Bienvenue sur le site admin-sys

Qui consomme le plus de CPU / TOP 10

Jerome ROBERT — 2017-06-21T10:47:27Z

Pour connaÃ®tre qui consomme le plus de mÃ©moire sous Unix/Linux, on peut utiliser la commande "ps" :

Les colonnes seront : %CPU PID COMMAND

Pour avoir plus que le TOP 10, ajouter Ã la commande head -n 20 (pour le top 20, ...)

# ps -eo pcpu,pid,args | tail -n +2 | sort -rnk 1 | head

32.5 8542 corosync -f
9.3 9908 /opt/dell/srvadmin/sbin/dsm_sa_datamgrd
6.2 23864 oracleBASE (LOCAL=NO)
1.4 9190 /usr/sbin/snmpd -Lf /var/log/snmpd.log -p /var/run/snmpd.pid -A -a
1.1 29260 oracleBASE (LOCAL=NO)
1.1 1621 oracleBASE (LOCAL=NO)
0.8 5028 oracleBASE (LOCAL=NO)
0.7 5073 oracleBASE (LOCAL=NO)
0.6 4899 oracleBASE (LOCAL=NO)
0.6 38235 /opt/oracle/product/11.2.0/dbhome_1/jdk/bin/java -server -Xmx384M -XX:MaxPermSize=400M

Qui consomme le plus de mÃ©moire / TOP 10

Jerome ROBERT — 2017-06-21T10:28:09Z

Pour connaÃ®tre qui consomme le plus de mÃ©moire sous Unix/Linux, on peut utiliser la commande "ps" :

Les colonnes seront : %MEM PID COMMAND

Pour avoir plus que le TOP 10, ajouter Ã la commande head -n 20 (pour le top 20, ...)

# ps -eo pmem,pid,args | tail -n +2 | sort -rnk 1 | head
1.7 29137 ora_smon_BASE
1.5 8398 oracleBASE (LOCAL=NO)
1.1 23864 oracleBASE (LOCAL=NO)
0.9 43103 oracleBASE (LOCAL=NO)
0.8 35847 oracleBASE (LOCAL=NO)
0.8 35845 oracleBASE (LOCAL=NO)
0.7 29330 ora_cjq0_BASE
0.5 4857 oracleBASE (LOCAL=NO)
0.5 4852 oracleBASE (LOCAL=NO)
0.5 4848 oracleBASE (LOCAL=NO)

Pour aller plus loin : pmap PID

#pmap 29137
29137: ora_smon_BASE
0000000000400000 180156K r-x-- /opt/oracle/product/11.2.0/dbhome_1/bin/oracle
000000000b5ef000 1828K rw--- /opt/oracle/product/11.2.0/dbhome_1/bin/oracle
000000000b7b8000 344K rw--- [ anon ]
000000000bd02000 264K rw--- [ anon ]
00000020c0000000 16252928K rw-s- [ shmid=0x170005 ]
00000024a0000000 2048K rw-s- /SYSV58737628 (deleted)
00007f32c43c4000 64K rw--- /dev/zero
00007f32c43d4000 64K rw--- /dev/zero
00007f32c43e4000 64K rw--- /dev/zero
00007f32c43f4000 64K rw--- /dev/zero
00007f32c4404000 64K rw--- /dev/zero
00007f32c4414000 64K rw--- /dev/zero
00007f32c4424000 64K rw--- /dev/zero
00007f32c4434000 64K rw--- /dev/zero
00007f32c4444000 64K rw--- /dev/zero
00007f32c4454000 64K rw--- /dev/zero
00007f32c4464000 64K rw--- /dev/zero

Historique d'Unix,Linux

Jerome ROBERT — 2009-07-03T11:41:41Z

Trouver sur le NET .....

Source de cette page : http://www.levenez.com/unix/Ecrit par : Éric Lévénez

Tableau Historique d'Unix,Linux

1969		1980		1985		1990		1995		1999		2001		2003		2004	index

Si vous souhaitez imprimer cette frise :

	Original	Local	Original	Local
Format A4
Format Letter
Plotter					If you have some problem with the EPS file, look here.

Voici l'index de la frise :

