Quelques pistes sans succès

Pour ce qui est de faire un .bat contenant des « service stop/start MonService », il faut être admin.
Pour l’option qui consiste à cocher la case « toujours lancer en admin » ? non, pas sur les .bat…
Alors je le le compile en .exe avec n’importe quel « bat2exe » ? bah non, le .exe n’est pas signé par une autorité de certif. reconnue => blablablabla UAC encore
Ok, je génère mes propres « root certif », signe, compile, danse nu un soir de pleine lune et tout ça ??? non là c’est trop (pas la danse, la génération/ajout de mes propres clefs de certifs). Je dégomme pas les mouches au bazooka.
Bon, retour à l’option .bat. Les gens parlent de créer une tâche planifiée contenant l’appel à ce .bat, avec l’option admin puis faire un raccourci vers la tâche. Ca marche, pas de confirmation via l’UAC. Sauf que les tâches sont liées à l’utilisateur. Donc mon utilisateur sans droit ne la voit pas… La planifier en son nom ou l’inverse (dans son compte, planifier avec le compte et mot de passe de l’admin), pas mieux.
J’ai aussi tenté l’utilisation d’un outil tiers, appelé « elevate », pour lancer une commande avec des droits supérieurs. Oui, mais non, pour le non-admin, ça change rien, il faut obtenir ce droit, donc se signer.
Bref, c’est lourd.

The solution : SubInACL

Chez Microsoft, il y a un bout de Resource Kit, la commande SubInACL.exe. Elle permet de manipuler les permissions de n’importe quel objet : fichiers, imprimantes, services etc. Youpiiii.
La syntaxe est bien moisie, mais ça marche.
Il faut :

• Lancer une fenêtre DOS « en tant qu’administrateur »
• Taper la commande suivante (dans mon cas, lire la doc pour le reste) :
  C:\Program Files\Windows Resource Kits\Tools>subinacl /service "PS3 Media Server" /GRANT=MAMACHINE\monutilisateursansdroit=TO
  la liste des codes est ici : http://www.eventlogblog.com/blog/2007/11/setting-service-permissions-wi.html
• Réaliser que je ne sais quel droit générique de l’admin tombe du coup. Je me suis retrouvé avec tout le monde capable de relancer ce service SAUF l’admin ‘suffit d’appliquer la commande à lui-même

Et voilà

Autre piste : SETACL

Lorsque j’ai essayé avec setacl, ça ne fonctionnait pas. Je n’avais pas compris qu’il fallait lancer la fenêtre DOS en admin, à ce moment là, comme je l’ai fait pour SubInACL. Je pense que le problème venait de là. La syntaxe donnait un truc comme ça :
setacl -on "PS3 Media Server" -ot srv -ace "n:monutilisateursansdroit;p:start_stop,read" -actn ace

Voilà. Evidemment, un petit sudo, ce serait quand même plus simple. Mais avec un OS qui ne sait rien faire de base en ligne de commande… Ah quoi que, peut-être avec du powershell etc… Il aurait bien fallu une 20aine de ligne de baratin pour y arriver à mon avis.
Amusez-vous bien.
Ah oui, à la fin, un .bat tout bête faisant un net stop/start « PS3 Media Server » passe donc tout seul.

Ca doit marcher sous Vista aussi, voire Windows Server 2008.

Pourquoi donc me direz-vous ? simplement parce-que dans l’éventualité où faire bouger le prestataire en face de vous (celui qui héberge le serveur SSH) coûterait trop d’énergie, on va supposer qu’on ne peut pas facilement faire avaler notre clef publique à l’hébergeur du serveur SSH.

Bref, la commande traditionnelle est :

sftp utilisateur@serveur
Connecting to serveur...
utilisateur@serveur's password:
sftp>

J’ai trouvé une méthode simple : utiliser le client SFTP de « PuTTY ».
Je pensais au départ utiliser celui de « lftp » et sauvegarder ma connexion (avec mot de passe) en bookmark, mais comme mon login dans l’histoire est un utilisateur de domaine windows (ouais, le serveur SSH en face est sous windows O_o), y’a un \ dans le login et même en le doublant, lftp semble mal le digérer, ben j’étais aussi bloqué.

Bref, en installant les outils de PuTTY :

aptitude install putty-tools

On peut alors taper :

psftp -pw mon_pass utilisateur@serveur
Using username "utilisateur".
Remote working directory is /
psftp>

Attention : le mot de passe est en clair dans la ligne de commande, donc dans les processus etc etc. Donc c’est pas idéal comme condition.
Enfin, je n’ai pas mis le paramètre -b pour mon batch, car ce n’est pas le propos là.

D’abord, s’assurer que vous avez le paquet ntfs-3g (si besoin d’écriture sur le disque/partition NTFS) et le paquet smbfs (Samba FileSystem) pour les partages CIFS.

Vous pouvez tester facilement avec des commandes genre mount -t cifs ou mount -t ntfs-3g. Dans le cas du CIFS, il y a certaines options à passer, notamment l’utilisateur, le domaine etc. C’est presque plus simple dans /etc/fstab.

Bref, voici la chose illustrée par l’exemple :

srv:/etc# cat fstab
###
# blabla habituel
### puis :
//srvwin1/partage1      /mnt/srv1prt1      cifs    uid=root,credentials=/etc/cifs.credentials,domain=MONDOM 0 0
//srvwin1/partage2      /mnt/srv1prt2      cifs    uid=root,credentials=/etc/cifs.credentials,domain=MONDOM 0 0
//srvwin2/blabla1       /mnt/srv2prt1      cifs    uid=root,credentials=/etc/cifs.credentials,domain=MONDOM 0 0
/dev/sdb1               /mnt/usbsdb1       ntfs-3g defaults,locale=fr_FR.utf8 0 0

Dans cet exemple tout simple, on monte 3 partages CIFS, mappé sur l’utilisateur root de la machine linux, en se signant avec les informations contenues dans /etc/cifs.credentials (ci-dessous) sur le domaine NT « MONDOM ».
Et dans /mnt/usbsdb1, on monte un disque USB (ou SCSI ou SATA d’ailleurs), en NTFS lecture/écriture.

Ensuite, de simples « mount /mnt/celui_que_vous_voulez » pour monter.

