Lea Linux - Contributions [fr]

Tenir compte de la sécurité au quotidien

2006-07-07T09:24:25Z

Xion345 : /* Permissions */

[[Category:Fiche sécurité]]

<div class="leapar">Par [[Utilisateur:Merlin8282|merlin8282]].</div>

== Introduction ==
Un ordinateur n'est jamais en sécurité, quand bien même on croit qu'il l'est. Un dicton informatique ne dit-il pas que le maillon le plus faible dans un système informatique est l'utilisateur ? D'ailleurs il est courant d'entendre dire que "l'ordinateur le plus sécurisé, c'est celui qui n'est pas branché à un réseau, qu'il soit ethernet ou électrique" ! Cette fiche est là pour connaître les différents risques que l'on court en ayant un ordinateur, connecté à un réseau ou non, ainsi que pour se parer contre toute attaque et enfin pour savoir comment nettoyer l'ordinateur d'une attaque que l'on vient de subir.

Pour tout le document (et de manière générale), il est évidemment conseillé de lire les pages de manuel des commandes avant de poser des questions.
Lisez aussi les articles connexes en cliquant sur les hyperliens dans le texte car dans ce document je ne m'étale justement pas sur les sujets pour lesquels il existe déjà un article.

== Avant tout, connaître son système ==
D'abord et avant tout il faut être à l'aise avec les concepts essentiels de [http://fr.wikipedia.org/wiki/Linux linux]. Cela permettra d'une part de mieux connaître et comprendre ce que nous faisons et d'autre part de mieux réagir en cas d'attaque. Donc documentez vous sur ce système et son langage de commande ([[Admin-admin_env-shell|shell]]).Lisez aussi la documentation expliquant ce que sont [[Admin-admin_boot-daemons|les démons et comment ils fonctionnent]]. Voyez comment fonctionne un réseau, ce que sont les ports réseau, les permissions des fichiers, ce que sont les failles de sécurité des logiciels, etc.

== Connaître les risques ==
=== La compromission des logiciels ===
==== Les logiciels binaires ====
Il faut savoir qu'en informatique il existe des logiciels malveillants ([http://fr.wikipedia.org/wiki/Logiciel_malveillant malware] en anglais). Ces logiciels peuvent être des virus, des vers, des chevaux de Troie ou encore des rootkits. Mais ils ont tous en commun d'exploiter des failles classiques ou de rendre les systèmes sur lesquels ils résident plus faibles face à des attaquants extérieurs.

Les virus sont de petits programmes qui ont la particularité de se reproduire et de se propager d'un système à l'autre suivant certains vecteurs. Cela peut être les mails ou même l'utilisateur lui-même qui va copier le logiciel sur d'autres systèmes. Les vers sont une sorte particulière de virus qui se propagent uniquement via le réseau Internet (l'un des plus célèbre fut Blaster en 2003 qui visait essentiellement des systèmes Microsoft Windows). Certains virus fonctionnent et infectent les systèmes linux, mais leur nombre est plus réduit que ceux qui attaquent les systèmes Windows. Grâce à la rareté de ces virus et à la réactivité de la communauté libre face aux nouvelles failles découvertes, ce genre de malware ne se propage que très difficilement sur les systèmes Unix. Cependant il faut être vigilant et appliquer régulièrement les correctifs de sécurité de votre système pour ne pas s'exposer à des malwares, qui pourraient alors s'infiltrer facilement via les failles que vous auriez laissé béantes.

Les chevaux de Troie sont des logiciels qui tentent d'abuser l'utilisateur en se faisant passer pour autre chose que ce qu'ils sont réellement (un jeu, un petit utilitaire, ou encore une commande classique comme <code>ssh</code>, pour collecter les mots de passe vers d'autres systèmes, etc). Ils peuvent être aussi un vecteur de propagation pour les virus comme le célèbre ver "I love you" qui se propageait par mail ou aussi être contenu dans un virus qui va l'installer sur le système qu'il a infecté avant de tenter de se propager vers d'autres systèmes.

Enfin, les rootkits sont des logiciels qui facilitent l'accès réseau discret des pirates sur le système. Leur nom vient du fait qu'ils permettent aux pirates d'accéder au système infecté avec des droits équivalents (ou même supérieurs) au root. À l'origine ces rootkits étaient un ensemble de chevaux de Troie mimant les commandes classiques du système (<code>ps</code>,
<code>login</code>, <code>ls</code>, etc). De nos jours, les rootkits sont quasi-essentiellement des kernel-rootkits, c'est à dire qu'ils se branchent directement sur le noyau pour modifier les informations que pourraient lire les utilisateurs du système. Ce dernier type de rootkits permet aux pirates une réelle invisibilité du point de vue des autres utilisateurs (y compris du root). Vous l'aurez compris, ces rootkits sont très difficiles à repérer avec des moyens standards et compromettent très profondément votre système. C'est pour cela qu'il n'est jamais mauvais d'installer et de lancer régulièrement ''chkrootkit'', qui vérifie la présence de [http://fr.wikipedia.org/wiki/Rootkit rootkits].

Évidemment, tout ces malwares peuvent se combiner entre eux pour former des combinaisons souvent difficiles à contrer. On peut citer l'exemple du vers 1i0n ([http://www.cert.org/incident_notes/IN-2001-03.html|rapport CERT], Mars 2001) qui ciblait essentiellement des failles sur les systèmes Unix faisant tourner un serveur BIND et qui installait le rootkit erkms avant de continuer à se propager. Ce malware combinait à la fois un vers et un rootkit lui-même composé d'un certain nombre de chevaux de Troie.

==== Les logiciels interprétés (scripts) ====
Si la machine possède un serveur apache fournissant des pages dynamiques (cgi mais surtout php et autres langages de script web. En fait, cgi est parfois sous la forme d'un binaire, mais souvent sous forme de script) il faut se méfier des attaques du type injection de code.

Veillez aussi à ne pas avoir de script contenant un mot de passe codé en clair !
Parfois, lorsque votre mot de passe est demandé (en l'occurence pour sudo) et que vous savez qu'on va vous le demander, vous tapez celui-ci sans regarder l'écran. Sauf que le terminal présente un prompt et non un "please type your password:", car vous avez tapé la commande trop vite, ou mal. Donc si par malheur vous avez tapé votre mot de passe (alors en clair) et que vous avez validé -- le shell retournant naturellement "commande inconnue" -- il vous faut éditer votre fichier <code>~/.bash_history</code> pour y supprimer le mot de passe. Il est possible et tout à fait anodin de supprimer ce fichier, mais vous n'aurez alors plus d'historique des commandes tapées.

=== Les méthodes des pirates ===
Vérifier la présence de [http://fr.wikipedia.org/wiki/Keylogger keylogger]. C'est un logiciel chargé de détecter et logger les touches pressées au clavier. Vous imaginez donc aisément le problème : les identifiants et mots de passe tapés au clavier sont alors facilement accessibles pour l'attaquant. Attention cependant : même si aucun logiciel de ce type n'est détecté, la présence d'un keylogger matériel est possible. Vérifiez en suivant le cordon du clavier jusqu'à l'ordinateur : s'il est directement relié à celui-ci, c'est bon. Sinon, s'il y a un petit câble avec un petit boîtier, il est fort probable que ce soit un keylogger.

