Guillaume Orsal

Automatisation de la reconnexion du clavier après la veille sous Linux

Guillaume Orsal — 2024-06-23T13:27:00Z

Sur mon laptop, sous Ubuntu, parfois après la sortie de veille je rencontre des problèmes avec mon clavier qui ne répond plus. Impossible de le débrancher / rebrancher évidemment et je suis obligé de passer par un clavier externe pour le relancer. Voici la solution d'automatisation mise en place pour la reconnexion.

Une analyse longue et minutieuse des logs système m'a permis d'identifier le message d'erreur suivant lorsque mon clavier cessait de fonctionner :

Failed to enable keyboard on isa0060/serio0

Si je ne veux plus me retrouver bloqué au réveil de l'appareil, il va falloir mettre en place un script qui va détecter et corriger l'erreur automatiquement.

Créer un script de surveillance et de reconnexion

La première étape consiste à créer un script qui vérifiera les erreurs de clavier dans les logs du noyau (dmesg) et reconnectera le clavier si nécessaire.

Pour éviter de relancer le clavier indéfiniment, il faut vérifier que la déconnexion est intervenue après la dernière relance du clavier, d'où le stockage de la date de dernière relance dans /var/log/last_keyboard_reconnect.

Créer le script avec la commande :

sudo vi /usr/local/bin/check_keyboard.sh

Puis y insérer le code suivant :

#!/bin/bash
 
 # Chemin du fichier de log
 LOGFILE="/var/log/keyboard_monitor.log"
 
 # Fichier pour stocker l'heure de la dernière reconnexion
 LAST_RECONNECT_FILE="/var/log/last_keyboard_reconnect"
 
 # Initialisation de la date de dernière reconnexion
 last_reconnect=0
 
 # Test s'il y a déjà eu des déconnexions du clavier dans la session courante
 if sudo dmesg | grep -q "atkbd serio0: Failed to enable keyboard on isa0060/serio0";
 then
 # Oui, alors on récupère la date de dernière connexion depuis le fichier
 if [ -f $LAST_RECONNECT_FILE ]; then
 last_reconnect=$(cat $LAST_RECONNECT_FILE)
 fi
 else
 # Non, alors on initialise le fichier contenant la date de dernière reconnexion
 echo 0 > $LAST_RECONNECT_FILE
 fi
 
 # Vérifier les erreurs de clavier dans dmesg depuis la dernière reconnexion
 if sudo dmesg | awk -v ref="$last_reconnect" '{
 # Extraire le timestamp en enlevant les crochets
 match($0, /^\[([0-9]+\.[0-9]+)\]/, arr)
 timestamp = arr[1]
 
 # Comparer le timestamp avec la référence
 if (timestamp > ref) {
 print $0
 }
 }' | grep -q "atkbd serio0: Failed to enable keyboard on isa0060/serio0" ; then
 
 # Reconnexion du clavier
 sudo sh -c 'echo -n "reconnect" > /sys/bus/serio/devices/serio0/drvctl'
 
 # Mise à jour de la date de dernière reconnexion
 last_error_time=$(sudo dmesg | grep "atkbd serio0: Failed to enable keyboard on isa0060/serio0" | tail -1 | awk '{print substr($1, 2, length($1) - 2)}')
 echo $last_error_time > $LAST_RECONNECT_FILE
 
 # Log
 echo "$(date +%Y%m%d-%T);$last_error_time;Clavier reconnecté" >> $LOGFILE
 else
 echo "$(date +%Y%m%d-%T);$last_reconnect;Pas de problème détecté" >> $LOGFILE
 fi

La reconnexion logiciel du clavier s'effectue dans le script par la commande :

sudo sh -c 'echo -n "reconnect" > /sys/bus/serio/devices/serio0/drvctl'

N'oubliez pas de rendre le script exécutable :

sudo chmod +x /usr/local/bin/check_keyboard.sh

Créer un hook systemd-sleep pour la sortie de veille

Pour moi le problème se présente en sortie de veille de l'ordinateur. Je vais donc utiliser le hook de systemd adapté : systemd-sleep

Pour cela, je vais placer un script dans le répertoire /lib/systemd/system-sleep/. Assurez-vous qu'il existe et sinon vous pouvez le créer par la commande :

sudo mkdir -p /lib/systemd/system-sleep/

L'ensemble des scripts dans ce répertoire sont exécutés à chaque mise en veille et sorte de veille. Je vais donc y créer un script :

sudo vi /lib/systemd/system-sleep/keyboard_resume.sh

Lors de l'appel de ce script, il reçoit plusieurs paramètre. Le premier paramètre $1 contient soit la valeur pre indiquant la mise en veille, soit la valeur post indiquant la sortie de la veille. Voici donc le script pour jouer le script de relancer du clavier au réveil de l'ordinateur :

#!/bin/bash
 
 case $1 in
 post)
 /usr/local/bin/check_keyboard.sh
 ;;
 esac

Ne pas oublier de rendre le script exécutable.

sudo chmod +x /lib/systemd/system-sleep/keyboard_resume.sh

L'analyse du fichier de log /var/log/keyboard_monitor.log après un réveil de l'ordinateur permettra de vérifier que le script s'est bien exécuté, et au besoin a reconnecté le clavier.

Gestion des disques sous Linux – mémo de commandes shell (Ubuntu & Debian)

Guillaume Orsal — 2022-12-27T20:32:00Z

Une compilation de commandes shell Linux que j'utilise régulièrement pour la gestion de disques et partitions (Ubuntu/Debian).

