Vu et Entendu... - Linux

Vulnérabilité Openssl sur Debian et Ubuntu !!!

Pierre — Wed, 14 May 2008 23:25:00 +0200

Il est d'autant plus urgent de mettre à jour vos plateformes que cette vulnérabilité est maintenant connue !!

Openssl est la couche logicielle qui effectue le chiffrement des données via le protocole SSL . Ce protocole basé sur un couple clef privée / clef publique permet d'assurer la confidentialité des données échangées (comme les connexions SSH par exemple) sauf quand, comme c'est le cas aujourd'hui, ces clefs censées être totalement aléatoires, deviennent prédictibles...

Seuls les Linux basés sur la distribution Debian sont touchés et donc par ricochet, toutes les distributions Ubuntu, Kubuntu et Xubuntu le sont aussi !!

Pour corriger le problème, voici la procédure à appliquer d'urgence sur vos petites machines :

Ubuntu

Il suffit de faire une mise à jour du système :

 sudo apt-get update
 sudo apt-get upgrade

Les clefs sont regénérées automatiquement via la procédure, mais vous pouves les tester en lançant la commande :

 sudo ssh-vulnkey

Debian

On commence bien évidemment par une mise à jour du système :

 sudo apt-get update
 sudo apt-get upgrade

Dans le cas où les clefs auraient été générées avant septembre 2006, il n'est pas forcément utile de les regénérer, il est donc possible de les tester avec la procédure qui suit !

 # cd /tmp 
 # wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz
 # wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz.asc
 # gpg --keyserver subkeys.pgp.net --recv-keys 02D524BE
 # gpg --verify dowkd.pl.gz.asc
 # gunzip dowkd.pl.gz

 # perl dowkd.pl host localhost
    # localhost SSH-2.0-OpenSSH_4.3p2 Debian-9
   # localhost SSH-2.0-OpenSSH_4.3p2 Debian-9
   localhost: weak key
   localhost: weak key

Dans le cas où le message weak key apparaît, il faut bien entendu les regénérer d'urgence selon la procédure suivante :

 # cd /etc/ssh
 # mv ssh_host_rsa_key.pub ssh_host_rsa_key.pub.BAD
 # mv ssh_host_rsa_key  ssh_host_rsa_key.BAD
 # mv ssh_host_dsa_key.pub ssh_host_dsa_key.pub.BAD
 # mv ssh_host_dsa_key ssh_host_dsa_key.BAD
 # dpkg-reconfigure openssh-server

Et le tour est joué !

Attention, il sera nécessaire de supprimer les clefs importées sur l'ensemble des clients qui se connectent à votre serveur ssh

ceci peut être fait de façon bourrine à grands coups de vi sur les fichiers known_hosts mais aussi beaucoup plus élégamment avec la commande suivante :

 ssh-keygen -R hostname-de-votre-serveur

A vous de voir... ça revient au même !

En attendant, j'ai bien vite patché mes petites machines !!

Pour plus d'infos :

Miroir ! Mon beau miroir !

Pierre — Sat, 16 Feb 2008 19:55:00 +0100

Saurais tu me restituer mon petit fichier si important que par mégarde j'ai effacé ?

Et oui ! Aujourd'hui c'est le jour des sauvegardes ! Enfin quand je dis c'est le jour... c'est surtout que jusqu'ici je vivais sans filets... et que j'étais à la merci d'une panne matérielle ou d'une erreur de manip !

J'ai donc décidé de profiter de mon disque réseau acquis récemment, pour automatiser les sauvegardes, à la fois de mon laptop, mais aussi de ma toute nouvelle Gandibox sur laquelle vous êtes actuellement, vous qui consultez ma prose !