L'[http://fr.wikipedia.org/wiki/Ing%C3%A9nierie_sociale ingéniérie sociale] est une méthode consistant à profiter de la crédulité des gens, qui souvent écrivent leurs mots de passe sur un bout de papier et le laissent à proximité de l'ordinateur. D'autres sont par exemple appelés par l'attaquant, se faisant alors passer pour le service technique de l'entreprise, qui prétend avoir besoin du mot de passe de l'utilisateur pour faire des tests.

== Protéger son ordinateur ==
=== Sécuriser son boot ===
Si l'accès physique à la machine est une faille, il faut configurer son bios. Celui-ci ne doit autoriser que le boot sur disque dur, et doit être protégé par mot de passe.
[http://fr.wikipedia.org/wiki/GRand_Unified_Bootloader Grub] permettant d'éditer manuellement le boot (périphérique de démarrage, noyau, options pour l'init...), il est nécessaire de le protéger par mot de passe afin qu'on ne puisse pas modifier les configurations prédéfinies.
En fait il est même parfois conseillé de supprimer tout périphérique susceptible d'être source d'insécurité à ce niveau, comme le lecteur de disquettes par exemple. Cela dit, si c'est une station de bureau il vaut mieux garder ce dont on a besoin, cela va sans dire. C'est à vous d'en juger.

De toute manière, un système n'est jamais sûr puisque pour l'exemple présent, il est possible de supprimer le mot de passe du [http://fr.wikipedia.org/wiki/Basic_Input_Output_System BIOS] en réinitialisant celui-ci. Ainsi pour quelqu'un ayant un accès physique à la machine il est facile d'ouvrir le boîtier et de retirer quelques secondes la batterie alimentant le BIOS. La parade consisterait à verrouiller l'accès à l'intérieur de la machine (cadenas).

Pire encore : le BIOS étant de nos jour stocké dans une mémoire accessible en écriture -- généralement de la mémoire flash. Sur les carte-mères plus anciennes le BIOS est stocké dans une ROM. -- ce qui permet potentiellement à quelqu'un de le flasher (le mettre à jour) pour le remplacer par une version vérolée.

Avant de continuer sur le BIOS, voyons un peu comment celui-ci fonctionne et pourquoi il existe :

Immédiatement à la mise sous tension, le BIOS déroule la procédure de POST (''Power-On Self Test'' ou ''vérification de mise sous tension''). Durant cette phase, le BIOS effectue divers contrôles : [http://fr.wikipedia.org/wiki/Processeur CPU], [http://fr.wikipedia.org/wiki/Somme_de_contrôle autovérification par chiffre de contrôle], contrôle des paramètres BIOS enregistrés (mémoire de "setup"), initialisation de divers composants (horloge, [http://fr.wikipedia.org/wiki/Accès_direct_mémoire DMA], etc), vérification de la mémoire, des périphériques (claviers, lecteur(s) de disquette, disque(s) dur(s), etc.).

En cas d'erreur, le BIOS tente de continuer ou, en cas d'erreur grave il arrête le système et affiche, si possible, un message d'erreur. Autrement il fait une série de beep pour aider au diagnostic de la panne. Il envoie également un code sur le port série, code qui peut être récupéré par divers moyens.

Immédiatement après le POST, le BIOS va charger le premier secteur du disque amorçable. Ce secteur contient un petit programme de chargement (boot loader) du chargeur du (des) système(s) d'exploitation (grub, lilo ou, pour Windows, NTLDR). Le POST se termine en transférant l'exécution au boot loader.

C'est en fait, à l'origine, la fonctionnalité principale (c'est elle qui a donné son nom au BIOS) du BIOS : fournir une couche logicielle d'abstaction (permettant d'ignorer lors de la programmation les aspects purement matériels) pour les périphériques les plus courants : clavier, écran, floppy, disques durs, souris, etc.
On accède à ces fonctions par l'envoi d'interruptions logicielles ou, plus rarement, par accès direct à la mémoire BIOS.

Fort heureusement, linux étant un bon système d'exploitation il n'utilise pas le BIOS, qui sert comme on l'a vu de couche d'abstraction entre le logiciel et le matériel. Le risque d'attaque via le BIOS est donc considéré comme nul. Cependant, il reste techniquement possible -- mais les pirates n'y auraient aucun intérêt -- de flasher le BIOS de telle sorte qu'il ne puisse plus booter l'ordinateur, bloqué dans une boucle infinie.

=== Partitionnement conséquent ===
À l'installation du système, il faut bien réfléchir au partitionnement des disques. Les données statiques (binaires, fichiers de configuration, etc.) seront sur une partition montée en lecture seule pour éviter toute modification :
* /bin
* /boot
* /lib
* /sbin
* /usr
Eventuellement d'autres dossiers, selon la distribution.

Lorsque l'accès physique à la machine est une faille potentielle de sécurité, il n'est pas une mauvaise idée que de créer une partition dédiée à /etc , qui serait formatée en un système de fichiers chiffré (voir [http://www.tldp.org/HOWTO/Encrypted-Root-Filesystem-HOWTO/ Encrypted root filesystem howto]). Dans ce cas-là, même si on démarre l'ordinateur avec un LiveCD il devient impossible à moins d'avoir les identifiants idoïnes d'accéder aux données de la partition.

=== N'installer que le strict nécessaire ===
Chaque bout de code est potentiellement une faille. C'est pour cela que moins il y a de logiciels installés, plus le risque d'avoir une faille est réduit. Un exemple courant pour faire comprendre le principe est que sur un serveur il n'est généralement nul besoin de serveur X. Un autre exemple, dans un environnement unix il n'est nul besoin de serveur Samba.
Une fois le ménage fait dans votre installation, il faut bien configurer ses logiciels. D'ailleurs pour être certain d'avoir une machine propre, faites l'installation hors-ligne et ne mettez la machine en réseau qu'une fois bien sécurisée, surtout au niveau de Netfilter/iptables.

=== Utilisateurs ===
Vérifier que root n'est pas autorisé à se connecter. [[Sudo|Utiliser sudo]] plutôt que [[Fiches:Securite-ficheroot|le compte root directement]] pour les tâches d'administration.
Evitez par ailleurs d'avoir des comptes inutiles sur votre machine car même s'ils n'ont que des droits restreints, l'utilisation d'une faille pour obtenir plus de permissions par un intrus n'est pas impossible.

=== Permissions ===
De manière générale, éviter autant que possible le ''setuid'', qui permet d'exécuter un programme avec les droits de root alors qu'on est connecté en simple utilisateur.

<cadre>'''setuid''' droit donné à un fichier exécutable d'utiliser les droits du propriétaire du fichier éxécutable (en général le root).</cadre>

Utiliser chroot pour les services et les utilisateurs distants qui doivent avoir un accès restreint à la machine : [[Admin-admin_env-chroot]]

== Bien configurer ses démons ==
[[Reseau-web-Apache_protec|Sécuriser Apache]] en limitant les accès aux répertoires. On peut pour cela utiliser les fichiers .htaccess ou modifier directement la configuration du serveur, généralement <code>/etc/apache/httpd.conf</code> ou <code>/etc/apache2/apache2.conf</code> .

Utilisez [[Reseau-secu-ssh|ssh/sshd]] plutôt que <code>telnet</code>. En effet, ce dernier ne chiffre pas ses flux de données, contrairement à ssh, ce qui permet grâce à un simple sniffeur réseau de voler identifiants et mots de passe via le réseau.

