dans le sens où les seules distribs que j'ai sous la main sont Arch et Debian. Par contre, je vais regarder un peu ce qui se fait avec des interfaces graphiques. [[Utilisateur:oudoubah|oudoubah]] 7 sep 2006 19h30

re. Tu pourrais ajouter dans ton § rsync un truc sur les ''sauvegardes incrémentales''. Je m'explique. Je fais un backup régulier sur un serveur sur le net. Dans la crontab de la machine à sauvegarder, vers 22h00, j'ai un rsync bien configuré (je te mettrai le script ici quand j'aurai accès à ma machine perso), qui fait un backup dans le répertoire <code>current</code> ; à la fin, il copie un fichier <code>backup_done</code> à la racine de mon compte sur le serveur, afin de dire au serveur que le backup a bien été fait.<br>
Côté serveur, j'ai ce script qui fait une rotation des backups (en cron tous les midi) :
<code>#!/bin/sh

if [ -f ~/backup_done ]; then
KEEP=8
DIR=~/backup

# arborescence :
# ~/backup/2006-04-03
# ~/backup/2006-04-04
# ~/backup/2006-04-05
# ~/backup/current

# calcule date du jour
DATE=`date --date=yesterday "+%Y-%m-%d"`

# crée le répertoire pour les backups du jour
mkdir $DIR/$DATE

# supprime les vieux directories
ls -d $DIR/2* | sort | head --lines=-$KEEP | xargs rm -rf

# copie (hard links) les données
cp -al $DIR/current/* $DIR/$DATE

# supprime le fichier flag
rm ~/backup_done

# on fait le rsync ensuite
fi</code>

Si le backup a été fait (présence du fichier <code>backup_done</code>, il effectue une rotation des backups.<br>
En utilisant le <code>cp</code> avec les hard links, on ne copie pas réellement les fichiers, mais on crée un deuxième fichier qui pointe vers le contenu du premier (donc on peut avoir autant de hardlink qu'on veut sur le même fichier, la place disque utilisée n'est toujours que de la taille d'un seul fichier).<br>
Rsync lorsqu'il enverra, lors de la prochaine sauvegarde, un fichier modifié, utilisera un nom différent temporaire, avant de le renommer vers son nom normal. Ainsi, il ne va pas écraser le contenu du fichier hardlinké, car à la fin de la copie du fichier, Rsync supprime le fichier, puis renomme le fichier temporaire vers son nom normal.<br>

A ce moment là, on a sur le serveur 2 versions du même fichier : la version courante qui vient d'être sauvegardée dans <code>~/backup/current/repertoire/fichier</code> et la version précédente qui a été copiée par le script ci-dessus dans <code>~/backup/<la date du dernier backup>/repertoire/fichier</code>.

'''Plus d'explications''' :
* on a deux fichiers <code>current/toto</code> et <code>hier/toto</code> qui pointent vers le même contenu. Ces 2 fichiers (ou plus) on été obtenus suite au script de rotation, par la copie avec hardlinks. On a donc :
<code>current/toto --> contenu <-- hier/toto
\
'--------- avant-hier/toto
</code>
* si le fichier a été modifié, rsync va envoyer le nouveau fichier sous un nom temporaire <code>toto.tmp</code> (par exemple). On a donc :
<code>current/toto --> contenu <-- hier/toto
\
'--------- avant-hier/toto

current/toto.tmp --> nouveau contenu</code>
* ensuite, rsync supprime <code>current/toto</code> On obtient, par la magie des hardlinks :
<code> contenu <-- hier/toto
\
'--------- avant-hier/toto

current/toto.tmp --> nouveau contenu</code>
* enfin, <code>toto.tmp</code> est renommé en <code>toto</code> :
<code> contenu <-- hier/toto
\
'--------- avant-hier/toto

current/toto --> nouveau contenu</code>
* on obtient bien 2 versions différentes, celle d'hier et d'avant-hier (le fichier n'avait alors pas changé), et celle d'aujourd'hui.

