Uubu.fr

10 juillet 2014

getent.ldap

Demandes d'informations LDAP

getent.ldap peut être utilisé pour rechercher ou énumérer les informations LDAP. À la différence de getent, cette commande bypass complètement les recherches configurées dans nsswitch.conf. et requête nslcd directement. getent.ldap tente de correspondre au fonctionnement et à la sortie de getent autant que possible, cependant il y a certaines différences. Si plusieurs entrées sont trouvées dans LDAP, plusieurs valeurs sont affichées. Certaines base ont des options supplémentaires.

bases

aliases Liste ou requête les alias mail
ethers Liste ou requête les adresses ethernet
group Liste ou requête les groupes. Il recherche les groupes par group id
group.member Si l'argument est un username, retourne les groupes dont l'utilisateur est membre.
hosts Liste ou requête nom d'hôte et adresses par nom d'hôte, ipv4 ou ipv6.
hostsv4 Idem mais ne retourne que les adresses ipv4
hostsv6 Idem mais ne retourne que les adresses ipv6
netgroup Liste les triplet netgroup
netgroup.norec Idem excepté qu'aucune autre recherche n'est faite pour étendre les netgroups qui sont membre du netgroup fournis.
networks Liste les noms et adresses de réseaux
networksv4 Idem mais retourne uniquement les adresses ipv4
networksv6 Idem mais retourne uniquement les adresses ipv6
passwd Liste ou recherche le compte utilisateur
protocols Énumère la base de protocoles internet
rpc Liste ou recherche les noms qui mappe les numéro RPC
services Liste ou recherche le mappage entre les noms pour les services internet et leur numéro de port correspondant
shadow Liste ou recherche les informations étendus de compte utilisateur.

10 juillet 2014

chsh.ldap

Change le login shell dans LDAP

chsh.ldap peut être utilisé pour changer le login shell de l'utilisateur. Le changement actuel dans LDAP est effectué par nslcd et est sujet à ACL dans le serveur.

OPTIONS

-s, --shell SHELL Nom du shell. Si vide, le système sélectionne le shell par défaut.
-l, --list-shells Liste les shells trouvés dans /etc/shells

10 juillet 2014

nslcd.conf

Fichier de configuration de nslcd

options runtimes

threads NUM Spécifie le nombre de threads. Défaut: 5
uid UID user id du service
gid GID Groupe du service
log SCHEME [LEVEL] Contrôle les logs. SCHEME peut être none ou syslog. (défaut: syslog info)

options de connexion

uri URI URI du serveur LDAP. La valeur alternative DNS peut être utilisée pour rechercher les DNS SRV avec la syntaxe DNS:DOMAIN.
ldap_version VERSION Spécifie la version du protocole LDAP à utiliser
binddn DN DN à utiliser pour le bind.
bindpw PASSWORD Mot de passe du binddn
rootpwmoddn DN Spécifie le DN à utiliser quand root tente de modifier le mot de passe d'un utilisateur en utilisant le module PAM.
rootpwmodpw PASSWORD Mot de passe de rootpwmoddn

options SASL

sasl_mech MECHANISM Spécifie le mécanisme SASL à utiliser pour l'authentification SASL
sasl_realm REALM Domaine SASL
sasl_authcid AUTHCID Identité d'authentification
sasl_authzid AUTHZID Identité d'authorisation (doit être spécifié au format dn:‹dn› ou u:‹username›)
sasl_secprops PROPERTIES Spécifie les propriétés de sécurité SASL de Cyrus. les valeurs permise sont décrites dans ldap.conf
sasl_canonicalize yes|no Détermine si le nom d'hôte du serveur LDAP devrait être canonisé ou non. À yes, effectue un reverse lookup.