Les serveurs de fichiers (ou apparents) tels <code>Samba</code>, <code>NFS</code> ou encore <code>FTP</code> ne doivent accepter de connexion que des utilisateurs enregistrés : une section est prévue à cet effet dans le fichier de configuration de chaque serveur. Il est préférable de faire ceci, même si les services n'autorisent que les connexions locales et même si l'authentification des utilisateurs est déjà limitée : mieux vaut trop de sécurité que pas assez. Si vous cherchez à faire du transfert de fichiers de manière sécurisée, préférez <code>scp</code> (qui est en fait une manière d'utiliser le protocole ssh).

Si vous utilisez vnc, préférez le faire de manière sécurisée : [[Reseau-resau_plus-vnc|vnc au-dessus de ssh]].

== Barrer la route aux connexions non souhaitées ==
Une fois limité les ports réseau attendant des connexions, il faut mettre en place un firewall filtrant grâce à iptables (ou autre). Netfilter est le nom de la couche du noyau qui permet de filtrer tout ce qui passe par les interfaces réseau, tandis que iptables est une interface permettant de piloter Netfilter. Ne pas confondre, donc.
Des articles ont déjà été écrits à ce propos :
* [[Reseau-secu-iptables|iptables par l'exemple]]
* [[Reseau-secu-murdefeu|Mur de feu pas à pas]]
* [[Leapro-pro_reseau-qos|QoS via iptables]]

De manière très succincte, il faut fermer tous les ports puis ouvrir ceux dont on a besoin : le port 80 (et le 443 pour du https) doit être ouvert si l'on a un serveur web, le port 110 si l'on a un serveur pop dont on veut qu'il soit accessible d'internet, etc.

Voici un bon script de base qu'on peut adapter :
<code>#!/bin/sh
# firewall v1.0.1 Oct 13 09:48:57 PDT 2003 written by : Kernel <kernel@trustonme.net>
# Modifié par merlin8282 (je ne sais plus où j'ai pioché l'original mais il y ressemble encore vraiment beaucoup).
# this script is free software according to the GNU General Public License (see [www.gnu.org])
# Start/stop/restart/status firewall:

firewall_start() {

echo "[Démarrage du firewall]"

############################### REGLES PAR DEFAUT ###########################

echo "[Initialisation de la table filter]"
iptables -F
iptables -X

echo "[Politique par défaut de la table filter]"

# On ignore tout ce qui entre ou transite par la passerelle
iptables -P INPUT DROP
iptables -P FORWARD DROP

# On accepte, ce qui sort
iptables -P OUTPUT ACCEPT

# Pour éviter les mauvaises suprises, on va autoriser l'accès à la loopback :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

############################### LOCAL-INTERNET ###########################

echo "[On autorise les clients à accéder à internet]"

#On créé une nouvelle chaîne, le nom est indifférent
# appelons-la "local-internet"
iptables -N local-internet

# On définit le profil de ceux qui appartiendront à "local-internet"
# "local-internet" concerne toutes les connections sauf celles venant d'internet ( ! = non)
# En gros avec ça, vous rendez, vos serveurs inaccessibles depuis internet.
# Pas de panique, certains serveurs seront autorisés explicitement dans la suite.
# (Remplacer ppp0 en fonction de votre configuration)
iptables -A local-internet -m state --state NEW -i ! ppp0 -j ACCEPT

#Evidemment, une fois acceptées comme "local-internet", les connections peuvent continuer
# et faire des petits :
iptables -A local-internet -m state --state ESTABLISHED,RELATED -j ACCEPT

# On termine en indiquant que les connections appartenant à "local-internet"
# accèdent à internet de manière transparente.
iptables -A INPUT -j local-internet
iptables -A FORWARD -j local-internet

############################### LES TABLES NAT ET MANGLE #############################

echo "[Initialisation des tables nat et mangle]"

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

############################### LE MASQUERADING #########################

# Commentez ces 2 lignes, si vous ne faîtes pas du masquerading (nat)
#echo "[Mise en place du masquerading]"
#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

########################### ACTIVATION DE LA PASSERELLE ##################

#echo "[Activation de la passerelle]"
#echo 1 > /proc/sys/net/ipv4/ip_forward

############################## PAS DE SPOOFING ##########################

echo "[Pas de spoofing]"
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi

########################## PAS DE SYNFLOOD ####################

echo "[Pas de synflood]"
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

############################### PAS DE PING ############################

# commentez ces 6 lignes, si vous autorisez les pings sur votre passerelle
echo "[Pas ping]"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
fi

############# Priorisation de la bande passante et des connections - QoS ############

echo "[priorisation des connections ssh ...]";
iptables -A PREROUTING -t mangle -p tcp --sport 443 -j TOS --set-tos Minimize-Delay

echo "[priorisation des connections http ...]";
iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos Maximize-throughput
iptables -A PREROUTING -t mangle -p tcp --sport 3129 -j TOS --set-tos Maximize-throughput

############################ Fonctionnalités serveurs #####################################

echo "[Etude des fonctionalités serveurs, visibles depuis internet]"

# A ce stade, tous vos clients du réseau local et de la passerelle ont accès à internet. Mieux,
# vos clients du réseau local, ont accès à vos serveurs apache, proftp ... localement. Mais personne
# depuis internet ne peux accéder à l'un des serveurs que vous hébergez.

# Il est bien-sûr possible de dévérrouiller pontuellement l'accès à un serveur depuis internet,
# en décommentant les 2 ou 3 lignes correspondantes.

#echo "[autorisation du serveur ssh(22) ...]"
#iptables -A INPUT -p tcp --dport ssh -j ACCEPT

#echo "[autorisation du serveur smtp(25) ...]"
#iptables -A INPUT -p tcp --dport smtp -j ACCEPT

#echo "[autorisation du serveur http(80) ...]"
#iptables -A INPUT -p tcp --dport www -j ACCEPT

#echo "[autorisation du serveur https(443) ...]"
#iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#echo "[autorisation du serveur DNS(53) ...]"
#iptables -A INPUT -p udp --dport domain -j ACCEPT
#iptables -A INPUT -p tcp --dport domain -j ACCEPT

#echo "[autorisation du serveur irc(6667) ...]"
#iptables -A INPUT -p tcp --dport ircd -j ACCEPT

#echo "[autorisation du serveur cvs (2401) ...]"
#iptables -A INPUT -p tcp --dport cvspserver -j ACCEPT

#echo "[autorisation du serveur FTP(21 et 20) ...]"
#iptables -A INPUT -p tcp --dport ftp -j ACCEPT
#iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT

# Ne pas décommenter les 3 lignes qui suivent.
# Plus généralement :
#echo "[autorisation du serveur Mon_truc(10584) ...]"
#iptables -A INPUT -p tcp --dport 10584 -j ACCEPT

#echo "[autorisation du serveur aMule (4662/tcp) ...]"
#iptables -A INPUT -p tcp --dport 4662 -j ACCEPT

#echo "[autorisation du serveur BitTorrent (6881-6889/tcp) ...]"
#iptables -A INPUT -p tcp --dport 6881:6889 -j ACCEPT

echo "[firewall activé !]"
}

firewall_stop() {

iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

echo " [firewall descativé!]"
}

firewall_restart() {
firewall_stop
sleep 2
firewall_start
}

case "$1" in
'start')
firewall_start
;;
'stop')
firewall_stop
;;
'restart')
firewall_restart
;;
'status')
iptables -L
iptables -t nat -L
iptables -t mangle -L
;;
*)
echo "Usage: firewall {start|stop|restart|status}"
esac</code>
Ce script est à mettre généralement dans un fichier du dossier <code>/etc/init.d/</code> .