	Original	Local	Original	Local
Format A4
Format Letter

Source de cette page : http://www.levenez.com/unix/Ecrit par : Éric Lévénez

Conseils de securite pour machines unix sur un reseau TCP/IP

Jerome ROBERT — 2009-07-03T11:34:13Z

CONSEILS DE SECURITE SUR L'ADMINISTRATION DE MACHINES UNIX SUR UN RESEAU TCP/IP Jean-Luc Archimbaud CNRS/UREC charge de mission "securite informatique" au CNRS Ce document peut etre diffuse sans restriction, mais dans son integralite. La version PostScript est disponible par "ftp anonymous" sur la machine ftp.urec.fr (134.157.4.4) dans le fichier pub/securite/Unix/conseils.admin.4.ps. N'hesitez pas a me faire part de vos corrections et suggestions a l'adresse electronique : jla@imag.fr. La securite informatique n'est plus un domaine reserve a la Defense Nationale. Sans devenir paranoiaques, responsables et utilisateurs des systemes d'information doivent s'appliquer a limiter les risques qu'encourent leurs donnees et leurs materiels. Il faut considerer que s'il n'y a pas de responsable securite designe : Le Responsable de la securite d'un systeme est l'administrateur de ce systeme Ce document est donc destine aux administrateurs de stations de travail Unix, pour les aider dans cette tache. Il a pour but de fournir les conseils de base pour rendre une machine Unix, connectee sur un reseau TCP/IP, moins vulnerable aux pirates. C'est une compilation de differentes publications, volontairement limitee a n'etre qu'un "livre de recettes" au detriment de l'analyse des failles et des remedes. Il est limite a l'aspect logiciel (Unix), et n'aborde pas les conseils generaux de protection contre le feu, le vol, ... Il ne s'adresse ni aux gourous Unix, ni aux specialistes de securite informatique. Unix est un systeme d'exploitation cree par des programmeurs, pour des programmeurs, dans un laboratoire de recherche. La securite n'a donc pas ete une preoccupation dominante lors de sa conception. Mais, plus que d'un atavisme, sa vulnerabilite provient principalement de : * Sa popularite : c'est le systeme d'exploitation le plus connu. Beaucoup de pirates ont exploite et exploiteront les bugs d'un systeme dont le source est facilement disponible. * L'attitude des vendeurs : ils livrent un systeme totalement ouvert. 1. CONSEILS AUX ADMINISTRATEURS En tant que Responsable de la securite sur votre machine, vous devez effectuer les verifications necessaires et mettre en place les outils fournis par les constructeurs pour la proteger. Les paragraphes suivants listent ces outils. Mais la technique est loin de proteger integralement votre systeme. L'attention et la vigilance sont vos 2 principales armes. Les militaires ont coutume de dire que "La securite, c'est 20% de technique et 80 % de bon sens". Et, avant toute chose, n'oubliez pas cette conduite a tenir : En cas de probleme de piratage, avertissez immediatement votre responsable hierarchique 1.1. VERIFICATIONS LORS DE LA MISE EN SERVICE DE LA MACHINE Apres l'installation de votre systeme d'exploitation sur disque (a la livraison ou lors d'un changement de version), faites une sauvegarde complete et un "ls -Rl" que vous conserverez. Ceci pourra vous servir de reference. 1.1.1. /etc/passwd et /etc/group Sur ces fichiers : * Verifiez que le proprietaire est root avec les acces 444; et que tous les utilisateurs et tous les groupes sont declares avec un mot de passe (le second champs de chaque entree ne doit pas etre vide). * Si vous n'utilisez pas NIS (les "Yellow Pages"), supprimez la ligne dont le premier caractere est + (si elle existe). * Si vous l'utilisez, verifiez que les lignes "+ : :0 : :0 : : :" et "+ :" sont absentes dans les fichiers de la station serveur. Elles ne doivent etre presentes que sur les machines clientes. Dans /etc/passwd : * Seul l'administrateur doit posseder 0 comme "user id" (UID). * Modifiez les mots de passe fournis avec le systeme ainsi que le mot de passe pour root que vous avez utilises lors de l'installation. * Otez les utilisateurs de service (guest, visitor, tutor, demo, ...). Verifiez que les comptes anonymes (sys, uucp, bin, adm, lp, ...) ont "*" comme mot de passe. * Utilisez les extensions des nouvelles versions d'Unix sur la gestion des mots de passe. Exemples : Pour que les mots de passe chiffres n'apparaissent pas dans le fichier passwd (shadow password) Pour limiter la duree de validite (aging) des mots de passe. Choisissez une duree qui est un bon compromis en fonction du profil de vos utilisateurs. 1.1.2. Fichiers sensibles * Sous /dev : L'acces au directory doit etre 755. Le super utilisateur "root" doit etre le proprietaire de tous les fichiers, exceptes les fichiers relatifs aux terminaux actuellement login. Les fichiers kmem, mem et les partitions des disques (avec les noms sd*, rxy*, ... selon le materiel) doivent avoir l'acces 0 pour "other". * Verifiez que le directory /lost+found possede l'acces 700. * Mettre l'acces t a tous sur /tmp: chmod o+t /tmp * Si votre systeme offre la possibilite de "secure terminal", mettez la en pratique : enlevez le mot "secure" dans chaque ligne du fichier /etc/ttytab (ou /etc/ttys). L'absence de cet attribut proscrira le login direct sous root. Le passage en super utilisateur se fera uniquement par la commande su.. Specifiez, aussi les quelques utilisateurs qui pourront faire su root lors de la declaration du groupe wheel dans /etc/group. * Supprimez "." (le directory courant) dans les regles de recherche de l'utilisateur root (la variable path est initialisee dans /.cshrc et PATH dans /.profile). * Le fichier /.rhosts est tres dangereux. Si vous ne l'avez pas cree en pleine connaissance de cause et s'il existe, detruisez le. Si vous l'utilisez, verifiez ses acces et son contenu. * Effacer le fichier /etc/hosts.equiv si vous n'en avez pas l'utilite. Dans le cas contraire, verifiez que ce fichier ne contient pas une seule ligne d'un seul caractere : +. * Si vous n'utilisez pas NFS, ou si vous ne desirez pas rendre accessible (exporter) une partie de votre arborescence, detruisez le fichier /etc/exports. Dans le cas contraire, verifiez que chaque nom de directory que vous desirez "exporter" est suivi des noms des stations qui ont le droit d'y acceder. Autrement, n'importe qu'elle station pourra "monter" ce directory. La syntaxe depend des versions d'Unix (faites : man exports). * Enlevez, s'ils sont presents, les alias "decode" et "uudecode" dans le fichier aliases sous /etc ou /usr/lib. * Supprimez l'acces w a "other " sur les fichiers aliases, aliases.dir et aliases.pag sous /etc ou /usr/lib. * Dans le ficher sendmail.cf (sous /etc ou sous /usr/lib), verifiez que la variable W (wizard password) a pour valeur le caractere etoile. Concretement, dans ce fichier, la ligne commencant par OW (la lettre O suivie de la lettre W) doit etre de la forme : OW* * cron : Limitez autant que faire ce peut l'acces au batch d'Unix (commandes crontab et at). Creez sous /usr/lib/cron (ou sous /usr/spool/cron) les fichiers cron.allow et at.allow avec uniquement une ligne contenant la chaine de caracteres "root" (uniquement root pourra utiliser cron). A la demande, vous ajouterez les utilisateurs qui ont besoin du cron dans ces fichiers. Supprimez tous les acces a "other" sur le fichier spool/cron/crontabs/root sous /usr ou /usr/var. Verifiez que root est le seul utilisateur a posseder l'acces w sur toutes les procedures lancees par ce fichier. * Verifiez que l'executable chroot (sous /usr/bin ou /usr/etc) possede l'acces 700 1.1.3. inetd.conf Le daemon inetd, toujours actif, offre des services tels que telnet, rlogin, ftp, ... . Ces services, qui s'executent sur votre machine, sont accessibles depuis les machines du reseau. Seuls