FLASH INFORMATIQUE FI



Knoppix et VPN, voyagez léger




Daniel GRANDJEAN

Vittoria REZZONICO


Le Guide du routard galactique a son mot à dire au sujet des serviettes : La serviette, nous apprend-il, est sans doute l’objet le plus vastement utile que puisse posséder le routard interstellaire, dixit Douglas Adams, The Hitchhiker’s Guide to the Galaxy.

Le client VPN [http://dit-archives.epfl.ch/FI03/fi-7-3/7-3-page7a.html] installé et configuré sur votre machine, vous êtes de n’importe où connecté comme si vous étiez présent sur EPNET, le réseau de l’école. Toutefois malgré les progrès de la miniaturisation, votre ordinateur représente toujours un excédent de bagages. Aussi nous vous proposons, pour votre prochain périple, de n’ajouter à votre serviette qu’un CD bootable Linux et une clef mémoire USB. Ceci vous permettra d’utiliser les ressources des machines que vous n’aurez aucune peine à emprunter, arguant en toute bonne foi, que vous n’y toucherez pas !

De nombreuses distributions CD ou DVD bootables sont disponibles aujourd’hui. Chacune couvre un besoin comme d’avoir une démo Linux, un routeur, un serveur d’impression, un firewall, un lecteur multimédia, etc. Mais récemment une distribution Linux de cette famille est devenue très populaire.
• Son CD offre sur un système de fichier compressé une distribution Linux complè te avec 2G octets d’applications, dont une suite Office, des jeux, des outils de développement, de communication, de dessin, d’édition multimédia, le tout dans une interface graphique léchée.
• Elle intègre un excellent programme d’autodétection de la configuration matérielle pour tirer au mieux partie des configurations des machines les plus exotiques. Juste pour cela, elle est un précieux outil de diagnostic et d’installation Linux.
• Elle est mise à jour très fréquemment suivant de près les développements matériels et logiciels. La cohérence est préservée par l’interface utilisateur.
• Elle ne permet pas par défaut d’altérer les données de la machine hôte. Ses applications sont lancées sans privilège indu.
• Elle permet le stockage aisé de données persistantes. Vous pouvez ainsi créer et sauver des documents sur un support de données amovible ; ils seront à l’avenir accessibles d’un redémarrage à l’autre, d’une machine à l’autre. Ce même support peut être encrypté pour préserver vos informations confidentielles contre la copie ou la perte du média.
• Elle est basée sur une distribution réputée et vivante, la Debian.
• Elle vous paraîtra, une fois cet article lu, raisonnablement facile à personnaliser.

Le nom de cette merveille ? Knoppix, du nom de son créateur Klaus Knopper.

Les ingrédients

Un CD Knoppix

Cuisiné selon les indications données ici ou plus simplement gravé à partir de la page http://network.epfl.ch/knoppix/.

Une clef mémoire USB

Cette clef étant le support d’échange entre toutes les machines visitées, nous vous conseillons de garder les choses simples. Formatez la clef avec un système de fichiers FAT. Elle pourra être lue et écrite par tous les systèmes d’exploitation et machines qui sauront la reconnaître. Elle sera utile même en l’absence de Knoppix. PC de genre Intel

Il doit avoir un BIOS qui permette de démarrer depuis le CD-ROM, bien sûr un lecteur de CD et une interface USB.

Un câble de rallonge USB

Il augmente le confort, car il peut être ardu, voire impossible, d’enficher sa clef au milieu d’une forêt de connecteurs et de fils.

Mémoire flash USB
C’est vos finances et vos besoins qui dicteront la taille de la mémoire. Choisissez de préférence une clef avec un commutateur pour la vérouiller en mode lecture uniquement. Ce mode préserve vos données contre de mauvaises manipulations et réduit la fatigue de la clef. Les mémoires NAND-flash ont, selon leur provenance et leur mise en oeuvre, une durée de vie comprise entre 10K et 1000K cycle d’écriture. Le nombre de cycles en lecture est illimité. Une alternative à la clef est un adaptateur USB pour les cartes-mémoires SM, CF, SD ou memory stick. Cette approche n’est pas forcément plus volumineuse et permet d’utiliser la mémoire de votre appareil de photos ou de votre caméscope.