== Détecter les intrusions, connaître les outils ==
=== who ===
La commande <code>who</code> ou <code>w</code> permet de voir les utilisateurs actuellement connectés (loggés) au système. Attention cependant car un agresseur peut être -- et l'est certainement si c'est le cas -- connecté sous votre nom, s'il est parvenu à s'immiscer dans votre système.

=== ps ===
La commande <code>ps</code> liste tous les processus actuellement en cours d'exécution sur le système. S'il en est un que vous ne connaissez pas, identifiez-le. Si vous ne savez toujours pas ce que c'est, pas d'affollement : utilisez la commande <code>lsof</code> et voyez si vous trouvez des fichiers en rapport avec ce processus. Vous pouvez alors identifier le processus et déterminer si c'est un processus "innofensif". Si ce n'est pas le cas, vous pouvez supprimer les fichiers qu'il faut. Attention toutefois à bien être certain que ce soit un logiciel malveillant que vous supprimez ! En revanche, si c'est un logiciel qui s'est fait infecter (par exemple apache) il suffit de réinstaller celui-ci, après avoir vidé le cache des paquets de votre gestionnaire de packages. Vérifiez aussi la configuration après réinstallation. Nul besoin de redémarrer, sauf si évidemment c'est le noyau qui est corrompu, chose qui est à mon avis très rare.

=== netstat ===
La commande <code>netstat</code> est une commande qui liste toutes les connexions réseau actives sur votre machine ainsi que l'état dans lequel elles sont (listening, connected, established, etc.) :
<code>Proto Recv-Q Send-Q Adresse locale Adresse distante Etat
tcp 0 0 0.0.0.0:3129 0.0.0.0:* LISTEN
tcp6 0 0 :::443 :::* LISTEN</code>
On voit ici par exemple que le port 3129 écoute (LISTEN) sur la machine locale (0.0.0.0) et que le port 443 en fait de même.
Vérifiez les connexions actives, les ports ouverts, et faites le lien avec vos démons et autres programmes qui tournent. Si un port ne vous dit rien, informez-vous.

=== lsof ===
La commande <code>lsof</code> liste tous les fichiers ouverts actuellement. Elle indique aussi quel utilisateur utilise quel fichier.
<code>COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
init 1 root mem REG 3,65 31432 1720343 /sbin/init
apache2 597 root mem REG 3,65 385484 25423 /usr/sbin/apache2</code>
Les informations parlent d'elle-mêmes. Ce sont deux cas précis parce-que le processus <code>init</code> a le fichier <code>/sbin/init</code> d'ouvert (de même pour apache).

=== fcheck ===
C'est un utilitaire qui notifie l'administrateur en cas de modification de fichiers. On précise dans le fichier de configuration quels fichiers ou dossiers on veut surveiller et un mail est envoyé en cas de changement.

=== logcheck ===
<code>logcheck</code> est un outil qui scrute les logs, en fait un résumé et envoie un courriel à l'administrateur (généralement root en local) régulièrement. Evidemment, il est possible de configurer le niveau de ce qui est rapporté.

=== chkrootkit ===
C'est un logiciel important, puisqu'il détecte la présence de rootkits. Son principe de fonctionnement est l'écoute des ports réseau. Relativement souvent, cependant, des logiciels tels les clients peer2peer sont détectés comme une menace, bien qu'ils soient innofensifs. En effet, ils utilisent des ports qui ne sont pas "officiellement" connus (contrairement au port 80, par exemple, qui est celui de tout serveur web). Donc pas d'affollement.

=== Les systèmes de détection d'intrusion ===
Un [http://fr.wikipedia.org/wiki/Système_de_détection_d'intrusion IDS (''Intrusion Detection System'')] est un logiciel qui a pour but de détecter toute intrusion dans le système. On peut citer par exemple [[Reseau-secu-SNORT|snort]] et tiger mais il en existe d'autres.
Un tel logiciel fait des vérifications sur le système (logs, réseau, etc.) et reporte toute anomalie, tout ce qui est suspect.

== Localiser le problème et nettoyer ==
Grâce aux outils précédents il est plus ou moins facile de localiser d'où vient le problème. On peut alors agir en conséquence, à savoir tuer les processus incriminés et supprimer les logiciels correspondants. Au préalable on peut aussi, si l'on est curieux, regarder ce qu'a fait l'attaquant : il a certainement laissé des traces que l'on peut examiner pour mieux comprendre.

L'intrus ayant pu avoir les droits root il serait de bon augure de réinstaller proprement -- en ayant pris soin de vider le cache de son gestionnaire de paquets -- les outils permettant la découverte de logiciels non souhaités, comme chkrootkit. Ceci fait un scan complet de tous les disques doit être fait. Prenez soin de monter toutes les partitions avant de lancer le scan. Veillez aussi à vérifier le partitionnement de vos disques, au cas où l'attaquant aurait créé une partition dans le but d'avoir un endroit de stockage de ses outils malveillants que l'administrateur de la machine -- vous-même -- ne verrait pas. Eh oui, il faut penser à toutes les éventualités ! Je pense qu'il vaut mieux être trop paranoïaque que pas assez, lorsqu'on administre un serveur.

== Voir aussi ==
* [http://fr.wikipedia.org/wiki/Cat%C3%A9gorie:Logiciel_de_s%C3%A9curit%C3%A9_informatique Wikipédia : Catégorie:Logiciel de sécurité informatique]
* [http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_informatique Wikipédia : Sécurité des systèmes d'information]
* [http://fr.wikipedia.org/wiki/Risques_en_s%C3%A9curit%C3%A9_informatique Wikipédia : Risques en sécurité informatique]
* [http://www.debian.org/doc/manuals/securing-debian-howto/index.fr.html Une excellente documentation concernant la sécurisation de la distribution Debian GNU/Linux]

== Conclusion ==
Même si l'on connaît les risques, il est toujours impératif de rester sur ses gardes. De nouvelles menaces apparaissent régulièrement, de nouvelles failles sont découvertes chaque jour, de nouveaux virus aussi, etc. L'avenir nous dira si un jour on aura des ordinateurs sûrs à 100%, chose qui n'est pas impossible mais cependant improbable.

== Remerciements ==
Un grand merci à abgech pour sa contribution à la partie concernant le BIOS,<br>
Merci à oudoubah, pour ses idées et son expérience,<br>
Merci à Morgan pour l'aide qu'il m'a apporté pour restructurer l'article, ainsi que pour ses idées et ses critiques également.<br>
Merci à Fleury pour sa contribution en rapport avec les virus, vers, chevaux de Troie, etc.<br>
Merci enfin à Léa d'être là pour le logiciel libre !

== Copyright ==
Copyright © merlin8282
{{CC-BY-NC-SA}}

Configurer les touches de son clavier multimédia

2006-05-12T18:41:54Z

Xion345 : /* Attribuer des commandes aux touches */

[[Category:Autres]]
= Configurer les touches de son clavier multimédia =

<div class="leatitre">Configurer les touches de son clavier multimédia</div><div class="leapar">par [mailto:jean-thomas.muyl@lea-linux.org Jean-Thomas MUYL --maston28 et [mailto:tuxnil@yahoo.fr NiL]]</div>

Comme moi, vous vous êtes peut-être acheté un clavier confortable, plus adapté aux longues heures de coding ou d'irc que votre vieux tromblon 105 touches que vous avez eu avec votre premier 386. Et, oh comble du luxe, il y a sur ce clavier plein de petits boutons rigolos pour contrôler le volume, changer de chanson, mettre la machine en veille ainsi que plein d'autres choses du genre, parfaitement inutiles donc totalement indispensables...