Après plusieurs tentatives diverses et variées, mais non concluantes, j'ai finalement opté pour une sauvegarde via le protocole FTP à l'aide de l'outil lftp qui permet entre autres nombreuses fonctionnalités de faire des "miroirs" de ses répertoire de données ! La page de man est bien touffue, mais j'ai réussi à y dénicher les p'tites options qui vont bien ! Cela dit,j'aurais mieux fait de demander à mon ami Google qui m'aurait tout de suite donné la page qui va bien sur le Wiki d'Ubuntu... :-p D'un autre côté, ça m'a permis de confirmer que j'avais pas tout faux et de rajouter une ou deux p'tites options !

Et comme je suis un gars super sympa, je vais même vous faire part de mon p'tit script ! Rien de bien compliqué... par ailleurs une fois que la commande à lancer a été élaborée ! Le script est lancé toute les nuits et s'offre le luxe de faire un miroir par jour de la semaine, ce qui laisse un (tout petit) peu de temps de se retourner en cas de boulette ! Bien sûr la première exécution va prendre un peu de temps puisqu'il va falloir tout transférer... mais une fois que ce sera fait, ça devrait ronronner tranquillement ! Pour le moment les sauvegardes sont en cours... Il y a apparemment quelques soucis pour créer les fichiers comportant le caractère ":" .. bon y en a pas des masses non plus... mais faudra que je regarde ça de plus près !

Ci dessous le magnifique script :

#/bin/bash
# Script de Mirroring du systeme sur disque NAS à l'aide LFTP

LFTP=/usr/bin/lftp
JOUR=$(date +%a)

#Serveur FTP
HOST=ftp.nowhere.com

#Port du serveur FTP (21 par défaut)
PORT=21

#Liste des repertoires a Sauvegarder :
LISTE_REP="/etc /home /media /datas" 

#un miroir est genere pour chaque jour de la semaine
MIRRORDIR=/shares/FAT/Backup/laptop/miroir/$JOUR/


for repsource in $LISTE_REP
do
        $LFTP -p $PORT -e "mirror -e -R -p $repsource $MIRRORDIR;exit" $HOST
        if [ $? -ne 0 ]
        then 
                echo "Probleme lors du mirroring de $repsource sur $HOST dans $MIRRORDIR "
        else
                echo "Mirroring de $repsource effectue avec succes sur $HOST dans $MIRRORDIR"
        fi
done

Avant de le lancer, vérifier que les 4 variables HOST, PORT et LISTE_REP et MIRRORDIR sont correctement positionnées avec vos paramètres. Renseignez le fichier .netrc de l'utilisateur qui va lancer le script afin de permettre l'autologin. (c'est pas top... mais c'est toujours mieux que le mot de passe dans l'url de connexion... )

Le fichier .netrc doit être de la forme suivante :

machine ftp.nowhere.com
login user
password secret

Une fois que c'est fait vous pouvez, soit lancer le script manuellement... mais encore mieux le faire de façon automatique via la crontab !

Par exemple, pour lancer la sauvegarde tous les jours à 2 heures du matin (bien sûr il faut que ce soit une heure où votre PC est allumé.. et si possible pas trop utilisé !

0  2    * * *   /usr/local/bin/mirror_rep.sh

Et voilà le travail ! Au bout d'une semaine vous aurez 7 sauvegardes de vos données qui se mettront à jour toutes seules comme des grandes ! Elle est pas belle la vie ?

Mort au Spam !!

Pierre — Thu, 22 Feb 2007 22:56:00 +0100

C'est le mal du siècle... alors tous les moyens sont bons pour le combattre !

Le serveur sur lequel vous consultez ce blog, à base de Debian héberge également tous les mails qui arrivent sur mon nom de domaine !

Afin de combattre le Spam et les virus, j'avais déjà mis en place une solution à base d'Amavis, mais certains spams passent encore à travers les mailles du filet et les ressources systèmes consommées sont importantes !

Lors de mes lectures, j'ai découvert un nouvel utilitaire : Postgrey via l'Effraie@Blog !

