Re: un debut de paquet "maintenance"

[hamster <hamster@suna.fdn.fr>]

Le 30/08/2025 à 10:45, Charles Plessy a écrit :
> Bonjour à tous,
>
> j'ai profité un peu de temps libre pour commencer un mini-tutoriel sur
> comment utiliser dpkg-buildpackage pour faire le paquet dont nous parlons,
> en partant de rien et en se laissant guider par les messages d'erreur.
>
> https://salsa.debian.org/plessy/maintenance-a-distance-test

Merci beaucoup pour ce boulot. Je suis pas encore allé voir en détail 
mais ca va bientot venir.

De mon coté j’ai fait une arborescence de fichiers a mettre dans ce paquet :
http://suna.fdn.fr/liens/maintenance-0.5.tar.bz2
Bien sur, il s’agit d’un avant projet voué a évoluer. Toute suggestion 
ou commentaire sont les bienvenus. Vu mon niveau "tres débutant" en 
scripts, les chevronnés vont sans doute hurler… ou rigoler.

L’usage c’est :
- Un bouton "controle a distance" dans le menu "systeme". C’est l’usage 
normal. Ca lance un tunnel ssh, un terminal avec une session tmux et x11vnc.
- Si y’a un souci (bob ferme une fenetre intempestivement par exemple) 
il y a moyen de relancer le bout qu’il a fermé avec un bouton pour 
chaque truc, toujours dans le menu "système" : tunnel, partage-tmux et 
partage-x11vnc.
- Si l’interface graphique est en carafe, il y a toujours moyen dire a 
bob de faire "ctrl-alt-F1" et de fonctionner dans un vrai terminal, avec 
les commandes tunnel (dans un terminal) et partage-tmux (dans un autre). 
Bien sur dans ce cas il faut faire son deuil de x11vnc.
- On peut aussi lancer les commandes tunnel, partage-tmux ou 
partage-x11vnc meme quand on est dans une interface graphique, pour voir 
les messages d’erreur s’afficher si quelque chose ne marche pas.

Une fois que le tunnel est ouvert, il faut se connecter en passant 
dedans et en redirigeant le port 5900 pour le fonctionnement de x11vnc :
ssh -L 5900:localhost:5900 maintenance
commande a adapter a sa configuration si on rebondit sur un serveur.
On peut alors devenir bob avec :
sudo su bob
puis le rejoindre dans la session tmux avec :
partage-tmux
et enfin se connecter en VNC sur localhost:5900 vu que ce port est 
tunellisé jusque sur l’ordi de bob.

Veuillez aussi tenir compte que :

### Il faut rajouter xterm aux dépendances :
xterm fail2ban ssh tmux x11vnc

### Je ne me suis pas encore occupé de connexion ssh par clef, c’est a 
faire.

### Je ne me suis pas encore occupé de configurer ssh pour que la 
configuration ne concerne que les membres du groupe maintenance. C’est a 
faire.

### Je ne me suis pas encore occupé des scripts du responsable. C’est a 
faire.
# a l'installation
    - configurer le port dans /etc/maintenance/port
    - configurer l'adresse IP et le nom d'utilisateur dans 
/etc/ssh/ssh_config.d/30-maintenance-ssh.conf
    - configurer d'adresse IP dans 
/etc/fail2ban/jail.d/jail-maintenance.local
    - créer un utilisateur maintenance avec un n° qui ne risque pas 
d'entrer en conflit avec un autre compte (genre 10001) et l'ajouter au 
groupe sudo
# a la suppression
    - virer l'utilisateur maintenance
    - virer tous les fichiers
    - virer openssh-server sauf si il est marqué comme "installé a la 
main" (vu qu’on vire le fichier de configuration, le serveur ssh se 
retrouverait avec une configuration beaucoup moins bien sécurisée, mieux 
vaut donc l’enlever).
    - que faire pour les autres dépendances ?

### Je ne me suis pas encore occupé de debconf pour toutes ces 
configurations ainsi que pour le mot de passe de l’utilisateur 
maintenance. C’est a faire.

### Je ne me suis pas encore occupé des pages de man pour
    - tunnel
    - partage-tmux
    - partage-x11vnc
    - controle-a-distance
    - /etc/fail2ban/jail.d/jail-maintenance.local
    - /etc/maintenance/port

### Il faudra aussi faire un paquet pour l’ordi a l’autre bout du tunnel.