Comment utiliser Knoppix ?

• Insérer le CD Knoppix dans le lecteur de votre ordinateur.
• Insérer votre clef-mémoire dans une des prises USB du même ordinateur
• Faire démarrer l’ordinateur depuis le CD.

Seule cette dernière opération peut s’avérer délicate sur une machine inconnue. Mais souvent, le BIOS des machines démarre depuis le CD présent dans le lecteur à la mise sous tension si celui-ci est bootable. Sinon regardez dans la configuration du BIOS et mettez le CD avant le disque dur HDD dans l’ordre d’initialisation. Les BIOS récents ont souvent une touche spéciale qui permet de choisir au démarrage et pour une seule fois un autre média (F12 Boot Menu). Cette dernière particularité permet de démarrer depuis un CD sur les machines dont le BIOS est verrouillé par l’administrateur.

La machine charge SysLinux et vous présente une invite de commande. è ce stade vous pouvez donner des options de démarrage ou cheat codes. Pour le moment, admirons l’écran et attendons la suite.

 


Knoppix démarre. Si tout se passe sans problème, vous êtes dans l’environnement graphique KDE, dans une session ouverte en tant que l’utilisateur knoppix.

Comment fabriquer un CD VPN-Knoppix

Ingrédients

• Un CD Knoppix
• Un ordinateur avec
 • un lecteur CD-ROM ;
 • un graveur CD ou une manière de graver un CD (autre machine avec un graveur connecté au réseau) ;
 • au moins 3.5 GB d’espace disque libre ;
 • 

Partie 1 : la rémastérisation

Cette partie consiste à personnaliser le contenu du système de fichiers live qui se trouve comprimé dans le fichier /cdrom/KNOPPIX/KNOPPIX. Puisque l’on veut ajouter le client VPN aux programmes préexistants, il faut en passer par là.

Préparation

• Démarrez sur le CD Knoppix, créez un système de fichiers ext2 (ou ext3) dans l’espace libre.
Soit $KNX le répertoire de travail, c’est-à-dire celui o&agrave vous placerez tous vos fichiers Knoppix (situé sur la partition créée auparavant et montée à la main en étant root, ceci est important pour éviter les erreurs dues à l’option nodev).

                cd $KNX
                mkdir addons
                cp -Rp /KNOPPIX source/
                cp -Rp /cdrom master/
               

on peut éviter de copier le gros fichier KNOPPIX
• Copiez les fichiers nécessaires (dans notre cas le client VPN) dans $KNX/source/var/tmp/, puis

                chroot $KNX/source

• Lancez dselect et enlevez quelques paquetages (la Knoppix fait presque exactement 700MB !).
• Installez le client VPN (qui se trouve dans /tmp/) comme d’habitude, acceptant toutes les réponses proposées par défaut.
Les clefs EPFL ne doivent pas traîner sur un CD :

                rm -f /etc/CiscoSystemsVPNClient/Profiles/*
               


• Modifiez le script /etc/init.d/knoppix-autoconfig comme suit : ajoutez vers la fin du fichier

# EPFL VPN Client fixes
# link fix
rm -f /etc/CiscoSystemsVPNClient/vpnclient.ini
cp /KNOPPIX/etc/CiscoSystemsVPNClient/vpnclient.ini /etc/CiscoSystemsVPNClient/
[ -d /home/knoppix/Profiles ] && cp - a /home/knoppix/Profiles/*.pcf /etc/CiscoSystemsVPNClient/Profiles/
# end EPFL VPN Client fixes

• Modifiez les scripts /etc/init.d/knoppix-halt et /etc/init.d/knoppix-reboot comme suit :
au début du fichier après

                PATH=/sbin:/bin:/usr/bin:/usr/sbin
                export PATH
               

• Ajoutez

# VPN Profile cleanup
# if profiles in home and on filesystem differ
# copy filesystem profiles in home after a backup
for f in `ls /etc/CiscoSystemsVPNClient/Profiles/*.pcf`; do \
cmp /etc/CiscoSystemsVPNClient/Profiles/`basename $f` /home/knoppix/Profiles/`basename $f` > /dev/null || \
(cp /home/knoppix/Profiles/`basename $f` /home/knoppix/Profiles/`basename $f`.old; \
cp /etc/CiscoSystemsVPNClient/Profiles/`basename $f` /home/knoppix/Profiles/); done
# end VPN Profile cleanup


