Station Debian 7

station Debian 9 - Installation

Tux the Penguin by Carlos Pardo

J'utilise Linux non par satisfaction philosophique, mais pour trois raisons :

ça marche, ça marche à chaque fois, et ça marche à chaque fois de la même manière.

Kha.

station Debian 9 - Installation édition 71 du 04/12/17 stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 1 sur 56 Indice Validation Objet 1 09/09/17 Édition initiale sr 62 13/11/17 Ajoût VM Debian 8 avec Guest Additions, corrections diverses sr 69 04/12/17 Corrections diverses sr 71

Étapes de mise à jour du tableau d'historique. Avant toute modification du document : – Positionner le curseur sur l'avant dernière ligne du tableau (celle au dessus de « Édition courante ») ; – Créer une nouvelle ligne dans le tableau ; – Sélectionner et copier la dernière ligne, de « Validation » à « Email » (tout sauf la première colonne) ; – Positionner le curseur sur l'avant dernière ligne, dans la colonne « Validation » ; – Coller ; Reporter l'indice de la dernière ligne dans la nouvelle ligne.

Impression 25/09/17 - 18:39 Édition SR71- 107:49:28

« Be seeing you » Number six, The prisoner - « I have been studying how I may compare this prison where I live unto the world » - Richard II, Act V

Environnemments 1 Généralités...... 6 1.1 Darwin à l'oeuvre...... 6 1.2 Philosophie...... 7 1.3 Ergonomie...... 8 2 Stations...... 9 2.1 ro1- Dell Latitude E7270 16 Go RAM...... 9 2.2 ro2 - Dell Latitude E7270 16 Go RAM...... 9 2.3 ro3 - CM ASUS P6 12 Go RAM + 2 Iliyama 27’’ HD + Videoproj. Benq HD...... 9 2.4 ro4 - Dell Optiplex 780 16 Go RAM + 2 Ultrasharp 20,5’’ paysage & 19’’ portrait...... 9 2.5 ro5 - Dell Optiplex 380 8Go RAM + 2 Ultrasharp 20,5’’ paysage & 19’’ portrait...... 9 2.6 ro9 - NUC Intel 7i5BNH 32 Go RAM + 1 Acer ET430K 43’’ 4K...... 9 3 VM...... 11 3.1 Debian 8...... 11 Système 1 Installation...... 15 1.1 À partir d’un support...... 15 1.2 À partir d’une image...... 15 2 Paquets...... 15 2.1 Dépôts...... 15 2.2 Base d’utilitaires...... 16 3 Console...... 16 4 Groupes & Utilisateurs...... 16 4.1 Création de l'administrateur {AD}...... 16 4.2 Paramétrage de l’utilisateur {US}...... 17 5 Hardware...... 17 5.1 Mise en sommeil des disques mécaniques...... 17 5.2 Hddtemp...... 19 5.3 Lm-sensors...... 19 5.4 Smartmontools...... 19 Graphique 1 Base...... 20 1.1 Écrans...... 20 1.2 Fonds d’écrans et images utilisateurs...... 21 2 OpenBox...... 22 2.1 Paramétrage X11...... 22 2.2 Autostart...... 24 2.3 ObMenu...... 26 3 Environnement...... 26 3.1 Tint2...... 26

station Debian 9 - Installation

édition 71 du 04/12/17 stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 3 sur 56 3.2 Idesk...... 30 3.3 Conky...... 32 3.4 Gnome System Monitor...... 32 3.5 Xscreensaver...... 33 Son 1 Base...... 35 2 Alsa...... 36 3 PulseAudio...... 37 Sécurité 1 Base...... 38 1.1 Aide...... 38 1.2 ChkRootkit [Installé]...... 38 1.3 ClamAV [Installé]...... 38 1.4 RkHunter [Installé]...... 40 Réseau 1 Base...... 41 2 NetworkManager...... 41 2.1 Installation...... 41 2.2 Paramétrage...... 42 3 ProtonVPN...... 42 3.1 Paramétrage...... 42 3.2 Contrôle des fuites DNS...... 42 4 Samba...... 43 4.1 Installation des paquets...... 43 4.2 Paramétrage Samba...... 43 4.3 Paramétrage des accès aux répertoires partagés...... 43 Multi-fonctions, imprimantes et scanners 1 Équipements...... 44 2 Gestionnaire d’impression...... 44 2.1 Installation des paquets...... 44 2.2 Installation des imprimantes...... 45 2.3 Imprimante PDF...... 45 3 Brother MFC 8950DW...... 45 3.1 Imprimante...... 45 3.2 Scanner...... 46 4 Epson Workforce Pro WF-8590 Postscript...... 47 4.1 Imprimante...... 48 4.2 Scanner...... 49 5 Gestionnaire de numérisation...... 50 5.1 Installation...... 51 5.2 Paramètrage...... 51 Référence 1 ToDo List...... 53

station Debian 9 - Installation

édition 71 du 04/12/17 stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 4 sur 56 1.1 Samba : utilisation login et mot de passe utilisateur pour accéder aux partages...... 53 1.2 Sécurité : faire le point des outils sécurité...... 53 2 Anomalies...... 53 2.1 LightDM : Taille du curseur trop importante avec un écran 4K...... 53 2.2 Gscan2pdf : scanner réseau Brother non reconnu avec paramètre --device=...... 53 3 Network Manager...... 54 4 ProtonVPN...... 55 5 Retour d’expérience...... 55

station Debian 9 - Installation

édition 71 du 04/12/17 stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 5 sur 56 Environnemments

1 Généralités

Les environnements suivants ont été utilisés :

1980 – 1982 Atom Acorn Bios + Asm 6502 1982 – 1984 Apple ][ Bios + Asm 6502 1984 – 1986 Sinclair QL Q-Dos + Asm 68008 1986 – 1986 4341 DOS/VSE + Asm 370 CDI 1986 – 1995 PC Ms-Dos STF, ATS 1995 – 1999 PC Windows NT 3.51 MRT 1998 – 1999 PC Debian 2 + WindowMaker 2000 – 2005 PC Windows NT 5.0 (2000) EDR 2006 – 2013 PC Windows NT 5.1 (XP) SRI, SRG 2006 – 2013 PC Ubuntu 6.06, 8.04, 10.04 2013 – 2014 Apple OSX Mavericks SRG 2015 – 2016 PC Debian 7 + WindowMaker SRG 2016 – 2017 PC Windows NT 6.1 (Seven) SRG 2017 – 20xx PC Debian 9 + Openbox SRG, SOW

Dans les périodes où nous utilisions principalement un environnement de station Windows ou OSX, nous avons quasiment toujours eu un environnement secondaire de station GNU/Linux De - bian. Dès la fin 1991, un « premier contact » avait été établi avec les fameuses paires de disquettes 5,25’’ « boot » et « root », que l’on créait « from scratch » à partir de fichiers « raw ».

1.1 Darwin à l'oeuvre Les premiers systèmes utilisés, fondés sur le Rockwell 6502, quelques cartes embarquées Motorola 6809 et Motorola 68008 ont permit de se dégrossir.

Le Motorola 68000 reste, encore aujourd’hui, un excellent souvenir et a permis de programmer avec le meilleur assembleur jamais utilisé (la plupart des mnémoniques étaient orthogonales et l’es - pace d’adressage était banalisé - disons que tout opposait Intel à Motorola de ce point de vue, l’as - sembleur Intel étant une sorte d’antichambre de l’enfer).

Les PC avec Intel x86 et Ms-Dos ont représenté une fantastique régression par rapport au Sinclair QL, avec son Motorola 68008 et son Q-Dos et Superbasic multi-tâches, mais il fallait gagner sa vie.

Ms-Dos était, vers la fin, souvent utilisé avec une configuration double écran (un couleur et un mo - nochrome pour les sorties debug) et Sidekick en éditeur résident (activable par double-shift), ce qui permettait d’avoir le programme, l’éditeur de sources et le debug sur trois espaces d’affichage dis - tincts et immédiatement accessibles, le tout en réseau et relié à un serveur de fichiers d’abord sous Ms-Dos, puis sous OS/2, permettant enfin d’avoir un serveur fiable, multi-tâche et performant.

Les Windows 3.x et 9.x n’ont jamais été utilisés. Il y a des limites au masochisme (sic).

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 6 sur 56 Windows NT, dans la version originale de son créateur Dave Cutler, a représenté une sorte d’idéal avec NT 3.51 sp6 (des uptimes infinis et une légèreté en consommation de ressources exception - nelle). Ensuite les équipes Microsoft ont pris le relais, l’ignoble (en termes de fiabilité) interface Windows 98 est apparue avec Windows NT 4 et la qualité logicielle a commencé à s’écrouler.

D’une manière générale, il devint prudent d’attendre plusieurs années pour obtenir un système Windows stable (cf Windows XP sorti en 2001, fiable en 2006 avec son sp2, sous réserve d’être bien configuré).

Mais l'obsolescence programmée de - l’inutilement complexe et prétentitieux - Windows 7, ainsi que les trop nombreuses failles de sécurité, en conjonction à l'adoption systématique de logiciels libres et multi-plateformes, permettent désormais de passer à autre chose, et d’éviter Windows 10, le système d’exploitation le plus bloaté au monde.

Concernant OSX, qui est bien pour ce quoi il est commercialement incontournable, comme la musique (à cause de logiciels commerciaux comme Ableton Live, indisponible sous Linux), n’est pas non plus un OS très recommandable. Il n'est pas un vrai Unix et dispose d’outils GNU vieillots. Quoique fiable avec des logiciels natifs OSX, il n'est pas fiable dès qu'on utilise trop de logiciels libres (non natifs OSX). Enfin, il est incroyablement inefficient en réseau SMB avec les outils fournis en standard (type Finder).

Ces dernières années, des tentatives ont été faites : - Xubuntu s'est révélé décevant et peu fiable ; - Debian 7 + WindowMaker a été (et est toujours) une excellente combinaison mais, dans le cadre plus vaste d'utilisateurs variés, Windowmaker n'est pas facilement adoptable (interface consi - dérée comme datée et possédant une ergonomie non standard) ; - Qube-OS, système novateur et hautement sécurisé, a des contraintes importantes pour un usage stantdard : utilisation fortement conseillée de l'interface PS/2 pour le clavier (ok pour des portables, impossible pour des stations type NUC), problèmes aux très hautes résolutions (4K), sur les vi - déos, problème autour des USB, etc...

En affinant nos besoins, avec un inventaire précis des applications et des alternatives, il est apparu qu’une base Debian 9 Stretch correspondait aux fondations d’une station graphique performante.

De là à en faire -enfin- notre environnement professionnel principal, il n’y avait plus qu’un pas...

1.2 Philosophie La ligne directrice est KISS1. C’est à dire un système GNU/Linux Debian, épuré des stigmates habituels des distributions « toutes prêtes », sans les classiques bloatwares Gnome ou KDE.

Au démarrage Grub est doté d’une image de fond d’écran configurable et, compte tenu de la rapi - dité de boot sur un SSD, aucun « boot graphique animé » ne sera installé.

Puis un environnement graphique très simple à configurer et ultra léger est chargé : LightDM en gestionnaire de session et OpenBox en gestionnaire de bureau.

1 Keep It Simple Stupid.

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 7 sur 56 L’utilisateur disposera de toutes les applications bureautiques et de tous les utilitaires nécessaires, via un tableau d’équivalence entre Windows et Linux disponible dans la documentation, afin de personnaliser son compte.

La gestion des paquets et des utilisateurs étant administratives (et donc gérées par un administra - teur), il n’y aura pas, volontairement, de gestionnaire graphique utilisateur pour ces services.

Les applications fondées sur Gtk sont favorisées. Aucune application Kde n’est employée. Dans de rares cas, Qt est utilisé.

1.3 Ergonomie L’espace de travail comporte quatre bureaux par défaut (leur nombre est modifiable par l’utilisa - teur). Ces bureaux ont un fond d’écran personnalisable.

Les bureaux sont exempts d’icônes d’application et de dossiers. Cette disposition permet de mettre fin à une abberation ergonomique qui obligeait l’utilisateur à minimiser les fenêtres pour voir ses icônes. Par ailleurs, l’utilisateur ne peut plus utiliser le bureau comme une « poubelle à documents », pratique dangereuse car il est alors très facile d’effacer irrémédiablement un dossier.