les services declares dans le fichier inetd.conf (sous /etc ou /usr/lib) ou /etc/servers repondront aux machines distantes. N'hesitez pas a faire du menage dans ce fichier, en ajoutant un # devant les services que vous n'utilisez pas. Ce peut etre : * ruserd : permet a un pirate de connaitre les utilisateurs connectes sur votre station. * tftpd : version simplifiee de ftp, il est principalement utilise pour charger le systeme d'equipements sans disque (terminal X par exemple) via le reseau. Indiquez un nom de directory apres l'argument -s dans la ligne qui lance le daemon. Si l'argument -s n'est pas prevu, sachez que votre version de tftpd est vieille et possede un gros bug de securite. De maniere plus restrictive encore, si votre station n'est jamais accedee depuis une autre machine (donc dans le sens entrant), vous pouvez supprimer : * fingerd : tres utile au demeurant (pour obtenir le numero de telephone d'un utilisateur, par exemple); il peut permettre a un pirate, depuis une machine quelconque du reseau, d'avoir des informations sur les utilisateurs de votre station. * rlogind : gere les rlogin entrants * rshd : gere les executions de commandes sur votre machine, lancees depuis une machine distante * rexecd : le pendant de rshd pour les fonctions * telnetd : gere les acces interactifs a votre machine par telnet * ftpd : gere les transferts de fichiers par ftp initialises depuis une machine distante * rpc.* : repond aux requetes RPC (Yellow Pages, NFS, ...) venant de machines distantes * talkd : gere l'echange de messages (commande talk) *rwalld : accepte les messages generes par rwall depuis une station du reseau Ces suppressions n'affectent pas le sens sortant. Vous pourrez toujours, depuis votre station, utiliser telnet, ftp, ... 1.1.4. /etc/rc* Les scripts /etc/rc* lancent des daemons reseaux, similaires a inetd. Les scripts livres avec les systemes ont la facheuse tendance d'activer des daemons inutiles. Il est preferable de ne pas les lancer (en ajoutant un # devant les lignes add hoc du script) si vous n'en avez nul besoin. Entre autres : * rwhod : diffuse regulierement a toutes les machines du reseau des informations concernant les utilisateurs login sur votre station. * sendmail : pour recevoir du courrier (mail) venant d'autres machines du reseau (l'option de debug distant d'anciennes versions de sendmail est dangereuse). Attention, ce daemon est obligatoire pour la messagerie inter-machines. * routed : met a jour et diffuse des tables de routage IP de maniere automatique et incontrolable. * nfsd : pour etre serveur NFS. * biod : pour etre client NFS. 1.2. ACCES TCP/IP 1.2.1. Rappels sur TCP/IP Sur un reseau TCP/IP, pour acceder a un service offert par une machine (interactif, transfert de fichiers, nfs, rwho, lpr ...) il faut que ce service soit ouvert : le daemon doit etre lance et vous devez posseder les autorisations necessaires (mot de passe, ...). Mais, avant cette phase, il faut que les machines puissent dialoguer en TCP/IP. C'est ce que l'on peut appeler "l'acces TCP/IP". En limitant les possibilites d'acces TCP/IP a votre machine, vous minimisez d'autant les risques de piratage. Avec TCP/IP, l'acces est toujours symetrique. Si vous pouvez acceder a une machine X, un utilisateur sur cette machine X pourra acceder a votre materiel. Inversement, si vous ne pouvez pas acceder a X, X ne pourra pas vous atteindre. Donc, si vous ne pouvez pas atteindre un reseau, vous etes certain que les machines de ce reseau ne pourront pas vous pirater. Par contre, si vous pouvez acceder aux ordinateurs du monde entier ... L'acces TCP/IP est la consequence du routage que vous installez sur vos stations. 1.2.2. Routage IP Les routages IP installes sur votre machine (visualises par la commande netstat -r) determinent les acces TCP/IP de votre machine. Voici quelques conseils : * Ne mettez en place que les routages necessaires aux acces dont vous avez besoin. * Sauf si vous connaissez RIP, supprimez le daemon routed lance dans un des scripts /etc/rc*. Utilisez de preference le routage manuel avec des commandes route. * Mesurez bien la consequence d'une route par defaut (commande route add default ...) : toutes les machines TCP/IP du Monde peuvent essayer d'entrer sur votre systeme. * De maniere plus drastique, vous pouvez utiliser le routage par machine. Ainsi la commande : route add 129.89.32.2 ... vous permettra de communiquer avec cette machine particuliere, sans ouvrir l'acces a toutes les machines du reseau 129.89. 1.2.3. Passerelle avec l'exterieur Si votre laboratoire dispose d'un reseau Ethernet TCP/IP, raccorde sur un reseau federateur (d'un campus ou d'une region) lui-meme connecte sur un reseau national, ... il peut etre sage d'installer un equipement avec 2 coupleurs Ethernet entre votre reseau interne et le reseau federateur. Il sera routeur IP, passerelle entre votre laboratoire et le monde exterieur. Ce peut etre un materiel dedie ou une banale station de travail En limitant le routage IP (en otant, par exemple, le daemon routed sur la passerelle et en ajoutant aucune commande route add ...), les stations internes ne seront jamais inquietees. Il vous suffira de surveiller l'acces a cette passerelle; et de n'y installer aucun daemon ou utilitaire dangereux et aucune donnee confidentielle. Mais attention, un utilisateur qui a pu entrer sur la passerelle pourra acceder aux machines internes. 1.3. OPERATIONS A EFFECTUER REGULIEREMENT 1.3.1. Sauvegardes De maniere evidente, une bonne politique de sauvegardes periodiques est imperative pour la securite de votre systeme. Il faut pouvoir revenir a un etat anterieur propre et sur. Ne negligez pas la protection des supports de sauvegardes contre les risques physiques (effacement, vol, feu ...). Utilisez de preference dump et restore qui sont reserves a l'administrateur. Pensez que vous pouvez autoriser un groupe d'utilisateurs (des operateurs par exemple) a effectuer des sauvegardes, sans leur donner le mot de passe de root. Il suffit d'ecrire un tout petit programme qui lance les sauvegardes, dont le proprietaire sera root, avec le setuid positionne (chmod u+s) et executable par le groupe add-hoc. 1.3.2. Mot de passe Dans /etc/passwd : * Otez les utilisateurs qui ne travaillent plus sur votre machine. Detruisez aussi tous les fichiers de ces utilisateurs. La commande suivante liste les fichiers qui appartiennent a personne (en fait les fichiers dont l'UID du proprietaire n'est plus dans /etc/passwd). find / -nouser -o -nogroup -print * Verifiez que tous possedent un mot de passe et que 2 utilisateurs n'ont pas le meme UID. * Verifiez que le caractere "+" n'a pas disparu de la ligne "+ : :0 : :0 : : :" si elle existe. Rappelez a vos utilisateurs (par mail ou par motd) de changer leur mot de passe. 1.3.3. Root Parcourez l'historique des login (et des su) de root. Ces traces sont stockees dans des fichiers tels que messages* ou sulog ou loginlog sous /usr/adm ou /var/adm. Vous pouvez ajouter l'affichage du contenu de ces fichiers dans votre .login (ou l'equivalent). 1.3.4. Verifications sur certains fichiers Verifiez que : * Les fichiers .profile, .cshrc, .login ... sous la racine ne sont pas accessibles en ecriture a tous. * Il n'y a pas de fichier etrange dont le nom commence par un "." sous /tmp et /usr/tmp. * Le contenu de /etc/hosts.equiv et de /etc/exports est correct. * Les executables des programmes su, login et telnet sont ceux d'origine. * Les fichiers lances par cron pour root ne presentent aucune anomalie (dans /usr/var/spool/cron/crontabs/root ou ...) * Il n'y a pas plethore de fichiers avec l'acces w a "other" dans l'ensemble de votre systeme, avec la commande : find / -type f -perm -2 -exec ls -al {} \; 1.3.5. Sushi Un Sushi (Super User SHell Interactive), permet a un utilisateur d'etre sous le shell avec tous les privileges de root. C'est le programme shell, appartenant a root, avec le Set-User-ID bit (SUID) positionne. Pour depister un Sushi, verifiez regulierement que les fichiers qui appartiennent a root avec le Set-User-Id bit sont uniquement des utilitaires. Il ne doit pas y avoir ce genre de fichier sous une arborescence d'utilisateur. La commande : find / -user root -perm -4000 -exec ls -al {} \; permet de lister ce type de fichier. 