[Install Kde Neon Chiffrage Total] & Astuces

Mettre a jour kde neon en ligne de commande

taper :

sudo pkcon refresh
sudo pkcon update

Activer gerer les volumes chiffres Truecrypt

j’ai des volumes truecrypt a ouvrir. j’ai trouve sur mon disque dur la derniere version 7.1a linux officielle de ce logiciel (console). ca fonctionne bien sous kde neon ubuntu 18.04 bien qu’il s’agit d’une version tres ancienne. je n’ai pas tente d’installer la version graphique. voici les etapes :

decompresser :
truecrypt-7.1a-linux-console-x64.tar.gz

lancer l’installation :
./truecrypt-7.1a-setup-console-x64

creer un point de montage :
mkdir ~/montage

activer le volume truecrypt (specifier ~/montage comme point de montage ou laisser par defaut) :
truecrypt --mount nom_volume

normallement, le volume est disponible et peut etre gere comme un disque dur…

pour desactiver le volume :
truecrypt -d

Installer Firejail

Firejail permet de securiser les programmes en les executant dans une sandbox. il comporte de nombreuses options et est livre avec de nombreux profils. pour l’installer :

sudo apt install firejail

installer l’interface graphique pour firejail :
sudo apt install firetools

les premiers tests se sont reveles peu probant. firefox s’execute mais sans connexion internet. libreoffice ne se lance tout simplement pas (il faut taper une commande en terminal pour y remedier). j’ai visite le site officiel pour verifier la derniere version, il s’avere que le depot d’ubuntu propose une version un peu date. j’ai telecharge la derniere version dans un package deb. pour verifier l’integrite du package, les instructions ne sont pas claires mais voici les etapes :

copier coller la cle pgp de l’auteur dans un fichier (par exemple cle.key)
importer la cle :
gpg --import cle.key

telecharger le fichier *.asc de firejail…
verifier :
gpg --verify nom_fichier.asc

si tout va bien, recuperer le Hash (SHA256) du package deb dans le fichier asc et taper :
sha256sum nom_package.deb

si ca correspond. installer :
sudo dpkg -i nom_package.deb

la nouvelle version semble plus stable. pour lancer firefox, j’ai d’abords cree un repertoire dedie nomme Firejail et dans celui ci un repertoire nomme firefox. ensuite, j’ai lance la commnande :

firejail --private=/home/nom_utilisateur/Firejail/firefox firefox

ca fonctionne tres bien avec une tres bonne isolation, firefox n’a acces qu’au repertoire specifie. a noter que firejail comporte un profil adapte a firefox mais ca ne me convenait pas…

j’ai fait la meme chose avec cherrytree. le parametre –net=none permet d’empecher le programme d’avoir acces a internet. voici la commande :

firejail --net=none --private=/home/nom_utilisateur/Firejail/cherrytree cherrytree

il y’a un autre utilitaire livre avec firejail qui permet de securiser tous les programmes qui ont un profil automatiquement. ce n’est pas recommande. certains programmes ne fonctionnent pas correctement…

conclusion : firejail est un programme tres utile pour mieux securiser certains programmes. cela dit le probleme dans linux reste associe au serveur graphique x11 qui comporte a ce jour de nombreuses failles et la aucun programme d’isolation n’y pourra rien tant que le serveur graphique wayland ne l’aura pas totallement remplace. mais en attendant, firejail permet de reduire la surface d’attaque notement dans les navigateurs internets (firefox chromium opera). l’option d’interdiction d’acces au net peut egallement etre tres utile avec certains programmes…

Reparation kde neon

Il fallait bien que ca arrive avec toutes mes manipulations. j’ai installe Xpra un serveur plus securise que x11 pour le tester en association avec firejail. resultas, apres redemarrage, plus de clavier ou souris au login. je me voyais mal tout reinstaller. je n’ai pas fait de sauvegarde du systeme. le probleme c’est qu’il n’est plus possible d’intervenir au niveau du demarrage pendant ou apres. il fallait trouver une solution. apres quelques recherche sur le net, voici les etapes :

redemarrez le live de kde neon avec une cle usb :

lancer un terminal.

