Product SiteDocumentation Site

Chapitre 9. Services Unix

9.1. Démarrage du système
9.2. Connexion à distance
9.2.1. Connexion à distance sécurisée : SSH
9.2.2. Accéder à distance à des bureaux graphiques
9.3. Gestion des droits
9.4. Interfaces d'administration
9.4.1. Administrer sur interface web : webmin
9.4.2. Configuration des paquets : debconf
9.5. Les événements système de syslog
9.5.1. Principe et fonctionnement
9.5.2. Le fichier de configuration
9.6. Le super-serveur inetd
9.7. Planification de tâches : cron et atd
9.7.1. Format d'un fichier crontab
9.7.2. Emploi de la commande at
9.8. Planification asynchrone : anacron
9.9. Les quotas
9.10. Sauvegarde
9.10.1. Sauvegarde avec rsync
9.10.2. Restauration des machines non sauvegardées
9.11. Branchements « à chaud » : hotplug
9.11.1. Introduction
9.11.2. La problématique du nommage
9.11.3. Fonctionnement de udev
9.11.4. Cas pratique
9.12. Gestion de l'énergie : Advanced Configuration and Power Interface (ACPI)
Ce chapitre parcourt un ensemble de services fondamentaux, souvent communs à beaucoup d'Unix. Tout administrateur se doit de les connaître.

9.1. Démarrage du système

Lorsque l'ordinateur démarre, les messages défilant sur la console révèlent de nombreuses initialisations et configurations automatiques. Parfois, il est souhaitable de modifier légèrement le déroulement de cette étape, ce qui implique de bien la comprendre. C'est l'objet de cette section.
En tout premier lieu, le BIOS prend le contrôle de l'ordinateur, détecte les disques, charge le Master Boot Record (enregistrement d'amorçage maître) et l'exécute. Le chargeur d'amorçage prend alors le relais, trouve le noyau sur le disque, le charge et l'exécute. Le noyau s'initialise alors et se met en devoir de trouver et monter la partition contenant la racine de l'arborescence pour enfin démarrer le premier programme : init. Il est fréquent que cette « partition racine » et cet init soient en réalité sur un système de fichiers virtuel qui n'existe qu'en mémoire vive (d'où son nom initramfs, anciennement appelé initrd pour initialization RAM disk). Ce système de fichiers est chargé en mémoire par le chargeur d'amorçage, souvent à partir d'un fichier sur un disque dur ou sur le réseau. Il contient le strict minimum qui peut être requis par le noyau pour charger le « vrai » système de fichiers racine : il peut s'agir de modules de pilotes pour les disques durs ou d'autres périphériques sans lesquels le système ne peut pas démarrer, ou, plus fréquemment, des modules et des scripts d'initialisation permettant d'assembler des grappes RAID, d'ouvrir des partitions chiffrées, d'activer des volumes LVM… Une fois que la partition racine est montée, l'initramfs passe la main au vrai init et on revient sur le processus de démarrage standard.
Le « vrai init » est actuellement fourni par sysv-rc (« System V »), sur lequel cette section se focalise.

CAS PARTICULIER Le démarrage sur le réseau

Dans certaines configurations, le BIOS peut être configuré pour ne pas exécuter le MBR mais aller chercher son équivalent sur le réseau, ce qui permet par exemple de construire des ordinateurs sans disque dur, ou qui se réinstallent complètement à chaque démarrage. Cette possibilité n'est pas offerte par tous les matériels et il faut généralement une combinaison adaptée du BIOS et de la carte réseau.
Le démarrage sur le réseau peut être utilisé pour lancer debian-installer ou FAI (voir Section 4.1, « Méthodes d'installation »).