Elle ne se veut ni exhaustive, ni pédagogique, mais sert de mémo technique basé sur mon expérience de terrain en développement et administration de systèmes Linux.

Cette pratique s'inscrit dans un usage quotidien de Linux depuis Debian Slink, pour le développement et la mise en production de projets web Laravel et de travaux en intelligence artificielle.

Elles sont regroupées par thématique :

Identifier disques et partitions disponibles sur l'ordinateur

Réparer un disque défectueux

Automatiser les contrôles

Fdisk pour disques GPT

Formatage d'un disque vierge

Partitions chiffrées avec LUKS

Réparer une clé usb FAT32 en lecture seule sous Linux

Voir l'espace disque utilisé

Vérifier l'état SMART d'un disque

Monter / démonter une partition

Diagnostics bas niveau

Inspection ext* sans montage

FAT32 récalcitrant

Quand la table de partitions ne veut rien savoir

Récupération de données

Forensic

Analyse du header GPT

Carving manuel

Analyse du journal ext4 avec debugfs

Récupération d'inodes supprimés

Analyse des performances disque

Recherche de malware au niveau boot (MBR / GPT)

Réinitialisation du code d'amorçage (MBR)

Monter un système de fichiers distant via SSH

Gérer le chariot du lecteur DVD

Identifier disques et partitions disponibles sur l'ordinateur

Avant toute opération sur un disque ou une partition, il est utile de connaître leur disposition exacte et leurs caractéristiques.

Liste des disque physiques :

sudo lshw -class disk

Informations détaillées sur les partitions :

sudo fdisk -l

Liste des partitions, types et points de montage :

sudo blkid -o list -c /dev/null

ou, plus lisible dans la plupart des cas :

lsblk -o NAME,SIZE,FSTYPE,TYPE,PTTYPE,LABEL,PARTLABEL,MOUNTPOINT,UUID

Ces commandes permettent d'identifier précisément :

les disques physiques
les partitions
leur type de système de fichiers
leur point de montage
leur UUID

Ces informations sont nécessaires pour cibler correctement un disque ou une partition dans les opérations suivantes.

Dans la suite, j'utiliserai les notations suivantes :

/dev/sdX pour un disque
/dev/sdXN pour une partition

où X est la lettre du disque et N le numéro de partition.

Exemple : /dev/sda1

Réparer un disque défectueux

Il existe de nombreuses approches face à un disque défectueux. Voici celles que j'utilise ponctuellement.

Trouver des secteurs défectueux sur un disque.

⚠️ Cette opération est très longue : la commande parcourt l'ensemble des secteurs du disque et écrit la liste des secteurs défectueux dans un fichier badsectors.txt.

sudo badblocks -v /dev/sdXN > badsectors.txt

Marquer les secteurs erronés d'un disque afin qu'ils ne soient plus utilisés

Les secteurs défectueux sont alors exclus, ce qui limite les risques de corruption ou de perte de données.

NB : la partition doit être démontée au préalable via la commande :sudo umount /dev/sdXN

Le fichier badsectors.txt est le fichier généré par la commande badblocks.

sudo e2fsck -l badsectors.txt /dev/sdXN

fsck est l'utilitaire de vérification des systèmes de fichiers sous Linux. e2fsck en est la version dédiée aux systèmes de fichiers de type ext2/ext3/ext4.

Récupérer les informations du dernier contrôle fsck

sudo tune2fs -l /dev/sdXN

Pour extraire uniquement les informations liées à la fréquence d'analyse des disques et à l'historique des contrôles :

sudo tune2fs -l /dev/sdXN | grep -E "Last\ c|Max|Mount"

Automatiser les contrôles

fsck peut être lancé manuellement, mais il est également possible de planifier des contrôles automatiques après un certain nombre de redémarrages.

La commande suivante force un contrôle fsck de la partition /dev/sdXN tous les 10 redémarrages :

sudo tune2fs -c 10 /dev/sdXN

Une valeur de -1 désactive fsck et ses contrôles automatiques.
Une valeur de 1 force un contrôle à chaque démarrage.

Si la partition est montée via le fichier /etc/fstab, il convient également de vérifier la ligne correspondante à la partition. Un dernier champ positionné à 0 désactive le contrôle au démarrage.

Fdisk pour disques GPT

Les disques modernes utilisent souvent une table de partitions GPT, incompatible avec fdisk : on utilise alors gdisk pour manipuler correctement les partitions.

Installation de l'outil :

sudo apt-get update
 sudo apt-get install gdisk

Formatage d'un disque vierge

Création de la partition :

— Lancer l'outil de gestion des partitions :

sudo parted /dev/sdX

Dans parted, exécuter les commandes suivantes.

— Création de la table de partition GPT :

mklabel gpt

— Création d'une partition primaire ext4 occupant l'ensemble du disque :

mkpart primary ext4 2048s 100%

— Vérifier la table de partitions :

print

— Quitter parted :

quit

Création du système de fichier ext4 :

sudo mkfs.ext4 /dev/sdXN

Attribution d'un label à la partition :

sudo e2label /dev/sdXN

Partitions chiffrées avec LUKS

Lorsqu'un disque ou une partition est chiffré (par exemple pour des données sensibles), il n'apparaît pas comme un FS classique et nécessite une étape d'identification distincte.

Certaines partitions peuvent être chiffrées avec LUKS afin de protéger les données.

Voici comment identifier les volumes chiffrés actuellement présents sur le système :

sudo dmsetup ls --target crypt

Réparer une clé usb FAT32 en lecture seule sous linux

Une clé USB montée en lecture seule empêche toute modification ou suppression de fichiers. Ce comportement est fréquent sur des supports FAT32 présentant des erreurs.

