Cyril Brulebois a écrit 652 commentaires

?!

Après une installation avec debian-10.0.0-amd64-netinst.iso, en me connectant en root, j'ai bien les 3 paires de répertoires habituelles dans $PATH, à savoir {/usr/local,/usr,}{/sbin,/bin}, et usermod --help confirme que tout fonctionne correctement.

Je ne vois pas trop le rapport avec merged-/usr par ailleurs.

Debian Consultant @ DEBAMAX

La version 8.5.4 de Tor Browser vient d'être publiée pour Android.

Debian Consultant @ DEBAMAX

As-tu regardé Documentation/rtc.txt et tools/testing/selftests/rtc/rtctest.c dans les sources du noyau ? Ça te donnera peut-être des indices ?

Debian Consultant @ DEBAMAX

+1.

unetbootin est une source infinie de problèmes.

Copier l'image sur une clé avec dd, pv, ou des outils dédiés comme gnome-disks (dont la barre de progression est réaliste, plutôt que de mesurer comme avec dd/pv la vitesse avec laquelle on remplit le cache)… ;)

Côté Tails, ces jours-ci, on met en avant Etcher pour Windows.

Cependant, pour Debian il existe un outil appelé win32-loader qui permet d'amorcer Debian Installer directement depuis Windows, cf. la page wikipedia en anglais et un lien direct vers un miroir.

Disclaimer : N'ayant pas touché un Windows depuis longtemps, je n'ai pas vérifié son bon fonctionnement pour Buster…

Debian Consultant @ DEBAMAX

UI irréprochable, non ? :o)

Après t'avoir répondu, je me suis demandé si keys.openpgp.org était le remède miracle apparu <théorie-du-complot>comme par hasard</théorie-du-complot> au moment où les floods SKS se sont intensifiés. Je suis tombé sur cette analyse d'un développeur Gentoo : SKS poisoning, keys.openpgp.org / Hagrid and other non-solutions. Des points un peu différents de ceux soulevés par Daniel Lange (qui intervient d'ailleurs en commentaires) mais globalement le même constat : la situation est loin d'être idéale et les « solutions » n'en sont pas vraiment.

Debian Consultant @ DEBAMAX

Alors, non, keys.openpgp.org ne m'aide pas du tout :

kibi@anchorage:~$ gpg --keyserver keys.openpgp.org --search-keys torbrowser@torproject.org
gpg: error searching keyserver: No data
gpg: keyserver search failed: No data

kibi@anchorage:~$ gpg --keyserver keys.openpgp.org --search-keys 0xD1483FA6C3C07136
gpg: data source: http://keys.openpgp.org:11371
(1)   4096 bit RSA key 4E2C6E8793298290
Keys 1-1 of 1 for "0xD1483FA6C3C07136".  Enter number(s), N)ext, or Q)uit > 1
gpg: key 4E2C6E8793298290: no user ID
gpg: Total number processed: 1

Debian Consultant @ DEBAMAX

TL;DR: Je ne suis pas du tout convaincu par un certain nombre de commentaires dont le résumé pourrait être « aucun problème, tout va bien ».

Je vais rester concis et éviter les digressions quant à GnuPG v1 vs. GnuPG v2, les formats différents, etc., et me concentrer sur un exemple.

Pour la dernière version de Tails, j'étais en charge de l'import de Tor Browser. D'où vérification de signature GPG sur le build importé. D'où besoin de récupérer la clé en question. D'où --search-keys et boum :

gpg: error writing keyring '/home/kibi/.gnupg/pubring.kbx': Provided object is too large

Et effectivement, des centaines de milliers de clés, ça n'était pas trop prévu.

Contournement : utiliser gnupg1 (heureusement qu'on a toujours ce paquet dans Debian…), importer la clé par ce biais, puis la ré-exporter en mode minimal (sans les signatures) pour la réimporter via gnupg2. Pour fixer les idées :

gpg: key 4E2C6E8793298290: 121241 signatures not checked due to missing keys

Quant à la vérification de la clé, l'empreinte est publiée et vérifiable par un autre canal, donc pas de problème de ce côté-là.

Si on creuse un peu, on se rend compte qu'upstream s'est mis en tête de publier une version 2.2.17 en catastrophe pour essayer de limiter la casse. Et ça n'est pas forcément brillant, si j'en crois l'analyse de mon « collègue Debian » Daniel Lange (cf. la partie « Update » au 09.07.2019).