• Sortez avec un ctrl-D du chroot.
• Faites le nettoyage (videz $KNX/source/tmp, purgez $KNX/source/root et enlevez $KNX/source/.rr_moved). Si vous voulez des icônes pour démarrer et arrêter le client VPN, vous pouvez les créer maintenant comme indiqué à la page http://seismo.ethz.ch/linux/vpnclient.html.
Cette procédure créera des fichiers dans /home/knoppix/Desktop. Repérez-les et copiez-les dans $KNX/source/etc/skel/Desktop.
• Mastérisation, première partie ( cela peut prendre longtemps !). La commande magique est

mkisofs -R $KNX/source | create_compressed_fs - 65536 > $KNX/master/KNOPPIX/KNOPPIX


Partie 2 : modification du boot

cp $KNX/master/KNOPPIX/boot.img $KNX/addons/boot-orig.img
cd $KNX/addons
cp boot-orig.img boot-epfl.img
mkdir /tmp/mnt
mount -oloop boot-epfl.img /tmp/mnt

Voilà maintenant, vous avez la partie du CD qui contrôle le boot dans le répertoire /tmp/mnt.
• modifiez le boot.msg pour y mettre un message personnalisé
• modifiez le syslinux.cfg pour faire un home=scan par défault et changer la disposition du clavier si nécessaire.
• modifiez la page de garde de démarrage comme suit : créez une image avec une taille de 640x400 et au maximum 16 couleurs. Ensuite exécutez la commande

bmptoppm monimage.bmp | ppmtolss16 > /tmp/mnt/logo.16

C’est tout pour les modifications du boot.

umount /tmp/mnt
cp boot-epfl.img $KNX/master/KNOPPIX/boot.img


• Dernière manipulation, il faut recalculer les sommes md5 des fichiers que l’on a alterés ($KNX/master/KNOPPIX/KNOPPIX et $KNX/master/KNOPPIX/boot.img) en utilisant la commande `md5sum fichier`. Ensuite remplacez les anciennes sommes qui se trouvent dans le fichier $KNX/master/KNOPPIX/md5sums.
• Il est temps de créer le CD Knoppix tout nouveau tout beau.

cd $KNX/master
mkisofs -r -J -b KNOPPIX/boot.img -c KNOPPIX/boot.cat -o $KNX/addons/myknoppix.iso $KNX/master

Maintenant, gravez $KNX/addons/myknoppix.iso. Utilisez ce nouveau CD pour démarrer votre PC.

Bienvenue à Knoppix !

 

Home sweet home

Le PC a démarré avec Knoppix et la clef USB pour la première fois. C’est le moment de configurer un répertoire privé (home directory) persistant sur votre clef. Vous pourrez laisser dans cet espace disque les fichiers et les configurations du système que vous retrouverez au prochain redémarrage, sur cette machine ou une autre.

Obtenons d’abord le fichier de configuration du client VPN. Ce fichier contient les informations nécessaires pour établir une connexion avec les concentrateurs VPN. Il peut également contenir vos réglages personnels et vos mots de passe, pratique que nous déconseillons fortement.

Télécharger la configuration du client

• Ouvrir une fenêtre Konsole en cliquant l’icône dans la barre d’outils au pied de l’écran.

 

• Taper la commande epfl_profile.
• Une fenêtre mozilla s’ouvre. Passé les questions usuelles, vous arrivez à un formulaire qui requiert votre numéro sciper et votre mot de passe gaspar. Chose faite, sauvegardez sur disque le fichier EPFL_LAN.pcf dans le directory /home/knoppix/Profiles.
• Quittez Mozilla.

Créer le home directory

Avec la souris, en bas à gauche de l’écran, sélectionnez le Pingouin. C’est le menu KNOPPIX.

• Choisir > Configure > Create a persistent KNOPPIX home directory. Vous serez guidé pas à pas au cours de la manipulation.