Les applications sont accessibles par un menu thématique, disponible à n’importe quel moment par un clic droit sur le bureau (à l’instar de WindowMaker). Les thèmes suivants sont proposés :

Une barre de tâche est présente en bas d’écran. A gauche, cette barre propose des icones de « lancement rapide » pour les applications les plus utilisées, ainsi que l’affichage du bureau courant ;

Les applications les plus utilisées sont définies par l’utilisateur, grâce au men Au milieu, les applications en cours d’utilisation sont affichées, un clic gauche les sélectionne, un clic droit les ferme.

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 8 sur 56 A droite, les icones de notifications apparaissent, avec la date et l’heure.

Il n’y a pas de menu « démarrer », d’ailleurs utilisé pour « arrêter » la station. Ce dernier est rem- placé par le menu thématique accessible partout par un simple clic droit.

On obtient ainsi une interface compréhensible pour les utilisateurs Windows mais sans la mauvaise ergonomie du menu « démarrer » et de la présence des dossiers et applications sur le bureau.

2 Stations

2.1 ro1- Dell Latitude E7270 16 Go RAM <<>>

2.2 ro2 - Dell Latitude E7270 16 Go RAM <<>>

2.3 ro3 - CM ASUS P6 12 Go RAM + 2 Iliyama 27’’ HD + Videoproj. Benq HD Carte son interne : reconnue, aucune configuration nécessaire. Carte son externe 4 in, 4 out EST MAYA 44 USB+ : reconnue, aucune configuration nécessaire.

2.4 ro4 - Dell Optiplex 780 16 Go RAM + 2 Ultrasharp 20,5’’ paysage & 19’’ portrait <<>>

2.5 ro5 - Dell Optiplex 380 8Go RAM + 2 Ultrasharp 20,5’’ paysage & 19’’ portrait <<>>

2.6 ro9 - NUC Intel 7i5BNH 32 Go RAM + 1 Acer ET430K 43’’ 4K

❏ Présentation

http://ark.intel.com/products/95067/Intel-NUC-Kit-NUC7i5BNH

https://www.intel.com/content/www/us/en/support/boards-and-kits/intel-nuc-kits/intel-nuc-kit- nuc7i5bnh.html

https://www.intel.com/content/dam/support/us/en/documents/boardsandkits/NUC7i5BN_NUC7i7 BN_TechProdSpec.pdf

NUC Intel 7i5BNH de dernière génération (BIOS ID : NUC7i5BNB) : Core i57260U & GPU In- tel Iris Plus 640 (1.05 GHz edRAM 64MB), 3 sorties video (2 sorties vidéo 4K), 4K (3840 x 2160) @ 60Hz, USB-C, USB-3, Thunderbolt-3 et HDMI 4K, mémoire 32 Go DDR4 2133 MHz (0,5ns), équipé d'un Samsung EVO 850 Go et d'un WD Red 750 Go (pour les sauvegardes). Le NUC est

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 9 sur 56 connecté à un Acer2 ET430K 43'' 4K (3840x2160 @ 60Hz). L’USB-C délivre 3A, l’USB-3 orange (port de charge) délivre 1,5A. La prise jack (4 broches compatible) inclue un mic externe.

Chemin matériel Périphérique Classe Description ======system Ordinateur de Bureau /0 bus NUC7i5BNB /0/0 memory 64KiB BIOS /0/35 memory 32GiB Mémoire Système /0/35/0 memory 16GiB SODIMM DDR4 Synchrone Unbuffered (Unregistered) 2133 MHz (0,5 ns) /0/35/1 memory 16GiB SODIMM DDR4 Synchrone Unbuffered (Unregistered) 2133 MHz (0,5 ns) /0/39 memory 128KiB L1 cache /0/3a memory 512KiB L2 cache /0/3b memory 4MiB L3 cache /0/3c processor Intel(R) Core(TM) i5-7260U CPU @ 2.20GHz /0/100 bridge Intel Corporation /0/100/2 display Intel Corporation /0/100/8 generic Skylake Gaussian Mixture Model /0/100/14 bus Sunrise Point-LP USB 3.0 xHCI Controller /0/100/14/0 usb1 bus xHCI Host Controller /0/100/14/0/3 bus USB2.0 Hub /0/100/14/0/3/3 bus USB2.0 Hub /0/100/14/0/3/3/1 input USB Optical Mouse /0/100/14/0/3/3/2 multimedia Webcam C270 /0/100/14/0/3/3/4 bus Dell Multimedia Pro Keyboard Hub /0/100/14/0/3/3/4/1 input Dell Multimedia Pro Keyboard /0/100/14/0/3/4 bus USB2.0 Hub /0/100/14/0/8 communication Interface sans fil Bluetooth /0/100/14/1 usb2 bus xHCI Host Controller /0/100/14/1/3 bus USB3.0 Hub /0/100/14/1/3/3 bus USB3.0 Hub /0/100/14/1/3/4 bus USB3.0 Hub /0/100/14.2 generic Sunrise Point-LP Thermal subsystem /0/100/16 communication Sunrise Point-LP CSME HECI #1 /0/100/17 storage Sunrise Point-LP SATA Controller [AHCI mode] /0/100/1c bridge Intel Corporation /0/100/1c.5 bridge Sunrise Point-LP PCI Express Root Port #6 /0/100/1c.5/0 network Intel Corporation /0/100/1c.7 bridge Sunrise Point-LP PCI Express Root Port #8 /0/100/1c.7/0 generic RTS5229 PCI Express Card Reader /0/100/1f bridge Intel Corporation /0/100/1f.2 memory Memory controller /0/100/1f.3 multimedia Intel Corporation /0/100/1f.4 bus Sunrise Point-LP SMBus /0/100/1f.6 eno1 network Ethernet Connection (4) I219-V /0/1 scsi0 storage /0/1/0.0.0 /dev/sda disk 750GB WDC WD7500BFCX-6 /0/1/0.0.0/1 /dev/sda1 volume 698GiB EXT4 volume /0/2 scsi2 storage /0/2/0.0.0 /dev/sdb disk 250GB Samsung SSD 850 /0/2/0.0.0/1 /dev/sdb1 volume 232GiB EXT4 volume /1 power To Be Filled By O.E.M.

00:00.0 Host bridge: Intel Corporation Device 5904 (rev 03) 00:02.0 VGA compatible controller: Intel Corporation Device 5926 (rev 06) 00:08.0 System peripheral: Intel Corporation Skylake Gaussian Mixture Model 00:14.0 USB controller: Intel Corporation Sunrise Point-LP USB 3.0 xHCI Controller (rev 21) 00:14.2 Signal processing controller: Intel Corporation Sunrise Point-LP Thermal subsystem (rev 21) 00:16.0 Communication controller: Intel Corporation Sunrise Point-LP CSME HECI #1 (rev 21) 00:17.0 SATA controller: Intel Corporation Sunrise Point-LP SATA Controller [AHCI mode] (rev 21) 00:1c.0 PCI bridge: Intel Corporation Device 9d10 (rev f1) 00:1c.5 PCI bridge: Intel Corporation Sunrise Point-LP PCI Express Root Port #6 (rev f1) 00:1c.7 PCI bridge: Intel Corporation Sunrise Point-LP PCI Express Root Port #8 (rev f1) 00:1f.0 ISA bridge: Intel Corporation Device 9d4e (rev 21) 00:1f.2 Memory controller: Intel Corporation Sunrise Point-LP PMC (rev 21) 00:1f.3 Multimedia audio controller: Intel Corporation Device 9d71 (rev 21) 00:1f.4 SMBus: Intel Corporation Sunrise Point-LP SMBus (rev 21) 00:1f.6 Ethernet controller: Intel Corporation Ethernet Connection (4) I219-V (rev 21)

2 Oui, c'est de l'ACER... c'était pour bénéficier d'une dalle IPS et d'un rétroéclairage analogique (non PWM). Pour l'instant pas de pixel mort, aucun scintillement et le design physique est très intéressant (volume à l'arrière pour placer le NUC et pieds alus bien moins in - trusifs que sur les autres produits similaires). Dalle très lumineuse (luminosité à 8/100 de jour dans une pièce très claire et à 1/100 le soir), dalle semi-brillante (c’est nul, mais pas le choix), son moyen avec très peu de basses (aucune importance, j’ai un bon set Logitech avec un gros caisson de basses relié à l’excellente sortie audio analogique du NUC)

station Debian 9 - Installation édition 71 du 04/12/17 stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 10 sur 56 3a:00.0 Network controller: Intel Corporation Device 24fd (rev 78) 3b:00.0 Unassigned class [ff00]: Realtek Semiconductor Co., Ltd. RTS5229 PCI Express Card Reader (rev 01)

❏ BIOS

Cocher à la fois BIOS UEFI et Legacy Sauver et rebooter Au reboot : F10 Choisir disque de boot : UEFI- USB ... clé USB

Note : Si le NUC est équipé de deux disques, le disque SSD, dédié au système, est reconnu en sdb et le disque additionnel en sda.

❏ Debian

Partitionnement : Manuel scsi1 (0,0,0) sda : ext4, formater, /srv Fin du paramétrage de cette partition scsi1 (0,0,0) sdb : ext4, formater, /, disque bootable Fin du paramétrage de cette partition Appliquer les changements

Swap : non Logiciels à installer : aucun Forcer l'installation en UEFI : non Grub sur : sdb

Installation par fichier externe des fichiers de microcode manquants : iwlwifi-8265-26.ucode, iwlwifi-8265-25.ucode, iwlwifi-8265-24.ucode, iwlwifi-8265-23.ucode, iwlwifi-8265-22.ucode, iwlwifi- 8265-21.ucode, iwlwifi-8265-20.ucode : non

❏ Matériel

Carte son interne : reconnue, aucune configuration nécessaire.

3 VM

3.1 Debian 8

❏ Distribution

https://www.debian.org/releases/jessie/debian-installer

• Installation Debian 8 Netinst https://cdimage.debian.org/cdimage/archive/8.9.0/amd64/iso-cd/debian-8.9.0-amd64-netinst.iso

❏ Virtualbox

Nom (Linux Debian 8, n°2) : LD8-2

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 11 sur 56 Ram : 4Go Format VMDK dynamique, 8Go

Général/Avancé/Presse-papierpartagé & Glisser-Déposer : Bidirectionnels Affichage/Ecran/Mémoire Vidéo : 128Mo

❏ Installation

Nom de host (Linux Debian 8, n°2 sur station n°9) : ld82.ro9 passord root {niveau 6} Partitionnement manuel : / bootable

Sélection des logiciels : déselectionner tout Grub sur secteur d'amorçage : oui

❏ Lancement

Mettre à jour les dépôts (via nano) dans /etc/apt/sources.list :

/etc/apt/sources.list

#deb cdrom:[Debian GNU/Linux 8.9.0 _Jessie_ - Official amd64 NETINST Binary-1 20170723-11:47]/ jessie main #deb cdrom:[Debian GNU/Linux 8.9.0 _Jessie_ - Official amd64 NETINST Binary-1 20170723-11:47]/ jessie main

deb http://ftp.fr.debian.org/debian/ jessie main contrib non-free deb-src http://ftp.fr.debian.org/debian/ jessie main contrib non-free

deb http://security.debian.org/ jessie/updates main contrib deb-src http://security.debian.org/ jessie/updates main contrib

# jessie-updates, previously known as 'volatile' deb http://ftp.fr.debian.org/debian/ jessie-updates main contrib non-free deb-src http://ftp.fr.debian.org/debian/ jessie-updates main contrib non-free

# Jessie-backports deb http://http.debian.net/debian/ jessie-backports main contrib non-free deb-src http://http.debian.net/debian/ jessie-backports main contrib non-free

Utiliser en ligne de commande aptitude au lieu de apt-get est pertinent 3 :

root @system : apt-get install aptitude root @system : aptitude keep-all root @system : aptitude update root @system : aptitude upgrade

Appliquer « Système », sous-section 2.2 et suivantes, sections 3 & 4.

❏ Console uniquement

Il n’est pas conseillé, sauf cas particulier, d’installer une VM sans système graphique. Toutefois, si ce cas était demandé, il faudra configurer la résolution graphique (dans grub, taper « c » puis « vbein- fo » pour obtenir les résolutions disponibles puis éditer /etc/defaults/grub :

3 https://www.tecmint.com/difference-between-apt-and-aptitude

... GRUB_GFXMODE=1920x1080x32 GRUB_GFXPAYLOAD_LINUX=keep ...