options Kerberos

krb5_ccname NAME Nom pour le cache d'accréditations Kerberos

options de recherche et mappage

base [MAP] DN Base de recherche. Peut être spécifié plusieurs fois. Une base de recherche globale peut être spécifiée ou un map spécifique.
scope [MAP] sub[tree]|one[level]|base|children Spécifie le scope de recherche.
deref never|searching|finding|always Définis la stratégie de dé-référencement des alias.
referrals yes|no Spécifie si les référant doivent être suivis ou non.
filter MAP FILTER Filtre de recherche à utiliser pour un map spécifique.
map MAP ATTRIBUTE NEWATTRIBUTE Permet de définir d'autres attributs que ceux de la rfc2307.

options de timing et reconnexion

bind_timelimit SECONDS limite de temps pour la connexion au serveur. Défaut: 10 secondes
timelimit SECONDS Spécifie la limite de temps pour une réponse du serveur. 0 pour une attente infinie.
idle_timelimit SECONDS Période d'inactivité avant de fermer la connexion au serveur. Défaut: pas de limite
reconnect_sleeptime SECONDS Temps au delà duquel un serveur ldap est considéré indisponible. Une fois ce temps atteins, les tentatives seront faites une fois par cette tranche de temps. défaut: 10 secondes.

options SSL/TLS

ssl on|off|start_tls Spécifie le mode à utiliser
tls_reqcert never|allow|try|demand|hard Spécifie quelles vérifications effectuer sur le certificat du serveur. Les valeurs sont décrites dans ldap.conf.
tls_cacertdir PATH Répertoire contenant les certificats X.509 pour l'authentification du paire. Ignoré avec GnuTLS.
tls_cacertfile PATH Spécifie le chemin du certificat X.509 pour l'authentification du paire.
tls_randfile PATH Chemin de la source d'entropie. Ignoré avec GnuTLS
tls_ciphers CIPHERS Chiffrement à utiliser pour TLS.
tls_cert PATH Chemin du certificat du client
tls_key PATH Chemin du fichier contenant la clé privé du client.

autres options

pagesize NUMBER › 0, définis le nombre de résultat pour une recherche paginés. Défaut: 0.
nss_initgroups_ignoreusers user1,user2,... Empêche la recherche du groupe membership dans ldap pour les utilisateurs spécifiés. Peut être spécifié plusieurs fois.
nss_min_uid UID uid minimum pour les recherches dans ldap
nss_nested_groups yes|no Si l'attribut member pointe vers un autre groupe, les membres imbriqués sont retournés. Défaut: no.
validnames REGEX pattern pour déterminer les noms d'utilisateurs et de groupes valides.
ignorecase yes|no Prend en compte ou non la casse. yes peut exposer le système à des vulnérabilités.
pam_authz_search FILTER Permet de paramétrer la vérification d'authorisation. Le filtre spécifié est exécuté et si une entrée matche, l'accès est donné. Le filtre peut contenir les variables suivantes: $username, $service, $ruser, $rhost, $tty, $hostname, $fqdn, $dn, $uid. Peut être spécifié plusieurs fois.
pam_password_prohibit_message "MESSAGE" Refuse la modification de mot de passe avec pam_ldap et affiche le message spécifié. Peut être utilisé pour rediriger l'utilisateur vers un autre moyen de changer son mot de passe.
reconnect_invalidate DB,DB,... Si définis, vide les caches spécifiés au démarrage et lors des reconnexions au serveur. db est une des maps nsswitch.
cache CACHE TIME [TIME] Durée de rétentions des entrées dans le cache interne.