B.A.-BA Le processus, une invocation de programme

Un processus est la représentation en mémoire d'un programme qui s'exécute. Il regroupe toutes les informations nécessaires au bon déroulement du logiciel (le code lui-même, mais aussi les données qu'il a en mémoire, la liste des fichiers qu'il a ouverts, des connexions réseau qu'il a établies, etc.). Un même programme peut faire l'objet de plusieurs processus, y compris sous le même identifiant utilisateur.
Celui-ci exécute tout un ensemble de processus en suivant les indications du fichier /etc/inittab. Le premier programme exécuté (correspondant à l'étape sysinit) est /etc/init.d/rcS, script qui exécute tous les programmes du répertoire /etc/rcS.d/.
Parmi ceux-ci, on trouve successivement :
  • la configuration du clavier de la console ;
  • le chargement des pilotes : la plupart des modules noyau sont chargés par le noyau lui-même en fonction du matériel détecté ; certains pilotes peuvent ensuite être systématiquement chargés, les modules correspondants doivent être listés dans /etc/modules ;
  • la vérification de l'intégrité des systèmes de fichiers ;
  • le montage des partitions locales ;
  • la configuration du réseau ;
  • le montage des systèmes de fichiers distants (NFS).

SÉCURITÉ Gare à la substitution d'init par un shell

Le premier processus démarré est par convention le programme init. Toutefois, il est possible de passer au noyau une option init indiquant un autre programme.
Toute personne capable d'accéder à l'ordinateur pourra appuyer sur le bouton Reset et ainsi le redémarrer, puis, via l'invite du chargeur d'amorçage, passer au noyau l'option init=/bin/sh pour obtenir un accès root sans connaître le mot de passe de l'administrateur.
Pour éviter cela, on peut protéger le chargeur d'amorçage par un mot de passe. Pensez alors à protéger aussi l'accès au BIOS (un mécanisme de protection par mot de passe est presque toujours disponible), sans quoi un indélicat pourra toujours démarrer sur une disquette contenant son propre système Linux, qu'il utilisera pour accéder aux disques durs de l'ordinateur.
Sachez enfin que la plupart des BIOS disposent de passe-partout génériques. Prévus à l'origine pour dépanner les distraits qui oublient les leurs, ces mots de passe sont désormais publics et diffusés sur Internet (vérifiez vous-même en cherchant BIOS generic passwords sur un moteur de recherche). Toutes ces protections ralentiront donc l'accès non autorisé à la machine, sans pouvoir l'empêcher totalement. C'est pourquoi il est vain de chercher à protéger un ordinateur si l'attaquant peut y accéder physiquement : il pourra de toute manière démonter les disques durs pour les brancher sur un ordinateur sous son contrôle, voire voler l'ordinateur entier, ou vider la mémoire du BIOS pour remettre à zéro le mot de passe...

B.A.-BA Modules du noyau et options

Les modules du noyau disposent eux aussi d'options qu'on peut paramétrer en plaçant des fichiers dans /etc/modprobe.d/. Les options sont définies à l'aide de directives options nom-du-module nom-option=valeur-option. Plusieurs options peuvent être spécifiées avec une seule directive si nécessaire.
Ces fichiers de configuration sont destinés à modprobe — le programme permettant de charger un module noyau avec ses dépendances (les modules peuvent en effet faire appel à d'autres modules). Ce dernier est fourni par le paquet kmod.
Après cette phase, init reprend la main et démarre les programmes associés au niveau d'exécution (runlevel) normal, soit par défaut le niveau 2. Il exécute /etc/init.d/rc 2, script qui démarre tous les services donnés du répertoire /etc/rc2.d/ débutant par la lettre « S ». Le nombre (à deux chiffres) qui suit servait historiquement à classer les services pour les démarrer dans le bon ordre, mais de nos jours le système de démarrage par défaut utilise insserv, un système de démarrage où l'ordonnancement se fait en fonction des dépendances entre scripts. Chaque script de démarrage déclare ainsi les contraintes qui s'appliquent à lui (par exemple, s'il doit démarrer avant ou après tel autre service) ; init les lance alors dans un ordre qui satisfait les contraintes. La numérotation statique des scripts n'est donc plus prise en compte (mais ils doivent toujours s'appeler d'un nom composé d'un « S » suivi de deux caractères, suivis à leur tour du véritable nom du script utilisé pour les dépendances). D'une manière générale, les services de base (comme le service de collecte des journaux, rsyslog, ou celui d'attribution des ports, portmap) sont démarrés en premier, suivis par les services standards et l'interface graphique (gdm).
Ce système de démarrage par dépendances permet d'automatiser des renumérotations qui pourraient s'avérer fastidieuses si elles devaient être faites manuellement et il prévient les erreurs humaines, puisque l'ordonnancement se fait en fonction des contraintes exprimées. Il présente également l'avantage supplémentaire de permettre le démarrage de plusieurs services en parallèle, si plusieurs scripts sont indépendants entre eux, ce qui peut accélérer la séquence de démarrage.