Le contenu de /etc/cifs.credentials est de la forme :

username=mon_login_windows
password=mon_p4ss

Il peut évidemment être différent pour chaque montage. Pensez à le protéger (chmod 600 /etc/cifs.credentials)

Préparez le serveur

Le paquet qui va bien

Sur le serveur, installez le paquet « ntp ». Faisant office de serveur, il se met à jour (donc il fait office de client, si je ne dis pas connerie). Pas la peine donc d’installer « ntpdate » qui est un autre client possible.
Les options du serveur sont dans /etc/default/ntp.conf, j’en parle un peu plus bas. Lisez le man.
Les paramètres de /etc/ntp.conf sont :

serv:~# egrep -v "^#|^$" /etc/ntp.conf
driftfile /var/lib/ntp/ntp.drift
statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable
server 0.debian.pool.ntp.org iburst dynamic
server 1.debian.pool.ntp.org iburst dynamic
server 2.debian.pool.ntp.org iburst dynamic
server 3.debian.pool.ntp.org iburst dynamic
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery
restrict 127.0.0.1
restrict ::1
restrict 10.0.0.0 mask 255.0.0.0 nomodify notrap

J’ai juste ajouté la plage 10.0.0.0 (c’est un exemple) pour autoriser mon LAN à joindre ce serveur.

Firewalling ?

Il faudra ouvrir en sortie le port « ntp » (123), en UDP, depuis le serveur vers les serveurs amonts. Si c’est la liste par défaut de /etc/ntp.conf, à savoir les « *.pool.ntp.org », c’est une longue liste, amenée à évoluer dans le temps je suppose. A vous de voir comment faire. Le plus simple : ouvrir UDP/123 vers le web, point.
Pour que les clients joignent votre serveur, c’est pareil, il faudra ouvrir le LAN vers votre passerelle, port UDP/123.

Testez

Je recommande d’ajouter -l /var/log/ntp.log dans les options du fichier /etc/default/ntp, soit :

NTPD_OPTS='-g -l /var/log/ntp.log'

Puis de redémarrer le service via :

/etc/init.d/ntpd restart

Vous verrez dans /var/log/ntp.log si votre serveur se met à jour, de combien de temps etc. Pensez à enlever ce log ou sinon à mettre en place une rotation de logs qui va avec.
Ca ressemble à ça :

13 Nov 11:19:30 ntpd[18381]: synchronized to 91.121.121.160, stratum 2
13 Nov 11:19:30 ntpd[18381]: time reset -0.169417 s
13 Nov 11:19:30 ntpd[18381]: kernel time sync status change 0001
13 Nov 11:23:57 ntpd[18381]: synchronized to 91.121.121.160, stratum 2
13 Nov 11:31:29 ntpd[18381]: synchronized to 91.121.86.143, stratum 2
13 Nov 11:35:30 ntpd[18381]: time reset +0.189846 s
13 Nov 11:35:50 ntpd[18381]: synchronized to 91.121.121.160, stratum 2
13 Nov 11:40:06 ntpd[18381]: synchronized to 81.19.16.225, stratum 2
13 Nov 11:42:57 ntpd[18381]: synchronized to 91.121.121.160, stratum 2

On est maintenant prêt à dire à notre LAN d’aller taper sur ce serveur pour régler l’heure.

Les postes Windows

Le service W32Time (« Horloge Windows ») est en automatique par défaut depuis Windows XP. Il s’appuie sur le paramètre qu’on trouvera dans la clef de registre HKLM/SOFTWARE/Policies/Microsoft/W32Time/Parameters. La clef est « NtpServer ».
Il faut donc mettre à jour cette clef, d’une manière ou d’une autre.

…via des GPO

Si vous êtes en domaine Windows, le réglage est ici :

En gros, vous indiquez le nom de votre serveur.
Vous pouvez forcer la mise à jour des GPO sur un poste, pour tester, via gpupdate /force.

En pas GPO (domaine Samba-sans-GPO, Workgroup etc)

Il faut modifier la clef mentionnée plus haut, d’une manière ou d’une autre ; et probablement relancer le service « Horloge Windows ».

Sous Windows, comment tester

Le service Windows ne raconte rien et les « event logs » systèmes, c’est chiant.
Je suggère sur le serveur, un joli tcpdump qui vous montrera qui fait quoi :

serv:~# tcpdump -i eth0 dst port ntp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
15:14:49.071538 IP pc315.maboite.fr.ntp > imag.imag.fr.ntp: NTPv3, symmetric active, length 48
15:14:49.172627 IP imag.imag.fr.ntp > pc315.maboite.fr.ntp: NTPv3, symmetric active, length 48
15:15:29.305824 IP pc666.maboite.fr.ntp > serv.maboite.fr.ntp: NTPv3, symmetric active, length 48
15:15:29.306158 IP serv.maboite.fr.ntp > pc666.maboite.fr.ntp: NTPv3, symmetric active, length 48

Là, on voit un « pc315″ qui continue de demander à l’extérieur (le firewall l’autorise pour l’instant) et un pc666 qui a prit le pli.

Les postes Linux

Installez le paquet « ntpdate » et planifiez ntpdate-debian en crontab. Le manuel explique : ntpdate-debian utilise le fichier /etc/default/ntpdate pour la configuration (liste des serveurs de temps etc). Il contient, sans les commentaires :

NTPDATE_USE_NTP_CONF=yes
NTPSERVERS="0.debian.pool.ntp.org 1.debian.pool.ntp.org 2.debian.pool.ntp.org 3.debian.pool.ntp.org"
NTPOPTIONS=""

Mais, dans ce cas, à cause du « yes », il utilise la conf de l’éventuel /etc/ntp.conf installé via le serveur NTP (paquet ntp). Comme on ne l’a pas mis sur les clients (ça sert à rien de faire tourner un serveur NTP), il faut donc soit passer NTPDATE_USE_NTP_CONF à « no », soit ne pas planifier ntpdate-debian, mais ntpdate avec une tartine de paramètres.
Si vous mettez « no », il faudra indiquer dans NTPSERVERS au moins / uniquement votre serveur du LAN. J’ai constaté qu’avec le nom de machine, ça ne passait pas. Mais avec l’IP, c’est OK. A creuser.

Pigé ? moi-même, je me perds régulièrement là-dedans.