1.3.6. .rhosts et .netrc Controlez les acces (700 de preference) et le contenu des fichiers .rhosts chez vos utilisateurs. Ils permettent d'entrer sur votre systeme sans mot de passe local. Pour afficher le contenu de ces fichiers, vous pouvez utiliser la commande : find /users -name .rhosts -print -exec cat {} \; Verifiez que aucun utilisateur a cree un fichier .netrc sous son home directory. 1.4. CONSEILS GENERAUX 1.4.1. Habitudes de travail * Le mot de passe de root est la clef qui ouvre toutes les portes : choisissez le apres reflexion, changez le tres regulierement, ne le divulguez pas. * Faites logout chaque fois que vous quittez votre poste de travail. * Reservez le login sous root a l'administration du systeme. Utilisez un autre login lorsque vous n'avez pas besoin de privilege. * Ne laissez jamais une autre personne travailler sous root, meme pour quelques minutes. * Faites /bin/su au lieu de su pour acceder a root. * Dans votre fichier .login ou .profile, rajoutez la commande who. Elle peut vous permettre de detecter des utilisateurs qui ne devraient pas etre presents sur votre machine. * Utilisez de preference les utilitaires d'administration fournis avec votre machine, plutot que l'acces direct aux fichiers de configuration avec un editeur. * Utilisez un compte special, avec le minimum de privilege, lors des demonstrations, essais, ... en presence d'autres personnes. 1.4.2. /etc/hosts.equiv Avec hosts.equiv vous deleguez entierement les controles de securite aux machines citees dans ce fichier. Vous faites alors totalement confiance a d'autres administrateurs. Ceci est tres dangereux. Donc, sauf besoin tres particulier, proscrivez l'utilisation du fichier hosts.equiv (detruisez le). 1.4.3. Groupes * Si des utilisateurs desirent partager des fichiers, ne les laissez pas ceder a la facilite de l'acces rw a "other" sur les fichiers. Les possibilites des groupes (cf /etc/group, /etc/passwd, umask 007, chown, chmod, newgrp, ...) resolvent ce probleme d'acces partage. * Chaque compte declare sur votre machine doit correspondre a une et une seule personne physique clairement identifiee. Vous devez posseder les coordonnees de chaque utilisateur, avec son type d'activite sur votre machine. 1.4.4. Divers * Installez regulierement les nouvelles versions de votre systeme d'exploitation : elles corrigent les erreurs de securite et les nouvelles versions d'Unix sont de plus en plus securisees. * Installez les nouvelles fonctions qui obligent a posseder un mot de passe pour relancer une station en mode mono-utilisateur "single user" (dans cet etat, l'utilisateur a tous les privileges). Si votre systeme n'offre pas cette possibilite (mot de passe sur PROM sur SUN, cle sur IBM ...), il faut neanmoins prendre en compte ce risque, en controlant par exemple l'acces physique aux machines. * Verifiez toujours le contenu d'un archive avant de l'extraire. * Evitez d'utiliser UUCP, trop ancien avec trop de trous de securite. * Ne creez un programme avec SUID root qu'avec beaucoup de precautions et que si vous etes un programmeur experimente. Proteger le source du programme. Ne faites pas de shellscript SUID root. * Si vous installez un ftp anonymous sur une de vos machines, ne le mettez pas sur votre serveur principal et creez un environnement restreint (cf man ftpd) * Sensibilisez vos utilisateurs aux problemes de securite. La premiere action est de diffuser largement le chapitre "Conseils aux utilisateurs". * Les conseils aux utilisateurs ci-apres doivent aussi etre suivis par les administrateurs. 2. CONSEILS AUX UTILISATEURS Une regle officielle et primordiale : si vous decouvrez un piratage, un essai de piratage ou un etat suspect : avertissez immediatement l'administrateur de la machine et votre responsable hierarchique 2.1. Mot de passe * Prenez du temps pour le choisir. * Changer le regulierement. * Ne reprenez pas un mot de passe que vous avez deja utilise. * Modifiez le avant de partir en vacances. * Ne l'ecrivez pas, ne le confiez a personne. * Ne choisissez pas : * Votre nom, prenom ou celui de vos proches. * Une information personnelle : numero de telephone, ... * Un mot contenu dans un dictionnaire. * Une variation (inversion, initiales, ...) sur les 3 types precedents. * Un bon mot de passe doit etre compose : * d'au moins 6 caracteres. * d'un melange de majuscules, minuscules, chiffres et caracteres de ponctuation. * Exemple : c'est1KO Pour decouvrir un mot de passe, le pirate ne teste pas toutes les combinaisons de caracteres. Il s'appuie sur les habitudes de l'utilisateur moyen. Il essaie, entre autres, toutes les informations relatives a l'utilisateur (nom, ... avec les variations) et les mots du dictionnaire. Si vous accedez a une machine a travers des reseaux, sachez que votre mot de passe circule en clair sur les reseaux que vous traversez. 2.2. umask La commande umask permet de creer un masque qui definit les modes d'acces attribues par defaut aux nouveaux fichiers crees (cf man umask). Generalement, ce masque est initialise a 002 ou 022 pour tous les utilisateurs du systeme, ce qui correspond a l'acces 775 ou 755. Ainsi, par defaut, tout nouveau fichier est accessible en lecture a tous. Ceci est trop ouvert. En ajoutant la commande umask dans votre .cshrc ou .profile, vous pourrez modifier l'acces par defaut. N'hesitez pas a utiliser umask 077 qui assurera une meilleure protection sur les fichiers que vous creerez. 2.3. Travail en groupe Si vous devez partager un meme environnement de travail avec plusieurs collaborateurs, demandez a l'administrateur d'enregistrer tous les membres de votre equipe sous un meme groupe. Pour stocker les fichiers partageables sont un repertoire "Commun" : * Creez un sous-repertoire qui contiendra les objets partageables : mkdir Commun * Donnez les acces rwx au groupe sur ce repertoire : chmod g+rwx Commun * Pour eviter certains conflits d'acces : chmod g+t Commun * Rajoutez dans votre .login ou .profile : umask 007 2.4. Divers Faites logout chaque fois que vous quittez votre poste de travail (ne serait ce que 5 minutes). Dans les regles de recherche (path ou PATH), specifiez le repertoire courant "." en fin de liste et non au debut. Lorsque vous accedez a votre machine, lisez attentivement l'heure et la date de votre derniere connexion, information generalement contenue dans la banniere d'accueil. Utilisez a bon escient .rhosts et verifiez regulierement son contenu. Sachez que l'administrateur d'une machine (root) peut lire tous vos fichiers et votre boite a lettres. 3. DOCUMENTS Documents ayant inspires ce "livre de recette" : * Improving the security of your unix system SRI-David A. Curry * Security features guide Sun Microsystems OS 4.0.3 * The Internet Worm Program : An Analysis Eugene H. Spafford * Unix System Administration (chapitre security) David Fiedler & Bruce H.Hunter * Advisories CERT-CC * Guide de securite pour les administrateurs de systemes Unix Christian Pelissier * Site Security Handbook (RFC1244) P. Holbrook & J. Reynolds Jean-Luc Archimbaud IMAG, 46 av Felix Viallet, 38031 Grenoble Cedex CNRS / UREC jla@imag.fr 76 57 48 93

