Chapitre 6. Applications réseau

Table des matières

Après avoir établi une connexion réseau (consultez Chapitre 5, Configuration du réseau), vous pouvez faire tourner diverses applications réseau.

	Astuce
	Pour un guide spécifique de Debian moderne sur les infrastructures réseaux, lisez Le Livre de l'Administrateur Debian - Infrastructure réseau.

	Astuce
	If you enabled "2-Step Verification" with some ISP, you need to obtain an application password to access POP and SMTP services from your program. You may need to approve your host IP in advance.

6.1. Navigateurs Web

Il y a de nombreux paquets de navigateurs web permettant d’accéder à des contenus distants avec le protocole de transfert hypertexte (« Hypertext Transfer Protocol (HTTP) »).

Tableau 6.1. Liste de navigateurs web

paquet	popcon	taille	type	description du navigateur web
`chromium`	V:37, I:118	212471	X	Chromium (navigateur libre de Google)
`firefox`	V:9, I:14	223589	, ,	Firefox (navigateur libre de Mozilla, uniquement disponible dans Debian Unstable)
`firefox-esr`	V:194, I:416	217325	, ,	Firefox ESR (Firefox Extended Support Release = Firefox Support à Long Terme)
`epiphany-browser`	V:3, I:19	2232	, ,	GNOME, Epiphany respectant HIG
`konqueror`	V:19, I:90	25504	, ,	KDE, Konqueror
`dillo`	V:1, I:6	1565	, ,	Dillo (navigateur léger, basé sur FLTK)
`w3m`	V:14, I:190	2828	texte	w3m
`lynx`	V:12, I:124	1935	, ,	Lynx
`elinks`	V:4, I:24	1742	, ,	ELinks
`links`	V:4, I:33	2302	, ,	Links (texte uniquement)
`links2`	V:1, I:12	5479	graphique	Links (graphique en mode console sans X)

6.1.1. Spoofing the User-Agent string

In order to access some overly restrictive web sites, you may need to spoof the User-Agent string returned by the web browser program. See:

	Attention
	Usurper la chaîne user-agent peut provoquer de mauvais effets de bord avec Java.

6.1.2. Browser extension

All modern GUI browsers support source code based browser extension and it is becoming standardized as web extensions.

6.2. Le système de courrier électronique

This section focuses on typical mobile workstations on consumer grade Internet connections.

	Attention
	Si vous êtes sur le point de configurer le serveur de courrier pour échanger directement du courrier avec Internet, vous feriez mieux de lire ce document élémentaire.

6.2.1. Bases du courrier électronique

Un courrier électronique est composé de trois parties : l’enveloppe, l’en-tête et le corps du message.

Les renseignements « To » et « From » de l’enveloppe sont utilisés par le SMTP pour délivrer le courrier électronique (« From » dans l’enveloppe indique l’adresse de rebond, « From_ », etc.).
Les renseignements « To » et « From » de l’en-tête sont affichés par le client de messagerie (même s’ils sont généralement identiques à ceux de l’enveloppe, ce n’est pas toujours le cas).
The email message format covering header and body data is extended by Multipurpose Internet Mail Extensions (MIME) from the plain ASCII text to other character encodings, as well as attachments of audio, video, images, and application programs.

Full featured GUI based email clients offer all the following functions using the GUI based intuitive configuration.

It creates and interprets the message header and body data using Multipurpose Internet Mail Extensions (MIME) to deal the content data type and encoding.
It authenticates itself to the ISP's SMTP and IMAP servers using the legacy basic access authentication or modern OAuth 2.0. (For OAuth 2.0, set it via Desktop environment settings. E.g., "Settings" -> "Online Accounts".)
It sends the message to the ISP's smarthost SMTP server listening to the message submission port (587).
It receives the stored message on the ISP's server from the TLS/IMAP4 port (993).
It can filter mails by their attributes.
It may offer additional functionalities: Contacts, Calendar, Tasks, Memos.

Tableau 6.2. Liste d’agents de courrier électronique de l’utilisateur (MUA)

paquet	popcon	taille	type
`evolution`	V:28, I:226	470	programme X avec une interface graphique (GNOME 3, suite « groupware »)
`thunderbird`	V:56, I:123	193432	X GUI program (GTK, Mozilla Thunderbird)
`kmail`	V:31, I:81	23817	programme X avec une interface graphique (KDE)
`mutt`	V:20, I:203	7104	programme de terminal en mode caractère, probablement utilisé avec `vim`
`mew`	V:0, I:0	2319	programme de terminal en mode caractères sous `(x)emacs`

6.2.2. Modern mail service limitation

Modern mail service are under some limitations in order to minimize exposure to the spam (unwanted and unsolicited email) problems.