Le principe est simple, il s'agit en fait dans un premier temps de refuser tout mail entrant Greylisting. Les spammeurs ne retentant pas un nouvel envoi, le spam est par conséquent définitivement rejeté alors que les serveurs de mail classique vont retenter un envoi qui sera lui accepté.

Bien entendu, vous allez me dire que ça va ajouter un petit délai dans la réception des mails et les spammeurs obstinés vont tout de même réussir à passer ! Mais postgrey ajoute les expéditeurs de confiance à sa whitelist après 5 envois réussis et j'ai laissé mon Amavis derrière pour plus de sûreté

Bon... je viens de le mettre en place en suivant la procédure indiquée sur Effraie@Blog !

Affaire à suivre !

apt-get update

Pierre — Thu, 22 Dec 2005 21:50:00 +0000

is crashing my linuxbox...

C'est plutôt ennuyeux, mais à tous les coups l'on gagne... Un simple apt-get update me fait rebooter ma bécane... c'est donc par conséquent une condamnation à ne plus rien installer via ce biais... c'est ballot...

Bon.. je sens que ça va finir par une réinstall propre.. ça me saoule.. j'espère trouver la solution avant... En attendant, je vais passer un p'tit chkrootkit.. en espérant que ça fasse pas totu gaufrer... Pourtant, j'ai viré le disque qui commençait à rendre l'âme... Le système n'aurait-il pas supporté mes déplacements de Logical Volume d'un disque à l'autre ? J'ai des doutes... Ou alors c'est un vilain bug du paquet apt.. j'ai des doutes également... En tout état de cause... pas de panique si ça coupe...

Domaines virtuels avec Postfix

Pierre — Tue, 08 Nov 2005 23:58:00 +0000

Une petite modif de la configuration de mon Postfix afin d'héberger plusieurs domaines

Suite à l'hébergement d'un nouveau domaine pour le site Web de mon petit frère Thomas pour le BDE de son école, j'ai reçu un mail destiné à webmaster@domaine.com mais qui, vu la configuration sommaire de ma messagerie.. a fini dans ma boîte aux lettres... Heureusement il n'y en a eu qu'un, mais ceci m'a conforté dans le fait qu'il fallait que je fasse quelque chose !

J'ai donc fait quelques recherches sur la toile et après avoir laissé de côté les diverses solutions à base de MySQL et autres LDAP que je trouvais un peu lourdes dans le cadre d'un serveur personnel... Je suis tombé sur le Howto qui va bien : hébergement de sites virtuels avec Postfix.

Grosso modo, la problématique est simple... J'héberge 3 domaines sur ma machine : toto.com, titi.com, tata.com et dans la configuration qui était en place, quelque soit le domaine, un mail envoyé à un utilisateur user@toto.com arrivait dans la même boîte aux lettres que user@titi.com ou user@tata.com. Mon but étant bien entendu de distinguer ces 3 adresses pour qu'un mail envoyé à ces trois adresses arrive dans trois boîtes aux lettres différentes... !

Dans un premier temps j'ai donc modifié le fichier /etc/postfix/main.cf en remplaçant la ligne

mydestination = $mydomain, $myhostname, localhost.$mydomain, $myhostname.toto.com titi.com tata.com

par

mydestination = $mydomain, $myhostname, localhost.$mydomain, $myhostname.toto.com

ou $mydomain=toto.com

j'ai ensuite créé les deux domaines virtuels titi.com et tata.com en ajoutant les lignes suivantes :

virtual_mailbox_domains = titi.com tata.com
virtual_mailbox_base = /virtual
virtual_mailbox_maps = hash:/etc/postfix/vmailbox
virtual_minimum_uid = 100
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
virtual_alias_maps = hash:/etc/postfix/virtual

Le domaine toto.com n'est pas impacté par l'ensemble de ces manipulations.

Une fois ces lignes ajoutées, les messages à destination des domaines titi.com et tata.com seront délivrés en toute indépendance des utilisateurs Unix du serveur.