ALTERNATIVE Autres systèmes d'initialisation

Nous décrivons ici le processus d'initialisation utilisé par défaut sous Debian et dérivé de celui hérité des Unix de type System V (et mis en œuvre par le paquet sysvinit), mais il en existe d'autres. Il est vraisemblable que Jessie utilise un autre système d'initialisation par défaut, puisque les actuels sont peu adaptés à la nature de plus en plus dynamique des ordinateurs.
Citons également le processus simplifié contenu dans le paquet file-rc. Ce dernier garde le principe des niveaux de fonctionnement (runlevels), mais remplace les répertoires et les liens symboliques par un unique fichier de configuration, qui spécifie à init les processus à lancer et l'ordre de lancement.
Le système upstart, apparu plus récemment, n'est pas encore parfaitement testé sous Debian. Il est basé sur les événements ; les scripts de lancement ne sont plus exécutés de manière séquentielle mais en réponse à des événements comme l'aboutissement d'autres scripts dont ils dépendent. Ce système, initié par Ubuntu, est présent dans Debian Wheezy mais n'est pas le système par défaut : il vient en fait en remplacement de sysvinit et une des tâches lancées par upstart est de lancer les scripts écrits pour les systèmes traditionnels, notamment ceux du paquet sysv-rc.
Un autre nouveau venu est systemd, dont on parle beaucoup. Son approche est à l'opposé des systèmes précédents : au lieu de lancer systématiquement tous les services et d'avoir à traiter du problème de leur ordonnancement, systemd fait le choix de les démarrer à la demande, un peu selon le principe d'inetd. Mais cela implique que le système de démarrage soit mis au courant de la manière dont les services sont rendus disponibles (qu'il s'agisse de serveurs qui écoutent sur le réseau, de systèmes de fichiers ou autres) et nécessite donc une modification partielle desdits services. systemd fournit aussi une couche de compatibilité pour les scripts d'initialisation System V existants.
Il existe encore bien d'autres systèmes et d'autres modes de fonctionnement, comme runit, minit ou initng, mais ils sont relativement spécialisés et minoritaires.
init distingue plusieurs niveaux d'exécution car il peut basculer de l'un à l'autre par la commande telinit nouveau-niveau. Dès son invocation, init exécute à nouveau /etc/init.d/rc avec le nouveau niveau d'exécution désiré, script qui démarre à son tour les services manquants et arrête ceux qui ne sont plus souhaités. Pour cela, il se réfère au contenu du répertoire /etc/rcX.d (où X représente le nouveau niveau d'exécution). Les scripts débutant par « S » (comme Start) sont des services à démarrer, ceux débutant par « K » (comme Kill) sont des services à stopper. Le script évite de redémarrer tout service déjà actif dans le niveau d'exécution précédent.
Debian utilise par défaut quatre runlevels différents :
  • Le niveau 0 n'est utilisé que de manière transitoire, lors de la phase d'extinction de l'ordinateur. Il contient donc de nombreux scripts « K ».
  • Le niveau 1, aussi connu sous le nom de single-user, correspond au système en mode dégradé ; il ne contient que les services de base et est prévu pour les opérations de maintenance en dehors de l'interaction des utilisateurs.
  • Le niveau 2 est le niveau de fonctionnement normal, qui inclut les services réseau, l'interface graphique, les connexions des utilisateurs, etc.
  • Le niveau 6 est similaire au niveau 0, à ceci près qu'il est utilisé lors de la phase d'extinction qui précède un redémarrage.
D'autres niveaux existent, notamment de 3 à 5. Ils sont par défaut configurés pour fonctionner de la même manière que le niveau 2, mais l'administrateur peut les modifier (en ajoutant ou supprimant des scripts dans les répertoires /etc/rcX.d/ correspondants) pour les adapter à un besoin particulier.
Étapes du démarrage d'un ordinateur sous Linux