It is not realistic to run SMTP server on the consumer grade network to send mail directly to the remote host reliably.
A mail may be rejected by any host en route to the destination quietly unless it appears as authentic as possible.
It is not realistic to expect a single smarthost to send mails of unrelated source mail addresses to the remote host reliably.

This is because:

The SMTP port (25) connections from hosts serviced by the consumer grade network to the Internet are blocked.

The SMTP port (25) connections to hosts serviced by the consumer grade network from the Internet are blocked.

The outgoing messages from hosts serviced by the consumer grade network to the Internet can only be sent via the message submission port (587).

Anti-spam techniques such as DomainKeys Identified Mail (DKIM), Sender_Policy_Framework (SPF), and Domain-based Message Authentication, Reporting and Conformance (DMARC) are widely used for the email filtering.
Le service de DomainKeys Identified Mail peut être fourni pour vos messages envoyés par l’intermédiaire du smarthost.
The smarthost may rewrite the source mail address in the message header to your mail account on the smarthost to prevent email address spoofing.

6.2.3. Historic mail service expectation

Some programs on Debian expect to access the /usr/sbin/sendmail command to send emails as their default or customized setting since the mail service on a UNIX system functioned historically as:

An email is created as a text file.
The email is handed to the /usr/sbin/sendmail command.
For the destination address on the same host, the /usr/sbin/sendmail command makes local delivery of the email by appending it to the /var/mail/$username file.
- Commands expecting this feature: apt-listchanges, cron, at, ...
For the destination address on the remote host, the /usr/sbin/sendmail command makes remote transfer of the email to the destination host found by the DNS MX record using SMTP.
- Commands expecting this feature: popcon, reportbug, bts, ...

6.2.4. Agent de transport de courrier électronique (« MTA »)

Debian mobile workstations can be configured just with full featured GUI based email clients without mail transfer agent (MTA) program after Debian 12 Bookworm.

Debian traditionally installed some MTA program to support programs expecting the /usr/sbin/sendmail command. Such MTA on mobile workstations must cope with Section 6.2.2, « Modern mail service limitation » and Section 6.2.3, « Historic mail service expectation ».

For mobile workstations, the typical choice of MTA is either exim4-daemon-light or postfix with its installation option such as "Mail sent by smarthost; received via SMTP or fetchmail" selected. These are light weight MTAs that respect "/etc/aliases".

	Astuce
	Configuring `exim4` to send the Internet mail via multiple corresponding smarthosts for multiple source email addresses is non-trivial. If you need such capability for some programs, set them up to use `msmtp` which is easy to set up for multiple source email addresses. Then leave main MTA only for a single email address.

Tableau 6.3. List of basic mail transport agent related packages

paquet	popcon	taille	description
`exim4-daemon-light`	V:264, I:278	1493	Agent de transport de courrier électronique Exim4 (MTA : par défaut dans Debian)
`exim4-daemon-heavy`	V:7, I:7	1651	Exim4 mail transport agent (MTA: flexible alternative)
`exim4-base`	V:271, I:286	1667	Documentation d’Exim4 (texte) et fichiers communs
`exim4-doc-html`	I:1	3748	Documentation d’Exim4 (html)
`exim4-doc-info`	I:1	639	Documentation d’Exim4 (info)
`postfix`	V:141, I:152	3985	Postfix mail transport agent (MTA: secure alternative)
`postfix-doc`	I:8	4601	Documentation de Postfix (html+texte)
`sasl2-bin`	V:6, I:16	403	Implémentation de l’API Cyrus SASL (complément à Postfix pour SMTP AUTH)
`cyrus-sasl2-doc`	I:1	2171	Cyrus SASL - documentation
`msmtp`	V:6, I:12	577	Light weight MTA
`msmtp-mta`	V:5, I:6	122	Light weight MTA (sendmail compatibility extension to `msmtp`)
`esmtp`	V:0, I:0	129	Light weight MTA
`esmtp-run`	V:0, I:0	32	Light weight MTA (sendmail compatibility extension to `esmtp`)
`nullmailer`	V:8, I:10	474	Strip down MTA, no local mail
`ssmtp`	V:6, I:9	2	Strip down MTA, no local mail
`sendmail-bin`	V:14, I:14	1876	Full featured MTA (only if you are already familiar)
`courier-mta`	V:0, I:0	2390	Full featured MTA (web interface etc.)