Mettre à jour grub et redémarrer :

root @system : update-grub

root @system : reboot

❏ Graphique

Installer système graphique :

root @system : aptitude install xorg xbindkeys openbox obmenu tint2 lightdm idesk conky gnome-system- monitor mc

Redémarrer

❏ Guest additions

Validé avec Debian 7, Debian 8 en mode graphique uniquement (pas de copier coller en console).

root @system : aptitude install build-essential module-assistant root @system : aptitude install linux-headers-$(uname -r)

« Insérer » le CD des "guest additions" par le menu virtualbox

root @system : mount /media/cdrom root @system : sh /media/cdrom/VBoxLinuxAdditions.run (--nox11 si système console non graphique)

Verifying archive integrity... All good. Uncompressing VirtualBox 5.1.30 Guest Addtions dor Linux VirtualBox Guest Additions installer Copying additional installer modules ... Installing additional modules... vboxadd.sh: Starting the VirtualBox Guest Additions.

Redémarrer

Tester : - Le copier/coller (dans les deux sens) ; - L'agrandissement de la fenêtre.

❏ Graphique

Appliquer « Graphique » sous-section 2.2 avec un autostart minimal.

Appliquer « Réseau » sous-section 4.4 si nécessaire.

❏ Installations complémentaires

Il n’est normalement pas utile d’avoir tous les agréments graphiques (fond d’écran, conku, tint2, etc...) sur une VM. Le menu d’Openbox est normalement suffisant.

Installer ObMenu minimal.

Installer Iceweasel (firefox) car Waterfox n'est pas fonctionnel sous Debian 8.

Installer DoubleCommander en « méthode propre » puis copier la configuration à partir de , afin de ne pas avoir à tout reparamétrer :

root @system : cp //doublecmd/doublecmd /root/.config root @system : cp //doublecmd/doublecmd /home/{US}/.config root @system : chown -R root:root /root/.config/doublecmd root @system : chown -R sr:sr /home/sr/.config/doublecmd

1 Installation

1.1 À partir d’un support Installation de GNU/Linux Debian 9 Stretch 64 Multiarch & OpenBox.

Après la saisie du mot de passe de « root », créer l’utilisateur {AD} (celui qui sera ensuite l’administrateur). Choisir pour {AD} le même mot de passe que celui de « root ».

Refuser toutes les installations par défaut.

1.2 À partir d’une image <<>>

2 Paquets

2.1 Dépôts Mettre à jour les dépôts (via nano) dans /etc/apt/sources.list :

/etc/apt/sources.list

# deb cdrom:[Debian GNU/Linux 9.1.0 _Stretch_ - Official amd64 DVD Binary-1 20170722-11:31]/ stretch contrib main # deb cdrom:[Debian GNU/Linux 9.1.0 _Stretch_ - Official amd64 DVD Binary-1 20170722-11:31]/ stretch contrib main

deb http://ftp.fr.debian.org/debian/ stretch main contrib non-free deb-src http://ftp.fr.debian.org/debian/ stretch main contrib non-free

deb http://security.debian.org/debian-security stretch/updates main contrib deb-src http://security.debian.org/debian-security stretch/updates main contrib

# stretch-updates, previously known as 'volatile' deb http://ftp.fr.debian.org/debian/ stretch-updates main contrib non-free deb-src http://ftp.fr.debian.org/debian/ stretch-updates main contrib non-free

# backports deb http://http.debian.net/debian stretch-backports main contrib non-free

# seafile deb http://deb.seadrive.org stretch main

# waterfox deb https://dl.bintray.com/hawkeye116477/waterfox-deb release main

Utiliser en ligne de commande aptitude au lieu de apt-get est pertinent 4 :

root @system : apt-get install aptitude root @system : aptitude keep-all root @system : aptitude update root @system : aptitude upgrade

⇨Si apt-get est à nouveau utilisé, un aptitude keep-all sera nécessaire.

4 https://www.tecmint.com/difference-between-apt-and-aptitude

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 15 sur 56 2.2 Base d’utilitaires Vaporisation des paléovimeries :

root @system : aptitude purge vim-tiny vim-common

Note : il parait que vim en v7.4 représente 3477182 lignes de code. Je n’y crois pas.

Installation des utilitaires :

root @system : aptitude install lshw pciutils usbutils zip unzip rar p7zip-full arj gdebi git python- pip ssh sshfs lsb mc bar apt-transport-https

3 Console

⇨Appliquer chapitre Système - Debian, section Console de référence Administrateur.

4 Groupes & Utilisateurs

Normalement, la sous-section 4.1 n’a pas à être utilisée. Le profil normal est :

- Un administrateur « root », avec un password {niveau 6} ; - Un utilisateur {US}, avec un password {niveau 6} et des droits sudo.

Dan ce profil normal, seule la sous-section 4.2 est appliquée.

4.1 Création de l'administrateur {AD} Ajouter l'utilisateur {AD}, si cela n’a pas été fait durant l’installation :

root@system : adduser --no-create-home {AD} root@system : passwd {AD} (même mot de passe que root)

Editer /etc/passwd et mettre à jour :

/etc/passwd

… {AD}:x:0:0:,,,:/root:/bin/bash …

Editer /etc/group et mettre à jour :

/etc/group

… {AD}:x:0 …

Redémarrer, tester puis supprimer root dans /etc/passwd et /etc/group.

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 16 sur 56 4.2 Paramétrage de l’utilisateur {US} Ajoûter {US} au groupe des sudoers :

root@system : sudo adduser {US} sudo

5 Hardware

5.1 Mise en sommeil des disques mécaniques Identifier les disques :

root@system : ls -1 /dev/disk/by-id

ata-Samsung_SSD_850_EVO_M.2_250GB_S33CNX0J625506Y ata-Samsung_SSD_850_EVO_M.2_250GB_S33CNX0J625506Y-part1 ata-WDC_WD7500BFCX-68N6GN0_WD-WX91E6690LWY ata-WDC_WD7500BFCX-68N6GN0_WD-WX91E6690LWY-part1 dm-name-veracrypt1 wwn-0x50014ee6b212a29d wwn-0x50014ee6b212a29d-part1 wwn-0x5002538d4211a2c2 wwn-0x5002538d4211a2c2-part1

Le disque à mettre en veille est le : ata-WDC_WD7500BFCX-68N6GN0_WD-WX91E6690LWY

⇨Préférer « hd-idle » car « hdparm » ne marche pas avec tous les disques (WD).

❏ Installation

• hd-idle (préféré) Télécharger https://sourceforge.net/projects/hd-idle/files/latest/download

Décompresser dans un répertoire temporaire, puis :

root@system : dpkg-buildpackage -rfakeroot root@system : cd .. root@system : gdebi hd-idle_1.04_amd64.deb

• hd-parm

root@system : aptitude install hdparm

❏ Contrôle

-- Mise en veille du disque

root@system : hdparm -y /dev/sda

root@system : hdparm -C /dev/sda

drive state is : standby

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 17 sur 56 ❏ Paramétrage

• hd-idle (préféré) Créer /etc/systemd/system/hdidle.service :

/etc/systemd/system/hdidle.service

[Unit] Description=hd-idle hard drive After=multi-user.target

[Service] RemainAfterExit=yes ExecStart=/usr/local/sbin/hd-idle

[Install] WantedBy=multi-user.target

root@system : systemctl enable hdidle

root@system : systemctl restart hdidle

Créer /etc/default/hd-idle :

START_HD_IDLE=true

HD_IDLE_OPTS="-a /dev/disk/by-id/ata-WDC_WD7500BFCX-68N6GN0_WD-WX91E6690LWY -i 180 -l /var/log/hd- idle.log"

Redémarrer, puis contrôler les logs :

/var/log/hd-idle.log

date: 2017-10-13, time: 20:36:34, disk: sda, running: 180, stopped: 90

• hdparm Créer /etc/hdparm.conf et redémarrer :

/etc/hdparm.conf

quiet /dev/disk/by-id/ata-WDC_WD7500BFCX-68N6GN0_WD-WX91E6690LWY { spindown_time = 60 write_cache = off }

❏ Références

https://unix.stackexchange.com/questions/323435/one-hdd-will-not-automatically-go-to-sleep-by- hdparm

http://hd-idle.sourceforge.net

❏ Installation

root@system : aptitude install hdparm

❏ Contrôle

root@system : hddtemp /dev/sda

/dev/sda: WDC WD7500BFCX-68N6GN0: 39°C

/dev/sda: WDC WD7500BFCX-68N6GN0 : le lecteur est en veille

5.3 Lm-sensors

❏ Installation

root@system : aptitude install lm-sensors

❏ Paramétrage

root@system : sensors-detect

root@system : systemctl restart kmod

❏ Contrôle

root@system : sensors

pch_skylake-virtual-0 Adapter: Virtual device temp1: +45.5°C

coretemp-isa-0000 Adapter: ISA adapter Physical id 0: +43.0°C (high = +100.0°C, crit = +100.0°C) Core 0: +43.0°C (high = +100.0°C, crit = +100.0°C) Core 1: +42.0°C (high = +100.0°C, crit = +100.0°C)

5.4 Smartmontools

⇨Appliquer le chapitre « Smartmontools » de « serveur Debian 8 - Applications »

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 19 sur 56 Graphique

1 Base

L’interface est fondée sur LightDM, Xorg, OpenBox, Tint2 & Idesk

lightdm : gestionnaire de session xorg : serveur graphique x11 openbox : gestionnaire manager tint2 : barre de tâches idesk : icones & fond d’écran

Installation :

root @system : aptitude install xorg xbindkeys openbox obmenu tint2 lightdm idesk conky gnome-system- monitor

1.1 Écrans

❏ Examen

Via la commande « xrandr », déterminer les caractéristiques du ou des écrans connectés (pour un écran 4K) :

root @system : xrandr

Screen 0: minimum 320 x 200, current 3840 x 2160, maximum 8192 x 8192 DP-1 connected primary 3840x2160+0+0 (normal left inverted right x axis y axis) 941mm x 529mm 3840x2160 60.00*+ 30.00 29.97 2560x1440 59.95 1920x1080 60.00 50.00 59.94 1920x1080i 60.00 50.00 59.94 1680x1050 59.88 1280x1024 75.02 60.02 1440x900 59.90 1280x960 60.00 1280x800 59.91 1152x864 75.00 1280x720 60.00 50.00 59.94 1024x768 75.03 70.07 60.00 832x624 74.55 800x600 72.19 75.00 60.32 56.25 720x576 50.00 720x480 60.00 59.94 640x480 75.00 72.81 66.67 60.00 59.94 720x400 70.08 HDMI-1 disconnected (normal left inverted right x axis y axis) DP-2 disconnected (normal left inverted right x axis y axis) HDMI-2 disconnected (normal left inverted right x axis y axis)

❏ Configuration

Exemple de commandes de démarrage (pour du multi-écrans, un écran de portable et un 19 » en mode portrait) :

#! /bin/sh

xrandr --output LVDS1 --mode 1280x800 --primary

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 20 sur 56 xrandr --output VGA1 --mode 1600x1200 --rotate left --right-of LVDS1

1.2 Fonds d’écrans et images utilisateurs Une image unique de fond d’écran peut être utilisée pour Grub, Lightdm et OpenBox.

Les images de fonds d’écran sont disponibles pour toutes les résolutions des écrans des machines, en portrait ou paysage.

Installer le fond d’écran du thème Sowebio dans : /usr/local/share/themes :

sowebio_fond_sombre_3840x2160rvb256.png

Installer les images de users dans /usr/local/share/users :

sowebio_logon_user_sr_96x96rvb256.png

❏ Grub

Modifier le paramétrage dans /etc/default/grub :

/etc/default/grub

... GRUB_GFXMODE=3840x2160 GRUB_BACKGROUND="/usr/local/share/themes/sowebio_fond_sombre_3840x2160rvb256.png" ...

Mettre à jour :

root@system : update-grub

❏ LightDM

• Discussion Le choix d’un gestionnaire de session est parfaitement simple (sic).

A vue de nez, et sans préjuger d’autres gestionnaires, on dispose de : - GDM : Gnome Display manager, qui installe tout Gnome ; - KDM : KDE Display Manager, qui installe tout KDE ; - LXDM : LXDE Display Manager, qui installe tout LXDE ; - MDM : Mint Display manager, qui n’a pas été retenu (oublié pourquoi :) ; - SDDM : qui n’a pas été retenu (oublié pourquoi:) ; - Slim : Simple Login Manager, qui n’est plus maintenu ; - WDM : Windowmaker Display manager, parfait avec Windowmaker mais peu pertinent ; - XDM : X Display Manager, le gestionnaire d'origine, franchement désuet ; - LightDM : léger et configurable, avec une apparence moderne, qui est retenu.