Expressions de mappage d'attributs

Pour certains attributs, une expression de mappage peut être utilisé pour construire la valeur résultante. C'est actuellement seulement possible pour les attributs qui n'ont pas besoin d'être utilisés dans les filtres de recherche. Les expressions sont un sous-jeu d'expressions shell. Au lieu de substitution de variable, la recherche d'attribut est faite sur l'entrée courante et la valeur d'attribut est substituée. Les expressions suivantes sont supportés:

${attr}, $attr Substitue la valeur de l'attribut
${attr:-word} Substitue la valeur de l'attribut ou, si l'attribut n'est pas définis ou vide, substitue le mot.
${attr:+word} Substitue le mot si l'attribut si l'attribut est mis, sinon substitue une chaîne vide.
${attr#word} Supprime le match le plus court possible de la gauche de la valeur de l'attribut
${attr##word} Supprime le match le plus long possible de la gauche de la valeur de l'attribut
${attr%word} Supprime le match le plus long possible de la droite de la valeur de l'attribut
${attr%%word} Supprime le match le plus court possible de la droite de la valeur de l'attribut

Seul la version '#' est supportée par nslcd, les autres sont supportés par pynslcd. Également, le seul wilcard supporté par nslcd est ?. Les caractères ", $ et \ doivent être échappés.

Exemples

Utilise l'attribut shadowFlag, avec la valeur 0 par défaut:
"${shadowFlag:-0}"
Utilise uid pour construire homeDirectory si cette attribut est manquant:
"${homeDirectory:-/home/$uid}"
Si isDisabled est mis, retourne 100:
"${isDisabled:+100}"
Enlève le préfixe {crypt} de userPassword:
"${userPassword#{crypt\}}"

10 juillet 2014

pynslcd

Daemon de service de nom LDAP

pynslcd est un service qui fait des requêtes LDAP pour NSS et PAM. Il est configuré via nslcd.conf

OPTIONS

-c, --check Vérifie si le service est lancé. 0 s'il fonctionne, 1 sinon
-d, --debug Mode débug, pynslcd ne se place pas en tâche de fond et envoie ses logs sur stderr.
-n, --nofork Ne se fork pas et reste en foreground

10 juillet 2014

nslcd

Daemon de service de nom LDAP local

nslcd est un service qui fait des requêtes LDAP pour NSS et PAM. Il est configuré via nslcd.conf

OPTIONS

-c, --check Vérifie si le service est lancé. 0 s'il fonctionne, 1 sinon
-d, --debug Mode débug, nslcd ne se place pas en tâche de fond et envoie ses logs sur stderr.
-n, --nofork Ne se fork pas et reste en foreground

Signaux

SIGTERM/SIGINT Annule toute requête en cours et se termine
SIGUSR1 Retente les connexions echouées, sans respecter reconnect_sleeptime et reconnect_retrytime

Fichiers

/etc/nslcd.conf Fichier de configuration de nslcd.

03 février 2014

sysctl.conf

Fichier de configuration de sysctl

   sysctl.conf est un fichier contenant des valeurs sysctl. La syntaxe est la suivante:

  #comment

  ; comment

  token = value

Exemple

Exemple de ligne dans sysctl.conf
kernel.modprobe = /sbin/modprobe

03 février 2014

sysctl

Configuration du kernel en temp réel

OPTIONS

variable[=value] Définis une variable du kernel. nécessite l'option -w
-n, --values Affiche uniquement les valeurs
-e, --ignore Ignore les erreurs sur les clé inconnues
-N, --names Affiche uniquement les noms
-q, --quiet N'affiche pas les valeurs sur stdout
-w, --write Change une valeur
-p[FILE], --load[=FILE], -f[FILE] Charge les paramètres sysctl depuis le fichier spécifié (défaut: /etc/sysctl.conf)
-a, -A, --all, -X Affiche toutes les valeurs disponibles
--deprecated Inclus les paramètres dépréciés à --all
-b, --binary Affiche les valeurs sans newline
--system Charge les paramètres depuis les fichiers de configuration système
--pattern pattern Applique uniquement les paramètres qui matchent le pattern

Exemples

/sbin/sysctl -a
/sbin/sysctl -n kernel.hostname
/sbin/sysctl -w kernel.domainname="example.com"
/sbin/sysctl -p/etc/sysctl.conf
/sbin/sysctl -a --pattern forward
/sbin/sysctl -a --pattern forward$
/sbin/sysctl -a --pattern 'net.ipv4.conf.(eth|wlan)0.arp'
/sbin/sysctl --system --pattern '^net.ipv6'