Vite, iptables doit pouvoir m’aider. Je suis une buse en QoS, mais bon, j’ai confiance en Google

Après quelques recherches, je suis tombé sur LARTC, Linux Advanced Routing & Traffic Control. En quelques mots, une bande de fous-furieux qui aiment les lignes de commandes compliquées (à côté de ça, iptables est un joujou) pour faire de la QoS.
Y’a un howto super complet : http://www.traduc.org/docs/howto/vf/lartc.html. Pas le temps, ça sent le sujet compliqué et vaste. On verra plus tard.

Là je veux juste limiter le trafic entre mon proxy et ce p~!?[n de serveur WSUS.

J’ai trouvé 3 lignes magiques ici (après avoir survolé le man tc histoire de suivre le loin ce que je fais) :

tc qdisc add dev eth0 root handle 1: cbq avpkt 1000 bandwidth 10mbit
tc class add dev eth0 parent 1: classid 1:1 cbq rate 400kbit allot 1500 prio 5 bounded isolated
tc filter add dev eth0 parent 1: protocol ip prio 16 u32 match ip dst 192.168.1.2 flowid 1:1

Je voulais limiter le trafic vers 192.168.1.2 via eth0 à 50 kB/s, soit en gros 400 kbit/s.
Pour annuler, j’ai « annulé » les commandes, si je peux dire. Sans être trop sûr de moi, j’ai simplement tenté ça :

tc filter del dev eth0 parent 1: protocol ip prio 16 u32 match ip dst 192.168.1.2 flowid 1:1
tc class del dev eth0 parent 1: classid 1:1 cbq rate 400kbit allot 1500 prio 5 bounded isolated
tc qdisc del dev eth0 root handle 1: cbq avpkt 1000 bandwidth 10mbit

Je n’ai pas vu d’effet de bord (genre, tout bloqué ou rien qui ne se rétablit une fois le tc annulé). Donc on va dire que c’est probablement un peu crade, que je n’y comprends pas tout, mais que ça marche.

Voilà, si ça peut vous servir, j’en suis content.
noob-powered

Pense-bête : j’ai un gros .tar sur un serveur, je dois l’extraire sur un autre serveur. MAIS, sur cet autre serveur, je n’ai pas la place pour récupérer le .tar puis le décompresser, c’est-à-dire stocker deux fois en terme d’espace.
Donc j’utilise netcat pour faire un « pipe » entre commande d’une machine à l’autre.

Une fois le programme netcat installé, peu importe par quel biais, et en considérant que vous n’avez pas de restriction réseau entre les 2 machines (sinon ouvrez le port ci-dessous en UDP), vous faites ceci :

Sur la machine cible, on prépare une socket en écoute, ici sur le port 12345 :

moi@destination:/ou/je/veux/ecrire$ netcat -l -p 12345 | tar xvf -

Sur la machine émettrice, on balance la purée dans le tuyau :

moi2@source:~$ cat monfichier.tar | netcat aladdin 12345

A adapter dans le cas d’un fichier .bz2 ou .gz, par exemple.

Recopie d’arborescence d’un serveur à l’autre

Une autre utilisation très courante est la suivante : recopier une arborescence d’un serveur à l’autre, sans utiliser rsync, scp etc. Pourquoi se passer de ces outils ? il y a des cas où on ne les a pas. Et puis là on évite le cryptage, tout ça, charge CPU, blablabla.
Ca donne :

dest$ nc -l p 12345 | tar x

src$ tar cvf - mon_arborescence | nc dest 12345

EDIT : truc bien crade : ça marche aussi pour injecter du SQL…

dest$ nc -l p 12345 | mysql -u monlogin -p

src$ cat test.sql | nc dest 12345

Attention à ce que vous faites là quand même.
Notez qu’au lancement de la commande sur la machine de destination, le mot de passe mysql est demandé tout de suite.

Voilà
A+

Contexte

Je suppose que vous avez un SVN qui tourne. Vous voulez qu’à chaque « commit », un mail soit envoyé à une personne (ou une liste de personnes), contenant tout ce qu’on peut en attendre : message, fichiers impactés etc.
Sur Internet, tout le monde y va de son script en perl, ruby, bash etc. Debian propose un truc tout fait. J’aime bien

Le principe est le suivant : l’outil SVN a déjà tout prévu. Il y a des « hooks » (grappin = bout de code appelable à un instant donné d’une commande SVN) qu’il suffit d’activer. Un tout petit peu de paramétrage et ça roule.

Installez le script-qui-va-bien

Le paquet subversion-tools vous apporte tout un tas de scripts pré-machés (voir /usr/share/subversion/hook-scripts), notamment un pour envoyer un mail bien propre.

Activez le « hook »

Il y a un modèle dans /votre/repo/svn/hooks/, nommé post-commit.tmpl. Copiez-le en post-commit, avec les bonnes permissions (idéalement via cp post-commit.tmpl post-commit).
Editez-le, lisez le baratin et enfin adaptez la dernière ligne indiquant quelle adresse mail est destinatrice (je considère que le serveur hébergeant SVN est capable d’envoyer des mails).
Exemple :

svnsrv:/svn/monrepo/hooks# tail post-commit
# the Subversion repository at
# http://svn.collab.net/repos/svn/trunk/tools/hook-scripts/ and
# http://svn.collab.net/repos/svn/trunk/contrib/hook-scripts/

REPOS="$1"
REV="$2"

/usr/share/subversion/hook-scripts/commit-email.pl \
  "$REPOS" "$REV" mon.adresse@mail.com

Si votre serveur est capable d’envoyer des mails, vous n’avez rien à faire de plus, sinon, il faudra jouer avec la définition des variables $sendmail et $smtp_server (l’une ou l’autre, lisez les commentaires) dans le script /usr/share/subversion/hook-scripts/commit-email.pl.

Enfin, si vous voulez, la ligne de commande accepte plusieurs destinataires (au moins 2, je n’ai pas testé plus ni lu le code pour savoir).

Testez

Normalement, c’est tout. Faire un commit quelconque et voyez le résultat.
J’utilise TortoiseSVN comme client, sous Windows ; ça marche nickel. Si vous vous plantez dans la configuration, Tortoise vous remonte l’erreur indiquant par exemple que le script /usr/share/subversion/hook-scripts/commit-email.pl est KO.

Port knocking :
- tant que votre poste client n’a pas fait une bonne séquence au guichetier (knock-daemon , tel ou tel service est bloqué pour votre IP, via iptables.
- à la fin, vous jouez une séquence pour fermer, ou pas.