Lorsqu'un mail va arriver à destination de user@titi.com, Postfix va aller consulter ces deux maps /etc/postfix/vmailbox et /etc/postfix/virtual afin de savoir ce qu'il faut faire.

on renseigne donc ces deux fichiers :

cat /etc/postfix/vmailbox
webmaster@titi.com   titi.com/webmaster/Maildir/
admin@titi.com  titi.com/admin/Maildir/
webmaster@tata.com   tata.com/webmaster/Maildir/
admin@tata.com  tata.com/admin/Maildir/

         
cat /etc/postfix/virtual
@tata.com  user@tutu.com
mailing@titi.com user1@domain1.com, user2@domain2.com, user3@domain3.com

on crée l'arobrescence /virtual/titi.com ...

mkdir -p /virtual/titi.com/webmaster /virtual/tata.com/webmaster /virtual/titi.com/admin /virtual/tata.com/admin

puis les Maildir pour chaque utilisateur virtuel (dans le cas de Mailbox, seul /virtual/titi.com/ /virtual/tata.com/ sont à créer à priori)

maildirmake /virtual/tata.com/webmaster/Maildir/ ...

L'utilisateur Unix propriétaire de ces répertoires est alors créé

groupadd -g 5000 vmail
useradd -g vmail -u 5000 vmail -d /virtual -m

Et enfin Postfix est redémarré :

/etc/init.d/postfix restart

A la suite de ça, si tout a été fait correctement, les comportements vont être les suivants :

les mails à destination de user@toto.com seront délivrés comme ils l'étaient avant.
Les mails à destination de webmaster@titi.com, admin@titi.com, webmaster@tata.com et admin@tata.com seront déposées dans les boîtes aux lettres virtuelles correspondantes
Tous les autres mails à destination du domaine tata.com seront reroutés vers l'adresse user@tutu.com
Les mails à destination de mailing@titi.com seront reroutés vers user1@domain1.com, user2@domain2.com et user3@domain3.com
Tous les autres mails à destination de titi.com seront notifiés "User Unknown" par le système de messagerie.

En ce qui me concerne, j'ai pour l'instant laissé de côté la partie boîtes virtuelles, il faut en effet que je potasse la configuration du serveur IMAP que j'utilise : Courier-Imap. Donc pour le moment, c'est uniquement un systèe de redirections que j'utilise. Vu que la majorité des mails sont pour moi, je vais pas non plus multiplier les compte de messageries...! Par contre, c'est pratique car ça permet de multiplier les adresses mail afin de savoir d'où provient le mail et de pouvoir faire du tri et du filtrage facilement :

Par exemple, pour chaque site où je rentre mon mail, je mets le nom du site en lieu et place de ma véritable adresse, cela permet de déceler par quel intermédiaire mon adresse a pu être spammée (par exemple) ou de classer mes mails en fonction du destinataire... Et bien d'autres choses encore...

Postfix + SASL

Pierre — Sun, 28 Aug 2005 02:28:00 +0000

Un peu de technique sur ma p'tite Debian!

En ayant marre de devoir reconfigurer mon client de messagerie a chaque fois que je transporte mon portable dans un réseau autre que le mien. En effet, comme tout serveur de messagerie bien configuré qui soit, j'ai bien évidemment interdit l'envoi de mail depuis un réseau autre que le mien afin d'éviter d'en faire un Open Relay pour les Spammeurs !

Afin de contourner ce problème il est possible d'envoyer des mails depuis l'extérieur, sous réserve d'avoir configuré Postfix afin de s'authentifier avant l'envoi du message. Pour cela, plusieurs méthodes existent.. j'ai pour ma part opté pour les librairies SASL

Installation

Ayant déjà un serveur postfix opérationnel, je n'ai eu qu''à installer les librairies et utilitaires SASL Ceci se fait de façon très simple sous debian :

apt-get install  libsasl2 libauthen-sasl-cyrus-perl sasl2-bin postfix-tls libsasl2-modules

Configuration et mise en oeuvre

La partie configuration est un peu plus complexe.. il faut veiller à bien faire les choses dans l'ordre !