Ce cas se rencontre souvent lorsque le système de fichiers FAT32 devient incohérent après une suppression ou un retrait non propre de la clé USB.

Vérifier le type de système de fichiers et identifier la partition

Lister les périphériques FAT32 afin d'identifier la partition concernée :

lsblk -f |grep FAT32

Ou, si l'identifiant est déjà connu :

lsblk -f /dev/sdXN

Démonter la clé USB

La partition doit être démontée avant toute tentative de réparation :

sudo umount /dev/sdXN

Lancer la réparation du système de fichiers FAT32

sudo dosfsck -w -r -l -a -v -t /dev/sdXN

avec les paramètres suivants :

-w : écrit les corrections sur le disque
-r : interaction lors de la réparation
-l : liste les fichiers présentant des erreurs
-a : corrige automatiquement les erreurs
-v : mode verbeux
-t : marque les clusters défectueux dans la FAT

Une fois la réparation terminée, débrancher puis rebrancher physiquement la clé USB.

Voir l'espace disque utilisé

Espace utilisé / disponible par système de fichiers :

df -h

Espace occupé par répertoire (taille) :

du -sh /chemin

Afficher les points de montage :

findmnt

Vérifier l'état SMART d'un disque

La plupart des disques supportent SMART : on peut obtenir les données d'état :

sudo smartctl -a /dev/sdX

(Il faut installer : smartmontools)

Monter / démonter une partition

Monter une partition :

sudo mount /dev/sdXN /point/de/montage

Démonter :

sudo umount /dev/sdXN

Diagnostics bas niveau (quand ça commence à sentir mauvais)

Lire l'ensemble d'un disque sans le monter (détection de lenteurs ou d'erreurs E/S) :

sudo dd if=/dev/sdX of=/dev/null bs=1M status=progress

Rechercher les erreurs disque côté noyau :

dmesg | grep -i -E "error|fail|ata|i/o"

Inspection ext* sans montage

Afficher les métadonnées complètes d'un système de fichiers ext* :

sudo dumpe2fs /dev/sdXN | less

Lister les superblocks disponibles :

sudo dumpe2fs /dev/sdXN | grep -i superblock

Réparer un système de fichiers à partir d'un superblock alternatif :

sudo e2fsck -b 32768 /dev/sdXN

Les systèmes de fichiers ext* disposent de superblocks alternatifs utilisables en cas de corruption.

FAT32 récalcitrant (cas désespérés)

Réparation automatique non interactive :

sudo dosfsck -a -w -v /dev/sdXN

Réécriture du boot sector FAT :

sudo dosfsck -b /dev/sdXN

Quand la table de partitions ne veut rien savoir

Forcer la relecture de la table de partitions :

sudo partprobe /dev/sdX

sudo blockdev --rereadpt /dev/sdX

Récupération de données (old school)

Attention la commande dd ne vérifie rien et n'avertit pas. Une erreur de périphérique (if= / of=) entraîne une perte de données immédiate et irréversible.

Copier un disque en ignorant les erreurs :

sudo dd if=/dev/sdX of=/dev/sdY conv=noerror,sync status=progress

Variante plus robuste avec journal de récupération :

sudo ddrescue /dev/sdX /dev/sdY rescue.log

Forensic

Cloner un disque vers une image brute :

sudo dd if=/dev/sdX of=image.raw bs=4M status=progress

Examiner une image disque sans la monter :

sudo file image.raw

Associer une image disque à un périphérique loop :

sudo losetup -fP image.raw

Note : un périphérique loop permet de traiter un fichier image comme un périphérique bloc.

Lister les périphériques loop actifs :

losetup -a

Examiner les partitions détectées dans l'image :

lsblk /dev/loopX

Lire un secteur précis (ex. MBR / GPT header) :

sudo dd if=/dev/sdX bs=512 count=1 | hexdump -C

Lire un secteur à un offset donné :

sudo dd if=/dev/sdX bs=512 skip=2048 count=1 | hexdump -C

Monter une partition d'image disque via offset :

sudo mount -o loop,ro,offset=1048576 image.raw /mnt/forensic

(offset = début de partition en octets)

Monter en lecture seule (forensic safe) :

sudo mount -o ro,noload /dev/loopXpY /mnt/forensic

Identifier le type de données présentes :

file image.raw

Extraire les chaînes lisibles (recherche d'artefacts) :

strings image.raw | less

Recherche ciblée (ex. mots-clés) :

strings image.raw | grep -i "password"

Analyse et récupération de tables de partitions :

sudo testdisk image.raw

Extraction de fichiers sans table de partitions :

sudo photorec image.raw

Analyse du header GPT (primaire / secondaire)

Cette analyse est utile lorsque la table de partitions GPT est corrompue ou incohérente, mais que le disque contient encore des données exploitables. L'objectif est de vérifier l'état du header GPT principal et de son backup, et de déterminer lequel peut servir de référence pour une restauration.

Lire le header GPT primaire (LBA 1) :

sudo dd if=/dev/sdX bs=512 skip=1 count=1 | hexdump -C

Lire le header GPT secondaire (dernier secteur du disque) :

sudo dd if=/dev/sdX bs=512 skip=$(($(blockdev --getsz /dev/sdX)-1)) count=1 | hexdump -C

Sauvegarder et comparer les deux headers :

sudo dd if=/dev/sdX bs=512 skip=1 count=1 of=gpt_primary.bin
 sudo dd if=/dev/sdX bs=512 skip=$(($(blockdev --getsz /dev/sdX)-1)) count=1 of=gpt_backup.bin
 cmp gpt_primary.bin gpt_backup.bin

Inspecter les informations GPT lisibles :

sudo sgdisk -i 1 /dev/sdX

Vérifier la cohérence globale de la table GPT :

sudo sgdisk -v /dev/sdX

Carving manuel (extraction sans table de partitions ni système de fichiers)

Le carving manuel intervient lorsque la table de partitions et le système de fichiers sont irrécupérables. L'objectif est d'extraire directement des fichiers ou des données brutes à partir de signatures connues, sans s'appuyer sur aucune métadonnée.