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 21 sur 56 https://wiki.archlinux.org/index.php/display_manager https://wiki.manjaro.org/index.php/Gestionnaires_de_connexion:_Guide_fran%C3%A7ais

• Paramétrage général Modifier /etc/lightdm/lightdm-gtk-greeter.conf :

/etc/lightdm/lightdm-gtk-greeter.conf

[greeter] background = /usr/local/share/themes/sowebio_fond_sombre_3840x2160rvb256.png theme-name = Adwaita-dark position = 50%,center 57%,center user-background = false indicators = ~~Station de développement Soweb.io : ;~separator;~host;~spacer;~clock;~~ ;~separator;~power default-user-image = /usr/local/share/users/sowebio_logon_user_sr_96x96rvb256.png clock-format = %H:%M:%S - %A %d/%m/%Y

• Utilisateurs par défaut Pour présenter la liste des utilisateurs par défaut, modifier /usr/share/lightdm/lightdm.conf.d/01_de - bian.conf :

/usr/share/lightdm/lightdm.conf.d/01_debian.conf

... greeter-hide-users=false ...

❏ OpenBox

Le fond d’écran OpenBox sera traité plus avant dans la section Idesk.

2 OpenBox

Gestionnaire de fenêtres

http://openbox.org https://doc.ubuntu-fr.org/openbox https://fr.wikipedia.org/wiki/Openbox

2.1 Paramétrage X11

❏ Lissages des polices

https://doc.ubuntu-fr.org/openbox#activer_le_lissage_des_polices

Insérer dans ~/.fonts.conf :

~/.fonts.conf

... rgb true true false hintslight

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 22 sur 56 ...

Insérez dans ~/.Xresources :

~/.Xresources

... Xft.lcdfilter: lcddefault Xft.hintstyle: hintslight ...

❏ Taille pointeur souris

Insérez dans ~/.Xresources (attention, un seul « s ») :

~/.Xresources

... Xcursor.size: 16 ...

❏ Mise à jour des ressources

Mettre à jour les ressources :

root @system : xrdb -merge ~/.Xresources

Redémarrer le serveur X.

❏ Thèmes

Les thèmes sont enregistrés dans /usr/share/themes ou dans ~/.themes

• Thèmes de curseurs

aptitude install xcursor-themes

update-alternatives --config x-cursor-theme

Il existe 5 choix pour l'alternative x-cursor-theme (qui fournit /usr/share/icons/default/index. - theme).

Sélection Chemin Priorité État ------* 0 /usr/share/icons/Adwaita/cursor.theme 90 mode automatique 1 /etc/X11/cursors/core.theme 30 mode manuel 2 /etc/X11/cursors/handhelds.theme 20 mode manuel 3 /etc/X11/cursors/redglass.theme 20 mode manuel 4 /etc/X11/cursors/whiteglass.theme 20 mode manuel 5 /usr/share/icons/Adwaita/cursor.theme 90 mode manuel

• Thèmes recommandés La série des thèmes « Mistral » est une bonne base (voir les commentaires pour le « how-to » et les ressources).

standard : https://www.box-look.org/content/show.php/Mistral?content=167604 thin : https://www.box-look.org/p/1169127 foncé : https://www.box-look.org/p/1169703

• Thème installé Le thème « Sowebio » installé est dérivé de Mistral Thin (Dark). Il est installé dans ~./themes/So - webio/openbox-3 et sélectionné via « ObConf ». Le fichier de configuration est ~./themes/Sowe- bio/openbox-3/themerc et les icones sont dans le même répertoires.

Les améliorations sont les suivantes : - Window : icones standard agrandies de 6 à 8 px, effet de survol géré, couleur inactive relevée pour une meilleure lisibilité, création d’une icône « retour de maximisation » pour une meilleure compréhension de sa fonction ; - Menu : meilleure lisibilité de l'icône de la flèche du Menu ; - Border : bordure de fenêtre augmentée à 2 pour une meilleure « préhension » à la souris.

Une reconfiguration via le menu « ObReconfigure » permet de visualiser immédiatement les changements.

2.2 Autostart Un certain nombre de programmes doivent êtres lancés au démarrage d’une session, et la plupart d’en eux doivent être minimisés.

Ces opérations sont réalisées dans le fichiers : ~/.config/openbox/autostart

❏ Scripts pour autostart

Installer les paquets :

root @system : aptitude install <<>>

Créer deux scripts « obstart » (script intermédiaire pour extensions futures) et « obstartmin.py » dans /usr/bin :

/usr/bin/obstart

#!/bin/bash #------# obstart #------# # 20170927 : version initiale # #------

case "$1" in

#--- Icônifie la fenêtre min) python3 /usr/bin/obstartmin.py $2 ;;

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 24 sur 56 #--- Usage *) echo "" echo "Obstart : Opérations sur les fenêtres" echo "" echo "Usage: $SCRIPTNAME {min|help}" >&2 echo "" exit 3 ;; esac

#------# EOF #------

/usr/bin/obstartmin.py

#!/usr/bin/env python3 #------# obstart #------# # 20170927 : version initiale (auteur inconnu) # #------

import subprocess import sys import time

subprocess.Popen(["/bin/bash", "-c", sys.argv[1]])

# Modification : Nom de la fenêtre = nom du programme # Ligne originale : windowname = sys.argv[2] windowname = sys.argv[1]

def read_wlist(w_name): try: l = subprocess.check_output(["wmctrl", "-l"]).decode("utf-8").splitlines() return [w.split()[0] for w in l if w_name in w][0] except (IndexError, subprocess.CalledProcessError): return None

t = 0 while t < 30: window = read_wlist(windowname) time.sleep(0.1) if window != None: subprocess.Popen(["xdotool", "windowminimize", window]) break time.sleep(1) t += 1

#------# EOF #------

❏ Autostart

#------# autostart (démarrage session) #------# # 20170927 : version initiale # #------# # (sleep 1s && conky) & # #------

# Icones & fond d'écran idesk &

# Moniteur système conky &

# Barre de tâche tint2 &

# Audio systemctl --user start pulseaudio volumeicon &

# Tunnels SSH #putty &

# Gestionnaire de numérisation rm -Rf /tmp/gscan2pdf* obstart min gscan2pdf

# Drive seafile-applet &

# Contrôle à distance teamviewer &

# Connexion serveur rs1 /home/sr/.config/openbox/rs1-mount.autostart

# Arrêt temporisé du disque mécanique /home/sr/.config/openbox/sda-lowpower.autostart

# Gestionnaire de fichier et de supports amovibles obstart min pcmanfm

# Mail thunderbird &

# Gestionnaire de notes wine c:\\prg\\treepadbiz\\treepadbiz &

#------# EOF #------

2.3 ObMenu Configuration du menu Openbox OpenBox http://obmenu.sourceforge.net

Configuration graphique pour le menu OpenBox surgissant par un clic droit sur le bureau.

❏ Lancement

root@system : obmenu &

❏ Paramétrage

<<>>

3 Environnement

3.1 Tint2 Barre de tâches OpenBox https://gitlab.com/o9000/tint2

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 26 sur 56 Barre de tâche compatible OpenBox.

https://debian-facile.org/doc:environnements:x11:tint2

❏ Lancement

root@system : tint2 &

❏ Paramétrage

Mettre à jour la configuration dans ~/.config/tint2 :

~/.config/tint2

tint2rc - foncé

#---- Generated by tint2conf c207 ---- # See https://gitlab.com/o9000/tint2/wikis/Configure for # full documentation of the configuration options. #------# Backgrounds # Background 1: Panel, Systray rounded = 0 border_width = 1 border_sides = T background_color = #31363b 100 border_color = #eff0f1 62 background_color_hover = #eeeeee 100 border_color_hover = #bbbbbb 100 background_color_pressed = #eeeeee 100 border_color_pressed = #bbbbbb 100

# Background 2: Default task, Iconified task rounded = 0 border_width = 1 border_sides = T background_color = #31363b 100 border_color = #eff0f1 100 background_color_hover = #505961 100 border_color_hover = #cccccc 100 background_color_pressed = #cccccc 100 border_color_pressed = #cccccc 100

# Background 3: Active task rounded = 1 border_width = 1 border_sides = TBLR background_color = #3b4147 100 border_color = #3daee9 100 background_color_hover = #505961 100 border_color_hover = #aaaaaa 100 background_color_pressed = #cccccc 100 border_color_pressed = #999999 100

# Background 4: Inactive taskbar, Urgent task rounded = 5 border_width = 1 border_sides = TBLR background_color = #aa4400 100 border_color = #aa7733 100 background_color_hover = #aa4400 100 border_color_hover = #aa7733 100 background_color_pressed = #aa4400 100 border_color_pressed = #aa7733 100

# Background 5: Tooltip rounded = 2 border_width = 1 border_sides = TBLR background_color = #ffffaa 100 border_color = #999999 100 background_color_hover = #ffffaa 100 border_color_hover = #999999 100 background_color_pressed = #ffffaa 100

# Background 6: Inactive desktop name rounded = 2 border_width = 1 border_sides = TBLR background_color = #eeeeee 100 border_color = #cccccc 100 background_color_hover = #eeeeee 100 border_color_hover = #cccccc 100 background_color_pressed = #eeeeee 100 border_color_pressed = #cccccc 100

# Background 7: Active desktop name rounded = 0 border_width = 1 border_sides = TBLR background_color = #3d434a 100 border_color = #4c545c 100 background_color_hover = #5d6770 100 border_color_hover = #999999 100 background_color_pressed = #dddddd 100 border_color_pressed = #999999 100

# Background 8: rounded = 3 border_width = 0 border_sides = TBLR background_color = #dddddd 100 border_color = #cccccc 100 background_color_hover = #dddddd 100 border_color_hover = #cccccc 100 background_color_pressed = #dddddd 100 border_color_pressed = #cccccc 100

#------# Panel panel_items = LTSC panel_size = 100% 32 panel_margin = 0 0 panel_padding = 4 2 4 panel_background_id = 1 wm_menu = 1 panel_dock = 0 panel_position = bottom center horizontal panel_layer = normal panel_monitor = all primary_monitor_first = 0 panel_shrink = 0 autohide = 0 autohide_show_timeout = 0 autohide_hide_timeout = 0.5 autohide_height = 2 strut_policy = follow_size panel_window_name = tint2 disable_transparency = 0 mouse_effects = 1 font_shadow = 0 mouse_hover_icon_asb = 100 0 10 mouse_pressed_icon_asb = 100 0 0

#------# Taskbar taskbar_mode = single_desktop taskbar_hide_if_empty = 0 taskbar_padding = 0 2 2 taskbar_background_id = 4 taskbar_active_background_id = 0 taskbar_name = 1 taskbar_hide_inactive_tasks = 0 taskbar_hide_different_monitor = 0 taskbar_always_show_all_desktop_tasks = 0 taskbar_name_padding = 6 3 taskbar_name_background_id = 6 taskbar_name_active_background_id = 7 taskbar_name_font = Noto Sans 8 taskbar_name_font_color = #222222 100 taskbar_name_active_font_color = #2e83b0 100 taskbar_distribute_size = 0 taskbar_sort_order = none task_align = left

#------

station Debian 9 - Installation édition 71 du 04/12/17 stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 28 sur 56 # Task task_text = 1 task_icon = 1 task_centered = 1 urgent_nb_of_blink = 100000 task_maximum_size = 140 35 task_padding = 4 3 4 task_font = Noto Sans 8 task_tooltip = 1 task_font_color = #eff0f1 68 task_active_font_color = #eff0f1 100 task_icon_asb = 100 0 0 task_background_id = 2 task_active_background_id = 3 task_urgent_background_id = 4 task_iconified_background_id = 2 mouse_left = toggle_iconify mouse_middle = none mouse_right = close mouse_scroll_up = prev_task mouse_scroll_down = next_task

#------# System tray (notification area) systray_padding = 4 0 2 systray_background_id = 1 systray_sort = ascending systray_icon_size = 22 systray_icon_asb = 100 0 0 systray_monitor = 1