Les drivers pour votre manchot favori ne vous seront sans-doute pas fournis avec la bête, nous allons donc voir ensemble comment associer à chacune de ces touches l'exécution d'une commande.

== Préliminaires ==
=== Espionnage des touches incriminées ===

Tout d'abord, il va nous falloir espionner le clavier pour savoir ce qu'il renvoie quand vous appuyez sur les touches bonus.

Pour cela, il faut utiliser le programme xev, qui se trouve sur mandrake dans le paquet X11R6-contrib. Si vous avez [http://groupes.lea-linux.org/fiches/ficheurpmi.html correctement configuré les sources urpmi], il vous suffit de taper ceci en tant que root : <code>urpmi X11R6-contrib</code>.

Lorsque tout est installé, lancez le programme <code>xev</code>. En appuyant sur les touches, vous devriez obtenir quelque chose ressemblant à ceci :

<div class="code">[root@mastonsbox maston28]# xev<br /> KeyRelease event, serial 27, synthetic NO, window 0x3400001,<br /> root 0x48, subw 0x0, time 7029077, (249,-81), root:(252,517),<br /> state 0x0, keycode 233 (keysym 0x1008ff27, XF86Forward), same_screen YES,<br /> XLookupString gives 0 bytes: ""</div>

Le champ qui nous intéresse ici est le champ <code>keycode</code>. Par exemple, la touche que j'ai ici espionnée renvoie la valeur <code>keycode 233</code>.

Répétez cette opération pour chacune des touches spéciales, et notez quelque part la valeur de chacune de ces touches.

<div class="note">Si certaines touches ne semblent rien renvoyer, vérifiez dans le fichier <code>/usr/X11R6/lib/X11/xkb/keycodes/xfree86</code> que vous avez ceci :<br /><div class="code"> xkb_keycodes "basic" {<br /><br /> minimum= 8;<br /> maximum= 255;<br /> </div><br /> En effet, il arrive parfois que les valeurs soient plus petites, et donc que le programme ne scanne pas sur toute la plage possible. </div>

==== xev ne réagit pas à vos touches ====
Il arrive fréquemment que <code>xev</code> ne réagisse pas à l'appuie sur certaines touches des claviers multimédia. C'est, la plupart du temps, du au fait que le kernel n'a pas connaissance de ces touches. Mais il existe une solution !

===== vérifier que le kernel est capable de gérer une touche =====
Dans un terminal tapez :
<code multi>tail -f /var/log/messages</code>
Puis appuyez sur la touche qu'<code>xev</code> ne reconnaît pas, vous devriez voir apparaître quelque chose du genre :
<code multi>Feb 7 16:13:08 localhost atkbd.c: Use 'setkeycodes e012 <keycode>' to make it known.</code>
Ce qui nous intéresse, c'est la valeur annoncée : '''e012'''. C'est le '''scancode''' de la touche en question. Tant que vous y êtes appuyez sur la plupart de touches de votre clavier pour voir s'il n'y a pas d'autre touche inconnue du noyau. Vérifiez aussi les touches aprés le vérouillage de la touche <key>Verr. F</key> (enfin c'est son nom sur mon clavier) : elle donne accès à une douzaines de '''touches''' parallélement aux touches de fonction.

Il faut maintenant affecter un '''keycode''' à ce '''scancode'''. C'est ce que dit le message d'erreur renvoyé par le noyau.
===== vérifier les '''keycodes''' disponibles =====
Un outils liste les '''keycodes''' utilisé : <code>getkeycodes</code>. Il renvoie une table qui liste les touches par '''scancode''' affiche leur '''keycodes''' associé.

Pour afficher uniquement les '''keycodes''' libres, on peut utiliser la commande :
<code>root@localhost # IFS=$'\n ' ; for i in $(getkeycodes | grep "[0-9]:" | cut -d ":" -f 2) ; do echo $i ; done | sort | uniq > list.codes
root@localhost # for ((i=80;i<=255;i++)) ; do if grep -E "^$i\$" list.codes > /dev/null ; then true ; else echo "$i" ; fi ; done > free.codes
root@localhost # cat free.codes
</code>

===== affectation d'un '''keycode''' par '''scancode''' =====
Pour chaque '''scancode''' trouvé aux étapes précédantes, vous devez affecter un '''keycode''' libre (trouvé à l'étape précédante).

Par exemple, pour affecter le '''keycode''' : ''200'' à la touche dont le '''scancode''' est ''e012'', il suffit de taper :
<code multi>setkeycodes e012 200</code>
On peut affecter plusieurs touches en même temps, par exemple :
<code multi>setkeycodes e012 200 e013 201 e017 215</code>
Un fois ceci fait, vous pourrez espionner vos touches avec <code>xev</code> comme préconisé ci-dessus.

'''PS:''' Pensez à ajouter à l'un de vos scripts de démarrage l'affectation des '''keycodes'''
Sur ma gentoo, j'ai créé le script <code>/etc/init.d/keycodes</code> :
<code>#!/sbin/runscript
# Distributed under the terms of the GNU General Public License v2 (and no other version)
#NB: Config is in /etc/conf.d/keycodes

depend() {
need localmount
}

checkconfig() {
if [ -z "$KEYCODES" ] ; then
eerror "You need to setup KEYCODES in /etc/conf.d/keycodes first"
return 1
fi
}

start() {
checkconfig || return 1
ebegin "Setting specific keycodes"
setkeycodes $KEYCODES
eend ${?}
}

stop() {
ewarn "nothing to stop"
}</code>
Je n'ai pas oublié de rendre ce script exécutable :
<code multi>root@localhost # chmod +x /etc/init.d/keycodes</code>
Et j'ai créé le fichier de configuration <code>/etc/conf.d/keycodes</code> :
<code multi>KEYCODES="e011 227 e012 228 e013 229 e014 230 e03b 190 e03c 191 e03d 192 e03e 193 e03f 194 e040 195 e041 196 e042 197 e043 198 e044 199 e057 201 e058 202"
</code>
Ensuite j'ai demandé à ma gentoo de démarrer automatiquement ce fichier :
<code multi>root@localhost # rc-update add keycodes default</code>

=== Nommer les touches ===

Pour que les touches soient reconnues, il faut associer leur <code>keycode</code> avec un nom de touche g énérique connu par Xfree. Ces noms de touches sont listés dans le fichier <code>/usr/X11R6/lib/X11/XKeysymDB</code> et commencent par <code>XF86</code>. Il faut ensuite créer le fichier <code>~/.xmodmaprc</code> dans lequel on va définir ces fameuses correspondances...Comme un exemple vaut mieux qu'un long discours, voici le contenu de mon <code>~/.xmodmaprc</code> :

<div class="code">keycode 234 = XF86Back<br /> keycode 233 = XF86Forward<br /> keycode 232 = XF86Stop<br /> keycode 231 = XF86Refresh<br /> keycode 229 = XF86Search<br /> keycode 230 = XF86Favorites<br /> keycode 178 = XF86VendorHome<br /> keycode 236 = XF86Mail<br /> keycode 160 = XF86AudioMute<br /> keycode 174 = XF86AudioLowerVolume<br /> keycode 176 = XF86AudioRaiseVolume<br /> keycode 162 = XF86AudioPlay<br /> keycode 164 = XF86AudioStop<br /> keycode 144 = XF86AudioPrev<br /> keycode 153 = XF86AudioNext<br /> keycode 237 = XF86Video<br /> keycode 235 = XF86OfficeHome<br /> keycode 161 = XF86Calculator<br /> keycode 222 = XF86PowerOff<br /> keycode 223 = XF86Sleep<br /> keycode 227 = XF86WakeUp</div>

En fonction des <code>keycode</code> que vous avez trouvé et des noms que vous souhaitez donner à vos touches, remplissez ce fichier avec cette syntaxe très simple.