Figure 9.1. Étapes du démarrage d'un ordinateur sous Linux

Tous les scripts contenus dans les différents répertoires /etc/rcX.d ne sont que des liens symboliques, créés à l'installation du paquet concerné par le programme update-rc.d, et menant vers les scripts réels, stockés sous /etc/init.d/. Pour adapter à sa guise les services à démarrer ou à stopper à chaque niveau d'exécution, l'administrateur exécutera à nouveau le programme update-rc.d en lui fournissant les paramètres adéquats. La page de manuel update-rc.d(1) en détaille la syntaxe précise. Signalons au passage que supprimer tous les liens symboliques (avec le paramètre remove) n'est pas la bonne méthode pour désactiver un service. Il faut simplement le configurer pour ne pas démarrer dans les niveaux d'exécution souhaités (tout en conservant les appels correspondants pour l'arrêter au cas où le service tournait dans le niveau d'exécution précédent). L'utilisation d'update-rc.d étant quelque peu alambiquée, on pourra utiliser rcconf (du paquet rcconf) pour se voir présenter une interface plus simple à manipuler.

CHARTE DEBIAN Redémarrage des services

Les scripts de configuration des paquets Debian redémarrent parfois certains services pour assurer leur disponibilité ou leur faire prendre en compte certaines nouvelles options. La commande de manipulation d'un service /etc/init.d/service opération ne prend pas en compte le niveau d'exécution, suppose (à tort) que le service est actuellement employé et peut donc effectuer des opérations inadéquates (démarrage d'un service volontairement arrêté, ou arrêt d'un service déjà stoppé, etc.). Debian a donc introduit le programme invoke-rc.d, auquel les scripts de configuration doivent recourir pour appeler les scripts d'initialisation des services. Il n'exécutera que les commandes nécessaires. Attention, contrairement à l'usage, le suffixe .d est ici employé sur un nom de programme et non pas sur un répertoire.
Enfin, init démarre les programmes de contrôle des différentes consoles virtuelles (getty). Ils affichent une invite, attendent un nom d'utilisateur, puis exécutent login utilisateur pour démarrer une session.

VOCABULAIRE Console et terminal

Les premiers ordinateurs étaient habituellement séparés en plusieurs parties, très volumineuses : l'armoire de stockage et l'unité de calcul étaient distinctes des organes de contrôle utilisés par les opérateurs. Ceux-ci constituaient donc un meuble à part, la « console ». Ce terme est resté, mais sa signification a évolué. Il est devenu plus ou moins synonyme de « terminal » : un ensemble d'un clavier et d'un écran.
Au fil de l'évolution de l'informatique, les systèmes d'exploitation ont proposé plusieurs consoles virtuelles pour offrir plusieurs sessions indépendantes en même temps, même s'il n'existe physiquement qu'un clavier et un écran. La plupart des systèmes GNU/Linux proposent ainsi six consoles virtuelles (en mode texte), accessibles grâce aux combinaisons de touches Control+Alt+F1 à Control+Alt+F6.
Les termes « console » et « terminal » peuvent aussi, au sens large, désigner un émulateur de terminal dans une session graphique X11 (comme xterm, gnome-terminal ou konsole).