ouvrir le container luks :
sudo cryptsetup luksOpen /dev/sdb1 sdb1-crypt

montage et activation du CHROOT :

sudo mount /dev/mapper/vg-root /mnt
sudo mount --bind /dev /mnt/dev
sudo mount -t proc /proc /mnt/proc
sudo mount --bind /run /mnt/run
sudo mount -t sysfs /sys /mnt/sys

sudo chroot /mnt /bin/bash

j’ai d’abords desinstalle Xpra mais ca n’a pas regle le probleme. ensuite desinstalle (avec purge totale) et reinstalle xorg sans resultas. puisque le probleme etait lie au clavier et a la souris, j’ai fait une recherche sur google concernant xorg input et trouve deux paquets que j’ai installes :

sudo apt install xserver-xorg-input-all-hwe-18.04
sudo apt install xserver-xorg-input-synaptics-hwe-18.04

apres ca, sortir du CHROOT :
exit

et :
sudo umount -R /mnt

reboot du systeme :
sudo reboot

apres demarrage et login, le clavier et la souris sont actifs de nouveau. probleme resolu.

Note : il va falloir creer un script de backup restauration du systeme utilisable avec le live de kde neon sinon comment reparer restaurer un systeme si on ne peut meme pas y avoir acces…

Activer apercu miniature video dans Dolphin

pour activer l’apercu miniature des video, il faut installer ces deux packages :

sudo apt install ffmpegthumbs
sudo apt install ffmpegthumbnailer

ensuite, section Configurer dolphin / Apercu / cocher Fichiers videos (ffmpegthumbs)

la generation des miniatures n’est pas tres rapide, j’ai donc envisage de creer un lien symbolique vers /tmp qui est lie a tmpfs. ce qui permet des transferts tres rapide. le repertoire qui contient les miniatures se situe dans
/home/nom_utilisateur/.cache/thumbnails

voici les etapes :

creer le repertoire des miniatures :
mkdir /tmp/thumbnails

effacer le repertoire :
/home/nom_utilisateur/.cache/thumbnails

creer le lien symbolique :
ln -s /tmp/thumbnails /home/nom_utilisateur/.cache/thumbnails

le lien sera cree dans /home/nom_utilisateur/.cache et lie directement a /tmp/thumbnails.

conclusion : l’affichage des miniatures est pratiquement instantane. le reste est facile. j’ai cree un script qui recree a chaque demarrage le repertoire /tmp/thumbnails, efface le lien et le recree dans /home/nom_utilisateur/.cache

a noter que tout ce qui est dans /tmp/thumbnails reside en fait en memoire et disparait a chaque extinction du systeme. il faut prendre cela en compte. a un certain moment, j’ai meme envisage de placer tout le repertoire cache de kde dans /tmp mais j’ai choisi la prudence. kde a peut etre besoin de certains fichiers pour fonctionner correctement. en plus, la taille du repertoire peut atteindre environ 500 mo. c’est beaucoup.

Creer package deb de la derniere version de freebasic et l’installer

Je me suis base sur le container (LXD) de firefox (voir section lxd) que j’ai clone. ensuite voici les etapes :

activer le container :
lxc start nom_container

y entrer :
lxc exec nom_container – sudo --login --user ubuntu DISPLAY=:0

avec wget, j’ai telecharge freebasic version 1.05, decompresse dans un repertoire et lancer la commande :
sudo sh install.sh -i

installation des dependances :
sudo apt install -y gcc libncurses-dev libgpm-dev libx11-dev libxext-dev libxpm-dev libxrandr-dev libxrender-dev libgl1-mesa-dev libffi-dev

taper toutes ces commandes une par une :
sudo apt install -y git make checkinstall
git clone https://github.com/freebasic/fbc.git
cd fbc
make
sudo checkinstall --install=no

dans l’ordre, recuperation de checkinstall, du code source de la derniere version de freebasic, compilation et finallement generation du package deb.