[Depuis, j'ai découvert que le projet Tor publie également les clés sur un site dédié, ce qui m'évitera les contorsions mentionnées ci-dessus.]

Debian Consultant @ DEBAMAX

Effectivement, il y a dpkg qui sait si un des conffiles d'un paquet a été modifié par l'administrateur tandis qu'une nouvelle version du paquet embarque une configuration différente, et qui peut proposer un prompt pour choisir la version modifiée ou la nouvelle version. En fonction de la réponse, du côté interactif ou non, des options passées via apt/dpkg, on peut se retrouver avec des fichiers suffixés .dpkg-dist, .dpkg-old, .dpkg-new.

Et il y a ucf qui permet d'être plus subtil que « version A ou version B », et de fusionner des modifications. Même si c'est bien mieux sur le papier, en pratique ça n'est presque pas utilisé. Sur mon système principal je vois 17 scripts postinst qui contiennent ucf, sur 4400+ paquets… Il y a probablement plus malin pour faire l'équivalent de la manipulation debsums (avec les bonnes options) ou dpkg --audit, directement avec ucf, mais de mon côté je vérifierais les paquets éventuellement concernés par des modifications de type ucf via grep -l ucf /var/lib/dpkg/info/*.postinst.

Debian Consultant @ DEBAMAX

C'est probablement un jugement de valeur, mais je trouve cela plutôt rassurant que le chargeur de démarrage arrive bien à faire son boulot, et qu'il « suffise » de disposer d'un noyau avec un correctif ou d'une option qui évite de tomber sur le bogue en question… J'avais peur qu'il y ait un problème entre le firmware UEFI et le chargeur de démarrage. :)

Vu la cadence infernale côté mainline et la « rétroportabilité » habituelle de pleins de patches, j'imagine que des corrections pourraient arriver facilement dans les branches stable/longterm et dans les distributions…

Debian Consultant @ DEBAMAX

Ta publication me paraît tout à fait appropriée, et je comprends également l'aspect potentiellement hyper-modulable de la rémunération en fonction des missions confiées et des clients en question.

Je t'invite à ne pas te laisser décourager par le trolling malheureusement habituel sur ce site.

Debian Consultant @ DEBAMAX

cosmoff :

il est toujours enabled

Je ne comprends pas car normalement systemctl gere systemd, donc il devrait me passer le service en disabled.

Non, il n'est pas enabled. Cf. la ligne :

 Loaded: loaded (/lib/systemd/system/gdm.service; static; vendor preset: enabled)

C'est le vendor preset qui est activé. Le service est en mode static, qui est une variante de disabled.

Cf. la page de manuel systemctl(1) :

           ├──────────────────┼──────────────────────────────┼───────────┤
           │"static"          │ The unit file is not         │ 0         │
           │                  │ enabled, and has no          │           │
           │                  │ provisions for enabling in   │           │
           │                  │ the "[Install]" unit file    │           │
           │                  │ section.                     │           │
           ├──────────────────┼──────────────────────────────┼───────────┤
…
           ├──────────────────┼──────────────────────────────┼───────────┤
           │"disabled"        │ The unit file is not         │ > 0       │
           │                  │ enabled, but contains an     │           │
           │                  │ "[Install]" section with     │           │
           │                  │ installation instructions.   │           │
           ├──────────────────┼──────────────────────────────┼───────────┤

À vue de pif, je dirais qu'autre chose se charge de lancer le gestionnaire de connexion graphique. Un exemple sur Debian :

kibi@armor:~$ systemctl cat graphical.target 
# /lib/systemd/system/graphical.target
#  This file is part of systemd.
#
#  systemd is free software; you can redistribute it and/or modify it
#  under the terms of the GNU Lesser General Public License as published by
#  the Free Software Foundation; either version 2.1 of the License, or
#  (at your option) any later version.