Identifier le type général de données présentes dans une image disque :

file image.raw

Rechercher des signatures de fichiers connues :

grep -a -b "JFIF" image.raw
 grep -a -b "%PDF" image.raw

Extraire un fichier à partir d'un offset connu :

dd if=image.raw of=fichier.bin bs=1 skip=OFFSET count=TAILLE

Examiner le contenu extrait :

file fichier.bin
 hexdump -C fichier.bin | less

Analyse du journal ext4 avec debugfs

Cette analyse est utile lorsque des fichiers ont disparu récemment ou après un crash, mais que le système de fichiers ext4 est encore montable ou partiellement cohérent. L'objectif est d'examiner les structures internes (journal, inodes, blocs) afin d'identifier des données encore récupérables.

Ouvrir une partition ext4 avec debugfs (sans montage) :

sudo debugfs /dev/sdXN

puis dans debugfs les commandes d'analyse ci-dessous.

Afficher les informations générales du système de fichiers :

stats

Examiner l'état du journal :

logdump

Lister les inodes récemment modifiés (selon le journal) :

lsdel

(Quitter debugfs avec quit)

Récupération d'inodes supprimés (ext4)

Cette méthode s'applique lorsque des fichiers ont été supprimés mais que leurs blocs n'ont pas encore été réutilisés. L'objectif est de restaurer directement les données à partir des inodes supprimés, sans passer par le nom de fichier original.

Un inode est la structure centrale d'un système de fichiers Linux (ext2/ext3/ext4). Il ne contient pas le nom du fichier, mais l'ensemble de ses métadonnées et les pointeurs vers les données.

Un inode contient notamment :

le type (fichier, répertoire, lien, etc.)
les permissions
l'UID et le GID
la taille
les horodatages (atime, mtime, ctime, crtime selon le système de fichiers)
les pointeurs vers les blocs de données :
— directs
— indirects
— double et triple indirects

Le nom du fichier n'est pas stocké dans l'inode, mais dans le répertoire. Un répertoire est une simple table associant un nom à un numéro d'inode : nom → inode

Conséquence :

supprimer un fichier supprime le lien nom → inode
l'inode peut encore exister
les blocs de données peuvent rester intacts

Lister les inodes supprimés :

sudo debugfs /dev/sdXN
 lsdel

Examiner un inode supprimé :

stat

Extraire le contenu d'un inode vers un fichier :

dump fichier_recupere.bin

Analyser le fichier extrait :

file fichier_recupere.bin

Analyse des performances disque (diagnostic bas niveau)

Cette analyse est utile pour identifier des lenteurs anormales, des timeouts E/S ou des comportements dégradés liés au matériel. L'objectif est de distinguer un problème logiciel d'un problème physique ou firmware.

Mesurer les performances brutes en lecture séquentielle :

sudo hdparm -tT /dev/sdX

Tester la latence de lecture sans cache :

sudo dd if=/dev/sdX of=/dev/null bs=4K count=100000 iflag=direct status=progress

Surveiller les erreurs E/S et timeouts :

dmesg | grep -i -E "i/o error|timeout|ata"

Recherche de malware au niveau boot (MBR / GPT)

Cette vérification est pertinente en cas de comportement anormal persistant, y compris après réinstallation du système. L'objectif est d'identifier une modification du code d'amorçage (bootsector, MBR ou GPT).

Lire le secteur d'amorçage MBR (512 octets) :

sudo dd if=/dev/sdX bs=512 count=1 | hexdump -C

Lire le header GPT primaire :

sudo dd if=/dev/sdX bs=512 skip=1 count=1 | hexdump -C

Comparer avec un disque sain ou une sauvegarde :

cmp mbr_suspect.bin mbr_sain.bin

Rechercher des chaînes suspectes :

strings mbr_suspect.bin

Réinitialisation du code d'amorçage (MBR)

Le MBR (Master Boot Record) correspond aux 512 premiers octets d'un disque en schéma de partition de type MBR.

Il contient le code d'amorçage primaire ainsi que la table de partitions. Une corruption ou une modification malveillante de ce code peut empêcher le démarrage du système ou persister malgré une réinstallation.

Cette opération consiste à neutraliser le code d'amorçage existant afin de repartir sur une base saine.

Écraser le code MBR (sans toucher aux partitions) :

sudo dd if=/dev/zero of=/dev/sdX bs=440 count=1

Supprimer complètement la table GPT et les métadonnées associées :

sudo sgdisk --zap-all /dev/sdX

Réinstaller un chargeur d'amorçage légitime :

grub-install /dev/sdX

En cas de doute de compromission du boot secteur, l'idée est de supprimer le secteur d'amorçage douteux (MBR ou GPT selon le type), puis d'en réinstaller un propre avec grub.

Monter un système de fichiers distant via SSH (SSHFS)

Le montage via SSHFS permet d'accéder à un système de fichiers distant comme s'il était local, en s'appuyant uniquement sur une connexion SSH. C'est particulièrement utile pour l'analyse, la récupération de données ou l'accès ponctuel à des fichiers distants sans exposer de services supplémentaires.