#------# Launcher launcher_padding = 0 0 2 launcher_background_id = 0 launcher_icon_background_id = 0 launcher_icon_size = 22 launcher_icon_asb = 100 0 0 launcher_icon_theme_override = 0 startup_notifications = 1 launcher_tooltip = 1 launcher_item_app = /usr/share/applications/waterfox.desktop launcher_item_app = /usr/share/applications/libreoffice-startcenter.desktop launcher_item_app = /usr/share/applications/vlc.desktop launcher_item_app = /usr/share/applications/pcmanfm.desktop # launcher_item_app = /usr/share/applications/

#------# Clock time1_format = %H:%M time2_format = %A %d %B time1_font = Noto Sans 8 time1_timezone = time2_timezone = time2_font = Noto Sans 7 clock_font_color = #eff0f1 100 clock_padding = 1 0 clock_background_id = 0 clock_tooltip = clock_tooltip_timezone = clock_lclick_command = zenity --calendar --text "" clock_rclick_command = orage clock_mclick_command = clock_uwheel_command = clock_dwheel_command =

#------# Battery battery_tooltip = 1 battery_low_status = 10 battery_low_cmd = notify-send "battery low" bat1_font = sans 8 bat2_font = sans 6 battery_font_color = #222222 100 battery_padding = 1 0 battery_background_id = 0 battery_hide = 101 battery_lclick_command = battery_rclick_command = battery_mclick_command = battery_uwheel_command = battery_dwheel_command = ac_connected_cmd =

#------# Tooltip tooltip_show_timeout = 0.5 tooltip_hide_timeout = 0.1 tooltip_padding = 2 2 tooltip_background_id = 5 tooltip_font_color = #222222 100 tooltip_font = sans 9

3.2 Idesk Gestionnaire de fond d’écran et d’icônes. OpenBox http://idesk.sourceforge.net

Gère les fonds d’écrans et les icônes sur le bureau.

http://idesk.sourceforge.net/html/usage.html (toutes les options)

❏ Lancement

root@system : idesk &

❏ Paramétrage

• Général et fond d’écran Mettre à jour le fichier de configuration : /root/.ideskrc

/root/.ideskrc

table Config

#--- TEXTE ------

# Polices, tailles et couleurs (#DEDEDE = Couleur de fond thème Sowebio) FontName: gothic FontSize: 10 FontColor: #000000

# Texte apparait au survol de la souris (en bas) CaptionOnHover: false CaptionPlacement: bottom

# Texte pas en gras Bold: false

# Texte pas ombré Shadow: false ShadowColor: #000000 ShadowX: 1 ShadowY: 1

#--- TOOLTIP ------

ToolTip.FontSize: 10 ToolTip.FontName: gothic ToolTip.ForeColor: #000000 ToolTip.BackColor: #DEDEDE

# Tooltip apparait au survol de la souris (à droite) ToolTip.CaptionOnHover: false ToolTip.CaptionPlacement: Right

#--- ICONE ------

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 30 sur 56 # 0 (pas de transparence) -> 255 (invisible) Transparency: 100

# Setting it to true disables the dragging movement Locked: false

ClickDelay: 300

# Modification de l'icône au clic FillStyle: fillHLine

# Déplacement sur une grille IconSnap: true SnapWidth: 50 SnapHeight: 50 SnapOrigin: BottomRight SnapShadow: false SnapShadowTrans: 200

# BACKGROUND ------

Background.Delay: 0 Background.Source: None Background.File: /usr/local/share/themes/sowebio_fond_sombre_3840x2160rvb256.png Background.Mode: Fit Background.Color: #DEDEDE

end

table Actions

# Verrouillage de la position de l'icone Lock: control right doubleClk

# Rechargement de la configuration de idesk Reload: middle doubleClk

# Déplacement de l'icone Drag: right hold EndDrag: right singleClk

Execute[0]: left singleClk Execute[1]: right doubleClk end

# Exemple de fichier de définition d'icone # /root/.idesktop/waterfox.lnk # # Format strict : pas de commentaires ni d'espaces supplémentaires # X & Y sont réécrits à chaque déplacement de l'icone # #table Icon # Caption: Web # ToolTip.Caption: Navigateur internet # Command: /usr/bin/waterfox # Icon: /usr/share/pixmaps/waterfox.png # Width: 48 # Height: 48 # X: 1619 # Y: 189 #end

⇨Les commentaires seront effacés, inutile de compléter les commentaires.

• Icônes Créer le dossier des fichiers de définition d’icône :

root @system : mkdir /root/.idesktop

-- Créer un lien symbolique « Bureau » vers /root/.idesktop

root @system : ln -s /root/.idesktop /root/Bureau

~/Bureau/waterfox.lnk

table Icon Caption: Web ToolTip.Caption: Navigateur internet Command: /usr/bin/waterfox Icon: /usr/share/pixmaps/waterfox.png Width: 48 Height: 48 X: 89 Y: 1609 end

3.3 Conky Moniteur système (passif) OpenBox http://conky.sourceforge.net/documentation.html

Moniteur système de fond d’écran, avec transparence.

❏ Lancement

root@system : conky &

❏ Paramétrage

<<>>

3.4 Gnome System Monitor Moniteur système (actif) Gtk https://help.gnome.org/users/gnome-system-monitor

Moniteur système

❏ Lancement

root@system : idesk &

❏ Paramétrage

[Icone scope en haut à gauche] Processus [x] : État [x] : Démarré [x] : Session [x] : Propriétaire

Ressources

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 32 sur 56 [x] : Afficher la vitesse du réseau en bits

Système de fichiers [x] : Afficher tous les systèmes de fichiers

3.5 Xscreensaver Économiseur d’écran X11 https://www.jwz.org/xscreensaver

Économiseur d’écran assez psychorigide, mais probablement le plus sur.

Patch horloges analogiques : http://pt2k.xii.jp/software/anclock/xscreensaver/index_e.html Contraintes de conception XPM : http://www.improbability.net/xss Theme : https://askubuntu.com/questions/85109/how-do-i-theme-the-xscreensaver-unlock-screen

❏ Lancement

root@system : xscreensaver -nospalsh &

❏ Paramétrage

<<>>

❏ Installation

root@system : aptitude isntall libxt-dev libglade2-dev

root@system : wget http://pt2k.xii.jp/software/anclock/xscreensaver/anclock-2.0.1-for-xscreensaver- 5.29.patch.gz root@system : wget https://www.jwz.org/xscreensaver/xscreensaver-5.37.tar.gz

root@system : tar zxf xscreensaver-5.37.tar.gz root@system : cd xscreensaver-5.37 root@system : zcat ../anclock-2.0.1-for-xscreensaver-5.29.patch.gz | patch -p1

root@system : ./configure root@system : make root@system : make install

User programs will be installed in /usr/local/bin/ Screen savers will be installed in /usr/local/libexec/xscreensaver/ Configuration dialogs will be installed in /usr/local/share/xscreensaver/config/ System-wide default settings will be installed in /etc/X11/app-defaults/

❏ Sécurisation

Backdoor #1: Ctrl-Alt-Backspace. This keystroke kills the X server, and on some systems, leaves you at a text console. If the user launched X11 manually, that text console will still be logged in. To disable this keystroke globally and permanently,

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 33 sur 56 you need to set the DontZap flag in your xorg.conf or XF86Config or XF86Config-4 file (whichever name is in use on your system). See the manual for XF86Config (or variant) for more details.

Backdoor #2: Ctrl-Alt-F1, Ctrl-Alt-F2, etc.

These keystrokes will switch to a different virtual console, while leaving the console that X11 is running on locked. If you left a shell logged in on another virtual console, it is unprotected. So don't leave yourself log - ged in on other consoles. You can disable VT switching globally and permanently by setting DontVTSwitch in your xorg.conf, but that might make your system harder to use.

Backdoor #3: Alt-SysRq-F.

This is the Linux kernel "OOM-killer" keystroke. It shoots down random long-running programs of its choosing, and so might might target and kill xscreensaver, and there's no way for xscreensaver to protect itself from that. You can disable it globally with: sudo 'echo 176 > /proc/sys/kernel/sysrq'

Backdoor #4: Ctrl-Alt-KP_Multiply.

This keystroke kills any X11 app that holds a lock, so typing this will kill xscreensaver and unlock the screen. This "feature" showed up in the X server in 2008, and as of 2011, some vendors are shipping it turned on by default. How nice. You can disable it by turning off AllowClosedownGrabs in xorg.conf.

There's little that I can do to make the screen locker secure so long as the kernel and X11 develo - pers are actively working against security. The strength of the lock on your front door doesn't mat- ter much so long as someone else in the house insists on leaving a key under the welcome mat. In an ideal world, there would be a single X11 request named something like XGrabMagicKeys() that would, analagously to XGrabKeyboard(), disable all of these magic keystrokes until the grab was released or the program exited. It should be an X11 call, not an ioctl(), and especially not a root-only ioctl(). Needless to say, no such interface exists.

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 34 sur 56 Son

1 Base

Les rôles entre Alsa et Pulseaudio sont clairement répartis : - Alsa gère seul le hardware ; - PulseAudio est un proxy audio (comme Jack) qui permet à plusieurs applications d’utiliser en même temps le même hardware.

Pulse a une finalité utilisateur et Jack une finalité professionnelle : l’usage (facile ou complexe) et les priorités de comportement et de performances (compromis ou faible latence) sont différents.

PulseAudio règle donc un problème de fond, qui n’avait pas été traité pour un utilisateur final. De plus en plus d’applications utilisant l’audio, comme Firefox ou Skype, exigent désormais PulseAudio.

Maintenant, PulseAudio est là, avec ses avantages (plus de conflit) et ses conséquences (res - sources). Au delà de la personnalité contreversée du développeur à l’origine de Systemd et de Pul - seAudio, ces projets ont réglé deux problématiques Unix qui étaient typiques de ce système de Nerds qu’est Linux. En son temps l’excellentissime Cups a certainement été critiqué aussi.

Les temps changent, en bien.

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 35 sur 56 ❏ Notes

https://unix.stackexchange.com/questions/68772/jack-vs-pulseaudio-how-is-it-faster http://0pointer.de/blog/projects/when-pa-and-when-not.html

2 Alsa

Installation minimale directe Alsa. Les trois applications ne concernet que Alsa. Mais Volumeicon peut être employé PulseAudio et même utilisé pour lancer Pavucontrol, l’application PulseAudio homologue de Gnome-Alsamixer.

❏ Lancement

root@system : alsamixer & root@system : gnome-alsamixer & root@system : volumeicon &

❏ Installation

root@system : aptitude install alsa-utils alsamixer gnome-alsamixer volumeicon-alsa

❏ Exemples

-- Y a t'il une carte reconnue ?

root@system : cat /proc/asound/cards

0 [PCH ]: HDA-Intel - HDA Intel PCH HDA Intel PCH at 0xdc240000 irq 131

-- Quelles sont les sorties reconnues ?

root@system : cat /proc/asound/pcm

00-00: ALC283 Analog : ALC283 Analog : playback 1 : capture 1 00-03: HDMI 0 : HDMI 0 : playback 1 00-07: HDMI 1 : HDMI 1 : playback 1 00-08: HDMI 2 : HDMI 2 : playback 1

-- Chercher la sortie HDMI utilisee (verifier que le volume de l'ecran est bon)

root@system : aplay -D plughw:0,8 /usr/share/sounds/alsa/Front_Center.wav Lecture WAVE '/usr/share/sounds/alsa/Front_Center.wav' : Signed 16 bit Little Endian, Frquence 48000 Hz, Mono pas de son

root@system : aplay -D plughw:0,7 /usr/share/sounds/alsa/Front_Center.wav Lecture WAVE '/usr/share/sounds/alsa/Front_Center.wav' : Signed 16 bit Little Endian, Frquence 48000 Hz, Mono pas de son

root@system : aplay -D plughw:0,3 /usr/share/sounds/alsa/Front_Center.wav Lecture WAVE '/usr/share/sounds/alsa/Front_Center.wav' : Signed 16 bit Little Endian, Frquence 48000 Hz, Mono Son entendu "Front Center" > c'est l'hdmi 0 !

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 36 sur 56 3 PulseAudio

❏ A la connexion d’un utilisateur

Activer par :

root@system : systemctl --user start pulseaudio

❏ Lancement

root@system : pavucontrol &

❏ Paramétrage Volumicon

Clic droit/Préférences Status Icon/External mixer : pavucontrol & Left Button : (o) Show slider Middle Button (o) Open Mixer

❏ Notes

En cas de test de PulseAudio (par exemple en le lançant d’un terminal sur une session où il n’a pas été ouvert au démarrage), il est nécessaire de redémarrer certaines applications, et en particulier Firefox.