6.2.4.1. Configuration d’exim4

Pour le courrier d’Internet par l’intermédiaire d’un smarthost, vous (re)configurerez les paquets exim4-* comme suit :

$ sudo systemctl stop exim4
$ sudo dpkg-reconfigure exim4-config

Choisir « envoi via relais (« smarthost ») - réception SMTP ou fetchmail » : pour « Configuration du serveur de courriel ».

Définir « Nom de courriel du système » à sa valeur par défaut qui est le nom pleinement qualifié (FQDN, consultez Section 5.1.1, « Résolution du nom d’hôte »).

Définir « Liste d’adresses IP où Exim sera en attente de connexions SMTP entrantes » à sa valeur par défaut qui est « 127.0.0.1 ; ::1 ».

Supprimer le contenu de « Autres destinations dont le courriel doit être accepté ».

Supprimer le contenu de « Machines à relayer ».

Définir « Nom réseau ou adresse IP du système « smarthost » » à « smtp.hostname.dom:587 ».

Select "No" for "Hide local mail name in outgoing mail?". (Use "/etc/email-addresses" as in Section 6.2.4.3, « Configuration de l’adresse de courriel », instead.)

Donner à « Faut-il optimiser les requêtes DNS (connexion à la demande)) ? » l’une des réponses suivantes :

« Non » si le système est connecté à Internet au démarrage.
« Oui » si le système n’est pas connecté à Internet au démarrage.

Définir « Méthode de distribution du courrier local : » à « Format « mbox » dans /var/mail ».

Select "Yes" for "Split configuration into small files?:".

Créer les entrées de mots de passe pour le smarthost en éditant « /etc/exim4/passwd.client ».

$ sudo vim /etc/exim4/passwd.client
 ...
$ cat /etc/exim4/passwd.client
^smtp.*\.hostname\.dom:username@hostname.dom:password

Configure exim4(8) with "QUEUERUNNER='queueonly'", "QUEUERUNNER='nodaemon'", etc. in "/etc/default/exim4" to minimize system resource usages. (optional)

Lancer exim4 par la commande suivante :

$ sudo systemctl start exim4

Le nom de machine dans « /etc/exim4/passwd.client » ne doit pas être un alias. Vérifiez le nom de machine réel comme suit :

$ host smtp.hostname.dom
smtp.hostname.dom is an alias for smtp99.hostname.dom.
smtp99.hostname.dom has address 123.234.123.89

J’utilise une expression rationnelle dans « /etc/exim4/passwd.client » pour contourner le problème d’alias. SMTP AUTH fonctionne probablement même dans le cas où le FAI déplace la machine pointée par l’alias.

Vous pouvez mettre à jour vous-même la configuration d’exim4 de la façon suivante :

Mettre à jour les fichiers de configuration d’exim4 dans « /etc/exim4/ ».
- Créer « /etc/exim4/exim4.conf.localmacros » pour configurer les macros et éditer « /etc/exim4/exim4.conf.template » (configuration en un seul fichier).
- Créer de nouveaux fichiers ou éditer des fichiers existants dans les sous-répertoires de « /etc/exim4/exim4.conf.d » (configuration séparée en plusieurs fichiers).
Run "systemctl reload exim4".

	Attention
	Le lancement d’`exim4` est long si on a choisi « Non » (valeur par défaut) à la demande « Faut-il optimiser les requêtes DNS (connexion à la demande) ? » lors de la configuration debconf et que le système n’est pas connecté à Internet lors du démarrage.

Veuillez lire le guide officiel se trouvant à « /usr/share/doc/exim4-base/README.Debian.gz » et update-exim4.conf(8).

	Avertissement
	For all practical consideration, use SMTP with STARTTLS on port 587 or SMTPS SSL (SMTPS) on port 465, instead of plain SMTP on port 25.

6.2.4.2. Configuration de postfix avec SASL

Pour utiliser le courrier électronique d’Internet par l’intermédiaire d’un smarthost, vous devrez d’abord lire la documentation postfix et les pages de manuel importantes.

Tableau 6.4. Liste des pages de manuel importantes de postfix

commande	fonction
`postfix`(1)	Programme de contrôle de postfix
`postconf`(1)	Utilitaire de configuration de postfix
`postconf`(5)	Paramètres de configuration de postfix
`postmap`(1)	Maintenance des tables de consultation de postfix
`postalias`(1)	Maintenance de la base de données des alias de postfix

Vous (re)configurez les paquets postfix et sasl2-bin comme suit :

$ sudo systemctl stop postfix
$ sudo dpkg-reconfigure postfix

Choisir « Internet avec smarthost ».