Installer sshfs :

sudo apt-get install sshfs

Monter un répertoire distant :

sshfs user@serveur:/chemin/distant /mnt/ssh

Démonter proprement :

fusermount -u /mnt/ssh

Gérer le chariot du lecteur DVD

Ejecter le disque :

eject

Rentrer le chariot du disque, si le lecteur le permet :

eject -t

Erreur logrotate avec mysql-server sur Debian

Guillaume Orsal — 2015-11-05T10:47:15Z

Lors de la rotation des logs MySQL, logrotate peut échouer sur Debian et générer des erreurs répétées. Cet article explique la cause du problème et présente une solution simple pour rétablir une rotation automatique fiable.

Note historique : Cet article date de novembre 2015 (Debian Jessie). Bien que les principes restent valides, certains détails concernant logrotate et MySQL ont pu évoluer. L'approche de diagnostic décrite conserve sa pertinence pour les systèmes Debian et Ubuntu modernes.

Contexte du problème

Sur les serveurs Debian/Linux, logrotate exécute quotidiennement la rotation des fichiers journaux via un script situé dans /etc/cron.daily. Lorsque MySQL est installé, logrotate crée une configuration dédiée qui, après archivage des logs, exécute un script de post-rotation.

Ce script échoue régulièrement avec une erreur de permissions, ce qui génère des rapports envoyés par mail via cron.

Le message d'erreur type reçu est le suivant :

/etc/cron.daily/logrotate: error: error running shared postrotate script for '/var/log/mysql.log /var/log/mysql/mysql.log /var/log/mysql/mysql-slow.log /var/log/mysql/error.log'
 run-parts: /etc/cron.daily/logrotate exited with return code 1

Diagnostic : comprendre le rôle de logrotate et debian-sys-maint

Logrotate est l'utilitaire système chargé de limiter la croissance des fichiers journaux. Il archive et compresse les anciens logs en parcourant les fichiers de configuration du répertoire /etc/logrotate.d/.

Pour la gestion de MySQL, il s'appuie sur un compte utilisateur système dédié : debian-sys-maint.

Ce compte possède les permissions minimales nécessaires à la maintenance automatique du service MySQL. Ces permissions sont référencées dans deux fichiers clés.

1. Configuration logrotate pour MySQL :

sudo cat /etc/logrotate.d/mysql-server

Ce fichier définit une variable MYADMIN qui utilise les identifiants du compte de maintenance :

MYADMIN="/usr/bin/mysqladmin --defaults-file=/etc/mysql/debian.cnf"

2. Fichier de configuration MySQL du compte de maintenance :

sudo cat /etc/mysql/debian.cnf

Ce fichier contient les identifiants du compte debian-sys-maint :

# Automatically generated for Debian scripts. DO NOT TOUCH!
 [client]
 host = localhost
 user = debian-sys-maint
 password = xxxxxxxxxxxxxxx
 socket = /var/run/mysqld/mysqld.sock
 
 [mysql_upgrade]
 host = localhost
 user = debian-sys-maint
 password = xxxxxxxxxxxxxxx
 socket = /var/run/mysqld/mysqld.sock
 basedir = /usr

Cause racine : insuffisance de privilèges

L'erreur de post-rotation survient lorsque le compte debian-sys-maint ne dispose pas des permissions MySQL suffisantes pour exécuter les commandes d'administration nécessaires (rechargement des tables, interrogation de l'état du serveur, etc.).

Le compte système existe bien et accède au fichier de configuration, mais ses droits au niveau MySQL sont incomplets ou corrompus.

Solution : restaurer les permissions du compte debian-sys-maint

La résolution consiste à accorder au compte debian-sys-maint l'ensemble des permissions administratives requises. Cette opération doit être effectuée avec un compte disposant des droits administrateur MySQL.

Étape 1 : connexion en tant qu'administrateur MySQL

mysql -u root -p

Saisissez le mot de passe root MySQL.

Étape 2 : attribution des permissions

Exécutez les commandes SQL suivantes en remplaçant le mot de passe par celui figurant dans le fichier /etc/mysql/debian.cnf :

GRANT RELOAD, SHUTDOWN, PROCESS, SHOW DATABASES, SUPER, LOCK TABLES
 ON *.* TO 'debian-sys-maint'@'localhost'
 IDENTIFIED BY 'xxxxxxxxxxxxxxx';
 FLUSH PRIVILEGES;

Les permissions accordées correspondent à :

RELOAD : recharger les tables et caches
SHUTDOWN : arrêter le serveur MySQL
PROCESS : afficher les processus serveur
SHOW DATABASES : lister les bases de données
SUPER : exécuter les opérations de maintenance
LOCK TABLES : verrouiller les tables lors des opérations de sauvegarde

Étape 3 : application immédiate des permissions

La commande FLUSH PRIVILEGES recharge les droits en mémoire et rend les changements effectifs immédiatement, sans redémarrage du serveur.

FLUSH PRIVILEGES;

Vérification

Après ces modifications, la prochaine exécution de logrotate (lors du cron quotidien) fonctionnera sans erreur.

Pour tester immédiatement sans attendre l'exécution automatique :

sudo /etc/cron.daily/logrotate

Si aucune erreur n'est affichée, le problème est résolu.