CHOISIR UN BON MOT DE PASSE

Jerome ROBERT — 2009-07-03T11:32:32Z

Jean-Luc Archimbaud CNRS/UREC Cet article est destiné à tous les utilisateurs de systèmes informatiques qui possèdent un mot de passe. C'est le premier d'une nouvelle rubrique qui se veut régulière et sera consacrée à la sécurité informatique, des ordinateurs et des réseaux. DE L'UTILITE D'UN BON MOT DE PASSE Lorsque vous possédez un compte sur un ordinateur, le seul et unique contrôle d'accès à cette machine est votre mot de passe. Quelqu'un qui découvre cette clé peut ensuite travailler sur la machine sous votre nom (souvent sans que vous vous en aperceviez), lire tous vos fichiers (courriers, publications... ), détruire ces fichiers ou plus insidieusement en modifier certains. Cette fonction clé (au sens figure et au sens propre) du mot de passe est devenue encore plus importante avec l'explosion des réseaux. On peut, par exemple, considérer qu'actuellement une très grosse partie des machines dans les laboratoires sont accessibles depuis n'importe quel Minitel en France. Si l'accès n'est pas direct, il est possible avec un ou plusieurs rebonds : depuis un Minitel on fait login sur une première machine, puis depuis celle-ci on fait telnet sur une seconde machine... N'importe quel particulier peut ainsi tenter de se connecter sous votre nom et essayer de trouver votre mot de passe. Du côté de l'administrateur de la machine, il est devenu très difficile, voire impossible sans plusieurs mois d'enquête, de localiser géographiquement ses utilisateurs. Devant cette ouverture des réseaux, très utile au demeurant, le seul et unique contrôle reste le mot de passe. Le problème du mot de passe est qu'il peut être découvert par un individu mal intentionné qui peut ensuite s'en servir avec peu de risque d'être pris. Mais on ne peut découvrir un mot de passe que si celui-ci a été mal choisi. Pourquoi la syntaxe du mot de passe est elle importante dans la sûreté de cette clé ? Parce qu'il est actuellement impossible de trouver un mot de passe en essayant toutes les combinaisons de 7 caractères (et a fortiori plus de 7). Cela prendrait plusieurs années de temps CPU à un programme automatique. Par contre, il est très facile de découvrir un mot de passe qui est un mot d'un dictionnaire. COMMENT PUIS-JE TROUVER VOTRE MOT DE PASSE ? Vous connaissant, je regarderai d'abord si vous n'avez pas noté ce mot de passe. Je chercherai ainsi sur ou sous votre clavier, dans votre agenda... Puis j'essayerai comme valeur les informations personnelles vous concernant : nom de login, prénom, nom de laboratoire, numéro de téléphone, prénoms de vos enfants, date de naissance, adresse ... Si ça ne marche pas, je tenterai alors des combinaisons avec tout ça : initiales des prénoms des enfants, numéro de téléphone inverse, nom du laboratoire suivi du chiffre 1... Si cette méthode artisanale, mais souvent efficace, échoue, j'automatiserai la recherche avec un programme pour découvrir (craquer) les mots de passe. Ce type de logiciel est du domaine public et peut être récupéré dans les news ou par ftp anonymous (cf. Microbulletin précédent, rubrique IP). Prenons le cas d'une machine Unix. Les mots de passe chiffrés (résultat d'une fonction mathématique de chiffrement) de tous les utilisateurs sont stockés dans un fichier /etc/passwd. Tout le monde peut lire ce fichier (accès r à other), ainsi que la fonction Unix de chiffrement (fonction crypt). Je transférerai /etc/passwd de votre ordinateur sur ma propre machine. A l'abri des regards indiscrets, je pourrai faire tourner ce logiciel pour découvrir les mots de passe mal choisis de certains utilisateurs. A noter qu'il est heureusement impossible de trouver le mot de passe en clair à partir du mot de passe chiffré, la fonction de chiffrement n'est pas inversible. Le logiciel de cracking procède par essais successifs. Il prend une suite de caractères en clair, la chiffre, et compare le résultat avec la chaîne chiffrée dans /etc/passwd. Il peut essayer : * Les informations personnelles contenues dans /etc/passwd : nom, prénom, adresse ... * Les mots de dictionnaires : noms communs, noms propres et prénoms. Il peut posséder des dictionnaires de plusieurs langues. * Des variations de ce qui précède : passage en majuscule de tout ou partie, ajout d'un chiffre en début ou en fin de mot, inversion... * Toutes les combinaisons de 1, 2, 3 , 4 , voire 5 caractères (mais pas plus). Généralement, on découvre 1/3 des mots de passe avec ce logiciel, logiciel que les développeurs améliorent au fil du temps. De nombreux administrateurs de machines Unix font tourner ce genre de programme régulièrement sur les systèmes qu'ils gèrent et demandent aux utilisateurs dont le mot de passe a été ainsi craqué d'en changer. Via les réseaux, cette méthode peut être utilisée depuis n'importe quel point dans le monde, par un individu que vous n'avez jamais vu. CE QU'IL NE FAUT PAS FAIRE Il ne faut pas noter son mot de passe. Pour cela, il faut qu'il soit mnémonique. Il ne faut pas le confier à quelqu'un, ni le partager avec d'autres. Il doit toujours être personnel. Si l'on désire travailler à plusieurs sur les mêmes fichiers, ceci est possible dans tous les systèmes d'exploitation avec un mot de passe différent pour chacun (possibilité des groupes sous Unix par exemple). Il ne faut pas choisir comme mot de passe une information personnelle telle que son nom; celui de son laboratoire, de son projet ou de ses proches; son numéro de voiture... Les noms communs, noms propres ou prénoms présents dans un dictionnaire français ou étranger sont à proscrire. Est à éviter aussi, toute variation de ce qui précède, telle que l'inversion, les initiales, ou l'ajout de chiffres. LE BON CHOIX Prenez tout d'abord un temps de réflexion pour choisir votre mot de passe. Si l'on vous presse lors de l'ouverture de votre compte sur une machine d'un centre de calcul par exemple, donnez en un simple et changez le à tête reposée lors de votre premier login. Il faut choisir une suite d'au moins 7 caractères, avec des majuscules, chiffres et/ou caractères de ponctuation. Cette suite doit être difficile à découvrir par les pirates avec les méthodes décrites avant mais facile à mémoriser. Une première méthode est de combiner des mots en introduisant des chiffres ou des caractères de ponctuation (BaD!beurk, PC3rpr5). Une autre consiste à utiliser des mots avec de la phonétique (7touMuch, uneCtion). Vous pouvez aussi prendre les premiers lettres d'une phrase, expression... que vous aimez (JvAlPaLl pour "Je vais à la pèche à la ligne"). Et pour finir, vous pouvez mixer tout ca (c'est1KO). Il faut faire marcher votre imagination pour trouver des suites de signes apparemment aléatoires qui n'ont un sens que pour vous. Mais il faut que ça vous soit facile à mémoriser. Dernière recommandation, il faut changer son mot de passe régulièrement, même s'il est très bon, à cause principalement de l'écoute qui peut être faite sur les réseaux. La périodicité de changement dépend de l'utilisation que vous faites de l'informatique et de votre environnement. Changer son mot de passe avant de partir en vacances est souvent une sage attitude à condition de s'en souvenir en revenant. A noter qu'il ne faut pas reprendre d'anciens mots de passe que vous avez déjà utilisés. ET LE RESEAU ? Le réseau peut amener deux problèmes que sont les tentatives d'accès en provenance du monde entier et la possibilité d'écoute des liaisons. Etre connecté sur un réseau international, amène une ouverture internationale qui permet à des individus d'essayer votre mot de passe depuis le bout du monde. Le risque de piratage n'est donc plus uniquement local mais international. Il faut prendre en compte cette nouvelle donnée. Mais pour l'instant, si l'on regarde de l'autre côté de l'Atlantique, en avance de plusieurs années dans la pratique des télécommunications entre chercheurs, il y a eu très peu de piratage à travers les réseaux de la recherche. Si entre votre clavier et la machine où vous faites login vous traversez un réseau, votre mot de passe circule en clair sur les fils. Des logiciels existent pour récupérer, depuis un PC, les identités et les mots de passe qui circulent sur un réseau à diffusion tel que Ethernet. Ceci est imparable. Mais ce danger est à relativiser. Si vous communiquez entre deux laboratoires à travers un réseau international, le risque d'écoute se situe aux extrémités, sur les deux réseaux locaux des laboratoires. Entre ceux-ci, les réseaux peuvent être considérés comme sûrs en ce qui concerne le risque d'écoute. En effet, avec la quantité de données qui circulent sur ces réseaux d'interconnexion, il est très difficile d'extraire le couple nom-mot de passe. De plus, les uniques personnes qui ont accès à ces réseaux sont des professionnels des télécommunications plus dignes de confiance que les étudiants sur les réseaux locaux aux 2 extrémités. POURQUOI CETTE RUBRIQUE ? "La sécurité informatique, c'est le problème des entreprises privées ! La recherche fondamentale doit être totalement ouverte. Elle est universelle et ne supporte aucune contrainte ! ". Ce discours très souvent entendu porterait à croire que la sécurité informatique ne touche pas les chercheurs. Voici quelques exemples vécus dans des unités du CNRS et qui prouvent que les laboratoires ne sont pas épargnés par ces risques : * Un chercheur fait régulièrement de la simulation sur un gros calculateur scientifique. Il dispose chaque année d'un certain quota d'heures d'unité centrale réservées sur cette machine. Mais cette année, lors de son premier login au mois de mai, son crédit est déjà épuisé alors qu'il n'a jamais travaillé sur l'ordinateur. Apres enquête, on s'aperçoit que quelqu'un a utilisé le compte du chercheur pour faire tourner ses propres programmes. Le mot de passe du chercheur avait été découvert par un individu sans scrupule, en mal de temps machine. Il faut dire que c'était son nom de login. * Un thésard saisit sa thèse sur un PC, partagé par plusieurs personnes. Après un vendredi 13, tout le contenu du disque du PC est détruit par un virus. Sans sauvegarde, adieu le fichier Word de la thèse, le thésard doit tout retaper : bonnes nuits blanches. Un des utilisateurs du PC amenait régulièrement des disquettes de jeux qu'il avait copiées et qu'il essayait... * Un Directeur de laboratoire reçoit un coup de téléphone d'un laboratoire de recherche de la NASA lui demandant d'intervenir pour interdire à M. Dupont sur la machine ZEUS de son laboratoire de se livrer à des tentatives de piratage sur les machines américaines. En effet, l'étudiant Dupont essayait de récupérer des fichiers de mots de passe par ftp anonymous, pour s'amuser... * Un laboratoire allait signer un contrat de recherche avec une grosse société industrielle. Au dernier moment, celle-ci refuse. L'industriel avait pris des renseignements sur les méthodes de travail dans le laboratoire. Malgré la grande renommée scientifique internationale du laboratoire, c'était une vraie passoire en matière de confidentialité informatique des recherches. Ce domaine de recherche intéressant la concurrence, l'industriel a préféré choisir un autre partenaire moins bon scientifiquement mais plus sûr. * Un laboratoire sur un campus se fait voler les 15 micros qui constituent l'ensemble de son parc informatique. Question matériel c'est une perte sèche, le matériel de l'état n'est jamais assuré. Les disques qui contiennent les résultats des expériences se sont aussi envolés. Combien d'argent et de jours de travail ont été perdus ? Parallèlement à ces exemples de la vie de tous les jours (j'espère que ce n'est pas tous les jours), un Centre National de Recherche doit veiller à une certaine confidentialité de ses recherches. Dans notre monde, la guerre industrielle entraîne une compétition effrénée à l'innovation. Or toute nouveauté est issue, de près ou de loin, d'une recherche fondamentale. La Recherche se trouve ainsi, souvent malgré elle, prise dans cette course ou tous les moyens sont bons pour être les premiers. Les résultats de recherche peuvent devenir des enjeux économiques ou stratégiques. Il convient donc de contrôler l'accès à ces informations. Etant de plus en plus stocké sur des supports informatiques, ceci est à traiter par la sécurité informatique. Faire quelque chose dans ce domaine au CNRS, c'est essayer d'éviter tous les ennuis ci-dessus. La méthode ne vise pas à transformer les laboratoires en blockhaus, ni à mettre un gendarme à chaque porte; mais à sensibiliser l'ensemble des personnels des laboratoires pour qu'ils adoptent certaines habitudes de travail qui limitent les risques. Cette rubrique du microbulletin va essayer d'aller dans ce sens, en donnant certains conseils souvent de simple bon sens. Son but n'est pas de gendarmer ou de sanctionner, mais d'informer et de conseiller. Si vous avez eu, par exemple, des expériences heureuses ou malheureuses dans ce domaine, n'hésitez pas me proposer un article qui paraîtra dans cette rubrique. CHARGE DE MISSION SECURITE INFORMATIQUE Je suis charge de mission sécurité informatique et réseau au CNRS. Un prochain article de cette rubrique décrira mon rôle et mes actions. Mais dès à présent, vous pouvez me contacter pour toute aide et conseil dont vous auriez besoin dans ce domaine. PETITE MAXIME DE SECURITE La sécurité est un compromis. Ceci est vrai en général. C'est d'autant plus vrai en informatique ou plusieurs individus partagent souvent la même machine, et en réseau dont le but est l'ouverture. C'est un compromis humainement et techniquement. Humainement, car il ne faut pas imposer des contraintes draconiennes dans ce domaine, inadaptées à l'environnement de travail et à l'esprit de la maison. Ceci est d'autant plus vrai au CNRS où il y a une forte tradition libérale hostile à toute contrainte. Des mesures militaires provoqueraient une attitude de rejet complet et un essai de contournement systématique (un chercheur est toujours très imaginatif). La sécurité n'est pas un but en soi. Compromis aussi technique. Il n'y a jamais de "0 défaut" avec un produit de sécurité informatique. Le seul ordinateur totalement sécurisé est l'ordinateur éteint (sic). Toutes les mesures de sécurité, les outils ou les conseils ont des failles. Ils réduisent les risques, mais sans jamais arriver à tous les éliminer. Il y aura toujours des esprits négatifs qui diront : "Oui, mais si le pirate fait... alors il contourne votre truc et ça ne marche pas". Face à ce postulat, il convient d'éviter le choix du tout ou rien qui conduit à ne rien faire. Au contraire, il convient de prendre quelques mesures adaptées (des bonnes habitudes de travail ...) et acceptées par tous, sans ambition sécuritaire démesurée. Ce n'est pas parce que vous savez qu'un voleur professionnel peut très facilement forcer la serrure de votre voiture, casser le neiman et s'envoler avec votre véhicule, que vous laissez toujours les portes ouvertes avec la clé de contact au volant.