Définissez « machine de relais SMTP (blanc pour aucun): » à « [smtp.hostname.dom]:587 » et configurez-le de la manière suivante :

$ sudo postconf -e 'smtp_sender_dependent_authentication = yes'
$ sudo postconf -e 'smtp_sasl_auth_enable = yes'
$ sudo postconf -e 'smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd'
$ sudo postconf -e 'smtp_sasl_type = cyrus'
$ sudo vim /etc/postfix/sasl_passwd

Créez les entrées de mots de passe pour le smarthost

$ cat /etc/postfix/sasl_passwd
[smtp.hostname.dom]:587     username:password
$ sudo postmap hush:/etc/postfix/sasl_passwd

Lancez postfix comme suit :

$ sudo systemctl start postfix

Ici, l’utilisation de « [ » et « ] » dans le dialogue de dpkg-reconfigure et « /etc/postfix/sasl_passwd » permet de s’assurer de ne pas vérifier l’enregistrement MX mais d’utiliser directement le nom exact de la machine indiquée. Consultez « Enabling SASL authentication in the Postfix SMTP client » dans « /usr/share/doc/postfix/html/SASL_README.html ».

6.2.4.3. Configuration de l’adresse de courriel

Il existe plusieurs fichiers de configuration de l’adresse de courriel pour l’acheminement du courriel, sa diffusion et les agents d’utilisateur.

Tableau 6.5. Liste des fichiers de configuration liés aux adresses de courriel

fichier	fonction	application
`/etc/mailname`	nom de machine par défaut pour le courrier (sortant)	Spécifique à Debian, `mailname`(5)
`/etc/email-addresses`	usurpation du nom de machine pour le courriel sortant	Spécifique à `exim`(8), `exim4-config_files`(5)
`/etc/postfix/generic`	usurpation du nom de machine pour le courriel sortant	Spécifique à `postfix`(1) specific, activé après l’exécution de la commande `postmap`(1).
`/etc/aliases`	alias du nom de compte pour le courrier entrant	général, activé après l’exécution de la commande `newaliases`(1).

Le nom de courriel ( mailname » dans le fichier « /etc/mailname » est habituellement un nom de domaine entièrement qualifié (FQDN) qui est résolu vers l’une des adresses IP de la machine. Pour les stations de travail mobiles qui n’ont pas de nom de machine pouvant être résolu par une adresse IP, définissez ce mailname à la valeur donnée par « hostname -f ». (C’est un choix sûr et qui fonctionne à la fois avec exim4-* et postfix.)

Astuce

Le contenu de « /etc/mailname » est utilisé par de nombreux programmes autres que les MTA pour définir leur comportement par défaut. Pour mutt, définissez les variables « hostname » et « from » dans le fichier ~/muttrc pour passer outre la valeur de mailname. Pour les programmes du paquet devscripts, comme bts(1) et dch(1), exportez les variables d’environnement « $DEBFULLNAME » et « $DEBEMAIL » afin de passer outre cette définition.

Astuce

Le paquet popularity-contest envoie normalement un courriel depuis le compte de l’administrateur avec un nom de domaine pleinement qualifié (FDQN). Vous devez définir MAILFROM dans /etc/popularity-contest.conf comme c’est décrit dans le fichier /usr/share/popularity-contest/default.conf. Sinon, votre courriel sera rejeté par le serveur SMTP sur « smarthost ». Bien que ce soit fastidieux, cette approche est plus sûre que la réécriture par le MTA de l’adresse source pour tous les courriels en provenance de l’administrateur (« root ») et devrait être utilisé pour les autres démons et les scripts des tâches planifiées (« cron ».

Lors de la définition de mailname avec la valeur donnée par « hostname -f », l’usurpation de l’adresse source du courrier par le MTA peut être réalisée par l’intermédiaire :

du fichier « /etc/email-addresses » pour exim4(8) comme expliqué dans exim4-config_files(5)
du fichier « /etc/postfix/generic » pour postfix(1) comme expliqué dans generic(5)

Pour postfix, les étapes suivantes sont nécessaires :

# postmap hash:/etc/postfix/generic
# postconf -e 'smtp_generic_maps = hash:/etc/postfix/generic'
# postfix reload

Vous pouvez tester la configuration de l’adresse de courriel de la manière suivante :

exim(8) avec les options -brw, -bf, -bF, -bV, …
postmap(1) avec l’option -q

	Astuce
	Il existe, avec Exim, un certain nombre de programmes utilitaires tels qu’`exiqgrep`(8) et `exipick`(8). Consultez « `dpkg -L exim4-base\|grep man8/` » pour les commandes disponibles.