Ainsi j'ai toujours les backup des 8 (réglable par la variable <code>KEEP</code> ci-dessus) derniers jours disponible. Je peux retrouver les dernières versions d'un fichier en cas de problème.
<br>
Si tu veux, tu peux reprendre ça dans ton article. [[Utilisateur:LeaJice|LeaJice]] 6 sep 2006 à 11:48 (CEST)

== en utilisant xdeltas ==

Sur Léa j'utilise un script du style :
<code>#!/bin/sh
FICHIERS="user@serveur:/path/to/backup-mysql.tar.bz2 user@serveur:/path/to/backup-www.tar.gz"

if [ ! "$1" = "--skip-download" ] ; then

rm -f *bz2 *gz
scp ${FICHIERS} .

DATE=$(date +"%Y%m%d")

mkdir ${DATE}
mv *bz2 *gz ${DATE}/

cd ${DATE}
for file in *bz2 ; do
echo -n "bunziping ${file} "
nice -n 19 bunzip2 ${file}
echo " [ok]"
echo -n "gziping ${file%%.bz2} "
nice -n 19 gzip ${file%%.bz2}
echo " [ok]"
done
cd ..

fi

DSTDIR=$(ls -dp * | grep -E "/\$" | sort | uniq | tail -n 2|head -n 1)
SRCDIR=$(ls -dp * | grep -E "/\$" | sort | uniq | tail -n 1)

echo "SOURCE DIR : ${SRCDIR}"
echo "DESTINATION DIR : ${DSTDIR}"

if [ -f ${DSTDIR}deltas ] ; then
source ${DSTDIR}deltas
DELTAS=$((DELTAS+1))
else
DELTAS=1
fi

if [ $DELTAS -gt 9 ] ; then
echo "Vous avez créé 10 deltas de suite, par sécurité je ne créee pas de deltas cette fois"
exit 0
else
echo "C'est votre delta n°${DELTAS}/10"
fi

echo "DELTAS=${DELTAS}" > ${SRCDIR}deltas

cd ${SRCDIR}
for file in *.gz ; do
if [ -f ../${DSTDIR}${file} ] ; then
echo -n "Création du delta : ../${DSTDIR}${file}.delta "
nice -n 19 xdelta delta ${file} ../${DSTDIR}${file} ../${DSTDIR}${file}.delta
echo "[ok]"
echo -n "J'efface : ../${DSTDIR}${file} "
rm ../${DSTDIR}${file}
echo "[ok]"
fi
done
cd ..
</code>
le script doit être lancé dans le répertoire où doivent se retrouver les backups et les backups doivent être en .bz2 ou .gz.
à chaque nouvel appel du script un répertoire est créé, et le dernier contient une version complète, les précédants des xdeltas entre la version n et la n+1

C'est quoi xdeltas ? [[Utilisateur:LeaJice|LeaJice]] 6 sep 2006 à 20:08 (CEST)

C'est l'équivalent de diff mais fonctionne aussi pour des fichiers binaires (et ça gère nativement le gzip pour faire le ''xdelta'' - aka: ''diff'')

Les sauvegardes

2006-09-07T17:26:30Z

Oudoubah (phorum) : compléments 1

Proposition d'article

2006-09-05T19:27:28Z

Oudoubah (phorum) : /* Rubrique : Administrer */

Les sauvegardes

2006-09-05T19:25:51Z

Oudoubah (phorum) : /* la commande tar */

Les sauvegardes

2006-09-05T17:31:47Z

Oudoubah (phorum) : Début de rédaction

Proposition d'article

2006-09-05T17:09:40Z

Oudoubah (phorum) : /* Rubrique : Administrer */

Tenir compte de la sécurité au quotidien

2006-07-01T17:03:29Z

Oudoubah (phorum) :

== Introduction ==
Un ordinateur n'est jamais en sécurité, quand bien même on croit qu'il l'est. Un dicton informatique ne dit-il pas que le maillon le plus faible dans un système informatique est l'utilisateur ? D'ailleurs il est courant d'entendre dire que "l'ordinateur le plus sécurisé, c'est celui qui n'est pas branché à un réseau, qu'il soit ethernet ou électrique" ! Cette fiche est là pour connaître les différents risques que l'on court en ayant un ordinateur, connecté à un réseau ou non, ainsi que pour se parer contre toute attaque et enfin pour savoir comment nettoyer l'ordinateur d'une attaque que l'on vient de subir.