Fichiers

/etc/sysctl.conf Fichier de configuration de systcl
/etc/sysctl.d/50-libreswan.conf /etc/sysctl.d/99-sysctl.conf Fichiers de configuration de systcl
/run/sysctl.d/*.conf Fichiers système de configuration de sysctl
/usr/local/lib/sysctl.d/*.conf Fichiers système de configuration de sysctl
/usr/lib/sysctl.d/10-default-yama-scope.conf /usr/lib/sysctl.d/50-coredump.conf /usr/lib/sysctl.d/50-default.conf /usr/lib/sysctl.d/50-libkcapi-optmem_max.conf /usr/lib/sysctl.d/97-kde-baloo-filewatch-inotify.conf Fichiers système de configuration de sysctl
/lib/sysctl.d/10-default-yama-scope.conf /lib/sysctl.d/50-coredump.conf /lib/sysctl.d/50-default.conf /lib/sysctl.d/50-libkcapi-optmem_max.conf /lib/sysctl.d/97-kde-baloo-filewatch-inotify.conf Fichiers système de configuration de sysctl

09 mars 2013

parted

Utilitaire de manipulation de partitions

OPTIONS

-l, -list Liste les partitions sur tous les périphériques bloc
-m, -machine Affiche une sortie parsable
-s, -script Ne demande pas confirmation
-a, -align Définis l’alignement pour les nouvelles partitions. Les types valides sont :

none Utilise l’alignement minimum permis par le type de disque
cylinder Aligne les partitions sur les cylindres
minimal l’alignement est donné par la topologie du disque
optimal Utilise l’alignement optimal comme donné par la topologie du disque.

Commandes

[device] Le périphérique bloc à utiliser
[command [options]] Commandes à exécuter. Les commandes possibles sont :

check partition vérifie la partition donnée
cp [source-device] source dest copie le système de fichier de la partition source sur source-device (défaut : périphérique courant) dans la partition de destination sur le périphérique courant.
mkfs partition fs-type Créer un système de fichier : fat16, fat32, ext2, linux-swap ou reiserfs
mklabel label-type Crée un nouveau label de disque : bsd dvh gpt loop mac msdos pc98 ou sun
mkpart part-type [fs-type] start end Crée une partition avec un système de fichier. fs-type peut être fat16, fat32, ext2, HFS, linux-swap, NTFS, reiserfs ou ufs. part-type peut-être primary, logical ou extended
move partition start end déplace une partition
name partition name Définis le nom de la partition (ne fonctionne que sur les labels Max, PC98 et GPT)
print Affiche la table de partition
rescue start end Récupère une partition perdue localisée quelque part entre start et end
resize partition start end Redimensionne un système de fichier dans une partition.
rm partition supprime la partition
select device Sélectionne le périphérique courant (peut être un périphérique disque, un périphérique raid, ou un LVM)
set partition flag state Change l’état du flag : boot, root, swap, hidden, raid, lvm, lba et palo. state doit être soit on soit off
unit unit définis l’unité à utiliser. Peut être s (secteur), B (octet), kB, MB, GB, TB, % (% du périphérique), cyl (cylindres) chs ou compact (mB en, entrée, human-readable en sortie)

24 mai 2010

top

Surveillance du système

L'utilitaire top fournis une vue temps-réel du système. Il peut afficher des informations sommaire sur le système, et une liste des tâches en cours. Les informations qu'il affiche sont configurable.

Le programme fournis une interface interactive limitée pour la manipulation des processus et une interface étendue pour une configuration étendue.