6.2.4.4. Opération de base du MTA

Il y a quelques opérations de base du MTA. Certaines peuvent être effectuées à l’aide de l’interface de compatibilité avec sendmail(1).

Tableau 6.6. Liste des opérations de base du MTA

commande exim	commande postfix	description
`sendmail`	`sendmail`	lire les courriels depuis l’entrée standard et les classer pour la diffusion (`-bm`)
`mailq`	`mailq`	afficher la file d’attente des courriels avec leur état et leur identifiant de file d’attente (« queue ID ») (`-bp`)
`newaliases`	`newaliases`	initialiser la base de données des alias (`-I`)
`exim4 -q`	`postqueue -f`	supprimer les courriels en attente (`-q`)
`exim4 -qf`	`postsuper -r ALL deferred; postqueue -f`	supprimer tous les courriels
`exim4 -qff`	`postsuper -r ALL; postqueue -f`	supprimer tous les courriels gelés
`exim4 -Mg queue_id`	`postsuper -h queue_id`	geler un message d’après son identifiant de file d’attente
`exim4 -Mrm queue_id`	`postsuper -d queue_id`	supprimer un message d’après son identifiant de file d’attente
N/A	`postsuper -d ALL`	supprimer tous les messages.

	Astuce
	Ce peut être une bonne idée de supprimer tous les messages à l’aide d’un script placé dans « `/etc/ppp/ip-up.d/*` ».

6.3. Le serveur et les utilitaires d’accès à distance (SSH)

SSH, le « Secure SHell », est la manière sûre de se connecter au travers d’Internet. Une version libre de SSH, appelée OpenSSH, est disponible sous Debian sous forme des paquets openssh-client et openssh-server.

Pour l’utilisateur, ssh(1) fonctionne comme un telnet(1) intelligent et plus sûr. Contrairement à la commande telnet, la commande ssh ne s'arrête pas avec le caractère d’échappement de telnet (valeur initiale par défaut Ctrl-]).

Tableau 6.7. Liste des serveurs et des utilitaires d’accès à distance

paquet	popcon	taille	outil	description
`openssh-client`	V:856, I:997	5609	`ssh`(1)	client de l’interpréteur de commandes sécurisé
`openssh-server`	V:740, I:841	1867	`sshd`(8)	serveur de l’interpréteur de commandes sécurisé
`ssh-askpass`	V:1, I:28	104	`ssh-askpass`(1)	demande à l’utilisateur une phrase de passe pour ssh-add (X natif)
`ssh-askpass-gnome`	V:0, I:4	218	`ssh-askpass-gnome`(1)	asks user for a pass phrase for ssh-add (GNOME)
`ssh-askpass-fullscreen`	V:0, I:0	48	`ssh-askpass-fullscreen`(1)	asks user for a pass phrase for ssh-add (GNOME) with extra eye candy
`shellinabox`	V:0, I:1	507	`shellinaboxd`(1)	web server for browser accessible VT100 terminal emulator

Although shellinabox is not a SSH program, it is listed here as an interesting alternative for the remote terminal access.

See also Section 7.8, « X server connection » for connecting to remote X client programs.

	Attention
	Consultez Section 4.6.3, « Mesures de sécurité supplémentaires pour Internet » si votre serveur SSH est accessible depuis Internet.

	Astuce
	Utilisez le programme `screen`(1) pour qu’un processus de l’interpréteur de commandes distant survive à une interruption de la connexion (consultez Section 9.1.2, « Le programme screen »).

6.3.1. Bases de SSH

The OpenSSH SSH daemon supports SSH protocol 2 only.

Please read "/usr/share/doc/openssh-client/README.Debian.gz", ssh(1), sshd(8), ssh-agent(1), and ssh-keygen(1), ssh-add(1) and ssh-agent(1).

Avertissement

Il ne faut pas que « /etc/ssh/sshd_not_to_be_run » soit présent si l’on souhaite faire tourner le serveur OpenSSH.

Don't enable rhost based authentication (HostbasedAuthentication in /etc/ssh/sshd_config).