Bip sous BASH

Jerome ROBERT — 2009-07-03T11:27:08Z

Il y a au moins deux possibilités pour supprimer le bell ou bip du bash :

xset b off
utilisation du fichier inputrc

Pour ce faire il fait crée ou modifier le fichier /.inputrc

/.inputrc

set bell-style visible

Pour en savoir plus ....

 Voici la source de ce qui suis

http://www.linux-france.org/article/man-fr/man1/bash-1.html


 Readline peut être personnalisé en ajoutant des commandes
 dans le fichier d'initialisation dont le nom est contenu
 dans la variable INPUTRC, ou, s'il elle n'existe pas, dans
 le fichier ~/.inputrc. Quand un programme qui utilise la
 bibliothèque readline démarre, le fichier d'initialisation
 est lu, et les affectations de touches et de variables
 sont effectuées. Il n'y a que peu de constructions
 autorisées dans le fichier d'initialisation. Les lignes
 blanches sont ignorées. Les lignes commençant par # sont
 considérées comme des commentaires, les lignes commençant
 par un $ indique une construction conditionnelle. Les
 autres lignes contiennent les affectations de touches et
 les assignations de variables.

 La syntaxe des affectations de touches dans le fichier
 ~/.inputrc est simple. Les seules choses nécessaires sont
 le nom d'une commande, ou le texte d'une macro, et la
 séquence de touches à laquelle il faut l'affecter. Les
 touches peuvent être indiquées de deux manières : sous
 forme de nom symbolique, éventuellement précédé de Meta-
 ou Control-, ou sous forme de séquence de touches. Lorsque
 l'on utilise la forme touche:nom_de_fonction ou macro,
 touche est le nom de la séquence de touches épelée en
 Anglais. Par exemple :

 Control-u: universal-argument

 Meta-Rubout: backward-kill-word
 Control-o: ">&sortie"

 Dans ces exemples, C-u est assigné à la fonction univer
 sal-argument, M-DEL à la fonction backward-kill-word, et
 C-o est affecté à la macro exprimée dans la partie gauche
 (c'est à dire insèrera >&sortie sur la ligne).

 Avec la seconde forme, "touches":nom_de_fonction ou macro,
 touches n'est plus un nom symbolique, mais décrit une
 séquence complète de touches entre guillemets. Certaines
 séquences d'échappement dans le style GNU Emacs peuvent
 être utilisée, comme dans l'exemple suivant :

 "\C-u": universal-argument
 "\C-x\C-r": re-read-init-file
 "\e[11~": "Touche Fonction 1"

 Dans cet exemple, C-u est à nouveau assigné à la fonction
 universal-argument, C-x C-r à la fonction
 re-read-init-file, et ESC [ 1 1 ~ insèrera le texte Touche
 Fonction 1. L'ensemble complet des séquences d'échappe
 ment est le suivant :

 \C- préfixe Contrôle

 \M- préfixe Méta

 \e caractère d'échappement

 \\ backslash

 \" un guillemet littéral

 \' un apostrophe littéral

 Lorsque l'on saisit le texte d'une macro, il faut utiliser
 des apostrophes ou des guillemets pour indiquer la défini
 tion de la macro. Les textes non protégés sont considérés
 comme des noms de fonctions. Le backslash protègera
 n'importe quel caractère dans la définition d'une macro, y
 compris " et '.

 Bash permet d'afficher ou de modifier les affectations des
 touches avec la commande interne bind. On peut changer de
 mode d'édition durant une session interactive en utilisant
 l'option -o de la commande interne set (voir le paragraphe
 COMMANDES INTERNES DU SHELL plus bas).

 Readline dispose de variables permettant de personnaliser
 encore plus son comportement. Une variable peut être con
 figurée dans le fichier inputrc avec une déclaration de la
 forme

 set nom_de_variable valeur

 Sauf contre-indication, les variables de readline prennent
 les valeurs On ou Off. Les variables, et leurs valeurs
 par défaut, sont :

 horizontal-scroll-mode (Off)
 Si cette variable contient la valeur On, readline
 utilisera une seule ligne d'affichage, et la fera
 défiler horizontalement si elle devient plus longue
 que la largeur de l'écran, plutôt que de basculer
 sur une nouvelle ligne.
 editing-mode (emacs)
 Cette variable indique si readline doit démarrer
 avec des affectations de touches similaires à emacs
 ou à vi. editing-mode peut prendre les valeurs
 emacs ou vi.
 mark-modified-lines (Off)
 Si cette variable est configurée sur On, les lignes
 d'historique qui ont été modifiées seront précédées
 à l'affichage d'un astérisque (*).
 bell-style (audible)
 Cette variable permet de contrôler le comportement
 de readline lorsqu'il faut déclencher le signal
 sonore du terminal. Si cette variable contient la
 valeur none, readline n'utilise pas le signal
 sonore ; si elle contient visible, readline utilise
 un avertisseur visuel si c'est possible ; si elle
 contient audible, readline essaie d'utiliser le
 signal sonore du terminal.
 comment-begin (``#'')
 Cette chaîne est insérée dans le mode vi quand la
 commande vi-comment est exécutée.
 meta-flag (Off)
 Si cette variable contient la valeur On, readline
 acceptera des saisies sur huit bits (autrement dit
 il ne supprimera pas le huitième bit), quelque soit
 le terminal utilisé.
 convert-meta (On)
 Si cette variable contient la valeur On, readline
 transformera en séquences ASCII les caractères
 ayant leur huitième bit à 1. Il suprimera ce
 huitième bit, et insèrera comme préfixe le car
 actère d'échappement (en utilisant ce caractère
 d'échappement comme préfixe méta).
 output-meta (Off)
 Si cette variable contient la valeur On, readline
 affichera directement les caractères ayant leur
 huitième bit à 1, plutôt que d'utiliser une
 séquence d'échappement avec le préfixe méta.
 completion-query-items (100)
 Lors de la complétion de commandes, si le nombre de
 possibilités est supérieur à cette valeur, on
 demandera confirmation à l'utilisateur avant
 d'afficher la liste des possibilités. Le nombre de
 complétions possibles est déterminé par la commande
 possible-completions.
 keymap (emacs)
 Configure l'affectation des touches. Les jeux
 d'affectations disponibles sont emacs, emacs-stan
 dard, emacs-meta, emacs-ctlx, vi, vi-move, vi-com
 mand, et vi-insert. vi est équivalent à vi-com
 mand; emacs est équivalent à emacs-standard. La
 valeur par defaut est emacs; notez que la configu
 ration de la variable editing-mode modifie aussi
 l'affectation par défaut.
 show-all-if-ambiguous (Off)
 Cette variable agit sur la complétion des comman
 des. Lorsqu'elle contient la valeur on, toutes les
 complétions possibles sont affichées immédiatement
 plutôt que de déclencher l'avertisseur sonore.
 expand-tilde (Off)
 Si cette variable contient la valeur on, le
 développement du tilde est effectué lorsque read
 line tente une complétion de commandes.