Pour tout le document (et de manière générale), il est évidemment conseillé de lire les pages de manuel des commandes avant de poser des questions.
Lisez aussi les articles connexes en cliquant sur les hyperliens dans le texte car dans ce document je ne m'étale justement pas sur les sujets pour lesquels il existe déjà un article.

== Les bases ==
=== Connaître son système ===
D'abord et avant tout il faut être à l'aise avec les concepts essentiels de [http://fr.wikipedia.org/wiki/Linux linux]. Cela permettra d'une part de mieux connaître et comprendre ce que nous faisons et d'autre part de mieux réagir en cas d'attaque. Donc documentez vous sur ce système et son langage de commande ([[Admin-admin_env-shell|shell]]).Lisez aussi la documentation expliquant ce que sont [[Admin-admin_boot-daemons|les démons et comment ils fonctionnent]]. Voyez comment fonctionne un réseau, ce que sont les ports réseau, les permissions des fichiers, ce que sont les failles de sécurité des logiciels, etc.

=== Sécuriser son boot ===

Si l'accès physique à la machine est une faille, il faut d'une part configurer son bios. Celui-ci ne doit autoriser que le boot sur disque dur, et doit être protégé par mot de passe.
Grub permettant d'éditer manuellement le boot (périphérique de démarrage, noyau, options pour l'init...), il est nécessaire de le protéger par mot de passe afin qu'on ne puisse pas modifier les configurations prédéfinies.

=== Partitionnement conséquent ===
À l'installation du système, il faut bien réfléchir au partitionnement des disques. Les données statiques (binaires, fichiers de configuration, etc.) seront sur une partition montée en lecture seule pour éviter toute modification :
* /bin
* /boot
* /lib
* /sbin
* /usr
Eventuellement d'autres dossiers, selon la distribution.

Lorsque l'accès physique à la machine est une faille potentielle de sécurité, il n'est pas une mauvaise idée que de créer une partition dédiée à /etc , qui serait formatée en un système de fichiers chiffré (voir [http://www.tldp.org/HOWTO/Encrypted-Root-Filesystem-HOWTO/ Encrypted root filesystem howto]).

=== Permissions ===
De manière générale, éviter autant que possible le ''sticky bit'', qui permet d'exécuter un programme avec les droits de root alors qu'on est connecté en simple utilisateur.

<cadre>'''sticky bit :''' droit donné à un fichier exécutable d'utiliser les droits de l'administrateur.</cadre>

Utiliser chroot pour les services et les utilisateurs distants qui doivent avoir un accès restreint à la machine : [[Admin-admin_env-chroot]]

=== Utilisateurs ===
Vérifier que root n'est pas autorisé à se connecter. Utiliser sudo pour les tâches d'administration.

=== N'installer que le strict nécessaire ===
Chaque bout de code est potentiellement une faille. C'est pour cela que moins il y a de logiciels installés, plus le risque d'avoir une faille est réduit. Un exemple courant pour faire comprendre le principe est que sur un serveur il n'est généralement nul besoin de serveur X. Un autre exemple, dans un environnement unix il n'est nul besoin de serveur Samba.
Une fois le ménage fait dans votre installation, il faut bien configurer ses logiciels.

== Bien configurer ses démons ==
[[Reseau-web-Apache_protec|Sécuriser Apache]].

Utilisez [[Reseau-secu-ssh|ssh/sshd]] plutôt que <code>telnet</code>. En effet, ce dernier ne chiffre pas ses flux de données, contrairement à ssh, ce qui permet grâce à un simple sniffeur réseau de voler identifiants et mots de passe via le réseau.