Configuration du démon saslauthd

Le fichier **/etc/default/saslauthd** est renseigné de la manière suivante si l'on souhaite utiliser le fichier shadow pour l'authentification. L'ensemble des mécanismes disponibles est donné par la commande suivante :

root@liberty:~# saslauthd -v
saslauthd 2.1.19
authentication mechanisms: sasldb getpwent kerberos4 kerberos5 pam rimap shadow ldap

Le fichier /etc/default/saslauthd

# This needs to be uncommented before saslauthd will be run automatically
START=yes

# You must specify the authentication mechanisms you wish to use.
# This defaults to "pam" for PAM support, but may also include
# "shadow" or "sasldb", like this:
# MECHANISMS="pam shadow"

MECHANISMS="shadow"
PARAMS="-r -m /var/spool/postfix/var/run/saslauthd"

Le répertoire /var/spool/postfix/var/run/saslauthd est créé avec les permissions qui vont bien :

mkdir -p /var/spool/postfix/var/run/saslauthd
chown postfix:sasl /var/spool/postfix/var/run/saslauthd

Cela permettra à Postfix de se connecter au démon.

Enfin le démon est démarré :

/etc/init.d/saslauthd start

Configuration de Postfix

Deux fichiers sont à prendre en compte :

On ajoute tout d'abord les ligne qui suivent au fichier /etc/postfix/main.cf :

smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain =
broken_sasl_auth_clients = yes
smtpd_recipient_restrictions = permit_sasl_authenticated,
   permit_mynetworks,
   reject_unauth_destination

Puis le fichier /etc/postfix/sasl/smtpd.conf

pwcheck_method: saslauthd
mech_list: plain login

La configuration est rechargée :

postfix reload

Normalement tout est bon côté serveur, il ne reste plus qu'à configurer le client de messagerie. Pour ce faire, je prendrai le cas concret de celui que j'utilise quotidiennement, à savoir le fabuleux Thunderbird. Les configuration des autres logiciels du marché ne devrait pas beaucoup différer...!

Mise en oeuvre sur le client

Dans la boîte de configuration des comptes (menu Outils/Paramètre des Comptes), il suffit de sélectionner le serveur smtp et de renseigner le nom d'utilisateur avec celui qui correspond à votre adresse (c'est fait automatiquement à la création du premier compte) Il faudra juste le modifier si cela n'est pas juste.

Lors de l'envoi du premier mail, une boîte de dialogue apparaît pour que vous saisissiez le mot de passe du compte. Si vous ne sauvegardez pas le mot de passe, celui sera à resaisir à chaque envoi de mail.

Voilà, maintenant, il ne me reste plus qu'à tester si ça marche depuis l'extérieur... Je corrigerai les erreurs si nécessaire !

L'internet rapide et permanent

Pierre — Fri, 29 Apr 2005 23:13:00 +0000

Un adresse utile pour mieux connaître les méandres des réseaux...!

Merci Samuel pour cette petite adresse : L'internet rapide et permanent, qui permet de retrouver en un seul site un certain nombres d'infos intéressantes !! A lire de toute urgence donc !

Knoppix m'a sauver !

Pierre — Thu, 24 Mar 2005 00:15:00 +0000

Toujours utile d'avoir un Live CD sur soi !

Aujourd'hui, je me suis retrouvé en proie à un grand moment de solitude... En train de finaliser l'installation d'un serveur de type IBM xSeries, je fais une mise à jour du noyau, et hop, un petit redémarrage... et là surprise... Le serveur redémarre mais sans ses interfaces réseau...! Je dispose d'un accès distant sur la console, qui me permet de prendre la main comme si j'étais devant le serveur (il est à environ 20 kilomètres de mon bureau), mais surprise, ça ne marche pas non plus... Heureusement, je disposais d'un CD Knoppix sur moi, et je pouvais démarrer le serveur sur ce CD en le mettant dans mon lecteur ! (c'est beau la technologie :-p). La console distante fonctionnait parfaitement avec la Knoppix (c'est là qu'on reconnait la supériorité de Debian sur Redhat, je change le noyau par défaut, et hop là, roulez jeunesse, le serveur redémarre normalement ! Ouf !