[Unit]
Description=Graphical Interface
Documentation=man:systemd.special(7)
Requires=multi-user.target
Wants=display-manager.service
Conflicts=rescue.service rescue.target
After=multi-user.target rescue.service rescue.target display-manager.service
AllowIsolate=yes


kibi@armor:~$ systemctl cat display-manager.service
# /lib/systemd/system/lightdm.service
[Unit]
Description=Light Display Manager
Documentation=man:lightdm(1)
After=systemd-user-sessions.service

[Service]
# temporary safety check until all DMs are converted to correct
# display-manager.service symlink handling
ExecStartPre=/bin/sh -c '[ "$(cat /etc/X11/default-display-manager 2>/dev/null)" = "/usr/sbin/lightdm" ]'
ExecStart=/usr/sbin/lightdm
Restart=always
BusName=org.freedesktop.DisplayManager

Et cette unité display-manager.service est mise en place par le script de post-installation de lightdm. Extrait :

if [ "$1" = "configure" ];
then
  invoke-rc.d dbus reload || true

  # set default-display-manager systemd service link according to our config
  if [ -e "$DEFAULT_DISPLAY_MANAGER_FILE" -a -d /etc/systemd/system/ ]; then
    SERVICE=/lib/systemd/system/$(basename $(cat "$DEFAULT_DISPLAY_MANAGER_FILE")).service
    if [ -e "$SERVICE" ]; then
      ln -sf "$SERVICE" /etc/systemd/system/display-manager.service
    else
      echo "ERROR: $SERVICE is the selected default display manager but does not exist" >&2
    fi
  fi
fi

Cela doit être similaire pour les autres display managers.

À voir en fonction de ta distribution (que tu n'as pas spécifiée).

Debian Consultant @ DEBAMAX

La prochaine fois, coller l'intégralité du fichier /etc/apt/sources.list (et des éventuels autres fichiers sous /etc/apt/sources.lists.d) serait une bonne idée.

D'après la sortie, je suis assez certain que c'est non-free qui est mal orthographié, d'où la recherche des composants non et free…

Debian Consultant @ DEBAMAX

C'est différent car il n'y a absolument rien à faire : on a directement accès à l'image détourée qui avait été initialement utilisée. Pour éviter cela il faudrait passer par un rendu de type « bitmap » plutôt que le PDF habituellement en vectoriel auquel on a ajouté un fichier image. Mais là, il faut choisir la résolution avec laquelle on fait le rendu. Et la taille/l'utilisation disque peuvent exploser…

Debian Consultant @ DEBAMAX

J'utilise xournal pour signer des PDF depuis très longtemps et j'en suis plutôt content. Pas eu de retour négatif de la part des différents services/professionnels concernés.

Attention cependant, quand tu génères un export en PDF, il est très possible que l'image de la signature soit incorporée sous forme d'une image qui se superpose au reste. D'où un éventuel risque de réutilisation…

Exemple avec un CERFA « Soins reçus à l'étranger » (12267*04) signé avec xournal :

$ mutool info 2019-06-26-demande-remboursement-signee.pdf 
2019-06-26-demande-remboursement-signee.pdf:

PDF-1.5
Info object (142 0 R):
<</Creator(cairo 1.14.8 \(http://cairographics.org\))/Producer(cairo 1.14.8 \(http://cairographics.org\))>>
Pages: 2

Retrieving info from pages 1-2...
Mediaboxes (1):
    1   (21 0 R):   [ 0 0 595.22 842 ]

Fonts (21):
    1   (21 0 R):   Type0 'BSYCBJ+TimesNewRomanPS-BoldMT' (5 0 R)

[Sortie tronquée : 21 références au total]

Images (1):
    1   (21 0 R):   [ Flate ] 664x244 8bpc DevRGB (20 0 R)

Extraction :

$ mutool extract -r 2019-06-26-demande-remboursement-signee.pdf 
extracting image img-0020.png
extracting image img-0022.png
extracting font MBBGFV+TimesNewRomanPS-BoldMT-0039.cff
[Sortie tronquée : 21 références au total]

$ file img-0022.png
img-0022.png: PNG image data, 664 x 244, 8-bit/color RGB, non-interlaced

Et hop, signature prête à être réutilisée…

Debian Consultant @ DEBAMAX

Autant faire une installation BIOS à la main, c'est assez gérable. Autant une installation UEFI, ça peut être plus délicat. J'aurais plutôt tendance à demander à voir des captures d'écran des différents choix disponibles pour cette histoire de disques, histoire de comprendre quelles sont les options (au passage le lien vers le manuel d'installation n'est pas correct dans le message initial). C'est dommage de devoir faire faire aux utilisateurs le boulot du système d'installation…

Debian Consultant @ DEBAMAX

Dans un LUG local, je vois passer ± régulièrement des machines avec des disques durs plutôt que des SSD, et l'expérience utilisateur me semble catastrophique. Vu les tarifs actuels des SSD, et si ça rentre dans le budget, ce serait dommage de s'en priver…

Debian Consultant @ DEBAMAX

Je te confirme que D-I sait faire réseau ouvert, WEP, WPA, WPA2 en mode PSK (Pre-Shared Key). Pas de WPA2 Enterprise cependant.