 Readline propose un mécanisme inspiré des possibilités de
 compilation conditionnelle en C, qui permet d'effectuer
 certaines assignations de variables, ou affectations de
 touches en fonction du résultat d'un test. Il y a trois
 directives utilisables.

Connaître la liste des fichiers ouverts

Jerome ROBERT — 2009-07-03T11:21:33Z

La commande lsof :

lsof permet de connaître la liste des fichiers ouverts en ce moment sur le système.

Comme sous UNIX tout est un fichier (fichiers "normaux" mais aussi périphériques, pipes, sockets, ...) cela s'applique aussi aux connexions réseau. lsof accepte un ensemble de directive de filtrage des informations.

Ces directives peuvent être combinées par les opérateurs booléens ET (-a) et OU (-o).

Les directives qui nous intéressent sont :

– i Domaine. Précise le type de fichiers recherchés. Exemple -i tcp ne garde que les connexions tcp.

– u Utilisateur. Précise le propriétaire du processus ayant ouvert le fichier.

Exemple pratique d'utilisation :

lsof -u user -a -i tcp #donne la liste des connexions tcp ouvertes par l'utilisateur user.

Ça peut être pratique pour distinguer vos connexions de celles des voisins.

exemple :

# lsof -u root -a -i tcp

 COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
 sshd 1178 root 3u IPv4 4131407 TCP ks369947:ssh->girel.atos-infogerance.fr:49082 (ESTABLISHED)
 sshd 2692 root 3u IPv4 5476 TCP *:ssh (LISTEN)
 dovecot 2818 root 5u IPv4 337840 TCP *:imap2 (LISTEN)
 dovecot 2818 root 6u IPv4 337841 TCP *:imaps (LISTEN)
 dovecot 2818 root 7u IPv4 337842 TCP *:pop3 (LISTEN)
 dovecot 2818 root 8u IPv4 337843 TCP *:pop3s (LISTEN)
 master 4443 root 12u IPv4 340869 TCP *:smtp (LISTEN)
 miniserv. 15936 root 5u IPv4 87719 TCP *:webmin (LISTEN)
 apache2 21959 root 4u IPv4 922727 TCP *:www (LISTEN)
 sshd 22553 root 3r IPv4 4095043 TCP ks369947:ssh->car75-8-88-166-204-105.fbx.proxad.net:2853 (ESTABLISHED)

Les macros sous VI :

Jerome ROBERT — 2009-07-03T11:10:52Z

http://tux.u-strasbg.fr/

Les macros sous VI:

xp sert à effacer le caractère sous le curseur, et à le réécrire après. En d'autres termes, il intervertit la position du caractère sous le curseur et du caractère suivant.

ddp fait la même chose que xp , mais avec des lignes.

yyp copie une ligne.

uu annule, puis restaure la dernière modification. Ça positionne le curseur à l'endroit de la dernière modification sans rien changer. On peut aussi s'en servir pour visualiser les changements que l'on a fait sur une ligne : modifiez la ligne, appuyez sur u pour revenir à l'état antérieur, et ré-appuyez sur u pour passer d'une version à l'autre.

:g/.*/m0 inverse l'ordre des lignes dans le fichier. m0 est la commande ex pour déplacer la ligne sélectionnée à la ligne 0.

:g/^$/d ou :v/./d suppriment toutes les lignes vides.

:g/^[ ]*$/d supprime toutes les lignes qui ne contiennent que des espaces et des tabulations.

:v/./.,/./-1join remplace une suite de lignes vides par une seule ligne vide.

Macros tordues.

:map * kxjphxkP permute le caractère sous le curseur et le caractère placé à la ligne au-dessus.

:map g $80|F r permet de passer automatiquement à la ligne au bout de 80 caractères.

:map v ywmnoP:s/./\~/g0"nDddn@n permet de mettre les mots en minuscule en majuscule, et vice-versa.

:map *' iea' permet de mettre des et des ' autour du mot, en se plaçant sur la première lettre du mot en question. On peut décliner la macro pour d'autres types de guillemets, français : :map * i«ea »

:map g may0OPaoP:s/./ /g0i> $mbay$bP'add est une macro qui permet de couper la ligne à l'endroit du curseur, et de placer un > au début de la nouvelle ligne. C'est utile, par exemple, pour reformater les articles Usenet auquel on répond.

:map g i$r , suivi d'un caractère, permet de l'insérer et de retourner de suite au mode commande.

:map K 072lBhr permet formater un paragraphe sans recourir au programme fmt. Pour l'utiliser, mettez tout le paragraphe sur une seule ligne, avec J, puis appuyez sur K jusqu'à ce qu'il soit entièrement formaté.

Pour associer les touches pour couper, pour copier : :map "zdm :map "zym . Marquez le début de la zone avec mm , déplacez le curseur jusqu'à la fin de la sélection, et utilisez la touche correspondante. Pour coller la sélection avec , faites :map "zPm .

  
 Pour avoir un indicateur de position (un peu long, un peu lent, un peu lourd) :
   :map  k 
 
  :map  j 
 
  :map k k 
 
  :map j j 
 
  :map   
 
  :map   
 
  :map H H 
 
  :map M M 
 
  :map L L 
 
  :map G G 
 
  :map   
 
  :map   .
 
 
 map K :!chmod 666 %:w! :!chmod 644 % permet de sauvegarder un fichier que l'on a ouvert en lecture seule. Attention : le fichier se retrouve avec les permission en lecture et en écriture pour le propriétaire, et en lecture pour tous les autres.
 Ce ne sont pas forcément ses permissions initiales.
 :map = 080i $78hd0^D:s/ / /g$p centre une ligne.
 :map!  axa  permet redéfinir la touche de tabulation, pour qu'elle tape 5 espaces au lieu d'une tabulation.
 :map v Gdd''Pj permet d'intervertir la ligne du curseur et la dernière ligne du fichier. En se plaçant sur la première ligne, on peut ainsi inverser l'ordre d'un fichier.
 :map v y$opI:r!"add@a exécute dans un shell la chaîne qui va de du curseur jusqu'à la fin de la ligne, et affiche le résultat.
  
 Pour effacer, en mode saisie, un texte qui a été tapé lors d'une saisie précédente, il faut faire : :map!  xa :map!  xa 
 :map v 1G!Glpu imprime le document. Remplacez éventuellement lp par lpr ou par le nom de votre logiciel d'impression.
  
 Pour utiliser le caractère # pour afficher/enlever les numéros de ligne :

  :map \o# o:se nu:se nonu-: map \o# "wp (sur la même ligne, sans interruption).
 