sortir du container :
exit

copier le package deb :
lxc file pull nom_container/home/ubuntu/nom_package.deb /home/nom_utilisateur/installs

se placer dans le repertoire du package :
cd /home/nom_utilisateur/installs

installer :
dpkg -i nom_package.deb

eventuellement pour desinstaller :
dpkg --remove nom_package.deb

pour fonctionner correctement, freebasic necessite de tres nombreuses dependances, voici l’essentiel mais il y’en a surement d’autres :
sudo apt install gcc make libncurses5-dev libgpm-dev libx11-dev libxext-dev libxpm-dev libxrandr-dev libxrender-dev libgl1-mesa-dev libffi-dev libgtk2.0-dev libgtk-3-dev freeglut3-dev libsdl2-dev libjpeg9-dev libwebp-dev libtiff5-dev libsdl2-image-dev libmikmod-dev libfishsound1-dev libsmpeg-dev liboggz2-dev libflac-dev libfluidsynth-dev libsdl2-mixer-dev libsdl2-mixer-2.0-0 libfreetype6-dev libsdl2-ttf-dev libsdl2-ttf-2.0-0 libglfw3-dev libgtkglext1-dev

comme editeur de freebasic, j’ai choisi geany :
sudo apt geany

j’ai recupere les exemples de freebasic dans le git et j’ai tout copie dans un repertoire dedie dans home. la plupart des exemples fonctionnent. freebasic est un language tres interessant qui permet de rapidement prototyper un programme. je l’utilise pour des petits programmes. pour les grands projets, j’utilises lazarus freepascal un autre excellent language opensource.

note : la premiere raison pour laquelle j’ai utilise un container pour generer le fichier deb de freebasic, c’est pour ne pas allourdir le systeme principal en y installant n’importe quoi. la deuxieme raison c’est pour tester la viabilite efficacite des containers…

Gerer limiter la priorite des programmes

precedement j’avais recommande d’utiliser cpulimit pour limiter la priorite d’execution de certains programmes mais j’ai trouve une commande beaucoup plus efficace et simple, il s’agit de nice :

exemple :

nice -n 19 commande_a_executer

ce parametre donne une priorite minimale. sur certains traitements lourd notement avec ecriture disque j’ai pu constater une efficacite certaine. sans ce parametre, le systeme devenait parfois peu reactif…

il y’a egallement la commande renice qui permet d’intervenir sur des processus deja actifs.

Changer la taille de swapfile

desactiver le fichier :
sudo swapoff -a

l’effacer :
sudo rm /swapfile

le recreer (creation d’un fichier de 16 go) :
sudo dd if=/dev/zero of=/swapfile bs=1G count=16

faire en sorte que seul root puisse utiliser le fichier :
sudo chmod 600 /swapfile

le reactiver :
sudo mkswap /swapfile
sudo swapon /swapfile

verifier :
sudo swapon --show

eventuellement, editer le fichier :
sudo nano /etc/fstab

et ajouter la ligne (si elle n’existe pas) :
/swapfile swap swap defaults 0 0

pour que le changement devienne permanent.

Installer le package smartmontools

smartmontools contient des utilitaires utilisant la technologie SMART. cette derniere permet de verifier l’etat des disque durs et de detecter par exemple l’imminence d’une defaillance avant qu’elle ne se produise…

installer smartmontools :
sudo apt install smartmontools

donner des informations et verifier que le disque supporte la technologie SMART :
sudo smartctl -i /dev/sdX

lancer un test court en tache de fond (env 1 a 2 minutes) du disque specifie :
sudo smartctl -t short /dev/sdX

l’utilitaire rend la main tout de suite et affiche le temp de fin de test. il est possible d’arreter le test en tapant :
sudo smartctl -X
sinon pour voir le resultas, attendre et taper :
sudo smartctl -l selftest /dev/sdX

si le test court revele une defaillance, il est recommande de lancer un test long pour confirmer le probleme en tapant :
sudo smartctl -t long /dev/sdX

le package comporte egallement smartd activable en permanence pour faire des tests automatiques et eventuellement signaler tout problemes…

note : pour plus details. visiter le wiki d’ubuntu qui est une mine d’informations.