Options de ligne de commande

-b mode batch. Utile pour envoyer la sortie à d'autres programmes ou dans un fichier. Dans ce mode, top n'accèpte pas d'entrée et s'arrête après la limite d'itération définie par -n, ou jusqu'à ce qu'il soit tué.
-c affiche la ligne de commande.
-d Délai (format ss.tt = secondes.dixièmes) Spécifie le délai entre chaque mise à jour d'écran
-h affiche une aide et quitte
-H Threads. activé, les threads seront affichés, sinon top affiche un sommaire de tous les threads courant.
-i Idle. Désactivé, les tâches qui sont au repos ou zombie ne sont pas affichées
-n Nombre d'itération. Spécifie le nombre maximum d'itération ou frames, que top devrait produire avant de se terminer.
-u Monitor. Monitor seulement les processus avec l'uid ou l'utilisateur spécifié
-U Monitor. Idem pour les UID et utilisateur réel, effectifs, sauvegardés et UID de système de fichier.
-p Monitor. Monitor seulement les processus avec le(s) process ID spécifié(s). Cette options peut être spécifiée jusqu'à 20 fois.
-s Mode sécurisé. Lance top en mode sécurisé forcé, même pour root. Ce mode est contrôlé par le fichier de configuration.
-S Mode temps cumulatif. chaque processus est listé avec le temps cpu qu'il a utilisé ainsi que que ses enfants mort.
-v affiche la version et quitte

Champs/colonnes

PID l'ID du processus
PPID l'ID du processus parent
RUSER Le vrai propriétaire de la tâche
UID L'ID effectif du propriétaire de la tâche
USER le nom effectif du propriétaire de la tâche
GROUP Le groupe effectif du propriétaire dela tâche
TTY Le nom du terminal qui contrôle la tâche.
PR La priorité de la tâche
NI valeur nice
P Le dernier processeur utilisé.
%CPU Utilisation CPU, exprimé en % du temps CPU total
TIME Temps CPU. Temps total de CPU que la tâche a utilisé depuis qu'elle a démarré
TIME+ Temps CPU. en centièmes de secondes
%MEM Utilisation mémoire
VIRT Image virtuelle. Quantité totale de mémoire virtuelle utilisée par la tâche.
SWAP Taille swap. Portion de la mémoire virtuelle de la tâche en swap
RES Resident size. Taille de la mémoire physique non swappée de la tâche
CODE Taille de la mémoire virtuelle de code
DATA Taille de la mémoire virtuelle de données+pile
SHR Taille mémoire partagée. Quantité de mémoire partagée utilisée par la tâche
nFLT Page fault count. nombre de page fault majeur qui se sont produite pour une tâche.
nDRT Dirty page count. nombre de pages qui ont été modifiées depuis la dernière écriture sur disque.
S Status du processus :

D uninterruptible sleep
R running
S sleeping
T traced or stopped
Z zombie

Command Ligne de commande ou nom du programme
WCHAN Sleeping in function. En fonction de la disponibilité du kernel link map (System.map), ce champs affiche le nom ou l'adresse de la fonction kernel dans laquelle la tâche est actuellement endormie.
Flags Task Flags. voir ‹linux/shed.h›

Sélectionner et ordonner les colonnes

Après avoir utilisé les commandes 'f' (Fields select) ou 'o' (Order fields), un écran permet de sélectionner et ordonner les colonnes.

Etats CPU

Les états CPU sont affichés au dessus de la liste des tâches.
up User CPU time. Temps que le cpu a passé à faire tourner les processus de l'utilisateur qui ne sont pas nicé
sy System CPU time. Temps que le cpu a passé à faire tourner le kernel et ses processus
ni Nice CPU time. Temps que le cpu a passé à faire tourner les processus de l'utilisateur qui on été nicé.
wa iowait. Temps que le cpu a attendu que les I/O s'achèvent
hi Hardware IRQ. Temps que le cpu a servis les interruptions hardware.
si Software interrupt. Temps que le cpu a servis les interruptions logiciel.
st Steal time. quantité de CPU 'volé' de cette machine virtuelle par l'hyperviseur.