<div class="note">L'attribution de ces noms est totalement arbitraire du moment qu'ils sont dans le fichier <code>/usr/X11R6/lib/X11/XKeysymDB</code>. Le choix de ces noms n'influera en rien sur les actions associées aux touches dans le futur. Une bonne chose est de choisir les noms qui se rapprochent le plus du dessin associé à la touche sur le clavier pour s'y retrouver...</div>

Une fois cela fait, il faut taper la commande <code>xmodmap ~/.xmodmaprc</code> pour activer le nouveau mapping.

==== Charger les attributions automatiquement sous KDE ====

Pour que cela prenne effet à chaque démarrage de KDE, placez le fichier suivant dans le répertoire <code>~/.kde/Autostart/</code>.

<div class="code"><nowiki>#!/bin/sh</nowiki><br /> xmodmap ~/.xmodmaprc</div>

Rendez ensuite ce script exécutable : <code> chmod +x ~/.kde/Autostart/clavier</code> (si vous avez appelé le fichier <code>clavier</code> bien entendu...)

== KDE est installé sur ma machine ==

=== Attribuer des commandes aux touches ===

Une méthode simple pour attribuer des touches à des commandes est de créer un menu caché.

Pour cela, lancez <code>kmenuedit</code> ou <code>menudrake</code> (sous mandrake), ou encore sous mandriva 10.1 Kcontrol->Système->Touches spéciales du clavier. Créez un menu caché en mettant un point au début du nom de menu, par exemple : <code>.clavier</code> sera un menu caché.

Vous pouvez maintenant créer des entrées de menu avec un nom et une commande associée, chacune de ces commandes pourra ensuite être attribuée à une touche ou à une combinaison de touches.

<div class="note">Vous trouverez à la fin de cet article quelques commandes utiles de gestion de son par exemple, ou de certains logiciels.</div>

Maintenant que vous avez créé les entrées, allez voir : "centre de controle kde -> Régionalisation & accessibilité -> raccourcis claviers -> raccourcis de commandes". Tout dépend de votre version de KDE, mais cela n'a pas beaucoup changé, vous devriez trouver cela en quelques secondes à peine. Vous avez maintenant tous vos menus, y compris votre menu caché. Pour chacune de entrées de menu, vous pouvez créer un raccourci personnalisé, et utiliser vos touches fraichement nommées ! Ça marche ! Qui a dit que les claviers multimédias ne sont pas compatibles avec linux ?

Une autre méthode utilisant KDE pour lancer une commande avec un raccourci clavier consiste à utiliser la fonction d'"Actions d'entrées" disponnible sous le versions les plus récentes de KDE. Pour ce faire allez dans :
Centre de configuration de KDE (<code>kcontrol</code>) > Régionalisation & accessibilité > Actions d'entrées.

Ensuite, cliquez sur le bouton "Nouveau groupe" et nommez-le "Clavier", par exemple.

Cliquez sur le nom du goupe dans la liste de droite puis cliquez sur "Nouvelle action". Nommez-la comme vous le désirez et choisissez "Raccourci clavier -> Commande / URL (simple)" dans la liste déroulante "Type d'action : ". Vous pouvez dès à présent paramétrer le raccourci que vous voulez utliser et la commande à lancer dans les onglets "Raccourci clavier" et "Paramètres de la commande / URL". Il convient de répéter cette dernière procédure pour chaque commande à lancer.

=== Liste de commandes utilisables ===

{| width="80%" border="1" cellpadding="10"
|- align="center"
! Action
! Commande
|- align="center"
| Lecture-pause
| <code>xmms --play-pause</code>
|- align="center"
| STOP
| <code>xmms --stop</code>
|- align="center"
| Chanson précédente
| <code>xmms --rew</code>
|- align="center"
| Chanson suivante
| <code>xmms --fwd</code>
|- align="center"
| Baisser le son
| <code>aumix -v-15</code> ici de 15%.
|- align="center"
| Monter le son
| <code>aumix -v+15</code> ici de 15%.
|- align="center"
| Couper le son
| <code>aumix -vn</code>
|- align="center"
| Lancer kmail
| <code>kmail</code>
|- align="center"
| Relever les mails dans kMail
| <code>dcop kmail KMailIface checkMail</code>
|- align="center"
| Vérouiller l'écran
| <code>dcop kdesktop KScreensaverIface lock</code>
|- align="center"
| Ejecter cdrom
| <code>eject /dev/cdrom</code>
|- align="center"
| Avaler cdrom
| <code>eject -t /dev/cdrom</code>
|- align="center"
| Calculatrice
| <code>kcalc</code>
|- align="center"
| Chercher un fichier
| <code>kfind</code>
|- align="center"
| Konqueror comme gestionnaire de fichiers
| <code>kfmclient openProfile filemanagement</code>
|- align="center"
| Konqueror comme navigateur
| <code>kfmclient openProfile webbrowsing</code>
|- align="center"
| Éxécuter une commande
| <code>dcop kdesktop KDesktopIface popupExecuteCommand</code>
|}

== KDE n'est pas installé sur ma machine ==

=== Configurer son clavier sous X ===

Nous allons commencer par configurer notre clavier sous X : c'est-à-dire que nous allons faire en sorte que X sache quel modèle de clavier nous possédons. Pour cela, nous avons besoin de deux informations :

* Quel clavier nous possédons
* A quel modèle X associe t-il notre clavier

Pour la première, retournez votre clavier et lisez l'étiquette ;)<br /> Pour la deuxième, éditez le fichier <code>/usr/X11R6/lib/X11/xkb/rules/xfree86.lst</code>. S'il ne se trouve pas là, faites <code>locate *xkb*/xfree86.lst</code> dans un shell).

<div class="exemple">Au dos de mon clavier il est écrit : ''Logitech Internet Naviguator Keyboard''. Le modèle de X est donc ''logiink''.</div>

Maintenant on va insérer tous ces paramètres dans le fichier de configuration de X, pour ce faire : éditez en root le fichier <code>/etc/X11/XF86Config-4</code> (ou <code>XF86Config</code> selon votre version de X). Cherchez la section du clavier : ''Driver "keyboard"'' et insérez les paramètres :

<div class="code">Section "InputDevice"<br />   Identifier "Generic Keyboard"<br />   Driver "keyboard"<br />   Option "CoreKeyboard"<br />   Option "XkbRules" "xfree86"<br />   Option "XkbModel" "'''logiink'''"<br />   Option "XkbLayout" "'''be'''"<br /> EndSection</div>

Enregistrez, relancez vos sessions si vous voulez que les changements soit appliqués immédiatement. La configuration de X est terminée.