Verifier que la carte graphique secondaire amd est active

mon ordinateur portable utilise exclusivement la carte graphique intel alors qu’il y’a une carte amd integre beaucoup plus performante. apres inspection il apparait cependant que le driver opensource d’amd est installe et que la carte est active. voici les etapes pour le verifier :

afficher informations detaillees sur le systeme :
lspci
la commande affiche effectivement l’existence de deux cartes graphiques :

00:02.0 VGA compatible controller: Intel Corporation UHD Graphics 620
01:00.0 Display controller: Advanced Micro Devices, Inc. [AMD/ATI]

cette commande confirme que le driver opensource amd est actif et que le module kernel est charge :
sudo lspci -v -s 01:00.0
Kernel driver in use: amdgpu
Kernel modules: amdgpu

verification suplementaire concernant le module amd :
lsmod | grep -i amd
resultas : amdgpu

afficher la carte graphique par defaut :
glxinfo | grep "OpenGL renderer"
resultas : OpenGL renderer string: Mesa DRI Intel® UHD Graphics 620 (Kabylake GT2)

afficher la carte graphique secondaire :
DRI_PRIME=1 glxinfo | grep "OpenGL renderer"
resultas : OpenGL renderer string: AMD ICELAND (DRM 3.26.0, 4.18.0-16-generic, LLVM 7.0.0)

cette commande donne des informations beaucoup plus detaillees sur la carte principale :
glxinfo -B

cette commande donne des informations beaucoup plus detaillees sur la carte secondaire :
DRI_PRIME=1 glxinfo -B

pour lancer un programme avec la carte amd, il faut faire preceder la commande par le parametre DRI_PRIME=1. par exemple pour tester la carte :

DRI_PRIME=1 glxgears

DRI_PRIME=1 glmark2

conclusion : probleme resolu.

Chiffrer un disque externe

pour les backups, j’utilise un disque externe de 1 to. bien evidement chiffre. voici les etapes :

taper :
sudo fdisk -l
pour identifier le disque…

le mien se situe dans /dev/sde. initialisation et preparation. attention, ces deux commandes sont tres dangereuse, ne vous tromper pas de device. vous voila prevenu :
sudo parted -s /dev/sde mklabel msdos
sudo parted -s /dev/sde mkpart primary 2048s 100%

chiffrer :
sudo cryptsetup -c aes-xts-plain64 -y --hash sha512 --use-random luksFormat /dev/sde1

ouvrir :
sudo cryptsetup luksOpen /dev/sde1 sde1-crypt

creer volume lvm :
sudo pvcreate /dev/mapper/sde1-crypt
sudo vgcreate back /dev/mapper/sde1-crypt
sudo lvcreate -l +100%FREE back --name root

formatter en ext4 :
sudo mkfs.ext4 /dev/back/root

ne pas oublier de specifier un label (ici ‘backup’) :
sudo e2label /dev/mapper/back-root backup

Note : pour ceux qui ne sont pas a l’aise avec les lignes de commande, il est possible d’utiliser l’editeur de partitions de kde. l’outil est tres puissant et gere les containers LUKS

Sauvegarder restaurer kde neon

l’une de mes preoccupations principales apres avoir installe et configure kde neon, c’est un crash du systeme irrecuperable m’obligeant a tout reinstaller. j’ai passe beaucoup de temps a configurer le systeme et je n’avais pas vraiment envie de repeter le scenario. il fallait trouver une solution viable. apres quelques recherches et tests de diverses solution, voici les etapes :

  • tout d’abords, s’assurer d’avoir toujours disponible une cle usb bootable avec kde neon.

  • un disque dur externe reserve au backup de preference chiffre parce qu’un backup d’un systeme chiffre se doit logiquement d’etre dans le meme etat sinon il est inutile d’y recourir. pour creer un disque chiffre, voir mon precedent post.

ensuite :

  • booter sur la cle usb de kde neon, lancer un terminal :

sudo fdisk -l pour identifier les disques…

ouvrir le container chiffre du disque dur de backup (ici situe dans /dev/sde) :
sudo cryptsetup luksOpen /dev/sde1 sde1-crypt

ouvrir le container chiffre du systeme (ici situe dans /dev/sbd ) :
sudo cryptsetup luksOpen /dev/sdb1 sdb1-crypt

installer partclone qui va servir au backup de la partition systeme :
sudo apt install partclone

sauvegarder la partition systeme (ici le systeme est suppose se trouver dans /dev/mapper/vg-root et le backup est suppose se creer dans /media/neon/backup avec un nom explicite et la specification de la date. a noter que le clonage s’effectue dans un fichier image) :
sudo partclone.ext4 -c -s /dev/mapper/vg-root -o /media/neon/backup/backup-system_$(date +"%d-%m-%Y").img

restaurer la partition systeme :
partclone.ext4 -r -s /media/neon/backup/nom_backup.img -o /dev/mapper/vg-root