Bon j’avoue, je n’ai pas testé. M’enfin, ça doit marcher tout ça. A voir, comme avec le genre fail2ban, si ça ne peut pas être utilisé pour provoquer des dénis de service – le genre je fais bannir/fermer telle IP que je ne suis pas, évidemment.

Ca + du changement de port sur certains services (SSH notamment), et votre machine devrait être une tombe, normalement. Reste les services publics (http…) pour chercher une faille.

(et puis si vous adorez mon site, ce dont je ne doute pas, voici mon flux – façon de parler ; mais je doute que vous aviez besoin de mon aide pour le trouver)

Bonnes vacances

Les basiques :

• file : permet d’identifier un type de fichier, notamment, pour du texte brut, s’il est encodé en ISO-machin ou en UTF-8. A noter, si le texte en question est à l’intérieur d’un script, enfin bref, de quelque chose enrobant ce texte, « file » se limitera à détecter le type de script, par exemple. Dans ce cas, extraire le texte en question dans un fichier à part (via des « grep ») afin d’analyser l’encodage de ce texte. J’ai pas trouvé plus simple
• dos2unix : conversion des fins de lignes DOS (2 octets \010\013 (ou l’inverse) en un seul (\010 ou l’autre, je ne sais jamais . Si vous êtes passés par un transfert FTP type ASCII, c’est fait totomatiquement. Mais en SFTP ou autre chose, niet.
• unix2dos : devinez

Ensuite :

• tcs : permet de convertir un fichier encodé avec un charset vers un autre, exemple : tcs -f 8859-1 -t utf source > dest. Faites des « file » ensuite pour voir.
• rxp : valide la syntaxe XML (et l’encodage utilisé) d’un fichier XML
• od : affiche en hexa, ascii, octal (etc) un fichier. On peut cumuler et mettre en parallèle l’ascii avec l’hexa, par exemple

Voilà, c’est tout.

En quelques mots :
- installez le paquet « linuxlogo »
- choisissez votre logo, en testant via linuxlogo -L list (ou lisez le « man ») puis, par exemple linuxlogo -L bsd
- enfin, modifiez les lignes suivantes dans /etc/inittab, afin d’ajouter -f /etc/issue.linuxlogo :
1:2345:respawn:/sbin/getty -f /etc/issue.linuxlogo 38400 tty1
2:23:respawn:/sbin/getty -f /etc/issue.linuxlogo 38400 tty2
3:23:respawn:/sbin/getty -f /etc/issue.linuxlogo 38400 tty3
4:23:respawn:/sbin/getty -f /etc/issue.linuxlogo 38400 tty4
5:23:respawn:/sbin/getty -f /etc/issue.linuxlogo 38400 tty5
6:23:respawn:/sbin/getty -f /etc/issue.linuxlogo 38400 tty6
- au besoin, allez faire un tour dans /etc/linux_logo.conf
- rebootez (ou redémarrez ces getty ?)

Voilà, ça sert à rien, mais ça en jette. Non ? Bon ok, c’était pour faire plaisir à un ancien collègue…

Simplification possible du problème : un extrêmiste pinguiste vous dira simplement que les espaces dans un nom de fichier, c’est mal. Ca a beau être mal, qui n’a jamais collé un espace dans un nom de fichier ? qui a le choix de ne pas le faire ? ou de tuer ses gentils utilisateurs le faisant ?

En images, ça donne ça :

user@srv:/tmp$ echo >> liste
champ1.1;champ1.2;champ1.3
champ2.1;champ avec espace;champ2.3
champ   avec_tabulation;champ3.2;champ pour finir
CTRL-D pour finir la saisie

user@srv:/tmp$ for i in `cat liste`
> do
> echo $i
> done
champ1.1;champ1.2;champ1.3
champ2.1;champ
avec
espace;champ2.3
champ
avec_tabulation;champ3.2;champ
pour
finir

Houuu le vilain résultat pour quelqu’un qui voulait voir afficher 3 lignes, pour par exemple faire un « awk -F ‘;’ ‘{print $1 ou $2 ou $3}’ pour récupérer tel ou tel champ d’un fichier CSV.
Notez que le « $i » ne changera rien par rapport au $i.

Solution : redéfinir l’IFS.
D’abord le on le sauvegarde car c’est pas simple de taper son contenu, la preuve, affichez cette variable, elle semble vide :

user@srv:/tmp$ echo $IFS

user@srv:/tmp$

La difficulté de syntaxe mentionnée au début de l’article est de faire gober le « \n » sans interprétation par le shell, voici comment faire dans le cas qui nous intéresse : (le reste est expliqué sur wikipedia)

user@srv: /tmp$ OLDIFS=$IFS
user@srv:/tmp$ IFS=$'\n'
user@srv:/tmp$ for i in `cat liste`; do echo "$i"; done
champ1.1;champ1.2;champ1.3
champ2.1;champ avec espace;champ2.3
champ   avec_tabulation;champ3.2;champ pour finir

A noter que votre variable IFS restera en l’état pendant toute votre session (ie, votre shell ouvert). Donc n’oubliez pas de rétablir IFS=$OLDIFS.
Si vous faites ceci dans un script, c’est alors propre à l’exécution du script.

Enfin, pour les bidouilleux, ça peut permettra de faire du découpage assez bizzarement :

user@srv:/tmp$ IFS=a
user@srv:/tmp$ for i in `cat liste`; do echo "$i"; done
ch
mp1.1;ch
mp1.2;ch
mp1.3
ch
mp2.1;ch
mp
vec esp
ce;ch
mp2.3
ch
mp
vec_t
bul
tion;ch
mp3.2;ch
mp pour finir

J’explique par l’exemple :

aptitude install par2

Vous comprendrez vite fait comment utiliser la commande de vérification ou réparation, un exemple :

$ par2verify *PAR2 *
par2cmdline version 0.4, Copyright (C) 2003 Peter Brian Clements.
...
Loading "toto.vol001+01.PAR2".
Loaded 57 new packets including 1 recovery blocks
Loading "toto.vol002+02.PAR2".
Loaded 2 new packets including 2 recovery blocks
...
There are 27 recoverable files and 0 other files.
The block size used was 243200 bytes.
There are a total of 2002 data blocks.
The total size of the data files is 481943615 bytes.
Verifying source files:
Target: "toto.nfo" - found.
Target: "toto.r00" - found.
...
Target: "toto.r17" - missing.
...
Target: "toto.rar" - found.
Target: "toto.sfv" - found.
Scanning extra files:
File: "toto.r17.01-45" - found 45 of 83 data blocks from "toto.r17".
File: "toto.r17.50-83" - found 34 of 83 data blocks from "toto.r17".
Repair is required.
1 file(s) are missing.
26 file(s) are ok.
You have 1998 out of 2002 data blocks available.
You have 201 recovery blocks available.
Repair is possible.
You have an excess of 197 recovery blocks.
4 recovery blocks will be used to repair.