Les serveurs de fichiers (ou apparents) tels <code>Samba</code>, <code>NFS</code> ou encore <code>FTP</code> ne doivent accepter de connexion que des utilisateurs enregistrés : une section est prévue à cet effet dans le fichier de configuration de chaque serveur. Il est préférable de faire ceci, même si les services n'autorisent que les connexions locales et même si l'authentification des utilisateurs est déjà limitée : mieux vaut trop de sécurité que pas assez. Si vous cherchez à faire du transfert de fichiers de manière sécurisée, préférez <code>scp</code> (qui est en fait une manière d'utiliser le protocole ssh).

Si vous utilisez vnc, préférez le faire de manière sécurisée : [[Reseau-resau_plus-vnc|vnc au-dessus de ssh]].

== Barrer la route aux connexions non souhaitées ==
Une fois limité les ports réseau attendant des connexions, il faut mettre en place un firewall filtrant grâce à iptables (ou autre). Netfilter est le nom de la couche du noyau qui permet de filtrer tout ce qui passe par les interfaces réseau, tandis que iptables est une interface permettant de piloter Netfilter. Ne pas confondre, donc.
Des articles ont déjà été écrits à ce propos :
* [[Reseau-secu-iptables|iptables par l'exemple]]
* [[Reseau-secu-murdefeu|Mur de feu pas à pas]]
* [[Leapro-pro_reseau-qos|QoS via iptables]]

De manière très succincte, il faut fermer tous les ports puis ouvrir ceux dont on a besoin : le port 80 (et le 443 pour du https) doit être ouvert si l'on a un serveur web, le port 110 si l'on a un serveur pop dont on veut qu'il soit accessible d'internet, etc.

Voici un bon script de base qu'on peut adapter :
<code>#!/bin/sh
# firewall v1.0.1 Oct 13 09:48:57 PDT 2003 written by : Kernel <kernel@trustonme.net>
# this script is free software according to the GNU General Public License (see [www.gnu.org])
# Start/stop/restart/status firewall:

firewall_start() {

echo "[Démarrage du firewall]"

############################### REGLES PAR DEFAUT ###########################

echo "[Initialisation de la table filter]"
iptables -F
iptables -X

echo "[Politique par défaut de la table filter]"

# On ignore tout ce qui entre ou transite par la passerelle
iptables -P INPUT DROP
iptables -P FORWARD DROP

# On accepte, ce qui sort
iptables -P OUTPUT ACCEPT

# Pour éviter les mauvaises suprises, on va autoriser l'accès à la loopback :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

############################### LOCAL-INTERNET ###########################

echo "[On autorise les clients à accéder à internet]"

#On créé une nouvelle chaîne, le nom est indifférent
# appelons-la "local-internet"
iptables -N local-internet

# On définit le profil de ceux qui appartiendront à "local-internet"
# "local-internet" concerne toutes les connections sauf celles venant d'internet ( ! = non)
# En gros avec ça, vous rendez, vos serveurs inaccessibles depuis internet.
# Pas de panique, certains serveurs seront autorisés explicitement dans la suite.
# (Remplacer ppp0 en fonction de votre configuration)
iptables -A local-internet -m state --state NEW -i ! ppp0 -j ACCEPT

#Evidemment, une fois acceptées comme "local-internet", les connections peuvent continuer
# et faire des petits :
iptables -A local-internet -m state --state ESTABLISHED,RELATED -j ACCEPT

# On termine en indiquant que les connections appartenant à "local-internet"
# accèdent à internet de manière transparente.
iptables -A INPUT -j local-internet
iptables -A FORWARD -j local-internet

############################### LES TABLES NAT ET MANGLE #############################

echo "[Initialisation des tables nat et mangle]"

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

#################################### LE MASQUERADING ########################################

# Commentez ces 2 lignes, si vous ne faîtes pas du masquerading (nat)
#echo "[Mise en place du masquerading]"
#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

################################# ACTIVATION DE LA PASSERELLE ##################

#echo "[Activation de la passerelle]"
#echo 1 > /proc/sys/net/ipv4/ip_forward

################################# PAS DE SPOOFING ############################

echo "[Pas de spoofing]"
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi

########################## PAS DE SYNFLOOD ####################

echo "[Pas de synflood]"
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

################################## PAS DE PING ###############################

# commentez ces 6 lignes, si vous autorisez les pings sur votre passerelle
echo "[Pas ping]"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
fi