Note : le backup s’est effectue avec succes mais je n’ai pas teste la restauration. tout devrait fonctionner mais je ne peux le confirmer a cent pour cent pour l’instant. le backup a necessite environ 23 minutes pour un fichier image d’environ 60 go, partclone a sauvegarde uniquement l’espace occupe du disque qui a en fait une taille de 250 go. si la restauration prend la meme duree, c’est un gain de temp appreciable en comparaison d’une nouvelle installation et reconfiguration. partclone n’est pas vraiment adapte au backup de home. j’envisage d’utiliser un script avec rsync. je verrais plus tard.

Evaluer les capacites de wine en matiere de jeux

J’ai duplique le container lxd wine dans un nouveau reserve uniquement aux jeux, j’ai utilise winetricks pour installer certaines dependances necessaires ensuite j’ai telecharge la derniere version de playonlinux dans le site officiel, la version package dans les depots d’ubuntu est ancienne et comporte quelques bugs d’affichages. j’ai installe de nombreux jeux anciens que j’ai trouve dans des cds mags et certains complets freewares disponibles dans des sites specialises. la pluparts fonctionnent tres bien. pour ceux qui sont interesses, voici la liste :

  • Aerial Fire
  • Air Sharks 2
  • Call of duty
  • Doom 3
  • Shadow ops
  • Shogo
  • Sky Battle
  • Starfighter
  • Delta force
  • Halflife 1

Wine est etonnant et evolue rapidement version apres version. les jeux s’executent avec une bonne qualite graphique et une vitesse satisfaisante. ici le potentiel des containers est revele. il est desormais possible de ne pas polluer le systeme principal et de sandboxer des jeux dans un environnement protege. le backup du container permet de le reinstaller facillement dans une autre machine linux…

J’ai teste la version (3) de wine disponible dans les depots d’ubuntu. pour les jeux plus recents, la version 4 semble plus puissante et plus adapte. playonlinux est une excellente interface graphique a wine mais il en existe de nombreux…

Note : j’ai souvent hesite sous windows a installer des jeux pour ne pas polluer le systeme et le rendre eventuellement instable. ici le probleme ne se pose pas.

Conclusion : Wine peut permettre d’installer utiliser des jeux (meme commerciaux) sous linux. il y’a des projets tres evolues comme CrossOver ou Proton (base sur wine mais plus aboutie). au final, meme les joueurs peuvent desormais envisager linux.

Activer la 3D dans une VM avec Qemu.

Qemu est un emulateur de materiel qui peut simuler de nombreuses architectures (x86, ARM, SPARC…). associe a Virgil 3D et kvm il devient possible de gerer la 3d dans une vm…

voici les etapes pour l’installer :

  • lancer Discover, faite une recherche sur qemu, et installer qemu-virgil. il s’agit d’un package snap. taper :

sudo snap connect qemu-virgil:kvm

  • pour tester, lancer par exemple l’iso de kde neon avec la commande :

qemu-virgil -enable-kvm -m 1024 -device virtio-vga,virgl=on -display sdl,gl=on -netdev user,id=ethernet.0 -device rtl8139,netdev=ethernet.0 -soundhw ac97 -cdrom /chemin/nom_iso

  • dans la vm, taper :

sudo apt install mesa-utils

tester :

glxgears

tester le jeu supertux :

sudo apt install supertux

lancer :

supertux2

Conclusion : ca marche parfaitement. j’ai egallement teste avec succes une vm windows 7. les possibilitees de linux sont vraiment infinies.


Mise a jour : j’ai recupere une vm kde neon sous vmplayer pour l’utiliser avec Qemu. ca fonctionne tres bien.

d’autres jeux fonctionnels :

  • supertuxkart et torcs (simulations voitures)
  • warzone 2100
  • neverball

Note : l’une des particularites interessantes de Qemu avec les jeux, c’est qu’une fois fixe la resolution de l’ecran en mode fenetre, le lancement d’un jeu plein ecran se fait dans la meme resolution sans alterer l’affichage du systeme reel contrairement a lxd ou de nombreux jeux ne se lancent qu’en plein ecran et alterent l’affichage. ce qui necessite de le restaurer ulterieurement. cela dit les jeux sous lxd sont clairement plus rapides. ayant deux cartes intel et amd, la carte graphique integre montre parfois ses limites (lenteurs), la commande DRI_PRIME=1 qui permet d’utiliser la carte amd permet toutefois d’y remedier. finallement Qemu associe a kvm et virgil 3D permet de jouer a la plupart des jeux en mode securise avec isolation totale. il faut une machine puissante avec beaucoup de memoire (8 a 32 go)…