 

Knoppix et Disaster Recovery
Une distribution Knoppix est un élément indispensable de la boîte à outils du gestionnaire de systèmes. Elle peut être enrichie à loisir des outils que l’on considère comme indispensables à cet apostolat ;-). On peut la configurer pour qu’elle puisse assurer l’intérim d’un service particulier en cas de coup dur. Toutefois, dans le cadre de Disaster Recovery ou de restauration après sinistre, une meilleure approche s’impose. Comme ce type d’intervention se planifie à l’avance, on prépare un CD/DVD bootable qui correspond à la machine à restaurer. Ce CD contiendra toutes les informations propres à ce système telles que les partitions des disques, la configuration du RAID logiciel, le bootloader, le kernel en production, les utilitaires spécifiques à du matériel spécialisé. Un tel disque est facilement créé par et à partir de la machine que l’on souhaite protéger. L’outil qui vous assistera dans cette tâche est Mondorescue (www.mondorescue.org ou le mirroir suisse http://samba.epfl.ch/mondo). Mondorescue crée un ou plusieurs CD/DVD bootables qui contiennent la configuration et tout ou partie des données de la machine o&eacute il s’exécute. Ces médias permettent de dépanner ou de reconstruire un système après un sinistre total. Ils sont également une excellente première étape pour rétablir un système d’exploitation au niveau o&egrave la restauration des sauvegardes est opérationnelle. Le point fort est que le CD démarre avec le kernel et les drivers de la machine originale, ce qui permet de travailler dans l’environnement utilisé en production. Mondorescue peut être exécuté régulièrement pour avoir des images de CD à jour. On les déposera sur une autre machine, et leur présence selon les règles de Murphy tiendra la foudre à distance. Un CD Mondorescue est indispensable entre les pages du livre de bord de tout serveur qui se respecte.&agrave

• Première question, et YES vous voulez continuer.
• Choix de l’emplacement de votre home : Votre clef USB sera un device de type /dev/sd. S’il n’y a pas de disque SCSI sur votre machine, ce sera très probablement /dev/sda ou /dev/sda1. En cas de doute, regardez ce qui change dans le menu qui vous est offert en démarrant sans la clef USB.
• Choisissez l’option qui crée une image dans le système de fichiers (NO, par opposition à utiliser tout l’espace disponible).
• Choix de la taille de votre home. Il sera matérialisé par un fichier de la dimension choisie et nommé knoppix.img. Il n’est généralement pas nécessaire d’avoir un grand espace. Tout ce que vous allouez est perdu pour l’usage de la clef avec d’autres systèmes, alors que la totalité de l’espace FAT est disponible pour Koppix. Le défaut de 30M est très confortable.
• Choix paranoïaque : Souhaitez-vous chiffrer votre home ? C’est un choix que nous laissons à votre discrétion. Mais attention, pour décoder votre home il faudra taper une passphrase d’une taille minimale de 20 caractères, et cela peut devenir pénible à l’autre bout du monde avec un clavier très exotique. Si vous voulez vraiment cette sécurité, il peut être préférable de faire un second système de fichiers non nécessaire au démarrage de Knoppix.

Une fois la création terminée, redémarrons la machine et cette fois votre home Knoppix est dans la clef.

A ce stade, si votre machine est branchée à un réseau, cliquez sur l’icône [VPN epfl ON] ou passez la commande vpnclient connect EPFL_LAN. Vous serez connecté à EPNET. L’icône [VPN satus] ou la commande vpnclient stat retourne l’état de la connexion. Pour vous déconnecter, cliquez [VPN epfl OFF]

 

Voilà, vous avez fait d’une pierre deux coups. Premièrement, vous avez un CD Knoppix personnalisé. Compatible avec l’infrastructure SWITCHmobile [http://dit-archives.epfl.ch/FI03/fi-6-3/6-3-page3.html], utile dans toute la galaxie. Deuxièmement, vous avez créé une distribution personnalisée de Knoppix. Nous souhaitons que cela vous ait donné l’envie d’en faire d’autre avec vos outils favoris, vos supports de cours ou autres réalisations personnelles. Et là, seule votre imagination est la limite.



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.