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 37 sur 56 Sécurité

1 Base

Accorder les droits users sur : - /usr/local/bin ; -

<<>>

1.1 Aide Source Console http://aide.sourceforge.net

AIDE (Advanced Intrusion Detection Environment)

aide - Système de détection d'intrusion avancé - binaire statique aide-binary - aide-common - Système de détection d'intrusion avancé - fichiers communs aide-dynamic - environnement de détection d'intrusion avancée - bibliothèque dynamique aide-xen - environnement de détection d'intrusion avancée - binaire statique pour XEN

1.2 ChkRootkit [Installé] Source Console http://www.chkrootkit.org

Détecteur d’anomalie de sécurité

❏ Lancement

root@system : chkrootkit

❏ Installation

root@system : aptitude install chkrootkit

1.3 ClamAV [Installé] Source Console http://www.clamav.net

Détecteur d’anomalie de sécurité

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 38 sur 56 ❏ Lancement

root@system : clamscan --recursive

------SCAN SUMMARY ------Known viruses: 6303697 Engine version: 0.99.2 Scanned directories: 37 Scanned files: 496 Infected files: 0 Data scanned: 875.95 MB Data read: 601.48 MB (ratio 1.46:1) Time: 116.319 sec (1 m 56 s)

❏ Installation

root@system : aptitude install clamav clamav-daemon clamav-freshclam root@system : mkdir /var/run/clamav

-- Vérification du lancement du service

root@system : systemctl status clamav-freshclam

● clamav-freshclam.service - ClamAV virus database updater Loaded: loaded (/lib/systemd/system/clamav-freshclam.service; enabled; vendor preset: enabled) Active: active (running) since Tue 2017-09-19 15:57:59 CEST; 10min ago Docs: man:freshclam(1) man:freshclam.conf(5) http://www.clamav.net/lang/en/doc/ Main PID: 21292 (freshclam) CGroup: /system.slice/clamav-freshclam.service └─21292 /usr/bin/freshclam -d --foreground=true

-- Vérification de la mise à jour de la base de données (lent : des heures la première fois...)

root@system : cat /var/log/clamav/freshclam.log

Tue Sep 19 15:57:59 2017 -> ------Tue Sep 19 15:57:59 2017 -> freshclam daemon 0.99.2 (OS: linux-gnu, ARCH: x86_64, CPU: x86_64) Tue Sep 19 15:57:59 2017 -> ClamAV update process started at Tue Sep 19 15:57:59 2017 Tue Sep 19 19:14:41 2017 -> Downloading main.cvd [100%] Tue Sep 19 19:14:48 2017 -> main.cvd updated (version: 58, sigs: 4566249, f-level: 60, builder: sigmgr) Tue Sep 19 20:24:44 2017 -> Downloading daily.cvd [100%] Tue Sep 19 20:24:47 2017 -> daily.cvd updated (version: 23701, sigs: 1742494, f-level: 63, builder: neo) Tue Sep 19 20:25:02 2017 -> Downloading bytecode.cvd [100%] Tue Sep 19 20:25:03 2017 -> bytecode.cvd updated (version: 309, sigs: 69, f-level: 63, builder: bbaker) Tue Sep 19 20:25:03 2017 -> [LibClamAV] ************************************************** Tue Sep 19 20:25:03 2017 -> [LibClamAV] *** The virus database is older than 7 days! *** Tue Sep 19 20:25:03 2017 -> [LibClamAV] *** Please update it as soon as possible. *** Tue Sep 19 20:25:03 2017 -> [LibClamAV] ************************************************** Tue Sep 19 20:25:06 2017 -> Database updated (6308812 signatures) from db.local.clamav.net (IP: 194.254.245.138) Tue Sep 19 20:25:06 2017 -> WARNING: Clamd was NOT notified: Can't connect to clamd through /var/run/clamav/clamd.ctl: No such file or directory Tue Sep 19 20:25:06 2017 -> ------Tue Sep 19 21:25:06 2017 -> Received signal: wake up Tue Sep 19 21:25:06 2017 -> ClamAV update process started at Tue Sep 19 21:25:06 2017 Tue Sep 19 21:25:06 2017 -> main.cvd is up to date (version: 58, sigs: 4566249, f-level: 60, builder: sigmgr) Tue Sep 19 21:25:07 2017 -> WARNING: getfile: daily-23702.cdiff not found on db.local.clamav.net (IP: 51.15.177.217) Tue Sep 19 21:25:07 2017 -> WARNING: getpatch: Can't download daily-23702.cdiff from db.local.clamav.net Tue Sep 19 21:25:07 2017 -> WARNING: getfile: daily-23702.cdiff not found on db.local.clamav.net (IP: 46.29.125.16) Tue Sep 19 21:25:07 2017 -> WARNING: getpatch: Can't download daily-23702.cdiff from db.local.clamav.net Tue Sep 19 21:25:08 2017 -> WARNING: getfile: daily-23702.cdiff not found on db.local.clamav.net (IP: 193.52.101.131) Tue Sep 19 21:25:08 2017 -> WARNING: getpatch: Can't download daily-23702.cdiff from db.local.clamav.net Tue Sep 19 21:25:08 2017 -> Trying host db.local.clamav.net (178.33.105.132)... Tue Sep 19 21:25:08 2017 -> WARNING: getfile: daily-23702.cdiff not found on db.local.clamav.net (IP: 178.33.105.132) Tue Sep 19 21:25:08 2017 -> WARNING: getpatch: Can't download daily-23702.cdiff from db.local.clamav.net Tue Sep 19 21:25:08 2017 -> Trying host db.local.clamav.net (178.32.100.7)... Tue Sep 19 21:25:09 2017 -> WARNING: getfile: daily-23702.cdiff not found on db.local.clamav.net (IP: 178.32.100.7) Tue Sep 19 21:25:09 2017 -> WARNING: getpatch: Can't download daily-23702.cdiff from db.local.clamav.net Tue Sep 19 21:25:09 2017 -> WARNING: Incremental update failed, trying to download daily.cvd Tue Sep 19 21:25:27 2017 -> Downloading daily.cvd [100%] Tue Sep 19 21:25:30 2017 -> daily.cvd updated (version: 23853, sigs: 1743056, f-level: 63, builder: neo) Tue Sep 19 21:25:30 2017 -> Downloading bytecode-310.cdiff [100%] Tue Sep 19 21:25:30 2017 -> Downloading bytecode-311.cdiff [100%] Tue Sep 19 21:25:31 2017 -> Downloading bytecode-312.cdiff [100%] Tue Sep 19 21:25:31 2017 -> bytecode.cld updated (version: 312, sigs: 74, f-level: 63, builder: neo) Tue Sep 19 21:25:34 2017 -> Database updated (6309379 signatures) from db.local.clamav.net (IP: 193.52.101.131) Tue Sep 19 21:25:34 2017 -> WARNING: Clamd was NOT notified: Can't connect to clamd through /var/run/clamav/clamd.ctl: No such file or directory Tue Sep 19 21:25:34 2017 -> ------Tue Sep 19 22:25:34 2017 -> Received signal: wake up Tue Sep 19 22:25:34 2017 -> ClamAV update process started at Tue Sep 19 22:25:34 2017 Tue Sep 19 22:25:34 2017 -> main.cvd is up to date (version: 58, sigs: 4566249, f-level: 60, builder: sigmgr) Tue Sep 19 22:25:34 2017 -> daily.cvd is up to date (version: 23853, sigs: 1743056, f-level: 63, builder: neo) Tue Sep 19 22:25:34 2017 -> bytecode.cld is up to date (version: 312, sigs: 74, f-level: 63, builder: neo)

<<>> Mettre cron :

1.4 RkHunter [Installé] Source Console http://rkhunter.sourceforge.net

Détecteur d’anomalie de sécurité

❏ Lancement

root@system : rkhunter --sk --check

❏ Installation

root@system : aptitude install rkhunter

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 40 sur 56 Réseau

1 Base

Une station pour utilisateur, fixe ou portable, implique un outil de configuration graphique (pour le choix du réseau, filaire ou wifi, ainsi que la sélection d’un VPN).

Pour le VPN, un exemple complet est fourni avec ProtonVPN.

2 NetworkManager

2.1 Installation Wicd était le gestionnaire de réseau habituellement utilisé mais ce dernier ne gère pas OpenVPN et ne peut être retenu.

Network Manager gère OpenVPN et va être utilisé. Avant de l’installer, s'assurer que les paquets wicd et resolvconf ne sont pas présents, puis procéder :

root @system : aptitude install openvpn

root @system : aptitude install network-manager root @system : aptitude install network-manager-openvpn root @system : aptitude install network-manager-gnome root @system : aptitude install network-manager-openvpn-gnome

Network Manager coopère avec ifupdown à condition de ne pas configurer la même interface avec les deux outils. Vérifier le paramétrage qui a été effectié à l’installation de Network Manager, pour le fichier /etc/NetworkManager/NetworkManager.conf :

/etc/NetworkManager/NetworkManager.conf

... [ifupdown] managed=false ...

Modifier le fichier /etc/network/interfaces pour supprimer toute configuration hormis loopback :

/etc/network/interfaces

# This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5).

#source /etc/network/interfaces.d/*

# The loopback network interface auto lo iface lo inet loopback

# The primary network interface #allow-hotplug eno1 #iface eno1 inet dhcp

Redémarrer. La connexion via Nerwork Manager doit être automatique.

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 41 sur 56 2.2 Paramétrage Pour une station fixe, éditer la connexion éthernet par défaut, à partir de l’applet de Network Ma- nager, onglet Paramètres IPv4 : - Adresse : 192.168.0.3x...4x - Masque de réseau : 24 - Passerelle : 192.168.0.254 - Serveurs DNS : 192.168.0.254

3 ProtonVPN

3.1 Paramétrage Récupérer et/ou modifier le login password pour OpenVPN, qui est différent de celui du compte et de l’utilitaire Windows sur la page : [Account] : https://account.protonvpn.com/settings

Télécharger les configurations pour ProtonVPN sur OpenVPN sur la page : [Download] : https://account.protonvpn.com/downloads

Sélectionner (o) Linux (o) UDP et prendre les fichiers recommandés suivants :

ch-uk-01.protonvpn.com.udp1194.ovpn is-de-01.protonvpn.com.udp1194.ovpn is-es-01.protonvpn.com.udp1194.ovpn is-nl-01.protonvpn.com.udp1194.ovpn se-fr-01.protonvpn.com.udp1194.ovpn ch.protonvpn.com.udp1194.ovpn de.protonvpn.com.udp1194.ovpn es.protonvpn.com.udp1194.ovpn fr.protonvpn.com.udp1194.ovpn is.protonvpn.com.udp1194.ovpn nl.protonvpn.com.udp1194.ovpn se.protonvpn.com.udp1194.ovpn uk.protonvpn.com.udp1194.ovpn

Créer les comptes VPN à partir de l’applet de Network Manager : - clic gauche/Connexion VPN.Configure VPN... - Add/Import a saved VPN configuration... [Créer]

Renseigner : - Nom de la connexion - Nom d’utilisateur - Mot de passe [Enregistrer]

3.2 Contrôle des fuites DNS Se connecter sur un VPN « secure core », par exemple is-es-01.protonvpn.com.udp1194.ovpn Noter l’adresse avec https://www.monip.org

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 42 sur 56 Vérifier qu’il n’y a pas de fuites avec : - https://hidester.com/dns-leak-test - https://www.dnsleaktest.com

Vérifier que le navigateur est bien configuré avec : - https://hidester.com/browser-fingerprint - https://hidester.com/webrtc-ip-leak-test

4 Samba

4.1 Installation des paquets

root@system : aptitude install samba-client cifs-util

4.2 Paramétrage Samba Paramétrer workgroup=CDT dans /etc/samba/smb.conf et redémarrer :

root@system : systemctl restat

4.3 Paramétrage des accès aux répertoires partagés

❏ Solution provisoire

⇨Cette solution est provisoire et doit être remplacée par un procédé qui récupère le lo - gin et le mot de passe user pour accéder au répertoires partagés.