Tableau 6.8. Liste des fichiers de configuration de SSH

fichier de configuration	description du fichier de configuration
`/etc/ssh/ssh_config`	valeurs par défauts des paramètres du client SSH, consultez `ssh_config`(5).
`/etc/ssh/sshd_config`	valeurs par défauts des paramètres du serveur SSH, consultez `sshd_config`(5).
`~/.ssh/authorized_keys`	clés publiques SSH par défaut utilisées pour se connecter à ce compte sur ce serveur SSH
`~/.ssh/id_rsa`	clé secrète SSH-2 RSA de l’utilisateur
`~/.ssh/id_key-type-name`	secret SSH-2 key-type-name key such as `ecdsa`, `ed25519`, ... of the user

Ce qui suit permettra de démarrer un connexion ssh(1) depuis un client :

Tableau 6.9. Liste d’exemples de démarrage du client SSH

commande	description
`ssh nomutilisateur@nommachine..domaine.ext`	connexion avec le mode par défaut
`ssh -v nomutilisateur@nommachine..domaine.ext`	connexion avec le mode par défaut et les messages de débogage
`ssh -o PreferredAuthentications=password username@hostname.domain.ext`	forcer l’utilisation d’un mot de passe avec SSH version 2
`ssh -t username@hostname.domain.ext passwd`	run `passwd` program to update password on a remote host

6.3.2. User name on the remote host

If you use the same user name on the local and the remote host, you can eliminate typing "username@".

Even if you use different user name on the local and the remote host, you can eliminate it using "~/.ssh/config". For Debian Salsa service with account name "foo-guest", you set "~/.ssh/config" to contain the following.

Host salsa.debian.org people.debian.org
User foo-guest

6.3.3. Se connecter sans mot de passe distant

One can avoid having to remember passwords for remote systems by using "PubkeyAuthentication" (SSH-2 protocol).

On the remote system, set the respective entries, "PubkeyAuthentication yes", in "/etc/ssh/sshd_config".

Générez ensuite localement les clés d’identification et installez la clé publique sur le système distant en faisant ce qui suit :

$ ssh-keygen -t rsa
$ cat .ssh/id_rsa.pub | ssh user1@remote "cat - >>.ssh/authorized_keys"

You can add options to the entries in "~/.ssh/authorized_keys" to limit hosts and to run specific commands. See sshd(8) "AUTHORIZED_KEYS FILE FORMAT".

6.3.4. Clients SSH exotiques

Il existe quelques clients SSH libres disponibles pour d’autres plateformes.

Tableau 6.10. Liste des clients SSH libres pour d’autres plateformes

environnement	programme SSH libre
Windows	puTTY (http://www.chiark.greenend.org.uk/~sgtatham/putty/) (GPL)
Windows (cygwin)	SSH sous cygwin (http://www.cygwin.com/) (GPL)
Macintosh Classic	macSSH (http://www.macssh.com/) (GPL)
Mac OS X	OpenSSH ; utilise `ssh` dans l’application Terminal (GPL)

6.3.5. Configurer ssh-agent

Il est plus sûr de protéger les clés secrètes de votre authentification SSH avec une phrase de passe. Si la phrase de passe n’a pas été définie, utilisez « ssh-keygen -p » pour le faire.

Placez votre clé publique SSH (par exemple « ~/.ssh/id_rsa.pub ») dans « ~/.ssh/authorized_keys » sur la machine distante en utilisant une connexion basée sur un mot de passe comme décrit ci-dessus.

$ ssh-agent bash
$ ssh-add ~/.ssh/id_rsa
Enter passphrase for /home/username/.ssh/id_rsa:
Identity added: /home/username/.ssh/id_rsa (/home/username/.ssh/id_rsa)

Il n’y a plus besoin de mot de passe distant, à partir de maintenant, pour la commande suivante :

$ scp foo username@remote.host:foo

Pressez ^D pour quitter la session de l’agent ssh.

Pour le serveur X, le script de démarrage normal de Debian exécute ssh-agent comme processus-père. Vous n’aurez donc à exécuter ssh-add qu’une seule fois. Pour davantage d’informations, veuillez lire ssh-agent(1) et ssh-add(1).

6.3.6. Sending a mail from a remote host

If you have an SSH shell account on a server with proper DNS settings, you can send a mail generated on your workstation as an email genuinely sent from the remote server.

$ ssh username@example.org /usr/sbin/sendmail -bm -ti -f "username@example.org" < mail_data.txt

6.3.7. Redirection de port pour un tunnel SMTP/POP3

Pour mettre en place un tube pour se connecter au port 25 du serveur-distant depuis le port 4025 de localhost, et au port 110 du serveur-distant depuis le port 4110 de localhost au travers de ssh, exécutez ce qui suit sur la machine locale :

# ssh -q -L 4025:remote-server:25 4110:remote-server:110 username@remote-server

C’est une manière sécurisée d’effectuer une connexion à des serveurs SMTP / POP3 par Internet. Définissez l’entrée « AllowTcpForwarding » à « yes » dans « /etc/ssh/sshd_config » sur la machine distante.