Merci Knoppix !

Upgrades diverses et variées....

Pierre — Sun, 13 Feb 2005 17:48:00 +0000

Une nouvelle vie pour ma Woody...!

Installée depuis près de deux ans et demi déjà, ma Debian a subi un petit lifting ce week end ! Je suis effectivement tombé par hasard sur le site Debian Backports qui propose des versions plus récentes des produits fournis avec la distribution stable de Debian, la bien aimée Woody 3.0 ! L'avantage de cette distribution est que l'ensemble des logiciels la composant ont déjà fait leurs preuves et garantissent ainsi une très bonne stabilité de l'ensemble, l'inconvénient majeur étant cependant que les versions de ces logiciels n'évoluent quasiment pas (hormis les corrections de bugs relatifs à la sécurité). Le monde des logiciels libre évoluant rapidement, on peut vite se retrouver avec des versions "obsolètes" en terme de fonctionnalités ! Ou alors, il faut se taper l'installation à la main via des compilations parfois hasardeuses et laborieuses... (Ben oui... apt-get install <produit>, c'est quand même ~~vachement~~ beaucoup plus sympa une fois qu'on y a goûté !). Bon, c'est vrai que j'aurai pu passer en version testing ou unstable mais dans ce cas, les mises à jour peuvent parfois devenir plus qu'hasardeuses (surtout en unstable....) et conduire à un système totalement inutilisable !

J'ai donc profité de ma visite sur le site Debian backports pour mettre à jour les logiciels suivants :

Le serveur de messagerie : Postfix
Le serveur web Apache dans sa version 2 (pas encore en service, encore quelques trucs à régler avant de migrer)
le serveur DNS Bind
Le serveur IMAP pour accéder à mes mails: Courier Imap
L'antivirus Clam Antivirus
L'antispam Spamassassin
La passerelle antivirus/antispam Amavis
Le serveur de fichiers SMB/CIFS Samba
Quelques utilitaires : nmap, tcpdump, awstats,...

La prochaine étape serait bien évidemment le changement du serveur lui même, afin de permettre un gain de puissance qui diminuerait les temps de réponses lors de la consultation de ce blog ! J'en appelle donc à des gentils donateurs ! Si vous avez un PC qui s'ennuie... Je suis preneur ! (enfin au moins 500 MHz pour que ça se ressente ! )

Mise en place d'un dépôt CVS

Pierre — Sun, 24 Oct 2004 17:30:00 +0000

Afin de développer mon site perso, j'ai mis en place un dépôt CVS sur le serveur, j'y accède via le réseau à travers le protocole pserver.

Installation des binaires CVS

L'installation sous debian se fait de manière triviale :

apt-get install cvs cvsutils

Création d'un utilisateur dédié

Pour des raisons de sécurité, un utilisateur dédié sera créé. Tous les fichiers et processus créés lui appartiendront.

Création du Home Directory et du répertoire de dépôt des fichiers :

mkdir -p /home/cvs/depot

Création de l'utilisateur

groupadd  cvs
useradd -g cvs -d /home/cvs/ cvs
chown -R cvs:cvs /home/cvs

Un Mot de passe est éventuellement attribué à l'utilisateur cvs si l'on souhaite effectuer une délégation de l'administration du serveur CVS.

Mise en place du dépôt

Pour la suite des opérations, on se connectera avec l'utilisateur cvs créé précédemment.