J'ai de vagues souvenirs de modules cryptographiques côté noyau qui ont pu être manquants par le passé et qui limitaient les choix de type de chiffrement.

Si tu as pu continuer en contournant le problème, et obtenir un réseau qui fonctionne après redémarrage, cela pourrait être un problème similaire. Un rapport d'installation serait le bienvenu. Notamment, les sorties de lsmod dans D-I et dans le système installé seraient intéressantes à comparer.

Debian Consultant @ DEBAMAX

Je crois que les deux dernières lignes (commentaires) expliquent pourquoi swapoff -a fonctionne bien pour désactiver la swap (elle est activée par un outil particulier, plutôt que via des éléments de configuration dans /etc/fstab) et pourquoi swapon -a ne fait rien : il n'y a pas d'entrée de swap configurée dans ce fichier.

Debian Consultant @ DEBAMAX

Sauf si cela a changé ces dernières années : c'est plutôt l'inverse. N-M se propose de gérer les interfaces qui sont unmanaged, c'est à dire qui n'ont pas de configuration explicite dans /etc/network/interfaces (ou un des fichiers du plus récent répertoire /etc/network/interfaces.d/).

Mais effectivement, la période de transition « interface gérée par N-M parce qu'absente de /e/n/i » vers « elle est configurée dans /e/n/i » peut nécessiter de redémarrer (ou arrêter+démarrer) le service N-M pour qu'il arrête de s'occuper de cette interface en particulier. ;)

Debian Consultant @ DEBAMAX

NaN c'est pour Not a Number. Ce pourcentage serait le résultat de la division 0/0, ce qui n'a pas de sens ; on peut donc retrouver cette notation en fonction des langages, des affichages, etc.

Debian Consultant @ DEBAMAX

La documentation, et surtout le comportement de systemctl sans paramètre, semblent contredire cette assertion.

COMMANDS
       The following commands are understood:

   Unit Commands
       list-units [PATTERN...]
           List units that systemd currently has in memory. This includes
           units that are either referenced directly or through a dependency,
           units that are pinned by applications programmatically, or units
           that were active in the past and have failed. By default only units
           which are active, have pending jobs, or have failed are shown; this
           can be changed with option --all. If one or more PATTERNs are
           specified, only units matching one of them are shown. The units
           that are shown are additionally filtered by --type= and --state= if
           those options are specified.

           This is the default command.

Debian Consultant @ DEBAMAX

C'est pourquoi je mentionnais des menus dans le système de récupération, plutôt que des commandes (tu parles de chroot, de grub-install, mais ce que je suggérais fonctionne sans avoir besoin de savoir tout cela). Du moment que c'est corrigé de toute façon, tant mieux.

Debian Consultant @ DEBAMAX

Ce serait dommage de ne pas utiliser l'installateur Debian qui vient avec un mode de récupération (rescue) → https://www.debian.org/releases/stable/amd64/ch08s07.html

Surtout qu'il y a des items spécifiques pour ce genre de manipulations dans le menu.

Debian Consultant @ DEBAMAX

Si lien = lien physique : impossible entre périphériques différents.

Si lien = lien symbolique : par définition c'est lrwxrwxrwx pour root:root et les permissions sont résolues en fonction de vers quoi ça pointe.

Debian Consultant @ DEBAMAX

Étape numéro 1 : copier l'intégralité du disque vers un autre disque (par exemple en créant un fichier image).

Étape numéro 2 : travailler sur l'image ainsi générée (voire sur une copie, si tu as de la place suffisante pour conserver un exemplaire de l'image originale).

Étape numéro 3 : utiliser testdisk.

Ce dernier sait retrouver des fichiers en fonction de leur signature (utile pour repêcher des fichiers audio/vidéo avec une signature caractéristique) mais également réparer un système de fichiers endommagé. J'ai eu le cas précédemment, sur un disque NTFS, dont une copie du secteur de boot était conservé en fin de disque. Après restauration dudit secteur, la magie opéra.

Ceci n'est en aucun cas une garantie que tu auras le même résultat. Mais une piste à explorer, potentiellement en te faisant accompagner (manipuler des données dont on détient une seule copie, ça met du stress et ça peut faire faire des bêtises).

Bon courage.

Debian Consultant @ DEBAMAX