Concernant les vms :

  • vm windows 7 : fonctionne tres bien…
  • vm windows xp : ne fonctionne pas (message d’erreur systematique au demarrage)…
  • vm windows 2000 : fonctionne (mais necessite quelques parametrages)…
  • vm windows 98 se : fonctionne (mais necessite quelques parametrages)…
  • vm freedos : fonctionne.
  • vm kde neon : fonctionne tres bien.
  • vm archlinux : fonctionne tres bien (bon, utiliser un noyau lst parce que l’installation du noyau 5.xx a empeche le boot)…
  • vm Q4OS kde plasma : fonctionne tres bien.
  • vm Reactos : fonctionne bien.

Note : j’utilisais toutes ces vms avec vmplayer. il faut les convertir au format qcow2 et desinstaller vmware tool pour que ca fonctionne mieux…

Reinitialiser Plasma Shell.

j’ai ete confronte a une fuite de memoire provoque apparement par l’editeur kate qui a rendu le systeme instable. meme apres avoir tue le programme en cause, ca n’a pas regle le probleme. j’ai du redemarre le systeme. sous windows j’avais une commande tres efficace qui permettait de relancer explorer et d’eviter un reboot, voici l’equivalent pour kde plasma :

taper alt + espace pour activer Krunner. dans le champ qui apparait, saisir :

killall plasmashell && plasmashell

Attention. avant de lancer cette commande, s’assurer de fermer tous les programmes…

Installation ReactOS sous Qemu.

apres avoir teste avec succes la version live de ReactOS, j’ai decide de l’installer en vm. voici les etapes pour ceux qui seraient interesses :

creation d’un fichier de 15 G pour y installer ReactOS :

qemu-img create -f qcow2 ReactOS.qcow2 15G

pour installer qemu-virgil. voir le post precedent.

lancement de Qemu avec option de boot sur l’iso d’install de ReactOS :

qemu-virgil -enable-kvm -cpu host -m 2048 -device virtio-vga,virgl=on -display sdl,gl=on -netdev user,id=ethernet.0 -device rtl8139,netdev=ethernet.0 -soundhw ac97 -hda /chemin/ReactOS.qcow2 -boot d -cdrom /chemin/ReactOS.iso

apres installation. relancer Qemu avec option de boot sur le disque dur virtuel :

qemu-virgil -enable-kvm -cpu host -m 2048 -device virtio-vga,virgl=on -display sdl,gl=on -netdev user,id=ethernet.0 -device rtl8139,netdev=ethernet.0 -soundhw ac97 -hda /chemin/ReactOS.qcow2 -boot c -cdrom /chemin/ReactOS.iso

le lancement de ReactOSS avec Qemu est tres rapide. le systeme s’est revele plus stable que les anciennes versions que j’avais testes precedement. internet est actif. ce qui permet d’utiliser l’installateur de programme et d’installer rapidement de nombreux programmes. je n’ai pas reussi a activer la 3d. je verrais plus tard.

comme avec la vm de windows 7, j’ai configure l’affichage avec la meme resolution ecran que le systeme reel. dans ce cas il vaut mieux basculer en mode plein ecran en tapant ctrl+alt+f (permet de switcher entre les deux modes fenetre et plein ecran) sous Qemu

Quelqu’un m’a pose une question d’ordre general (il se reconnaitra). il s’agit d’un probleme de lenteur au boot. j’ai un peu cherche. pour que ca serve a d’autres, voici quelques recommandations :

  • lors du boot, taper esc des l’affichage du logo pour voir ce qui se passe.

  • pour analyser le temps de boot, il y’a systemd-analyze. ca devrait afficher ou ca coince…

  • peut etre un probleme de disque dur qui provoque une verification au boot…

  • essayer un autre kernel.

  • desactiver certains services inutilises.