=== Récupérer les KeyCodes de toutes les touches ===

Les KeyCodes sont les numéros des touches qui définissent les touches de votre clavier, parfois c'est sous forme de chaîne de caractères comme ici. C'est très utile parce que grâce à ça on ne doit pas deviner à quel numéro est associée telle touche. Éditez le fichier <code>/etc/X11/xkb/symbols/inet</code> (si le fichier ne se trouve pas là, essayez <code>locate *xkb*/inet</code>), et recherchez le modèle de votre clavier. Vous trouverez ainsi tous les KeyCodes des touches supplémentaires de votre clavier étendu.

<div class="aparte">Vous pouvez utiliser les touches pour des actions sous KDE, Gnome, Fluxbox, WindowMaker, etc...</div>

=== Association des touches supplémentaires à une commande ===

==== Installation de KeyLaunch ====

Associer une touche à une commande est chose facile si l'on utilise Lineak ou KHotKeys, je vous propose ici encore une autre méthode un peu moins évidente mais beaucoup plus légère que les autres. Vous aurez seulement besoin de KeyLaunch (68K). Sur Debian c'est le paquet keylaunch, pour Mandrake et RedHat : je n'ai pas trouvé le paquet (désolé) et pour ceux qui veulent compiler [http://ftp.riken.go.jp/pub/Linux/debian/debian/pool/main/k/keylaunch/keylaunch_1.3.0-6.tar.gz c'est par ici. (11k)]

==== Configurer KeyLaunch ====

La configuration est très simple et très pratique : tout se fait dans <code>.keylaunchrc</code> que ''' vous devez créer''' dans votre dossier home. Il y a un exemple du fichier dans <code>/usr/share/doc/keylaunch/examples</code> (si vous avez installé le paquet Debian sinon c'est dans le dossier <code>debian</code> là où vous avez décompressé KeyLaunch).

Voici, en français, comment personnaliser ce fichier :<br /> Une seule association par ligne, chaque association commence par : <code>key=</code> faites suivre ensuite par l'état des modificateurs. Insérez trois points si une simple pression sur la touche vous suffit. <code>key=...</code>. (Le premier point est le modificateur '''[<tt>Shift</tt>]''', activez-le en remplaçant le point par une astérisque (*). Le second point est le modificateur '''[<tt>Ctrl</tt>]''' et enfin le dernier est le modificateur '''[<tt>Alt</tt>]'''.) Et terminez enfin la ligne par la commande à exécuter précédée de ':'.

<div class="exemple">

Et comme un bon exemple vaut mieux qu'un long discours :

<div class="code"> key=...XF86AudioMedia:xmms<br /> key=.*.XF86AudioMedia:gmplayer</div>

Cet exemple-ci fait en sorte que lorsque vous appuyez sur la touche '''[<tt>Media</tt>]''' du clavier : il ouvre XMMS. Cependant, si vous appuyez simultanément sur '''[<tt>Alt</tt>]''' et '''[<tt>Media</tt>]''', KeyLaunch lancera GMPlayer.

<div class="aparte">Cette exemple est destiné à un clavier Logitech Internet Navigator, adaptez le fichier à vos besoins grâce à la liste des touches à laquelle j'ai fait référence ci-dessus, dans la section KeyCodes.</div></div>

=== Aide pour les commandes ===

Voici une petite aide pour savoir quels sont les commandes qu'il faut mettre pour réaliser telle ou telle action. Demandez sur le forum si cette aide est insuffisante.

==== XMMS ====

{| border="1"
| Démarrer XMMS
| xmms
|-
| Démarrer la musique
| xmms --play
|-
| Mettre en pause
| xmms --pause
|-
| Basculement lecture/pause
| xmms --play-pause
|-
| Arrêter
| xmms --stop
|-
| Piste suivante
| xmms --fwd
|-
| Piste précédente
| xmms --rew
|}

Pour le reste, entrez dans une console et tapez <code>xmms --help</code>.

==== Autre programme ====

{| border="1"
| Couper le son
| mute
|-
| Noatun
| noatun
|-
| La calculatride de KDE
| kcalc
|-
| Mozilla
| mozilla
|-
| Mozilla Mail
| mozilla -mail
|-
| KMail
| kmail --check
|-
| Rechercher
| kfind
|-
| Augmenter le volume de 10%
| aumix -v+10
|-
| Diminuer le volume de 10%
| aumix -v-10
|}

Vous pouvez également créer ce script que vous pouvez associer à la touche '''[<tt>Go</tt>]''', présente sur certains claviers Logitech. Il affiche simplement une boite de dialogue KDE, pour vous permettre d'entrez l'URL que Mozilla doit vous afficher :

<div class="code"> #!/bin/bash<br /> # kwebgo<br /> file=$(kdialog --inputbox "Site Web :" "$@")<br /> if [ -n "$file" ]; then<br />   mozilla "$file"<br /> fi</div>

<code>kwebgo http://www.mozdex.com</code> ouvrira la boite de dialogue avec pour valeur par défaut : [http://www.mozdex.com/ http://www.mozdex.com].

<div class="note">Changez <code>mozilla "$file"</code> en <code>konqueror "$file"</code>, et vous utiliserez ainsi Konqueror au lieu de Mozilla.</div>

=== Comment associer une touche à une combinaison de touches ? ===

Voici comment associer un clic ou une pression sur une touche à une combinaison de touches et d'actions à la souris grâce à xbindkeys et xmacroplay.

==== XBindKeys ====

XBindKeys est un programme qui permet d'associer une commande à une combinaison de touches ou de clics. Vous devez pour cela installer [http://www.easylinux.de/Download XBindKeys] (xbindkeys sur Debian (152K)).

==== XMacro ====

XMacro est un programme capable d'enregistrer vos actions de souris et de clavier, pour ensuite les reproduire. Remarquez que l'on ne fera que produire des actions. [http://xmacro.sourceforge.net/ Cliquez ici pour le télécharger] (paquet xmacro sur Debian (112K)).

=== L'exemple sur Diablo II ===

Le mieux c'est de montrer en pratique ce que l'on peut faire avec tout ça avec Diablo II.

Je n'aborderai pas l'émulation ici. Merci de ne pas m'écrire à propos de ce jeu.

==== Configurer X pour Diablo II ====

Le XBindKeys ne fonctionne que si le programme n'applique pas un "grab" sur les périphériques (i.e les capturer pour lui tout seul). Il faut donc lancer Diablo II en fenêtré tout en restant en plein-écran. Explication : une application lancée en fenêtrée, sans bordure, sans fenêtre et avec une résolution d'écran correspondant à la taille de la fenêtre, ça revient finalement à un plein écran sans capture des périphériques d'entrée.

Nous allons créer un script qui va lancer Diablo II sur la seconde session graphique, en fenêtré, et en 800x600 (de manière à ce que la fenêtre prenne tout l'écran). Pour cela il faut d'abord configurer X pour qu'il travail toujours en 800x600 lorsqu'il est en 16 bits de couleurs. (En supposant ici que vous travaillez habituellement en 24 bits de couleurs. Si vous travaillez en 16 bits, modifiez le 24 bits). Éditez le fichier <code>/etc/X11/XF86Config-4</code> (ou <code>XF86Config</code> selon votre version de X) ; cherchez la section <code>Screen</code> et trouvez ensuite la sous-section <code>Display</code> dont la <code>Depth</code> (profondeur des couleurs) est égale à 16. Modifiez les modes pour n'avoir au maximum qu'une résolution de 800x600. La première étant celle utilisée par défaut.