Prévention et bonnes pratiques

Maintenir à jour le compte debian-sys-maint via les mises à jour du paquet mysql-server
Surveiller les erreurs logrotate dans les logs cron : grep logrotate /var/log/syslog
Adapter les permissions sur les installations personnalisées ou durcies
Préserver le fichier /etc/mysql/debian.cnf, élément clé du bon fonctionnement de la maintenance automatisée

Configuration Postfix, DNS IPv6 et serveur Debian/Linux VPS Gandi

Guillaume Orsal — 2015-03-15T16:21:53Z

Lors d'une migration sur un VPS Gandi sous Debian, l'envoi de mails avec Postfix ne fonctionnait plus vers l'extérieur. Cette page explique l'origine du problème (DNS et IPv6) et présente la configuration et la solution pour rétablir l'envoi des mails.

Installation de Postfix

Je ne l'installe pas tous les jours, alors pour ne pas oublier la bonne marche à suivre, voici la procédure d'installation de Postfix.

Tout d'abord, j'ai ajouté les paquets postfix et procmail. Pour vérifier si les paquets sont déjà installés :

dpkg -s procmail postfix 2>/dev/null | grep -i -E "status|package"

S'ils n'apparaissent pas, ou pas tous, dans la liste, il faut les installer :

sudo apt-get install

L'objectif est que les sites web installés sur la machine puissent envoyer des mails, j'ai donc répondu aux étapes d'installation de la manière suivante.

Le choix du type d'installation Site Internet correspond à un serveur qui envoie des mails sortants (notifications, formulaires, scripts), sans héberger de boîtes mail publiques. C'est le cas le plus courant pour un serveur web ou un VPS applicatif.

Il faut ensuite indiquer le nom de domaine utilisé par les mails provenant de la machine, donc émis par les comptes utilisateurs locaux. Probablement votre nom de domaine principal. Les emails apparaîtront comme provenant de @.

Les utilisateurs root et postmaster doivent transférer leur mail vers un autre compte. J'ai donc indiqué un compte utilisateur standard. Nous y reviendrons un peu plus tard, notamment pour une question de référencement.

Comme c'est un serveur, il ne sert pas uniquement à l'envoi, mais aussi à la réception. Il faut donc définir les noms de domaines pour lesquels la machine va recevoir des emails. Mais comme je ne souhaite qu'envoyer des mails, je n'indique que localhost. Ainsi, je ne recevrai que des mails locaux du type root@localhost, le reste sera transféré.

Mises à jour synchronisées. Je ne maîtrise pas bien ce paramètre, je me fie donc à l'indication fournie et je ne force pas la synchronisation.

Réseaux internes. J'ai laissé le paramètre par défaut qui renvoie sur la boucle locale : 127.0.0.0/8 [ ::ffff:127.0.0.0]/104 [ ::1]/128

Utilisation de procmail pour la distribution locale : j'ai choisi Oui.

Pour le quota des boîtes mail, à vous de voir. Comme l'installation n'est a priori pas prévue pour recevoir des messages, les comptes recevront néanmoins les mails de rapports d'erreur.

Caractère d'extension pour les adresses locales. Je n'ai pas bien compris cette fonctionnalité et, a priori, je n'en ai pas besoin, je ne l'active donc pas en laissant le champ vide.

Protocole Internet. Je choisis all, mais c'est peut-être ce choix qui me posera un problème plus tard.

Configuration de Postfix

Si Postfix est déjà installé, il est possible de modifier directement la configuration, soit en rejouant la procédure d'installation avec la commande :

sudo dpkg-reconfigure postfix

Soit en modifiant directement le fichier de configuration, avec les droits administrateur :

sudo vi /etc/postfix/main.cf

NB : petit rappel des commandes vi : x pour supprimer le caractère courant, i pour insérer du texte, Esc pour terminer l'édition, o pour ajouter une ligne et insérer, :w pour enregistrer, :q pour quitter, a pour insérer en fin de ligne.

Je présente ici uniquement les lignes que j'ai modifiées, les autres restent inchangées.

myhostname = orsal.net
 alias_maps = hash:/etc/aliases
 alias_database = hash:/etc/aliases
 mydestination = localhost
 relayhost =
 mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
 mailbox_command = procmail -a "$EXTENSION"
 mailbox_size_limit = 0
 recipient_delimiter =
 inet_interfaces = loopback-only
 inet_protocols = all
 myorigin = /etc/mailname

Limiter inet_interfaces à la boucle locale permet d'éviter que le serveur ne devienne un relais SMTP ouvert, ce qui serait un risque de sécurité majeur. En effet, je ne souhaite pas pouvoir envoyer des emails, via ce serveur, depuis un autre serveur sur Internet.

Le paramètre relayhost permet d'indiquer un serveur SMTP relais. Chez Gandi, je n'ai pas eu besoin d'en indiquer. En cas d'envoi de mail, Postfix trouve le serveur de destination par une requête DNS et le contacte directement pour lui remettre le mail.

Dans le cas d'un serveur hébergé à domicile, donc probablement situé dans une plage d'adresses IP ne devant a priori pas envoyer d'emails, vous risquez d'être bloqué à l'envoi. Le mail partira, mais le serveur destinataire pourra le rejeter car marqué comme spam, par exemple via Spamhaus.

Dans ce cas, il faudra passer par le serveur SMTP de votre hébergeur en configurant le paramètre relayhost :

relayhost = smtp.votrefournisseur.fr

Le nom de domaine utilisé comme expéditeur est configuré dans le fichier /etc/mailname, à modifier de la même manière que main.cf.

Enfin, la configuration des alias s'effectue dans le fichier /etc/aliases :

sudo vi /etc/aliases

Il faut configurer la redirection des comptes postmaster et root vers l'utilisateur standard si ce n'est pas déjà fait. Les lignes sont construites de la manière suivante :

alias: destinataire, destinataire, ...