Sous root :

mount -t cifs //192.168.0.241/admin /mnt/rs1 -o username=login :{US},password=password :{US}

Pour un utilisateur, avec sudo :

#!/bin/sh

smb_login="login :{US}" smb_password="password :{US}"

echo "$smb_password" | sudo -S mount -t cifs //192.168.0.241/admin /mnt/rs1 -o username="$smb_login",password="$smb_password"

...

Autres connexions

...

<<>>

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 43 sur 56 Multi-fonctions, imprimantes et scanners

1 Équipements

Produits autonomes :

RN.1 Scanner HP xxxx (A4 couleur et diapos) USB RN.3 Imprimante Canon xxxx portative à batterie (A4 couleur) USB

RN.1 : Scanner haute résolution avec accessoire pour numérisation de diapositives RN.3 : Imprimante sur batterie ultra fiable (peut être utilisée très épisodiquement sans que la tête se détériore).

Multi-fonctions sur réseau 192.168.0.0/24 :

RN.2 Imprimante Brother MFC-8950DW (A4 n&b Postscript) 192.168.0.202 RN.4 Imprimante Brother MFC-8950DW (A4 n&b Postscript) 192.168.0.204 RN.5 Imprimante Epson Workforce Pro WF-8590 (A3 couleur Postscript) 192.168.0.205

RN.2 & RN.4 : Multifonction laser n&b A4, imprimante et scanner recto verso de production, très économique grâce à une cartouche de forte capacité et faible coûts, bac de 500 feuilles.

RN.5 : Multifonction jet d’encre couleur A3, imprimante et scanner recto verso, avec option Post- script. Très rapide (comme une laser) mais surtout très économique, grâce à des cartouches de forte capacité, C’est l’imprimante qui réconcilie les utilisateurs avec Epson et la technologie jet d’encre. Accessoirement, ça tue les lasers couleur en termes de pris de revient à la page et de confort : aucun des inconvénients habituels des jet d’encre et des lasers. Produit cher à l’achat (on est dans un produit de type « copieur »).

2 Gestionnaire d’impression

Fondé sur Cups, avec l’interface graphique System Config Printer.

2.1 Installation des paquets Paquets principaux :

root @system : aptitude install cups cups-pdf ghostscript-cups

bc{a} cups cups-browsed{a} cups-core-drivers{a} cups-daemon{a} cups-filters cups-filters-core- drivers{a} cups-pdf cups-ppdc{a} cups-server-common{a} libcupscgi1{a} libcupsmime1{a} libcupsppdc1{a} libfontembed1{a} liblouis-data{a} liblouis12{a} liblouisutdml-bin{a} liblouisutdml-data{a} libloui- sutdml7{a} libqpdf17{a} poppler-utils{a} printer-driver-cups-pdf{a} printer-driver-gutenprint{a} qpdf{a}

Interface graphique :

root @system : aptitude install system-config-printer

cups-pk-helper{a} gir1.2-gnomekeyring-1.0{a} gir1.2-packagekitglib-1.0{a} libpackagekit-glib2-18{a} packagekit{a} packagekit-tools{a} python3-cairo{a} python3-cups{a} python3-cupshelpers{a}

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 44 sur 56 python3-dbus{a} python3-gi{a} python3-requests{a} python3-smbc{a} python3-urllib3{a} system-config- printer system-config-printer-common{a} system-config-printer-udev{a}

2.2 Installation des imprimantes Installer l'imprimante soit par l'interface WEB de CUPS (http://localhost:631 , login par défaut : « root » et password par défaut : « root »), soit par le gestionnaire d’impression system-config-printer, qui est nettement plus ergonomique.

Sélectionner l'imprimante RN.x (ou un autre nom de noeud, en fonction de la configuration de votre imprimante) en privilégiant les entrées d’imprimantes compatibles IPP (Internet Printing Pro - tocol), découvertes par DNS-SD (DNS-Service Discovery, aka Bonjour).

❏ Notes

Toute intervention sur les fichiers /etc/cups nécessite impérativement le redémarrage du service CUPS par l’habituel « systemctl restart cups ».

Si on renomme le nom de l'imprimante dans /etc/cups/printers.conf, il faut aussi renommer le ppd correspondant dans /etc/cups/printers.conf/ppd

En cas de problème, remplacer « warn » par « debug2 » dans /etc/cups/cupsd.conf

2.3 Imprimante PDF L’imprimante PDF est installée par défaut. Elle enregistre les PDF produits dans le dossier ~/PDF de l’utilisateur.

Ce répertoire peut être modifié dans etc/cups/cups-pdf.conf :

etc/cups/cups-pdf.conf

-- Aux alentours de la ligne 45

... Out ${HOME}/PDF ...

⇨Ensemble d’éléments ci-dessous à confirmer à la première installation non-root Le programme /usr/lib/cups/backend/cups-pdf doit être lancé en root et ne tolère que les droits 700 (et pas 755 ou 777), même si user:group est déjà root:root (à contrario des autres backends du répertoire qui sont tous en 755 et s'en portent très bien). Copier les fichiers « mime.convs » et « mime.types » dans /etc/cups

3 Brother MFC 8950DW

3.1 Imprimante ⇨Ne jamais utiliser les PPD et pilotes binaires Brothers propriétaires pour l’impression.

Serveur/Nouveau/Imprimante/Imprimante réseau Sélectionner l’imprimante [Suivant] [Annuler]

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 45 sur 56 (o) Fournir un fichier PPD

Choisir un PPD du domaine public pour Brother laser N&B recto-verso. Toutes ces imprimantes étant Postscript, il suffit qu'elles aient les mêmes capacités. Le PPD Brother-MFC-8890DW-Post- script.ppd PPD pour MFC-8890DW5 répond parfaitement au besoin. Sélectionner Brother-MFC-8890DW-Postscript.ppd [Suivant] Décrire l’imprimante : - Nom abrégé : RN.x - Description : Brother MFC-8890DW - Emplacement : Bureau [Valider] Nombre de bacs : 1 [Suivant] Voulez-vous imprimer une page d’essai ? [Imprimer page de test] Examiner la sortie : [Valider]

Options de l’imprimante/Duplex : DuplexNoTumble (recto/verso par le bord large, par opposition à DuplexTumble, recto/verso par le bord court) [OK]

3.2 Scanner

❏ Installation

Installation des paquets à partir de la page : http://support.brother.com/g/b/downloadlist.aspx? c=fr&lang=fr&prod=mfc8950dwt_us_eu&os=128&flang=English

Télécharger le paquet « brscan4 » (scanner driver) : http://download.brother.com/welcome/dlf006645/brscan4-0.4.4-4.amd64.deb Télécharger le paquet « brscan-skey » (start the scan by the machine button) : http://download.brother.com/welcome/dlf006652/brscan-skey-0.2.4-1.amd64.deb Télécharger le paquet « brother-udev-rule-type1 » (scanner setting file) : http://download.brother.com/welcome/dlf006654/brother-udev-rule-type1-1.0.2-0.all.deb

Paquets principaux :

root @system : gdebi brscan4-0.4.4-4.amd64.deb root @system : gdebi brscan-skey-0.2.4-1.amd64.deb root@system : gdebi brother-udev-rule-type1-1.0.2-0.all.deb

Installer les règles udev par :

root@system : /opt/brother/scanner/udev-rules/type1/install

Le fichier « 60-brother-libsane-type1.rules » est installé dans /etc/udev/rules.d, de préférence à /lib/udev/rules.d (les deux sont possibles).

5 http://www.openprinting.org/printer/Brother/Brother-MFC-8890DW

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 46 sur 56 ❏ Configuration

Aller dans /opt/brother/scanner/brscan4 et configurer le pilote Brother, sauver la configuration et installer l'interface Brother (utiliser un tiret et non pas un point dans RN-x) ;

root @system : ./brsaneconfig4 -a name=RN-2 model=MFC-8950DW ip=192.168.0.202 root @system : ./brsaneconfig4 -a name=RN-4 model=MFC-8950DW ip=192.168.0.204 root @system : ./brsaneconfig4 -s:CUR_CONFIG -- sauver la configuration root @system : ./setupSaneScan4

root @system : ./brsaneconfig4 -d

root @system : ./scanimage -L

device `brother4:net1;dev1' is a Brother RN-2 MFC-8950DW device `brother4:net1;dev0' is a Brother RN-4 MFC-8950DW device `imagescan:esci:networkscan://192.168.0.205:1865' is a Epson WF-8590

Lancer l’utilitaire de scan à partir d’un multifonction « scan-key-tool » :

root @system : ./brscan-skey

Voir si « scan-key-tool » a détecté les imprimantes :

root @system : ./brscan-skey -l

RN-2 : brother4:net1;dev0 : 192.168.0.202 Active

Tester le scan à partir d’un multifonction.

4 Epson Workforce Pro WF-8590 Postscript

Télécharger à partir de la page : http://www.epson-driver.com/2016/06/epson-workforce-pro-wf- 8590-driver-download-windows-mac-linux.html :

Driver Version Module language Date Printer Driver 1.6.16 ESC/P-R Driver (generic driver) All language 09-25-2017 Printer Driver 1.0.2 Epson Printer Utility Multi language 09-25-2017 Printer Driver 1.0.0 PPD File for Postscript All language 10-26-2015 Scanner Driver 1.3.21 All-in-one package All language 09-25-2017

Télécharger le paquet « epson-inkjet-printer-escpr » : https://download3.ebz.epson.net/dsc/f/03/00/06/41/54/fbad39944b2c2a9277b972afac9e8acf7c52 eb01/epson-inkjet-printer-escpr_1.6.16-1lsb3.2_amd64.deb

Télécharger le paquet « epson-printer-utility » (qui ne semble fonctionner qu’en connexion USB) : https://download3.ebz.epson.net/dsc/f/03/00/06/41/55/7608eab8c1dd2107c4a987d4a77c1dc510 cc0723/epson-printer-utility_1.0.2-1lsb3.2_amd64.deb

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 47 sur 56 Télécharger le PPD Postcript 3 : https://download3.ebz.epson.net/dsc/f/03/00/04/22/95/5058f6aab6f3b9c003e51649ebbe99b2325 4a376/EPWF8590.PPD

Télécharger le paquet « imagescan-bundle-debian-9 » : https://download2.ebz.epson.net/imagescanv3/debian/latest1/deb/x64/imagescan-bundle-debian-9- 1.3.21.x64.deb.tar.gz

Télécharger le manuel d’imagescan : https://download3.ebz.epson.net/dsc/f/03/00/06/42/42/756850ad05fb0927d31b212b7a3b118ede eafd05/imagescanv3_man_e.pdf

4.1 Imprimante Installer les paquets :

root @system : gdebi epson-inkjet-printer-escpr_1.4.1-1lsb3.2_amd64.deb root @system : gdebi epson-printer-utility_1.0.2-1lsb3.2_amd64.deb

❏ Pilote ESC

Serveur/Nouveau/Imprimante/Imprimante réseau Sélectionner l’imprimante Connexion/Imprimante réseau IPP via DNS-SD [Suivant]

Décrire l’imprimante : - Nom abrégé : RN.x - Description : Epson WF-8590 Series - Emplacement : Bureau [Valider] Voulez-vous imprimer une page d’essai ? [Imprimer page de test] Examiner la sortie : [Valider]

Options de l’imprimante/Bord de reliure : Bord long recto/verso Options de l’imprimante/Taille papier : A4 Options de l’imprimante/Alimentation : Alim. papier arrière

❏ Pilote Postscript

Serveur/Nouveau/Imprimante/Imprimante réseau Sélectionner l’imprimante Connexion/Imprimante réseau IPP via DNS-SD [Suivant] Terminer l’installation [Valider]

Paramètres/Fabricant et modèle/(o) Fournir un PPD/(o) Utiliser le nouveau PPD tel quel Terminer l’installation

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 48 sur 56 [Valider]

Décrire l’imprimante : - Nom abrégé : RN.x-Postscript - Description : Epson WF-8590 Series - Emplacement : Bureau [Valider] Voulez-vous imprimer une page d’essai ? [Imprimer page de test] Examiner la sortie : [Valider]

Options de l’imprimante/Taille des pages : A4 Options de l’imprimante/Input Slot : Rear Paper Feed Options de l’imprimante/Duplex : Long Edge Binding

Options de l’imprimante/MediaType : Plain Options de l’imprimante/Print Quality : Fast

❏ Affectation des bacs

Les bacs de cette imprimante sont identifiés par plein de termes différents

Format du papier Sur le corps de l’imprimante Dans le menu de l’imprimante Dans l’ordinateur A4 B1 Icône alimentation arrière Alim. papier arrière B2 Fente d’insertion avant A3 C1 Icône Bac n°1 Cassette 1

Vérifier que l’imprimante est configurée, via son menu Configuration/Config. Papier, suivant la configuration du tableau ci-dessus : - Icône alimentation arrière : A4 - Icône Bac n°1 : A3

Si l’imprimante est mal configurée, rien ne fonctionnera correctement, l’imprimante refusera d’im - primer sans confirmation sur du papier « au mauvais format » et elle ne voudra pas non plus imprimer en « recto/verso ».