  :map \d# "w2dd 
 
  :map \x# "xdd@x"xpk

:map # ma3L\o#\x#\d#a:

:map #r Oi....+....1....+....2....+....3....+....4....+....5....+....6....+....7....+....8 permet d'insérer une réglette au-dessus de la ligne du curseur.

Cette macro permet de faire une note en fin de document. Elle place un nombre entre crochet [1] [2]... à l'endroit du curseur et à la fin du texte, où il n'y a plus qu'à taper la note elle-même. En faisant a on revient à son point de départ dans le texte. Accrochez-vous, c'est intimidant :

:map K ma1GO[0]G$?[[[0-9]*]]lyt]]aa

Configurer son fichier .exrc

Toutes les commandes : peuvent être utilisées dans le fichier de configuration .exrc. Il est chargé automatiquement au démarrage de vi. On peut y définir des abréviations (ab) des macros (map) et faire lire d'autres fichiers (so).

Les lignes vides ne sont pas autorisées, et les lignes commençant par " sont des commentaires.

Example de .exrc

Le fichier ci-dessous est un vrai fichier, le mien. Il ne définit pas suffisamment d'options pour donner un aperçu de tout ce qui est possible, mais il pose les bases, et il est assez clair.

Nota Bene : le : en début de commande n'est pas nécessaire, il est implicite.

" Fais les recherches sans tenir compte des majuscules/minuscules.

set ic

# Retourne à la ligne à 9 caractère de la marge droite.

set wm=9

# indique la parenthèse ouvrante quand on tape la parenthèse fermante.

set sm

#Utilise zsh comme shell.

set sh=/bin/zsh

# Deux abréviations de mes signatures.

ab zidlle E. Larry Lidz - ellidz@midway.uchicago.edu

ab --l -Larry

# Associe la touche V à la commande ispell -x . ( -x pour ne pas faire de sauvegardes)

map V :w:!ispell -x%:e!

# Centre la ligne avec =

map = 80I $78hd0:s/ //g$p

# v reformate le paragraphe où se trouve le curseur.

map v {0!}fmt

Rappel des commandes

Jerome ROBERT — 2009-07-03T11:06:57Z

Auteur : Jean-Philippe
Proux
Site d'origine : http://www.idris.fr/data/cours/unix/user/unix_u_cours.html

Modifier par JÃ©rÃ´me ROBERT

Une bonne gestion et Ã©dition des lignes de commande est fondamentale sous
Unix mais dÃ©pend fortement de votre shell. Il y a quatre choses Ã savoir faire
absolument :

Shell rappel de la derniÃ¨re commande rappel d'une commande cmd dÃ©placement dans la ligne de commande complÃ©tion

ksh (set -o vi)
zsh pour solaris Esc k, puis n ou N pour naviguer dans l'historique commande suivante/commande prÃ©cÃ©dente Esc/ suivie d'une sous chaÃ®ne, par exemple Esc/totoCR de retrouver toutes les commandes oÃ¹ le toto Ã©tait prÃ©sent puis l ou h pour aller de droite Ã gauche puis x pour supprimer et a pour ajouter titiEsc
ou titiEsc= listera tous les fichiers commenÃ§ant par titi

ksh (set -o emacs) CTRL p
CTRL n CTRL r cmd CTRL b
CTRL f ESC ESC

ksh (set -o emacs) + config flÃ¨che flÃ¨che "haut/bas" Ctrl r cmd flÃ¨che "droite/gauche" EscEsc

csh !! ! debut_cmd

bash (linux) flÃ¨che "haut/bas"
ou
!!
ou
Ctrl p
Ctrl n Ctrl r cmd
ou
! debut_cmd flÃ¨che "droite/gauche"
ou
Ctrl b
Ctrl f TAB
ou
EscEsc

Config flÃ¨che : elle n'est possible qu'en mode emacs. Il faut placer les
commandes suivantes dans l'un de vos fichiers d'environnement suivant le shell :

$HOME/.kshrc ( en ksh si ENV=$HOME/.kshrc dans $HOME/.profile ) ou
$HOME/.profile

set -o emacs #pour utiliser les lignes ci-dessous
alias __A='^P' # pour remonter dans l'historique des
commandes (flÃªche ascendante)
alias __B='^N' # pour descendre dans l'historique des
commandes (flÃªche descendante)
alias __C='^F' # pour se dÃ©placer Ã droite sur la ligne de
commande (flÃªche droite)
alias __D='^B' # pour se dÃ©placer Ã gauche sur la ligne de
commande (flÃªche gauche)

Attention : le caractÃ¨re "^P" reprÃ©sente un seul caractÃ¨re : le
caractÃ¨re "Ctrl-p" et non pas "^" puis "P".

Pour
saisir ce caractÃ¨re "Ctrl-p" sous l'Ã©diteur emacs, il faut taper la sÃ©quence
de touches "Ctrl-q Ctrl-p"

Pour
saisir ce caractÃ¨re "Ctrl-p" sous l'Ã©diteur vi, il faut taper la sÃ©quence
de touches "Ctrl-v Ctrl-p"

Attention pour utiliser, le fichier /.kshrc, en ksh, il faut
avoir ENV=$HOME/.kshrc ; export ENV dans $HOME/.profile

Pour passer en mode vi ou emacs sous ksh, il faut insÃ©rer
dans votre /.profile ou /.kshrc cette ligne :

set -o vi # pour
vi

set -o emacs # pour emacs

Pour la gestion de l'historique, deux variables d'environnement existent et
peuvent Ãªtre placÃ©es dans votre /.kshrc.
Une pour la taille de l'historique HISTSIZE
et une pour nommer l'historique HISTFILE.

...

HISTSIZE=5000 HISTFILE=~/.sh_history # par dÃ©faut

#conseil HISTFILE=~/.sh_history_$$ , pour avoir un historique par shell ou dtterm

Auteur Jean-Philippe
Proux
Site : http://www.idris.fr/data/cours/unix/user/unix_u_cours.html

Modifier par JÃ©rÃ´me ROBERT

Le rappel des commandes sous le ksh

Jerome ROBERT — 2009-07-03T11:03:13Z

Le rappel des commandes sous le ksh se fait via le mode vi.

On le positionne avec la commande set -o vi Il utilise le fichier par defaut $HOME/.sh_history.

Le shell utilise deux variables :

HISTFILE : pour définir le fichier d'historique

HISTSIZE : pour définir le nombre de commandes accessibles dans l'historique.

Pour obtenir un historique par shell, très utile lors de connexion via un GUI ou interface graphique, effectuer les modifications suivantes :

Ajouter dans le fichier $HOME/.profile

ENV=$HOME/.kshrc

export ENV

# si vous souhaitez supprimer les anciens historiques

# rm $HOME/.sh_history-*

Ajouter ou créer le fichier $HOME/.kshrc

HISTFILE=$HOME/.sh_history-$$

La modification sera prise à la prochaine reconnexion au système. Attention, il faudra supprimer les fichiers d'historiques de temps en temps.

Shell	rappel de la derniÃ¨re commande	rappel d'une commande cmd	dÃ©placement dans la ligne de commande	complÃ©tion
ksh (set -o vi) zsh pour solaris	Esc k, puis n ou N pour naviguer dans l'historique commande suivante/commande prÃ©cÃ©dente	Esc/ suivie d'une sous chaÃ®ne, par exemple Esc/totoCR de retrouver toutes les commandes oÃ¹ le toto Ã©tait prÃ©sent	puis l ou h pour aller de droite Ã gauche puis x pour supprimer et a pour ajouter	titiEsc ou titiEsc= listera tous les fichiers commenÃ§ant par titi
ksh (set -o emacs)	CTRL p CTRL n	CTRL r cmd	CTRL b CTRL f	ESC ESC
ksh (set -o emacs) + config flÃ¨che	flÃ¨che "haut/bas"	Ctrl r cmd	flÃ¨che "droite/gauche"	EscEsc
csh	!!	! debut_cmd
bash (linux)	flÃ¨che "haut/bas" ou !! ou Ctrl p Ctrl n	Ctrl r cmd ou ! debut_cmd	flÃ¨che "droite/gauche" ou Ctrl b Ctrl f	TAB ou EscEsc