6.3.8. Comment arrêter le système distant par SSH

Vous devez protéger le processus qui effectue « shutdown -h now » (consultez Section 1.1.8, « Comment arrêter le système ») de l’arrêt de SSH en utilisant la commande at(1) (consultez Section 9.4.13, « Planifier des tâches qui s’exécutent une fois ») comme suit :

# echo "shutdown -h now" | at now

Lancer « shutdown -h now » dans une sessionscreen(1) (consultez Section 9.1.2, « Le programme screen ») est une autre manière d’effectuer la même chose.

6.3.9. Résoudre les problèmes avec SSH

Si vous rencontrez des problèmes, vérifiez les permissions des fichiers de configuration et lancez ssh avec l’option « -v ».

Utilisez l’option « -p » si vous êtes administrateur et que vous rencontrez des problèmes avec un pare-feu. Cela évite l’utilisation des ports 1 — 1023 du serveur.

Si les connexions ssh vers un site distant s’arrêtent subitement de fonctionner, cela peut être suite à des bidouilles de l’administrateur, le plus probablement un changement de « host_key » pendant une maintenance du système. Après s’être assuré que c’est bien le cas et que personne n’essaie de se faire passer pour la machine distante par une habile bidouille, on peut se reconnecter en supprimant sur la machine locale l’entrée « host_key » de « ~/.ssh/known_hosts ».

6.4. Le serveur et les utilitaires d’impression

In the old Unix-like system, the BSD Line printer daemon (lpd) was the standard and the standard print out format of the classic free software was PostScript (PS). Some filter system was used along with Ghostscript to enable printing to the non-PostScript printer. See Section 11.4.1, « Ghostscript ».

In the modern Debian system, the Common UNIX Printing System (CUPS) is the de facto standard and the standard print out format of the modern free software is Portable Document Format (PDF).

The CUPS uses Internet Printing Protocol (IPP). The IPP is now supported by other OSs such as Windows XP and Mac OS X and has became new cross-platform de facto standard for remote printing with bi-directional communication capability.

Grâce à la fonctionnalité d’autoconversion dépendante du format du fichier du système CUPS, passer simplement les données à la commande lpr devrait créer la sortie imprimable souhaitée. (Dans CUPS, lpr peut être activé en installant la paquet cups-bsd).

Le système Debian possède certains paquets notables de serveurs et d’utilitaires d’impression :

Tableau 6.11. Liste des serveurs et utilitaires d’impression.

paquet	popcon	taille	port	description
`lpr`	V:3, I:3	367	imprimante (515)	BSD lpr/lpd (démon d’impression)
`lprng`	V:0, I:1	3060	, ,	, , (Amélioré)
`cups`	V:116, I:406	1027	IPP (631)	Serveur Internet d’impression CUPS
`cups-client`	V:134, I:436	388	, ,	commandes d’impression System V pour CUPS : `lp`(1), `lpstat`(1), `lpoptions`(1), `cancel`(1), `lpmove`(8), `lpinfo`(8), `lpadmin`(8), …
`cups-bsd`	V:31, I:249	122	, ,	commandes d’impression BSD pour CUPS : `lpr`(1), `lpq`(1), `lprm`(1), `lpc`(8)
`printer-driver-gutenprint`	V:33, I:178	1219	Non applicable	pilotes d’impression pour CUPS

	Astuce
	Vous pouvez configurer le système CUPS en pointant votre navigateur web sur « http://localhost:631/ ».

6.5. Autres serveurs d’applications réseau

Voici d’autres serveurs d’applications réseau :

Tableau 6.12. Liste d’autres serveurs d’applications réseau

paquet	popcon	taille	protocole	description
`telnetd`	V:0, I:2	53	TELNET	Serveur TELNET
`telnetd-ssl`	V:0, I:0	170	, ,	, , (prise en charge de SSL)
`nfs-kernel-server`	V:48, I:71	611	NFS	Partage de fichiers UNIX
`samba`	V:109, I:144	3933	SMB	Partage de fichiers et d’imprimantes Windows
`netatalk`	V:1, I:2	2000	ATP	Partage de fichiers et d’imprimantes Apple/Mac (AppleTalk)
`proftpd-basic`	V:13, I:23	451	FTP	Téléchargement généraliste de fichiers
`apache2`	V:236, I:292	565	HTTP	Serveur Web généraliste
`squid`	V:11, I:12	9223	, ,	Serveur mandataire (proxy) web généraliste
`squid3`	V:2, I:6	240	, ,	, ,
`bind9`	V:48, I:57	1128	DNS	adresses IP des autres machines
`isc-dhcp-server`	V:21, I:45	6061	DHCP	adresse IP du client lui-même