Commandes intéractives globales

elles sont toujours disponible en mode plein écran et en mode d'affichage alternatif, mais certaines ne sont pas disponibles en mode securité.
‹Enter›,‹Space› Rafraîchit l'affichage.
‹ ?›,‹h› affiche l'aide
‹=› Supprime les restrictions sur quelles tâches sont affichées.
‹A› Switch entre le mode plein écran et le mode alternatif
‹B› Active la mise en gras des valeurs du sommaire.
‹d›,‹s› Change l'interval de rafraîchissement.
‹G› Permet de choisir entre 4 'vues' différentes
‹I› switcher entre le mode Irix et le mode Solaris
‹ u › Permet de définir un utilisateur (nom ou UID effectif) pour filter les tâches à afficher
‹U› Permet de définir un utilisateur (nom ou UID réel) pour filter les tâches à afficher
‹k› Permet d'envoyer un signal à une tâche
‹q› quitter top
‹r› Renice une tâche
‹W› Sauvegarde vos options dans le fichier de configuration.
‹Z› change les couleurs d'affichage

Commandes du sommaire

‹l› affiche ou non la ligne affichant la charge moyenne
‹m› affiche ou non les information sur l'utilisation de la mémoire
‹t› affiche ou non l'état des CPU et des tâches
‹ 1 › affiche ou non l'état de chaque CPU

Commandes de la zone des tâches

‹ b › change la façon dont 'x' et 'y' seront affichés
‹x› surligne la colonne de trie.
‹y› surligne les tâche 'runing'
‹z› switch entre le mode monochrome ou le mode couleur.

Contenue de la fenêtre des tâches

‹c› switch entre le nom du programme et la commande dans la colonne commande
‹f›,‹o› Permet de sélectionner des champs et des les ordonner.
‹S› Basculer vers le mode de temps cumuatif.
‹ u › afficher les tâche appartenant à l'utilisateur spécifié

Taille de la fenêtre des tâches

‹ i › Affiche toutes les tâche ou seulement les tache actives
‹n›,‹#› Permet de spécifier le nombre de tâches à afficher.

Trie de la fenêtre des tâches

M %MEM
N PID
P %CPU
T TIME+
‹ la colonne à gauche de la colonne de trie devient la colonne de trie.
› la colonne à droite de la colonne de trie devient la colonne de trie.
‹F›,‹ 0 › permet de changer le champs utilisé pour trier les entrées.
‹R› switch de trie croissant/décroissant

Couleurs

En utilisant 'Z' vous pouvez changer les couleurs.
S sommaire
M message/prompt
H en-tête de colonne
T Tâches
0 - 7 sélectionner la couleur
a/w choisir entre 4 thème de couleur.
B switch de mise en gras
b Switch surligner/gras
z couleur/monochrome

mode d'affichage alternatif

Dans ce mode les 4 groupes d'affichage sont affichés simultanément.
‹-› affiche ou non l'affichage des tâches
‹_› idem mais pour toutes les vues.
‹=› force l'affichage de la liste des tâches
‹+› idem mais pour toutes les vues.
‹A› permet de passer en mode alternatif
‹a›,‹w› permet de changer la vue de la fenêtre courante
‹G› Idem
‹g› Permet de renommer la vue courante

Fichiers

/etc/toprc Ce fichier permet de limiter les fonctionnalités autorisées aux utilisateurs.
/$HOME/.toprc Fichier de configuration top personnel. Utiliser 'W' pour le créer ou le mettre à jours.

Exemple

s # line 1 : 'secure' mode switch
5.0 # line 2 : 'delay' interval in seconds

18 mars 2010

Magic SysRq key

Touches Magic SysRq key

   Les magic SysRq key sont une fonctionnalité du noyau Linux qui permet par une combinaison de touches de lancer des commandes de bas niveau. Elle doit être activée à la compilation du noyau.

  La principale utilité de cette fonctionnalité est de pouvoir redémarrer un système bloqué sans corrompre le système de fichier.