Il faut donc ajouter :

root: utilisateur
 postmaster: utilisateur

Après toute modification, il faut redémarrer Postfix pour appliquer la configuration :

sudo service postfix restart

Test d'envoi de mail

Pour vérifier que tout fonctionne, il suffit de s'envoyer un email :

echo "Mon message de `date +%T`" | mail -s "Test mail"

Si vous recevez le message, c'est tout bon. Vous pouvez également tester depuis les sites web installés sur le serveur.

Identification du problème

Chez moi, les mails ne partaient pas. Un tour dans les logs permet d'en savoir plus :

sudo cat /var/log/mail.log

Erreur obtenue :

Feb 2 15:43:50 myservername postfix/smtp[5908]: 23FEC7801: to=, relay=none, delay=57183, delays=57183/0.01/0/0, dsn=4.4.3, status=deferred (Host or domain name not found. Name service error for name=example.org type=MX: Host not found, try again)

Un problème de résolution DNS semble donc en cause : Postfix n'arrive pas à résoudre le serveur MX du domaine destinataire.

Résolution du problème

Le problème venait du serveur DNS IPv6 qui ne répondait pas. Lors d'un envoi de mail, Postfix lançait une résolution du nom de domaine destinataire. N'obtenant pas de réponse, après plusieurs tentatives, le message tombait en erreur et était renvoyé à l'expéditeur.

Pour résoudre le problème, j'ai supprimé le serveur DNS IPv6 de la liste des serveurs DNS de la machine.

sudo vi /etc/resolv.conf

et supprimé la ligne :

nameserver 2001:4b98:dc0:49::225

Un redémarrage du serveur est nécessaire pour que la modification soit prise en compte.

Attention Sur les systèmes Debian modernes, le fichier /etc/resolv.conf peut être régénéré automatiquement (DHCP, NetworkManager, systemd-resolved). Dans ce cas, cette modification peut être temporaire.

Par précaution, j'ai également configuré Postfix pour n'utiliser que IPv4 :

inet_protocols = ipv4

Forcer inet_protocols = ipv4 permet à Postfix d'éviter toute tentative de résolution IPv6, tout en laissant le système utiliser IPv6 pour les autres services.

Référencement SEO et configuration mail

Google encourage les sites à respecter de bonnes pratiques de qualité et de fiabilité, notamment pour les services techniques comme l'envoi de mails.

Un nom de domaine doit posséder les deux adresses suivantes :

abuse votrenomdedomaine.org
postmaster votrenomdedomaine.org

Il n'est pas obligatoire qu'il s'agisse de comptes réels : une simple redirection suffit.

Cette problématique illustre bien qu'un dysfonctionnement DNS, en particulier lié à IPv6, peut avoir des effets indirects difficiles à diagnostiquer sur un serveur mail pourtant correctement configuré.

En savoir plus

Exemples de configuration de Postfix Postfix.org

Configuration du wifi sous Linux/Debian en ligne de commande

Guillaume Orsal — 2014-08-04T17:01:28Z

Configurer et connecter le WiFi sous Debian en ligne de commande : guide pratique avec wpa_supplicant (approche traditionnelle) et nmcli (méthode moderne).

Nouvelle installation serveur, sous Debian cette fois-ci. Comme d'habitude sur un système Linux minimal, il faut tout reconfigurer à la main, et j'ai encore oublié comment configurer le réseau wifi sous Linux en ligne de commande.

Voici donc un petit article qui résume les étapes essentielles de la configuration manuelle du wifi sous Linux, sans interface graphique, directement en ligne de commande. Cette approche est particulièrement adaptée aux serveurs Debian ou aux installations légères, où l'on recherche simplicité, stabilité et reproductibilité.

Comme il s'agit d'un réseau domestique, je souhaite :

forcer le SSID du réseau wifi
configurer une clé WPA (PSK)
définir une adresse IP fixe

Cette méthode permet d'éviter toute dépendance à un outil graphique ou à un gestionnaire de réseau, ce qui est souvent préférable sur un serveur.

Méthode traditionnelle : wpa_supplicant (configuration manuelle)

Passer root :

su -

Vérifier que wpa_supplicant est installé :

apt-get update
 apt-get install wpasupplicant

Éditer la configuration réseau :

vi /etc/network/interfaces

NB : vous pouvez utiliser tout autre éditeur à votre convenance.

Ajouter les lignes suivantes, puis sauvegarder :

auto wlan0
 iface wlan0 inet static
 wpa-ssid NomDuReseau
 wpa-psk MotDePasseWifi
 address 192.168.1.100
 netmask 255.255.255.0
 gateway 192.168.1.1
 dns-nameservers 192.168.1.1

L'adresse IP 192.168.1.100 est un exemple d'adresse privée sur un réseau local domestique. Elle doit être choisie dans la plage du réseau local, en dehors de la plage DHCP du routeur, et ne pas être utilisée par un autre équipement.

Le champ gateway correspond à l'adresse IP du routeur (souvent 192.168.1.1), qui permet l'accès à Internet. Le serveur DNS est ici volontairement défini sur le routeur, mais peut être remplacé par un DNS public si nécessaire.

NB : Sous vi, pour insérer des modifications, il faut taper i. La touche Echap ou Esc permet de quitter le mode insertion. Pour enregistrer et quitter : :wq puis valider.

Démarrer l'interface wifi :

ifup wlan0

Si l'interface est déjà active :

ifdown wlan0

Ces commandes permettent également d'activer, désactiver ou redémarrer la connexion WiFi sous Debian en ligne de commande.