Nickel, vous n’avez plus qu’à lancer par2repair pour effectuer la réparation.

Voilà, y’a pas beaucoup plus à dire.
Ah si. Connaissiez-vous le paquet hellanzb et le plug-in hellafox pour Firefox ?
Un prochain article peut-être. Sinon lancez-vous, c’est assez simple. Un fichier de conf à revoir et zou.

Tout cela est expliqué et difficile à suivre sur wikipedia. Moi j’en retiendrai juste le résultat pratique.

Eviter le problème à l’installation…

Au tout premier accès au disque « virtuel » ainsi créé, je me souviens que le programme d’installation m’a demandé ça :

Ca n’arrive que sur des disques jamais initialisés (comme des grappes RAID) ou des disques virtuels. Peut-être aussi des disques sortis d’usine sans aucun pré-traitement, je ne sais pas.
Par défaut, c’était GPT. J’ai pas trop réfléchi, j’ai mis msdos car j’avais déjà eu ce cas (sur un disque virtuel de petite taille, type machine VirtualBox pour faire joujou). En fait, la proposition par défaut doit être la bonne. Car impossible de formatter au delà de 300 Go ensuite (pourquoi 300 ?)
Si comme moi, vous avez râté cette étape, voici ci-dessous comment corriger.

…ou le corriger après coup

FDISK ne dit trop rien à la création des partitions, masi il crée une partition de moindre taille.
CFDISK est à peine plus bavard. En l’utilisant en console (et non pas à distance), j’ai vu passer des messages d’erreur, notamment :

Very big device. Trying to use READ CAPACITY(16)

De là, Google m’a expliqué le problème et il a fallu le rectifier en changeant ce type de table de partitions. Vous pourrez alors adresser tout l’espace physique de votre disque et le formatter.

Corrigez en utilisant l’outil PARTED :

[root@toto: ~]$ parted /dev/sdb
GNU Parted 1.7.1
Using /dev/sdb
Welcome to GNU Parted! Type 'help' to view a list of commands.
(parted) mklabel gpt
(parted) mkpart
Partition name?  []? MON_GROS_HD
File system type?  [ext2]? ext3
Start? 0
End? -1
(parted) p

Disk /dev/sdb: 2500GB
Sector size (logical/physical): 512B/512B
Partition Table: gpt

Number  Start   End     Size    File system  Name    Flags
 1      17.4kB  2500GB  2500GB               MON_GROS_HD

(parted) quit
[root@toto: ~]$ fdisk -l /dev/sdb

Disk /dev/sdb: 2499.9 GB, 2499946741760 bytes
255 heads, 63 sectors/track, 303934 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes

   Device Boot      Start         End      Blocks   Id  System
/dev/sdb1               1      267350  2147483647+  ee  EFI GPT

[root@toto: ~]$ mkfs.ext3 /dev/sdb1
mke2fs 1.40-WIP (14-Nov-2006)
Filesystem label=
OS type: Linux
Block size=4096 (log=2)
Fragment size=4096 (log=2)
305184768 inodes, 610338551 blocks
30516927 blocks (5.00%) reserved for the super user
First data block=0
Maximum filesystem blocks=4294967296
18627 block groups
32768 blocks per group, 32768 fragments per group
16384 inodes per group
Superblock backups stored on blocks:
        32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208,
        4096000, 7962624, 11239424, 20480000, 23887872, 71663616, 78675968,
        102400000, 214990848, 512000000, 550731776

Writing inode tables: done
Creating journal (32768 blocks): done
Writing superblocks and filesystem accounting information: done

This filesystem will be automatically checked every 35 mounts or
180 days, whichever comes first.  Use tune2fs -c or -i to override.

Et voilà le travail.

Au fait : ext3 semble être limité à 8 To. S’il y a quelques années 8 To paraissaient être une limite lointaine, actuellement, c’est moins évident. Il faudra alors passer en XFS ou ReiserFS (OK, j’évite les blagues de mauvais goût)

Je ne sais pas comment j’ai fait pour tenir si longtemps avec cette horreur.

(et avec modconf, vous pourrez virer une bonne fois le module pcspkr (« PC Speaker »), section kernerls/drivers/input/misc – yarglaaaaa)

Je t’écris car je suis globalement très content de mon Ubuntu, mais l’UTF-8, j’en ai pas besoin et dès que je fais du FTP, SFTP etc avec un système non-UTF-8, ça me fout en l’air les accents. Et des accents, j’aime bien en avoir.
Alors bon, j’ai bien trouvé un article sur un forum Ubuntu permettant de passer mon Ubuntu en iso-8859-15, mais ça a plutôt foiré qu’autre chose.
Je suis donc revenu en arrière, je conserve ma distrib en UTF-8 des fois que je me mette au Japonais un jour, et je cherche plutôt à utiliser mes clients FTP en mode iso-8859-1. Ca me parait plus sain.

Maintenant que j’ai à peu près trouvé tout ce que je voulais, je peux taper sur mon NAS en retrouvant mes accents, ainsi que sur ma dedibox, elle aussi en iso-8truc.

Dans l’explorateur de fichiers de Ubuntu (gnome)

Lorsque je tape une URL du type ftp://login:pass@machine/ je n’ai pas trouvé où mettre un paramétrage sur le jeu de caractères…

Dans gFTP

Dans les options, on peut préciser un jeu de caractère et la conversion se passe bien

Dans lftp

Comme je suis adepte du mode texte et de screen, il fallait aussi que ça marche avec lftp. Pour trouver, j’ai tapé sous le prompt de lftp un beau set -a | grep char pour repérer le paramétrage qui allait bien. Ensuite, j’ai ajouté les deux lignes suivantes dans le fichier /etc/lftp.conf :

set ftp:charset iso-8859-1
set sftp:charset iso-8859-1

Voilà. Ca va être marrant à imposer l’UTF-8….. et puis tant que Windows n’y sera pas, la majorité de la planète n’y passera pas. Enfin bref, de gros trolls poilus en perspective. Moi ça me gave ces gue-guerres…

Et quelques jours après….