############# Priorisation de la bande passante et des connections - QoS ############

echo "[priorisation des connections ssh ...]";
iptables -A PREROUTING -t mangle -p tcp --sport 443 -j TOS --set-tos Minimize-Delay

echo "[priorisation des connections http ...]";
iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos Maximize-throughput
iptables -A PREROUTING -t mangle -p tcp --sport 3129 -j TOS --set-tos Maximize-throughput

############################ Fonctionnalités serveurs #####################################

echo "[Etude des fonctionalités serveurs, visibles depuis internet]"

# A ce stade, tous vos clients du réseau local et de la passerelle ont accès à internet. Mieux,
# vos clients du réseau local, ont accès à vos serveurs apache, proftp ... localement. Mais personne
# depuis internet ne peux accéder à l'un des serveurs que vous hébergez.

# Il est bien-sûr possible de dévérrouiller pontuellement l'accès à un serveur depuis internet,
# en décommentant les 2 ou 3 lignes correspondantes.

#echo "[autorisation du serveur ssh(22) ...]"
#iptables -A INPUT -p tcp --dport ssh -j ACCEPT

#echo "[autorisation du serveur smtp(25) ...]"
#iptables -A INPUT -p tcp --dport smtp -j ACCEPT

#echo "[autorisation du serveur http(80) ...]"
#iptables -A INPUT -p tcp --dport www -j ACCEPT

#echo "[autorisation du serveur https(443) ...]"
#iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#echo "[autorisation du serveur DNS(53) ...]"
#iptables -A INPUT -p udp --dport domain -j ACCEPT
#iptables -A INPUT -p tcp --dport domain -j ACCEPT

#echo "[autorisation du serveur irc(6667) ...]"
#iptables -A INPUT -p tcp --dport ircd -j ACCEPT

#echo "[autorisation du serveur cvs (2401) ...]"
#iptables -A INPUT -p tcp --dport cvspserver -j ACCEPT

#echo "[autorisation du serveur FTP(21 et 20) ...]"
#iptables -A INPUT -p tcp --dport ftp -j ACCEPT
#iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT

# Ne pas décommenter les 3 lignes qui suivent.
# Plus généralement :
#echo "[autorisation du serveur Mon_truc(10584) ...]"
#iptables -A INPUT -p tcp --dport 10584 -j ACCEPT

#echo "[autorisation du serveur aMule (4662/tcp) ...]"
#iptables -A INPUT -p tcp --dport 4662 -j ACCEPT

#echo "[autorisation du serveur BitTorrent (6881-6889/tcp) ...]"
#iptables -A INPUT -p tcp --dport 6881:6889 -j ACCEPT

echo "[firewall activé !]"
}

firewall_stop() {

iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

echo " [firewall descativé!]"
}

firewall_restart() {
firewall_stop
sleep 2
firewall_start
}

case "$1" in
'start')
firewall_start
;;
'stop')
firewall_stop
;;
'restart')
firewall_restart
;;
'status')
iptables -L
iptables -t nat -L
iptables -t mangle -L
;;
*)
echo "Usage: firewall {start|stop|restart|status}"
esac</code>
Ce script est à mettre généralement dans un fichier du dossier <code>/etc/init.d/</code> .

== La compromission des logiciels ==
=== Les logiciels binaires ===
Il faut savoir qu'en informatique il existe des logiciels malveillants. Ils sont appellés généralement virus, vers ou encore chevaux de Troie mais aussi rootkits sous un système unix.
Ce type de logiciel ([http://fr.wikipedia.org/wiki/Logiciel_malveillant malware] en anglais) n'existe quasi exclusivement que sous windows. Certains virus fonctionnent et infectent les systèmes linux, mais leur nombre est très réduit. De toute manière, se servant généralement de failles du système, ce genre de logiciel ne se propage que très peu sous linux, puisque dès la découverte d'une faille celle-ci est corrigée très rapidement. Ce qui n'est pas le cas des systèmes windows.
Enfin il faut être vigilant car les utilisateurs peuvent toujours recevoir des virus par e-mail et les lancer, parce-qu'ils ne sont pas informés sur les risques. Cependant, ce n'est généralement pas bien dangereux, puisque le virus étant exécuté avec les permissions de l'utilisateur il ne peut pas faire plus que ce que l'utilisateur en question ne pourrait (au pire, les données dudit utilisateur sont effacées par le virus).