Le protocole « Common Internet File System Protocol » (CIFS) est le même protocole que Server Message Block (SMB), il est largement utilisé par Microsoft Windows.

	Astuce
	Consultez Section 4.5.2, « Le système de gestion centralisée moderne » pour l’intégration de systèmes de type serveur.

	Astuce
	La résolution de nom d’hôte est normalement fournie par le serveur DNS. Pour l’affectation dynamique d’adresse IP hôte par DHCP, le DNS dynamique peut être configuré pour la résolution de nom d’hôte en utilisant `bind9` et `isc-dhcp-server` comme décrit sur la page DDNS du wiki Debian.

	Astuce
	L’utilisation d’un serveur mandataire tel que `squid` est bien plus efficace pour économiser de la bande passante que l’utilisation d’un serveur miroir local comportant tout le contenu de l’archive Debian.

6.6. Autres clients d’applications réseau

Voici d’autres clients d’applications réseau :

Tableau 6.13. Liste de clients d’applications réseau

paquet	popcon	taille	protocole	description
`netcat`	I:37	16	TCP/IP	couteau de l’armée Suisse pour TCP/IP
`openssl`	V:841, I:995	2269	SSL	binaire Secure Socket Layer (SSL) et outils de chiffrement associés
`stunnel4`	V:7, I:14	530	, ,	enrobeur SSL universel
`telnet`	V:52, I:861	53	TELNET	Client TELNET
`telnet-ssl`	V:0, I:3	207	, ,	, , (prise en charge de SSL)
`nfs-common`	V:165, I:272	1111	NFS	Partage de fichiers UNIX
`smbclient`	V:20, I:195	1975	SMB	Client de partage de fichiers et imprimantes MS Windows
`cifs-utils`	V:30, I:123	317	, ,	commande de montage et de démontage de fichiers MS Windows distants
`ftp`	V:11, I:177	55	FTP	Client FTP
`lftp`	V:5, I:35	2361	, ,	, ,
`ncftp`	V:2, I:18	1389	, ,	client FTP plein écran
`wget`	V:222, I:983	3605	HTTP et FTP	téléchargement web
`curl`	V:156, I:601	476	, ,	, ,
`axel`	V:0, I:4	201	, ,	accélérateur de téléchargement
`aria2`	V:2, I:19	1857	, ,	accélérateur de téléchargement avec prise en charge de BitTorrent et Metalink
`bind9-host`	V:126, I:943	381	DNS	`host`(1) de bind9, « `Priority: standard` »
`dnsutils`	V:26, I:369	260	, ,	`dig`(1) de bind, « `Priority: standard` »
`isc-dhcp-client`	V:218, I:981	2857	DHCP	obtenir une adresse IP
`ldap-utils`	V:13, I:71	762	LDAP	obtenir des données d’un serveur LDAP

6.7. Le diagnostic des démons du système

Le programme telnet permet la connexion manuelle aux démons du système et leur diagnostic.

Pour tester le service POP3 brut, essayez ce qui suit :

$ telnet mail.ispname.net pop3

Pour tester le service POP3, ayant TLS/SSL activé, de certains fournisseurs d’accès Internet (FAI), vous devrez avoir un client telnet ayant TLS/SSL activé en utilisant l’un des paquets telnet-ssl ou openssl.

$ telnet -z ssl pop.gmail.com 995

$ openssl s_client -connect pop.gmail.com:995

Les RFC suivantes proposent les connaissances nécessaires pour chaque démon :

Tableau 6.14. Liste des RFC courantes

RFC	description
rfc1939 et rfc2449	service POP3
rfc3501	service IMAP4
rfc2821 (rfc821)	service SMTP
rfc2822 (rfc822)	Format de fichier de courrier électronique
rfc2045	Extensions multifonctions du courrier Internet « Multipurpose Internet Mail Extensions (MIME) »
rfc819	service DNS
rfc2616	service HTTP
rfc2396	définition d’une URI

L’utilisation des ports est décrite dans « /etc/services ».