Ben finalement je commence à ne plus mettre d’accents nulle part. J’ai moins d’emmerdements…

Si quelqu’un a une doc biblique sur « comment ne pas être emmerdé par l’UTF-8″, je suis preneur.

Récemment, j’ai installé une Ubuntu sur un PC équipé comme suit :
- disque 1 : SAS (Serial-Attached-SCSI) contenant un windows
- disque 2 : SATA vide prévu pour l’Ubuntu
- disques 3 et 4 : 2 HD SATA de données.

Il n’y avait donc qu’un boot XP normal sur le SAS.

Ordre de boot…

Au départ, le BIOS (d’une marque connue qui ne permet rien ou si peu dans son BIOS) pointait sur le SAS puis SATA dans l’ordre de boot.
J’ai choisi de mettre GRUB sur le disque SATA (et ainsi ne pas flinguer le MBR du Windows). Comme ça les OS ignorent presque que l’autre est là et je peux surtout virer un des 2 disques sans devoir réinstaller le MBR de l’un ou de l’autre.

J’ai donc dû inverser l’ordre de boot dans le BIOS. Rien de surprenant jusque là.
Comme on ne peut pas préciser dans ce BIOS quel SATA ou quel SAS doit booter lorsqu’il y en a plusieurs, c’est donc le premier – pas d’autre possibilité.
Ce premier détail – on s’en rend compte après une première install d’Ubuntu sur le SATA où rien ne boote – force à organiser ses disques (mes SATA en l’occurrence) de sorte que l’Ubuntu soit sur le premier SATA. Au départ, dans mon cas, c’était le dernier (je venais de l’ajouter…)

sda, non, sdd, non (hd3,0) non plus… raaaaaah

J’ai fait plusieurs réinstall de la chose et ça ne s’est pas vraiment passé 2 fois pareil au niveau de la détection des disques durs, donc de l’ordre d’apparition, donc de leurs noms, donc de la conf GRUB. Parfois tout marchait tout seul, parfois après install, plus rien ne bootait (ni Ubuntu, ni Windows).
Un conseil donc, avant de lancer l’installation Ubuntu, lorsque vous êtes en liveOS, vous repérez bien le nom de chaque disque via un petit fdisk. Vous le faites avec le BIOS précablé vers le bon disque (mon SATA dans mon cas) :

ubuntu:~$ sudo fdisk -l
Disque /dev/sda: 146.8 Go, 146815737856 octets
255 heads, 63 sectors/track, 17849 cylinders
Units = cylindres of 16065 * 512 = 8225280 bytes
Disk identifier: 0x12345678

Périphérique Amorce    Début         Fin      Blocs    Id  Système
/dev/sda1   *           1       17849   143372061    7  HPFS/NTFS

Disque /dev/sdb: 400.0 Go, 400088457216 octets
255 heads, 63 sectors/track, 48641 cylinders
Units = cylindres of 16065 * 512 = 8225280 bytes
Disk identifier: 0x12345678

Périphérique Amorce    Début         Fin      Blocs    Id  Système
/dev/sdb1   *           1        2432    19535008+  83  Linux
/dev/sdb2            2433        2681     2000092+  82  Linux swap / Solaris
/dev/sdb3            2682       48641   369173700   83  Linux

Disque /dev/sdc: 400.0 Go, 400088457216 octets
255 heads, 63 sectors/track, 48641 cylinders
Units = cylindres of 16065 * 512 = 8225280 bytes
Disk identifier: 0x12345678

Périphérique Amorce    Début         Fin      Blocs    Id  Système
/dev/sdc1               1       48641   390708801    7  HPFS/NTFS

Disque /dev/sdd: 400.0 Go, 400088457216 octets
255 heads, 63 sectors/track, 48641 cylinders
Units = cylindres of 16065 * 512 = 8225280 bytes
Disk identifier: 0x12345678

Périphérique Amorce    Début         Fin      Blocs    Id  Système
/dev/sdd1               1       48641   390708801    7  HPFS/NTFS

Dans le cas ci-dessus, le SAS de 146 Go puis 3 SATA de 400 Go.
Donc Windows = /dev/sda1 et Ubuntu sera = /dev/sdb1

FIXME : Parfois, et je n’arrive pas à l’expliquer, le boot du Live Ubuntu m’a sorti un mode graphique un peu dégradé et l’ordre des disques changeaient…
Au final, je me suis retrouvé avec une conf GRUB mauvaise et pas grand chose ne bootait.

Dans mon cas, la bonne conf est la suivante – je ne prends que la fin du fichier /boot/grub/menu.lst :

## ## End Default Options ##

title           Ubuntu 7.10, kernel 2.6.22-14-generic
root            (hd0,0)
kernel          /boot/vmlinuz-2.6.22-14-generic root=UUID=52f30332-a489-4df5-8305-85c4a1e7dba1 ro quiet splash
initrd          /boot/initrd.img-2.6.22-14-generic
quiet

title           Ubuntu 7.10, kernel 2.6.22-14-generic (recovery mode)
root            (hd0,0)
kernel          /boot/vmlinuz-2.6.22-14-generic root=UUID=52f30332-a489-4df5-8305-85c4a1e7dba1 ro single
initrd          /boot/initrd.img-2.6.22-14-generic

title           Ubuntu 7.10, memtest86+
root            (hd0,0)
kernel          /boot/memtest86+.bin
quiet

### END DEBIAN AUTOMAGIC KERNELS LIST

# This is a divider, added to separate the menu items below from the Debian
# ones.
title           Other operating systems:
root

# This entry automatically added by the Debian installer for a non-linux OS
# on /dev/sda1
title           Windows XP
map             (hd3) (hd0)
map             (hd0) (hd3)
root            (hd3,0)
makeactive
chainloader     +1

Le piège

Si vous avez été attentif, vous avez vu le piège :
Dans GRUB, le linux est vu comme le premier disque : hd0. C’est vrai, à condition de se dire que le BIOS boote (donc détecte ?) d’abord le SATA (donc il compte d’abord les SATA et le SAS est vu alors en 4è).
=> C’est sur cette info que se base GRUB.