  • attendre un peu avant de tenter quelque chose de risque, il arrive qu’une mise a jour provoque le probleme mais c’est souvent corrige ulterieurement…

il y’a plusieurs autres pistes possibles mais ca depend de la configuration hardware.

1 J'aime

Securiser sandboxer libreoffice en utilisant le format appimage

Libreoffice peut etre installe a partir du depot officiel d’ubuntu ou sous la forme d’un package snap. ces deux solutions ne me conviennent pas parce que ce logiciel est tres lourd et disperse de trop nombreux fichiers. ajouter a cela qu’il a ete impossible de le securiser sandboxer. j’ai cherche et trouve dans le site officiel un package appimage complet. apres l’avoir telecharge, voici pour ceux qui seraient interesses les etapes d’installations :

bon, si l’objectif est de simplement executer directement le package, taper :

chmod a+x LibreOffice-xxx_64.AppImage

ensuite dans le terminal :

./LibreOffice-xxx_64.AppImage

mon objectif etant de securiser sandboxer libreoffice avec firejail :

  • creer dans home un repertoire destine aux packages appimages (par exemple Appimages) et y copier le package.

  • creer dans home un repertoire specifique a libreoffice (par exemple Firejail/libreoffice)

  • pour executer libreoffice, lancer la commande :

firejail --net=none --noprofile --private=/home/nom_utilisateur/Firejail/libreoffice --appimage /home/nom_utilisateur/Appimages/LibreOffice-xxx_64.AppImage

libreoffice n’a aucune raison d’acceder au net, le parametre –net=none l’en empeche. l’option –noprofile a ete necessaire pour eviter le plantage du programme. l’option –private permet de restreindre le programme au repertoire specifie. il sera necessaire de deplacer les fichiers de travail dans ce repertoire pour y avoir acces…

Note : kde permet facillement d’editer le menu d’applications et d’ajouter des liens vers des programmes, c’est ce que j’ai fait en creant des dossiers pour lxd qemu et appimages.

le format appimage se presente sous la forme d’un unique fichier. c’est a mon avis l’ideal sous linux. le stockage dans home permet d’alleger la partition systeme de plusieurs megas. j’ai adopte ce format pour plusieurs programmes. associe a Firejail, c’est encore mieux. le seul bemol, c’est que les packages sont situe dans un disque dur classique et pas le ssd. malgre tout, le demarrage de libreoffice est pratiquement instantane. il sera possible d’y remedier des que les disques ssd de hautes capacites seront disponibles a prix reduits. sinon il reste possible de creer un script universel de lancement de ces packages dans un ramdisk…

Compresser sauvegarder restaurer une vm le plus rapidement possible

Avant de modifier une vm, je fais une sauvegarde par precaution. j’ai teste de nombreux programmes de compression. l’imperatif etait la vitesse de traitement. zstd s’est revele le meilleur. l’algorithme est deja utilise pour les packages de debian et ubuntu. pour l’installer je crois qu’il faut taper :

sudo apt install zstd

sauvegarder compresser un fichier vm (le niveau de compression par defaut est optimale niveau vitesse…) :

zstd nom_fichier

restaurer decompresser :

zstd -d nom_fichier

Note : Qemu permet de restaurer une vm a son etat initial en utilisant un snapshot, mais je n’utilise pas cette fonction…

Alternative au dossier partage sous le Gestionnaire de machines ou Qemu

Contrairement a virtualbox ou vmplayer, la creation d’un dossier partage entre le systeme reel et la vm est plus complique avec le Gestionnaire de machines virtuels ou Qemu. il existe une solution pratique en utilisant une cle usb, pour ceux qui sont interesses, voici les etapes :

  • dans le Gestionnaire de machines virtuels, se positionner en mode detail dans la vm concerne et activer l’option Ajouter nouveau materiel virtuel ensuite peripherique hote usb, selectionner la cle usb…

  • en ligne de commande avec qemu, lancer fdisk -l pour identifier le device de la cle usb et l’ajouter (exemple -hda /dev/sdc).

j’ai procede de cette facon pour transferer des donnees vers la vm ou en recuperer…

Note : Qemu associe a divers extensions s’est revele d’une tres bonne qualite. il n’y a donc plus de raison d’utiliser des logiciels de virtualisations non libres…