Un antivirus n'est donc nécessaire que si l'ordinateur est en dual boot avec windows. En revanche, il n'est jamais mauvais d'installer et de lancer régulièrement ''chkrootkit'', qui vérifie la présence de [http://fr.wikipedia.org/wiki/Rootkit rootkits].

<cadre info>'''rootkits :''' logiciels permettant d'utiliser une faille de sécurité pour obtenir les droits de l'administrateur (root).</cadre>

Le noyau étant aussi un binaire, le recompiler en ne laissant que le nécessaire n'est pas une mauvaise initiative. De plus, cela permet d'appliquer des patchs qui sécurisent le noyau à plusieurs niveaux -- on peut citer en exemple [http://fr.wikipedia.org/wiki/Grsecurity grsecurity] et [http://www.nsa.gov/selinux/ SELinux].

=== Les logiciels interprétés (scripts) ===
Si la machine possède un serveur apache fournissant des pages dynamiques (cgi mais surtout php et autres langages de script web. En fait, cgi est parfois sous la forme d'un binaire, mais souvent sous forme de script) il faut se méfier des attaques du type injection de code.

Veillez aussi à ne pas avoir de script contenant un mot de passe codé en clair !
Parfois, lorsque votre mot de passe est demandé (en l'occurence pour sudo) et que vous savez qu'on va vous le demander, vous tapez celui-ci sans regarder l'écran. Sauf que le terminal présente un prompt et non un "please type your password:", car vous avez tapé la commande trop vite, ou mal. Donc si par malheur vous avez tapé votre mot de passe (alors en clair) et que vous avez validé -- le shell retournant naturellement "commande inconnue" -- il vous faut éditer votre fichier <code>~/.bash_history</code> pour y supprimer le mot de passe.

== Les méthodes des pirates ==
Vérifier la présence de [http://fr.wikipedia.org/wiki/Keylogger keylogger]. C'est un logiciel chargé de détecter et logger les touches pressées au clavier. Vous imaginez donc aisément le problème : les identifiants et mots de passe tapés au clavier sont alors facilement accessibles pour l'attaquant. Attention cependant : même si aucun logiciel de ce type n'est détecté, la présence d'un keylogger matériel est possible. Vérifiez en suivant le cordon du clavier jusqu'à l'ordinateur : s'il est directement relié à celui-ci, c'est bon. Sinon, s'il y a un petit câble avec un petit boîtier, il est fort probable que c'est un keylogger.
L'[http://fr.wikipedia.org/wiki/Ing%C3%A9nierie_sociale ingéniérie sociale] est une méthode consistant à profiter de la crédulité des gens, qui souvent écrivent leurs mots de passe sur un bout de papier et le laissent à proximité de l'ordinateur. D'autres sont par exemple appelés par l'attaquant, se faisant alors passer pour le service technique de l'entreprise, qui prétend avoir besoin du mot de passe de l'utilisateur pour faire des tests.

== Que faire en cas d'attaque ? ==
=== Détecter les intrusions, connaître les outils ===
==== logcheck ====
<code>logcheck</code> est un outil qui scrute les logs, en fait un résumé et envoie un courriel à l'administrateur (généralement root en local) régulièrement. Evidemment, il est possible de configurer le niveau de ce qui est rapporté.

==== fcheck ====
C'est un utilitaire qui notifie l'administrateur en cas de modification de fichiers. On précise dans le fichier de configuration quels fichiers ou dossiers on veut surveiller et un mailest envoyé en cas de changement.