Par contre, le disque contenant vraiment l’OS Linux est sdB, donc le deuxième O_o
=> Ce qui veut dire que Ubuntu redétecte l’ordre des disques à sa manière ensuite (disons que je le vois comme ça, tout au moins

De même pour le Windows, c’est sdA alors qu’il est vu par le BIOS en dernier (4è => hd3 dans GRUB).

Enfin, piège ultime, les lignes « map » qui n’étaient pas là au départ.
Windows ne tolère de booter que s’il est « le premier disque » – ce qui ne veut rien dire et est une limitation complètement débile. Toujours est-il que là, il est vu à un moment donné comme 4è et sans vous le dire, ce con de NTLOADER ne part pas (et ne vous dit rien). GRUB vous dit que ça merdoit puis vous ramène au menu de boot.
La commande « map » sert à modifier virtuellement l’ordre des disques. Ca suffit à blouser Windows. Attention le « root » reste sur hd3 alors qu’on a inversé les disques, c’est pas dynamique à ce niveau là.

=> Le bilan après installation Ubuntu, c’est qu’aucun des menus ne menait à rien…. il a fallu changer la conf GRUB à la volée pour récupérer le linux, tester les paramètres pour booter le windows et enfin écrire la bonne conf dans /boot/grub/menu.lst

Remarque sur les modifs à la volée de GRUB lors du boot

Si GRUB démarre après une install, mais qu’aucun menu ne vous démarre un OS (ils sont simplement listés), n’oubliez pas que vous avez la touche ‘e’ pour éditer une des lignes du menu de choix du boot. Les raccourcis claviers sont expliqués. Vous pourrez donc choisir un root (hdtruc,bidule) qui va bien.
Si vous avez bien en tête la conf en terme de /dev/sdX et l’ordre des disques vu par le BIOS, vous devriez pouvoir faire booter n’importe quoi. Une fois sous le linux qui héberge le fichier de conf de GRUB, vous reportez vos modifs et c’est fini.

Récemment, sur un site web avec une audience non négligeable (sans être démentielle : 70 000 hits hebdo), j’ai eu à mettre en place un outil de statistiques vite fait bien fait. J’ai choisi webalizer car je connaissais et car ça se met en place en 3 minutes et que ça sort mine de rien déjà pas mal d’infos (volume de hits, pays d’origine, mots-clefs, référant etc). Et c’est mieux que « pas de stats du tout » dans un premier temps.

Il y avait deux trucs tout bêtes dans l’histoire : j’avais un an de logs non « synthétisés » par webalizer. Il a donc fallu les faire passer dans webalizer pour rattraper l’historique. Et deuxièmement, c’est à ce moment là que j’ai vu que le HostnameLookups était à Off dans la conf /etc/apache2/apache2.conf. Donc les logs ne contenaient que les IP, pas les hostname. Donc pas de statistiques par pays dans Webalizer. Dommage pour une boîte internationale qui veut voir un peu où en est sa notoriété sur la planète…

J’ai donc remédié à tout ça. Cet article présente donc l’installation de la conf rapide de Webalizer (et Apache2 en conséquence) et donne une ligne de commande pour récupérer l’année d’historique (apache2 garde par défaut 52 fichiers de logs en rotation hebdo) et enfin, le plus marrant, mouliner sur les logs pour retrouver les hostnames correspondants aux IP… (en espérant que mon hébergeur ne me flingue pas en voyant le nombre de requête DNS que je crache en ce moment même Je lui ai posé la question, ne négligez pas ce point, ce serait bête de se faire des ennemis)

Installation et conf Webalizer

Sous Debian, un simple :

aptitude install webalizer

L’outil de conf pose 2/3 questions assez simples à répondre, comme votre nom de serveur web, le nom du fichier « logrotaté », typiquement /var/log/apache2/access.log.1 (et pas /var/log/apache2/access.log).
De toute manière, on va repasser sur le fichier de conf tout de suite après l’install. Sachez que « webalizer » fait ses calculs via la cron.daily, au petit matin (par défaut sur Debian) quand vous dormez.
Je mets 2/3 commentaires sur certains paramètres ; voyons ce que donne egrep -v "^$|^#" /etc/webalizer/webalizer.conf :

LogFile         /var/log/apache2/access.log.1
OutputDir       /var/www/webalizer # A vous de voir. Pensez à un htaccess si besoin...
Incremental     yes
ReportTitle     Statistiques d'utilisation de mon serveur web
HostName        toto.com
TopReferrers    50
TopAgents       30
HideSite        *toto
HideSite        *toto.com
HideReferrer    www.toto.com/ # sinon vous passez votre temps à votre les mouvements interne au site
HideReferrer    toto.com/ # idem
HideReferrer    Direct Request
HideURL         *.gif
HideURL         *.GIF
HideURL         *.jpg
HideURL         *.JPG
HideURL         *.ra
HideURL         *.png
GroupURL        /cgi-bin/*
GroupAgent      MSIE
HideAgent       MSIE*
GroupAgent      Mozilla
HideAgent       Mozilla*
GroupAgent      Lynx
HideAgent       Lynx*
GroupAgent      Konqueror
HideAgent       Konqueror*
GroupAgent      Opera
HideAgent       Opera*
IgnoreSite      localhost # je tunnele l'accès à mon propre site et je suis un gros visiteur de mon propre site
IgnoreReferrer  localhost # idem
MangleAgents    4

Dans la conf Apache2 /etc/apache2/apache2.conf, pensez à activer le paramètre HostnameLookups si vous voulez avoir un semblant de trace des pays rendant visite à votre site web (et rechargez Apache).

Chargement de l’historique

Il faut décompresser les logs Apache puis les importer un à un dans webalizer.Simple.
En considérant que vous avez copié vos fichiers access.log.*.gz dans /tmp, vous faites ceci :

for i in access*gz
do
        gunzip $i
done

Et ensuite, lancement de l’import :

for i in `./seq_reverse.py`
do
        webalizer access.log.$i
done

Je ne sais plus si on peut faire un seq sortant les chiffres de 1 à 52 dans l’ordre inverse, alors j’ai pondu un script python pour le faire.

A la fin, si votre répertoire /var/www/webalizer est blindé de fichiers, c’est bon. Vous pouvez voir vos stats sur l’année écoulée.