<div class="code">SubSection "Display"<br />   Depth 16<br />   Modes "800x600" "640x480"<br /> EndSubSection</div>

De cette façon, X activera toujours la 800x600 lorsqu'il sera en 16 bits de couleurs.

==== Configurer une commande Diablo II ====

Nous allons maintenant faire le petit script qui lancera Diablo II sur une nouvelle session.

<div class="code"><nowiki>#!/bin/bash</nowiki><br /><br /> mv $HOME/.xinitrc $HOME/.xinitrc-diablo2-old<br /><br /> echo "xsetroot -solid black -cursor_name left_ptr<br /> #xset m 50/10 6 # accélération souris xset m <accel> <seuil><br /> numlockx on # vérouillage pavé num<br /> setxkbmap -layout us<br /> cd /usr/local/games/Diablo\ II<br /> xbindkeys -f $HOME/.diablo2/xbindkeys.config -X :1<br /> wine Game.exe -- $@ "> /tmp/diablo2.logs<br /> killall -9 xbindkeys wine wineserver" > $HOME/.xinitrc<br /><br /> xinit -- :1 -depth 16<br /><br /> rm -f $HOME/.xinitrc<br /> mv $HOME/.xinitrc-diablo2-old $HOME/.xinitrc</div><div class="note"><code>setxkbmap -layout us</code> nous sert à faire passer le clavier en QWERTY original. Ce n'est pas indispensable mais préférable pour Diablo II qui ne comprend absolument rien aux touches numériques situées au dessus de la zone des lettres.</div><div class="aparte">Dans ce script, le NumLock est activé par numlockx : vérifiez que vous l'avez installé !</div>

Comme vous voyez, la commande de XBindKeys est déjà insérée, les explications arrivent...

==== XBindKeys et Diablo II ====

Nous allons aborder ici l'utilisation de XBindKeys dans Diablo II. Comme vous le savez déjà, la roulette de la souris dans Diablo II sert à faire défiler les aptitudes. On va améliorer ça : la roulette vers le haut enclenchera une aptitude et remetra directement celle par défaut, celle du bas une autre aptitude et le clic au milieu encore une autre. Très pratique ;)

On va tout d'abord positionner tous les fichiers nécessaires à notre opération dans un dossier <code>.diablo2</code> dans le répertoire home. Créez donc le dossier <code>$HOME/.diablo2</code> et mettez-y ce fichier de configuration XBindKeys :

<div class="code"><nowiki># Aptitude 1</nowiki><br /> "~/.diablo2/aptitude.sh 6"<br /> b:4<br /><br /> # Aptitude 1-Copy<br /> "~/.diablo2/aptitude.sh 6"<br /> control + b:4<br /><br /> # Aptitude 2<br /> "~/.diablo2/aptitude.sh 7"<br /> b:5<br /><br /> # Aptitude 2-Copy<br /> "~/.diablo2/aptitude.sh 7"<br /> control + b:5<br /><br /> # Aptitude 3<br /> "~/.diablo2/aptitude.sh 8 0,09"<br /> b:2<br /><br /> # Aptitude 3-Copy<br /> "~/.diablo2/aptitude.sh 8 0,09"<br /> control + b:2<br /><br /> # Extended keyboard<br /> "~/.diablo2/message.sh '***à bout de souffle*** on pourrait pas... faire un petit saut... en ville ? :) Je vous paye le TP :D'"<br /> XF86HomePage<br /><br /> "aumix -v+10"<br /> XF86AudioRaiseVolume<br /><br /> "aumix -v-10"<br /> XF86AudioLowerVolume<br /><br /> "mute"<br /> XF86AudioMute</div><div class="warning">Faites attention au deuxième argument donné à aptitude.sh, ce sont des nombres décimaux et le séparateur est une virgule. Ça ne fonctionnera pas si vous mettez un point ! (dû à la commande sleep)</div><div class="aparte">Comme vous le voyez, j'ai remis les mêmes associations deux fois. Une fois avec le '''[<tt>Ctrl</tt>]''' enfoncé, et une fois sans. Étant donné qu'il faut appuyer sur la touche '''[<tt>Ctrl</tt>]''' pour courir.</div>

Mais quel est cet étrange script aptitude.sh ? Et message.sh ? La suite, par ici...

==== XMacroPlay et Diablo II ====

On va maintenant faire deux petits scripts, l'un permet d'envoyer des messages rapidement l'autre permet d'appuyer sur une touche, faire un clic droit, temporiser et appuyer sur une autre touche du clavier.

<div class="code"><nowiki>#!/bin/bash</nowiki><br /> echo "KeyStr Return<br /> string $@<br /> KeyStr Return" > /tmp/message.$USER<br /> xmacroplay :1 < /tmp/message.$USER</div>

Ce script va donc appuyer sur '''[<tt>Enter</tt>]''', taper tout le message contenu en paramètres et réappuyer sur '''[<tt>Enter</tt>]'''.

Maintenant voyons voir l'autre script :

<div class="code"><nowiki>#!/bin/bash</nowiki><br /> echo "KeyStr $1" > /tmp/macrokeys<br /> xmacroplay :1 < /tmp/macrokeys<br /> test -z "$2" || sleep $2<br /> echo "ButtonPress 3<br /> ButtonRelease 3<br /> KeyStr 5" > /tmp/macrokeys<br /> xmacroplay :1 < /tmp/macrokeys</div><div class="note">Changez le <code>ButtonPress 3</code> et <code>ButtonRelease 3</code> en <code>ButtonPress 1</code> et <code>ButtonRelease 1</code> si vous désirez que le script fasse un clic gauche au lieu d'un clic droite.</div>

5... 6... Vous comprenez maintenant pourquoi c'est plus difficile en clavier français ou belge.

Ce script-ci va donc appuyer sur la touche du premier paramètre, appuyer sur le bouton du milieu de la souris, attendre la durée précisée au deuxième paramètre et, finalement, va appuyer immédiatement sur la touche 5.

Non ça ne marche pas encore, mais il ne reste qu'à configurer le jeu... ;)

==== Configuration de Diablo II ====

Entrez dans le jeu, appuyez sur '''[<tt>Esc</tt>]''', rendez-vous ensuite dans le menu de configuration des touches. Associez les touches '''[<tt>5</tt>]''', '''[<tt>6</tt>]''', '''[<tt>7</tt>]''' et '''[<tt>8</tt>]''' à des aptitudes différentes. Sortez des menus et mettez votre aptitude principale en '''[<tt>5</tt>]''', et des aptitudes utilisées moins fréquemment en '''[<tt>6</tt>]''', '''[<tt>7</tt>]''' et '''[<tt>8</tt>]'''. Tout ça à une même main (coté gauche ou droit des aptitudes).

Bon amusement ;)

<div class="note">Si vous avez bien tout suivi : quand vous ferez défiler la roulette vers le haut, votre aptitude en '''[<tt>5</tt>]''' va commuter vers la '''[<tt>7</tt>]''' et l'actionner, et reviendra immédiatement après en '''[<tt>5</tt>]'''. <br /> Appuyez sur la touche '''[<tt>MyHome</tt>]''' pour avoir un message "rapide" qui n'a de rapide que le nom...</div><div class="merci">Cette page est issue de la documentation 'pré-wiki' de Léa a été convertie avec HTML::WikiConverter. Elle fut créée par Jean-Thomas MUYL --maston28 le 19/02/2004.</div>

= Copyright =
Copyright © 19/02/2004, Jean-Thomas MUYL --maston28
{{CC-BY-NC-SA}}