  Sur un ordinateur x86, la combinaison utilisée est formée des 3 touches : Alt+Imprim écran ou Syst et une autre touche qui détermine l'action à effectuer : r « récupère » le clavier, approprié le plus souvent par le système de fenêtrage X Window.

k tue tous les processus de la console virtuelle active
b redémarre immédiatement le système. Cette fonctionnalité peut provoquer des pertes de données : ce qui est en mémoire cache n'est pas écrit sur les disques ; cette fonctionnalité est beaucoup plus radicale que le Ctrl-Alt-Delete de Microsoft ou que le Ctrl+Alt+Del de Linux
c redémarre le processus kexec et affiche le message du crash
s synchronise tous les systèmes de fichier montés Cette fonctionnalité peut être très utile si on doit faire un arrêt rapide de l'ordinateur (arrêt électrique ou logiciel) : elle permet de ne pas perdre les données en mémoire cache
o arrête le système
u passe tous les systèmes de fichier montés en lecture seule
p affiche les registres courants et les flags dans la console
t affiche la liste des différentes tâches actives ainsi que des informations pour chacune
m affiche les informations relatives à la mémoire dans la console (dans cette situation, le noyau n'est pas en mesure de tenir compte de la disposition des touches sur le clavier, et interprète les frappes comme si elles étaient réalisées sur un clavier QWERTY. Dans le cas de l'utilisation d'un clavier AZERTY, il faut donc appuyer sur ',' la touche qui se trouve à l'emplacement du m du clavier QWERTY)
de 0 à 9 permet de définir le type de messages du noyau qui s'affichent dans la console
f appelle la fonction oom_kill, elle tue le processus qui consomme toute la mémoire disponible
e envoie le signal SIGTERM à tous les processus excepté init
i envoie le signal SIGKILL à tous les processus excepté init
l envoie le signal SIGKILL à tous les processus init compris

   Toutes autres touches non assignées à une commande affiche une aide sommaire dans la console.

Modifications

   Les différentes méthodes pour modifier cette fonctionnalité sont

  - méthode la plus rapide : dans le fichier sysctl.conf, interdire ces fonctionnalités en mettant kernel.sysrq=0. Dans ce cas, le contenu du fichier /proc/sys/kernel/sysrq sera '0'.

  - Méthode plus longue, mais plus rigoureuse : Avant de générer un noyau, paramétrer le booléen CONFIG_MAGIC_SYSRQ à false dans les paramètres kernel hacking

  - Méthode de loin la plus rigoureuse, mais aussi la plus complexe et la plus longue : Il peut être tentant de supprimer les fonctionnalités trop dangereuses, et de laisser celles qui peuvent être utiles dans certains cas extrêmes

  Pour supprimer les fonctions jugées trop dangereuses : Avant de générer le noyau, il faut modifier un des fichiers sysrq.c des sources du noyau, Il y a plusieurs fichiers sysrq.c, il faut choisir celui correspondant au type de processeur concerné.

Redémarrer proprement un système bloqué

Pour redémarrer un système Linux qui ne répond plus, il faut utiliser la séquence de touches suivante :
1. unraw — récupérer le contrôle du clavier X ;
2. terminate — envoyer SIGTERM a tous les processus, pour leur permettre de s'arrêter proprement ;
3. kill — envoyer SIGKILL a tous les processus, pour les forcer à s'arrêter immédiatement ;
4. sync — synchroniser les disques, écrire le contenu du tampon sur le disque ;
5. unmount — remonter tous les systèmes de fichiers en lecture seule, pour ne pas devoir lancer fsck au redémarrage ;
6. boot.

Il faut commencer par maintenir simultanément les touches Alt et Syst, puis l'une après l'autre les touches dans l'ordre donné, en attendant au moins deux secondes entre chaque touche.

Cela permet de démonter correctement les systèmes de fichiers, ce qui évite de risquer des corruptions de données et de devoir exécuter fsck au redémarrage. De plus les processus ont du temps pour enregistrer des sauvegardes d'urgence le cas échéant.