Retrouver les hostnames

C’est la partie amusante (et bourrin). Si vous n’aviez pas les hostnames des IP visitant votre serveur web, vos logs Apache ressemblait à ça :

86.x.y.190 - - [15/Mar/2007:06:25:25 +0100] "GET /favicon.ico HTTP/1.1" 200 2238 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.2) Gecko/20070219 Firefox/2.0.0.2"

Si vous aviez activé le lookup dans Apache, vos logs ressemblent partiellement à ce qu’il y a ci-dessus (pour les serveurs n’ayant pas de nom) et généralement, ils contiennent plutôt ça :

truc.machin.com - - [02/Mar/2008:06:26:27 +0100] "GET / HTTP/1.1" 200 27488 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

L’idée est de retrouver les noms lorsque vous n’avez que les IP. J’ai écrit un script Python pour ça (excusez-moi, je débute en Python). Script Python pour retrouver les hostnames à partir des IP d’un log Apache2

Et donc à la fin, vous envoyez la purée :

for i in /tmp/access.log.*
do
        ./retrouve_hostname.py $i
done

Attention, c’est bourrin, faites le sur un petit fichier d’abord. Le script vous génère un fichier $i.new, à vous de vider vos statistiques webalizer (rm /var/www/webalizer/*) ensuite et de relancer la moulinette d’import sur ces nouveaux fichiers.

walaaaa, c’est tout pour aujourd’hui.

Cas 1 : vous ne faites rien et l’expéditeur est informé, mais pour un client par exemple, c’est un peu moisi comme réponse.

Cas 2 : vous faites un alias silencieusement et le mail termine chez quelqu’un d’autre sans que l’expéditeur le sache. Ca peut être gênant – car l’adresse restera utilisée

Cas 3 : vous voulez informer l’expéditeur et néanmoins rediriger le mail quelque part

Je vais décrire les cas n°2 et 3 dans cet article. En considérant que vous êtes sur une base postfix+procmail comme je le décris dans ma doc.

Hypothèses

Considérons que le compte de Jean Bonnot (login jbonnot) doive être fermé et que ses mails doivent aller chez Jean Luclesmouches (login jluclesmouches). Considérons aussi que Mr Bonnot ait des alias mails : jbonnot@votre_serveur.fr et j_bonnot@votre_serveur.fr.

Cas n°2

Pour le 2è cas, le plus simple, c’est de faire un alias dans "/etc/aliases/" du type :

jbonnot: jluclesmouches
j_bonnot: jluclesmouches

Puis de lancer la commande "newaliases" ou "postmap /etc/aliases" pour regénérer la base des alias (fichier "/etc/aliases.db").

Cas n°3

Pour le 3è cas, on peut utiliser le programme "vacation" (installez le paquet du même nom, aucune configuration à faire) et triturer la conf de Postfix comme suit.
Dans /etc/postfix/recipient_canonical, ajoutez une ligne :

jbonnot        jluclesmouches+jbonnot
j.bonnot        jluclesmouches+jbonnot

Ensuite, il faut là aussi regénérer la base de données issue de ce fichier, via la commande "cd /etc/postfix ; postmap recipient_canonical" pour obtenir un fichier recipient_canonical.db.

Enfin, dans votre fichier /etc/postfix/main.cf, veillez à avoir la ligne suivante :

recipient_canonical_maps = hash:/etc/postfix/recipient_canonical

Jusqu’ici, un e-mail à destination de Jean Bonnot sera renvoyé par le serveur à destination de Jean Luclesmouches en réécrivant le champ "Delivered-To" dans l’en-tête du mail afin de contenir "Delivered-To: jluclesmouches+jbonnot@blabla.com". Ca permettra à J Luclesmouches (qui a manifestement du temps à revendre) de trier ses mails en entrées en se basant sur ce champ.

Reste à modifier le fichier .procmailrc de Mr Luclesmouches, en ajoutant par exemple :

:0c
* ^Delivered-To: jluclesmouches\+jbonnot@ateme
| vacation -a j_bonnot -a jbonnot -f ~/.vacation_jbonnot.db -m ~/.vacation_jbonnot.msg jluclesmouches

(‘tention, il y a 3 lignes dans le code précédent, la dernière allant de « | vacation » à « jluclesmouches »)

Enfin, créer le message d’absence (pour « vacation ») de feu Mr Bonnot. C’est le fichier .vacation_jbonnot.msg dans le « home directory » de Jean Luclesmouches. Il contiendra par exemple :

From: j_bonnot@votre_serveur.fr
Subject: Re: $SUBJECT
Precedence: Bulk

Mr Jean Bonnot est mort, contactez Mr Jean Luclesmouches à l'adresse blablabla

Contenu à adapter suivant que vous utilisez un simple répondeur sans conserver le mail (directive :0 dans le .procmailrc) ou que vous conservez une copie du mail chez le destinataire (directive :0c dans le .procmailrc).

Testez et ça devrait rouler.

apt-get install bb
bb

Puis perdez 10 minutes de votre temps, mais bon, c’est impressionnant.

Merci à Baptiste de m’avoir montré ce paquet, au hasard d’une discussion à la machine à café.

Avec la commande "file", vous découvrirez ce qu'est le format TNEF :

nunusk:~# file /tmp/winmail.dat
/tmp/winmail.dat: Transport Neutral Encapsulation Format

Ca semble être une bouse sortie de chez Grosoft.
De là, vous ferez à tout hasard une recherche Goog... avant ça : apt-cache pour voir si un outil magique n'existerait pas :

nunusk:~# apt-cache search tnef
libconvert-tnef-perl - Perl module to read TNEF files
libytnef0 - improved decoder for application/ms-tnef attachments
libytnef0-dev - improved decoder for application/ms-tnef attachments
ytnef - improved decoder for application/ms-tnef attachments
ktnef - KDE TNEF viewer
libktnef1 - Library for handling KTNEF email attachments
libktnef1-dev - KTNEF handler library [development]
mailscanner – email virus scanner and spam tagger
tnef – Tool to unpack MIME application/ms-tnef attachments

Ô joie ! J'ai tenté ma chance avec un apt-get install tnef immédiatement suivi d'un man tnef immédiatement suivi d'un tnef -f /tmp/winmail.dat -C . ; ls -ltr et...... un fichier jpg est sorti. Wouaaaaa.

Au moins, je saurai comment régler ces problèmes unitairement, en attendant de comprendre vraiment le problème.