4.2 Scanner

❏ Installation

-- ouvrir une console sur le contenu décompressé de imagescan-bundle-debian-9

root @system : ./install.sh

.../... Lecture des informations d'état... Fait Paquets suggérés : graphicsmagick-dbg Les NOUVEAUX paquets suivants seront installés :

graphicsmagick libboost-program-options1.62.0 libgraphicsmagick++-q16-12

0 mis à jour, 3 nouvellement installés, 0 à enlever et 2 non mis à jour. Il est nécessaire de prendre 1 138 ko dans les archives. Après cette opération, 6 007 ko d'espace disque supplémentaires seront utilisés. .../... Préparation du dépaquetage de .../imagescan_3.31.0-1epson4debian9_amd64.deb ...

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 49 sur 56 Dépaquetage de imagescan (3.31.0-1epson4debian9) ... Sélection du paquet imagescan-plugin-networkscan précédemment désélectionné. Préparation du dépaquetage de .../imagescan-plugin-networkscan_1.1.0-1epson4debian9_amd64.deb ... Dépaquetage de imagescan-plugin-networkscan (1.1.0-1epson4debian9) ... Sélection du paquet imagescan-plugin-ocr-engine précédemment désélectionné. Préparation du dépaquetage de .../imagescan-plugin-ocr-engine_1.0.0-1epson4debian9_amd64.deb ... Dépaquetage de imagescan-plugin-ocr-engine (1.0.0-1epson4debian9) ... Sélection du paquet imagescan-plugin-gt-s650 précédemment désélectionné. Préparation du dépaquetage de .../imagescan-plugin-gt-s650_1.0.0-1epson4debian9_amd64.deb ... Dépaquetage de imagescan-plugin-gt-s650 (1.0.0-1epson4debian9) ...... /...

-- Paquets debian installés

graphicsmagick libboost-program-options1.62.0 libgraphicsmagick++-q16-12

-- Paquets epson installés

imagescan imagescan-plugin-networkscan imagescan-plugin-ocr-engine imagescan-plugin-gt-s650

❏ Paramétrage

Paramétrer le scanner dans /etc/imagescan/imagescan.conf :

/etc/imagescan/imagescan.conf

# Lines starting with a # or a ; are comments. Comments must be on a # line of their own. End-of-line comments are not supported.

[devices]

myscanner.udi = esci:networkscan://192.168.0.205:1865 myscanner.vendor = Epson myscanner.model = WF-8590

• Utilitaire Epson L’utilitaire Epson « ImageScan » existe sous Linux, il a été installé à titre de référence, mais n’est pas destiné à être employé par les utilisateurs, Gscan2pdf est nettement plus complet et polyvalent.

root @system : imagescan

5 Gestionnaire de numérisation

Fondé sur Sane, avec l’interface graphique Gscan2pdf.

❏ Discussion sur le choix de l’interface graphique

XSane impose une fenêtre d’avertissement bloquante sous root, puis un choix bloquant de scanner au lancement (un seul scanneur par session), avec un temps d’attente important et enfin une ergo - nomie et des fonctionnalités bien trop complets pour des besoins normaux. Simple scan est exac - tement l’inverse, c’est un jouet, pas bien fiable de surcroit.

Gscan2pdf ne numérise pas que vers PDF, mais bien vers tous les formats utiles. Il est plus ergono - mique que XSane et bien plus fiable et complet que Simple scan.

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 50 sur 56 Gscan2pdf permet d’être lancé avec un périphérique de numérisation en paramètre évitant ainsi l’attente due à la recherche des périphériques réseau de numérisation. Il dispose de connexions di - rectes avec Gimp (édition d’images), InkScape (édition de PDF) et Tesseract-OCR (reconnaissance de caractères).

5.1 Installation L’installation du gestionnaire doit être faite de préférence après l’installation des pilotes de périphé - riques de numérisation. Installer les paquets :

root @system : aptitude install sane sane-utils gscan2pdf perl-doc tesseract-ocr-fra

5.2 Paramètrage

❏ Général

Édition/Préférences/Options globales/[ ] View files on saving

❏ Notes

Gscan2pdf recherche systématiquement les périphériques réseau au démarrage. Un workaround a été trouvé en le lançant minimisé au démarrage du système (il est toujours possible de relancer la recherche vis une icone du logiciel). Une autre possibilité est de créer plusieurs entrées de menu, une pour chaque périphérique, puis de passer le périphérique en paramètreµ.

Pour déterminer avec exactitude les noms de périphériques utilisés par Gscan2pdf, le lancer avec les paramètres suivant :

root @system : gscan2pdf --debug --log=/root/gscan2pdf.log

Attendre quelques minutes après le lancement du logiciel en observant le log apparaisant dans la console, car Gscan2pdf recherche en tâche de fond les périphériques de numérisation réseau dis - ponibles et valides dans l’intranet.

Puis examiner /root/gscan2pdf.log à la recherche du bloc suivant :

/root/gscan2pdf.log

... INFO - Sane->get_devices returned: $VAR1 = [ { 'type' => 'MFC-8950DW', 'name' => 'brother4:net1;dev1', 'vendor' => 'Brother', 'model' => 'RN-2' }, { 'model' => 'RN-4', 'vendor' => 'Brother', 'type' => 'MFC-8950DW', 'name' => 'brother4:net1;dev0' }, { 'model' => 'WF-8590', 'vendor' => 'Epson', 'type' => '', 'name' => 'imagescan:esci:networkscan://192.168.0.205:1865'

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 51 sur 56 } ]; ...

On peut alors forcer le lancement d’une instance de Gscan2pdf avec :

root@system : gscan2pdf --device=imagescan:esci:networkscan://192.168.0.205:1865

1 ToDo List

1.1 Samba : utilisation login et mot de passe utilisateur pour accéder aux partages Priorité : élevée

1.2 Sécurité : faire le point des outils sécurité Priorité : élevée Voir: http://sectools.org

2 Anomalies

2.1 LightDM : Taille du curseur trop importante avec un écran 4K Le curseur de souris est deux fois trop gros (32 au lieu de 16). Ce problème se rencontre égale - ment avec XDM ou LXDM. Tous les « workarounds » trouvés ont été essayés sans succès.

Ce n’est pas vital, ça ne concerne que le gestionnaire de session et sur des écrans géants (> 40’’) en 4K, alors que pour une session utilisateur, un simple Xcursor.size: 16 dans ~Xressources règle le problème.

Mots clés de recherche : - xorg start script Xcursor.size: - setting cursor size in Xsession - xorg conf before session manager - /etc/X11/Xresources/* examples - "Xcursor.size" "Xcursor.theme" parameters X11 -sql - 4K screen xorg cursor too big in session manager

Liens utiles : https://www.debian.org/doc/manuals/debian-reference/ch07.fr.html https://www.reddit.com/r/unixporn/comments/4ndt6a/from_where_does_lightdm_set_its_cursor_t hemesize https://github.com/bdonlan/gimp-plugin-registry/tree/master/xmc/gimp-xmc-plugin-2.0.6 http://gursormaker.sourceforge.net

2.2 Gscan2pdf : scanner réseau Brother non reconnu avec paramètre --device= Il n’a pas été possible de déterminer pourquoi les Brother, alors qu’elles sont parfaitement reconnues en mode interactif par Gscan2pdf , ne sont pas reconnues via leur nom de périphérique « brother4:net1;dev1 » ou « brother4:net1;dev0 » quand ce dernier est passé en paramètre :

root@system : gscan2pdf --device=brother4:net1;dev0

Alors que la commande avec l’Epson fonctionne :

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 53 sur 56 root@system : gscan2pdf --device=imagescan:esci:networkscan://192.168.0.205:1865

En pratique, ce n’est pas gênant (voire le manuel d’exploitation).

3 Network Manager

❏ Paquets

network-manager - environnement de gestion du réseau – démon et outils d'espace network-manager-gnome - outil de gestion du réseau - interface GNOME network-manager-iodine - cadre applicatif de gestion de réseau – noyau du greffon iodin network-manager-openconnect - network management framework (OpenConnect plugin core) network-manager-openconnect-gnome - network management framework (OpenConnect plugin GNOME GUI) network-manager-openvpn - Outil de gestion du réseau (support d'OpenVPN) network-manager-openvpn-gnome - network management framework (OpenVPN plugin GNOME GUI) network-manager-pptp - network management framework (PPTP plugin core) network-manager-pptp-gnome - network management framework (PPTP plugin GNOME GUI) network-manager-ssh - network management framework (SSH plugin core) network-manager-ssh-gnome - network management framework (SSH plugin GNOME GUI) network-manager-strongswan - network management framework (strongSwan plugin) network-manager-vpnc - outil de gestion du réseau —⋅ greffon VPNC network-manager-vpnc-gnome - network management framework (VPNC plugin GNOME GUI)

❏ Paquets de base

root@system : aptitude install network-manager root@system : aptitude install network-manager-openvpn root@system : aptitude install network-manager-gnome root@system : aptitude install network-manager-openvpn-gnome

❏ Exécutables par paquet

• network-manager

Configuration /etc/NetworkManager /etc/dbus-1/system.d/nm-dispatcher.conf /etc/dbus-1/system.d/org.freedesktop.NetworkManager.conf

Service /usr/sbin/NetworkManager

Logiciels /usr/bin/nm-online /usr/bin/nmcli /usr/bin/nmtui

/usr/bin/nmtui-connect /usr/bin/nmtui-edit /usr/bin/nmtui-hostname

• network-manager-openvpn

/etc/dbus-1/system.d/nm-openvpn-service.conf

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 54 sur 56 • network-manager-gnome

/usr/bin/nm-applet /usr/bin/nm-connection-editor

• network-manager-openvpn-gnome

Néant

4 ProtonVPN

❏ Informations

https://protonvpn.com/support/linux-vpn-setup

❏ Points de sortie

Fichier Niveau Sécu POP ch-uk-01.protonvpn.com.udp1194.ovpn secure core is-de-01.protonvpn.com.udp1194.ovpn secure core is-es-01.protonvpn.com.udp1194.ovpn secure core is-nl-01.protonvpn.com.udp1194.ovpn secure core se-fr-01.protonvpn.com.udp1194.ovpn secure core m247.com

ch.protonvpn.com.udp1194.ovpn de.protonvpn.com.udp1194.ovpn es.protonvpn.com.udp1194.ovpn fr.protonvpn.com.udp1194.ovpn m247.com is.protonvpn.com.udp1194.ovpn nl.protonvpn.com.udp1194.ovpn se.protonvpn.com.udp1194.ovpn uk.protonvpn.com.udp1194.ovpn

https://www.iplocation.net https://ipinfo.io

https://www.whatismyip.com/ip-whois-lookup

5 Retour d’expérience

❏ Double Commander

J’ai enfin trouvé le remplaçant de Total Commander : Double Commander. Je connaissais Dou- blecmd depuis longtemps, mais il n’était pas très fiable. Je l’avais ensuite utilisé sous OSX et j’avais eu la même impression : logiciel du niveau ou mieux que Total Commander mais moyennement fiable. Or c’est typiquement le type de logiciel qui doit être d’une fiabilité irréprochable.

station Debian 9 - Installation édition 71 du 04/12/17

stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 55 sur 56 Mes retrouvailles sous Linux pour cette migration ont tout d’abord été très décevante sur ce point (de nombreux plantages liés à X11 et la non-réentrance de Gtk), jusqu’à ce que j’ai l’idée de tester la version de Doublecmd compilée avec Qt. Et là, c’est juste parfait. Dont acte. Ca doit être la seule application de cette image Debian utilisant Qt mais qu’importe. Ca ne se voit pas.

station Debian 9 - Installation édition 71 du 04/12/17 stef [@|.]genesix.org CC-by-nc-sa : Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique. page 56 sur 56