Vérifier l'état de la connexion réseau :

ifconfig
 iwconfig

Lister les réseaux wifi disponibles à portée :

iwlist scan | grep ESSID

Cette commande permet de scanner les réseaux WiFi sous Debian et de vérifier que l'interface WLAN est correctement détectée avant la connexion.

Mise à jour : configuration wifi avec nmcli (Debian récents)

L'article initial date de 2014, à l'époque de Debian Wheezy, et repose sur une configuration réseau entièrement manuelle.

Les versions plus récentes de Debian utilisent généralement NetworkManager, qui permet de configurer le wifi directement en ligne de commande via l'outil nmcli.

Cette méthode est plus simple et mieux intégrée, mais reste moins adaptée aux serveurs très minimalistes ou aux installations sans NetworkManager.

Passer root :

su -

Vérifier que NetworkManager est installé :

nmcli --version

Si nécessaire :

apt-get update
 apt-get install network-manager
 systemctl restart NetworkManager

Identifier le nom de l'interface WiFi :

L'interface WiFi (souvent appelée interface WLAN) peut porter différents noms selon le matériel et la version de Debian.

Sur les systèmes récents, l'interface WiFi (souvent appelée interface WLAN) ne s'appelle plus toujours wlan0, mais peut porter différents noms comme wlp2s0, wlan1, etc. selon le matériel et la version de Debian.

nmcli device status

La colonne DEVICE indique le nom exact de l'interface à utiliser dans les commandes suivantes.

Dans les exemples ci-dessous, l'interface WiFi utilisée est wlp2s0.

Connexion wifi simple (DHCP) :

nmcli device wifi connect "NomDuReseau" password "MotDePasseWifi"

Connexion wifi avec IP fixe (ou IP statique) :

nmcli connection add type wifi ifname wlp2s0 con-name MaConnexion ssid NomDuReseau
 nmcli connection modify MaConnexion wifi-sec.key-mgmt wpa-psk 
 nmcli connection modify MaConnexion wifi-sec.psk MotDePasseWifi
 nmcli connection modify MaConnexion ipv4.method manual
 nmcli connection modify MaConnexion ipv4.addresses 192.168.1.100/24
 nmcli connection modify MaConnexion ipv4.gateway 192.168.1.1
 nmcli connection modify MaConnexion ipv4.dns 192.168.1.1
 nmcli connection up MaConnexion

Selon la configuration du point d'accès WiFi, la clé peut être utilisée en WPA2-PSK ou en WPA3-SAE. NetworkManager, comme wpa_supplicant, sélectionnent automatiquement le mode de sécurité compatible.

Sur un réseau configuré exclusivement en WPA3, il est possible de remplacer wpa-psk par sae pour forcer l'utilisation de WPA3.

La notation /24 correspond au masque de sous-réseau 255.255.255.0. Elle indique que les 24 premiers bits définissent le réseau, ce qui est le cas le plus courant sur un réseau domestique en 192.168.x.x.

Vérifier l'état de la connexion :

nmcli device status
 nmcli connection show

Désactiver la connexion wifi pour une interface :

nmcli device disconnect wlp2s0

Le nom du périphérique est obtenu via la commande nmcli device status.

Désactiver le wifi globalement :

nmcli radio wifi off

Cette approche moderne complète efficacement la configuration traditionnelle basée sur wpa_supplicant.

Ressources et documentation

Pour écrire cet article, je me suis appuyé sur la documentation officielle :

En espérant que ce résumé vous fasse gagner du temps lors de vos prochaines installations Linux.

Montage permanent d'un disque NTFS sous GNU Linux / Ubuntu

Guillaume Orsal — 2013-01-09T12:41:19Z

Pour monter un disque dur de manière permanente sous Linux, il faut modifier le fichier /etc/fstab, voici comment procéder.

Pour cela, nous avons besoin de l'identifiant du disque obtenu par la commande :

sudo blkid

Repérez parmi le résultat de la commande le disque à monter :

/dev/sdb1: LABEL=“DATA” UUID=“{{0BB8A34EA8A3375B}}” TYPE=“{{ntfs}}”

C'est le type et l'UUID qui nous intéressent.

Il faut ensuite éditer le fichier /etc/fstab :

sudo vi /etc/fstab

Reportez-vous au manuel de « vi » pour éditer le fichier si vous ne savez l'utiliser.

Ajoutez en fin de fichier la ligne suivante :

UUID=0BB8A34EA8A3375B /data ntfs defaults,errors=remount-ro 0 1

La ligne se décompose ainsi :

UUID = id du disque fourni par la commande blkid
/data = emplacement de montage, c'est-à-dire le chemin à partir duquel le disque sera accessible
ntfs = type de disque fourni par la commande blkid
defaults,errors=remount-ro = paramètre de la commande mount pour monter le disque, reportez-vous au manuel (commande man mount) pour voir ce qu'il est possible d'utiliser.
0 = aucune idée de ce à quoi sert ce paramètre dump
1 = aucune idée de ce à quoi sert ce paramètre pass

Pour tester le résultat sans redémarrer (c'est plus prudent, on ne sait jamais), vous pouvez recharger la table de montage à chaud par la commande :

sudo mount -a

Il se peut qu'il faille que le répertoire utilisé comme chemin de montage existe déjà. Si le montage à chaud renvoi donc une erreur en rapport avec le répertoire, créez-le par la commande suivante, adaptée pour votre emplacement :

sudo mkdir /data

Puis refaite un montage à chaud, qui devrait désormais fonctionner.

Ainsi, au prochain redémarrage le disque devrait être monté automatiquement au démarrage.