==== chkrootkit ====
C'est un logiciel important, puisqu'il détecte la présence de rootkits. Son principe de fonctionnement est l'écoute des ports réseau. Relativement souvent, cependant, des logiciels tels les clients peer2peer sont détectés comme une menace, bien qu'ils soient innofensifs. En effet, ils utilisent des ports qui ne sont pas "officiellement" connus (contrairement au port 80, par exemple, qui est celui de tout serveur web). Donc pas d'affollement.

==== Les systèmes de détection d'intrusion (IDS, pour ''Intrusion Detection System'') ====
Un IDS est un logiciel qui a pour but de détecter de manière active toute intrusion dans le système. On peut citer par exemple snort et tiger mais il en existe d'autres.

==== who ====
La commande <code>who</code> ou <code>w</code> permet de voir les utilisateurs actuellement connectés (loggés) au système. Attention cependant car un agresseur peut être -- et l'est certainement si c'est le cas -- connecté sous votre nom, s'il est parvenu à s'immiscer dans votre système.

==== netstat ====
La commande <code>netstat</code> est une commande qui liste toutes les connexions réseau actives sur votre machine ainsi que l'état dans lequel elles sont (listening, connected, established, etc.) :
<code>Proto Recv-Q Send-Q Adresse locale Adresse distante Etat
tcp 0 0 0.0.0.0:3129 0.0.0.0:* LISTEN
tcp6 0 0 :::443 :::* LISTEN</code>
On voit ici par exemple que le port 3129 écoute (LISTEN) sur la machine locale (0.0.0.0) et que le port 443 en fait de même.
Vérifiez les connexions actives, les ports ouverts, et faites le lien avec vos démons et autres programmes qui tournent. Si un port ne vous dit rien, informez-vous.

==== lsof ====
La commande <code>lsof</code> liste tous les fichiers ouverts actuellement. Elle indique aussi quel utilisateur utilise quel fichier.
<code>COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
init 1 root mem REG 3,65 31432 1720343 /sbin/init
apache2 597 root mem REG 3,65 385484 25423 /usr/sbin/apache2</code>
Les informations parlent d'elle-mêmes. Ce sont deux cas précis parce-que le processus <code>init</code> a le fichier <code>/sbin/init</code> d'ouvert (de même pour apache).

==== ps ====
La commande <code>ps</code> liste tous les processus actuellement en cours d'exécution sur le système. S'il en est un que vous ne connaissez pas, identifiez-le. Si vous ne savez toujours pas ce que c'est, pas d'affollement : utilisez la commande <code>lsof</code> et voyez si vous trouvez des fichiers en rapport avec ce processus. Vous pouvez alors identifier le processus et déterminer si c'est un processus "innofensif". Si ce n'est pas le cas, vous pouvez supprimer les fichiers qu'il faut. Attention toutefois à bien être certain que ce soit un logiciel malveillant que vous supprimez ! En revanche, si c'est un logiciel qui s'est fait infecter (par exemple apache) il suffit de réinstaller celui-ci, après avoir vidé le cache des paquets de votre gestionnaire de packages. Vérifiez aussi la configuration après réinstallation. Nul besoin de redémarrer, sauf si évidemment c'est le noyau qui est corrompu, chose qui est à mon avis très rare.

=== Localiser le problème et nettoyer ===
Grâce aux outils précédents il est plus ou moins facile de localiser d'où vient le problème. On peut alors agir en conséquence, à savoir tuer les processus incriminés et supprimer les logiciels correspondants. Au préalable on peut aussi, si l'on est curieux, regarder ce qu'a fait l'attaquant : il a certainement laissé des traces que l'on peut examiner pour mieux comprendre.

== Voir aussi ==
[http://fr.wikipedia.org/wiki/Cat%C3%A9gorie:Logiciel_de_s%C3%A9curit%C3%A9_informatique La page des logiciels de sécurité informatique sur Wikipédia]

== Conclusion ==
Même si l'on connaît les risques, il est toujours impératif de rester sur ses gardes. De nouvelles menaces apparaissent régulièrement, de nouvelles failles sont découvertes chaque jour, de nouveaux virus aussi, etc. L'avenir nous dira si un jour on aura des ordinateurs sûrs à 100%, chose qui n'est pas impossible mais cependant improbable.