Inititalisation du dépôt

On définit la variable CVSROOT correspondant au répertoire dans lequel nous allons créer les fichiers

export CVSROOT=/home/cvs/depot

Le dépôt est alors initialisé :

cvs init

on peut alors voir qu'un répertoire CVSROOT (à ne pas confondre avec la variable $CVSROOT) a été créé sous le répertoire /home/cvs/depot. C'est dans ce répertoire qu'est présente toute la configuration du dépôt.

Configuration de l'authentification

Afin de permettre l'authentification des utilisateurs, la configuration va être légèrement modifiée. On va d'ailleurs utiliser les commandes CVS pour modifier le fichier de configuration :

cd /tmp
export CVSROOT=/home/cvs/depot
cvs checkout CVSROOT

Le fichier CVSROOT/config est édité :

la ligne

#SystemAuth=no

est décommentée pour devenir

SystemAuth=no

La modification est alors mise à jour sur le dépôt :

cvs commit

Création des utilisateurs du dépôt

Les utilisateurs du dépôt sont recensés dans un fichier '"passwd'' de la forme :

[utilisateur CVS]:[mot de passe crypté]:[utilisateur unix]

Où :

utilisateur cvs correspond au login sur le serveur cvs
mot de passe crypté est obtenu à l'aide de la commande htpasswd fournie avec Apache
utilisateur unix est en fait le propriétaire des fichiers et des processus (cvs dans notre cas)

Exemple :

On crée l'utilisateur pierre :

le mot de passe crypté est obtenu de la manière suivante :

htpasswd -n pierre
New password:
Re-type new password:
pierre:/DSunBSY9WZsY

la ligne à ajouter dans le fichier $CVSROOT/passwd est donc la suivante :

pierre:/DSunBSY9WZsY:cvs

Configuration du démon xinetd

Les manipulations qui suivent sont à effectuer avec l'utilisateur root. Les processus serveurs CVS seront lancés via le super démon xinetd lors de la connexion de l'utilisateur. Il existe d'autre type de connexions, comme via le protocole SSH (Source Dico du net) par exemple, cependant, l'accès étant actuellement limité au réseau local et fermé à l'extérieur (Internet) cela ne s'avère pas nécessaire. Cela fera néanmoins peut être l'objet d'un prochain billet.

On va ajouter le fichier cvspserver avec le contenu qui suit dans le répertoire /etc/xinetd.d

service cvspserver
{
        socket_type = stream
        protocol = tcp
        wait = no
        user = cvs
        server = /usr/bin/cvs
        server_args = -f --allow-root=/home/cvs/depot pserver
        only_from = 192.168.0.2
}

On s'assurera toutefois que la ligne

includedir /etc/xinetd.d/

est présente dans le fichier /etc/xinetd.conf et on l'y ajoutera le cas échéant.

On vérifie que le démon xinetd écoute bien sur le port d'écoute alloué à CVS (2401)

# netstat -lntp | grep 2401
tcp        0      0 0.0.0.0:2401            0.0.0.0:*               LISTEN      18361/xinetd

Opérations courantes avec CVS

Avant toute chose, il est essentiel de définir la valeur de la variable CVSROOT et de se connecter pour pouvoir travailler :

Pour une connexion via le protocole pserver, celle ci devient :

export CVSROOT=:pserver:pierre@192.168.0.1:/home/cvs/depot
cvs login
Logging in to :pserver:pierre@bretagne:2401/home/cvs/depot
CVS password:

Import d'un répertoire (ou module ) dans le dépôt :

cd /home/user/sources
cvs import -m "Premier import des Sources" Sources Pierre Version1

Téléchargement des sources :

cvs checkout module

Mise à jour des sources :

cvs update

Mise à jour de ses fichiers sur le serveur :

cvs commit

Déconnexion :

cvs logout

WinCVS

Pour une utilisation sous environnement graphique, on peut télécharger l'excellent logiciel libre WinCVS, disponible pour les environnements Win32,MacOS et Linux

Quelques liens...

cet article est une synthèse à ma façon des liens qui suivent :