I. Les fichiers de configuration TCP/IP...4. II. Les outils TCP/IP...5

Transcription

1 Services Ip sous Linux - 1 /90 - Sommaire I. Les fichiers de configuration TCP/IP...4 A. Le répertoire /etc/xinetd...4 B. Le fichier /etc/hosts...4 C. Le fichier /etc/lmhosts...4 D. Le fichier /etc/services...4 E. Le fichier /etc/protocols...4 F. Les fichiers hosts.allow et hosts.deny...4 II. Les outils TCP/IP...5 A. ping...5 B. ifconfig...6 C. arp...6 D. route...6 E. netstat...6 F. traceroute...7 G. telnet...7 H. ftp...7 I. nslookup...8 J. who...8 K. last...8 L. finger...8 M. tcpdump...9 N. nmap...9 III. Nfs (Network File System) A. Site web B. Les fichiers de configuration du serveur Nfs C. Exemples de fichiers /etc/exports D. Exemples de fichiers hosts.deny et hosts.allow E. Exécution et contrôle d'exécution des services F. Ports utilisés G. Test de conenxion en local sur le serveur H. Clients Nfs I. Commandes IV. Nis (Network Internet Services) A. Définition B. Les fichiers de configuration du serveur C. Configuration du nom de domaine V. Samba A. Présentation B. Résolution et enregistrement de nom C. Les primitives D. Site Samba E. Les outils Samba F. Option smbwrapper... 13

2 Services Ip sous Linux - 2 /90 - G. Liste des dépendances H. Configuration I. Compilation J. Installation K. Répertoires L. Fichiers de configuration M. Fichiers de log N. Lancement de Samba O. Partage de disques P. Sécurité Q. Serveur Nt R. Exemples de script S. Trou de sécurité T. Bibliographie VI. Bind A. Fichier /etc/host.conf B. Fichier /etc/resolv.conf C. /etc/nsswitch.conf D. Exemple de fichier named.conf E. Exemples de fichier de zone dsfc.fr.hosts VII. Configuration d'un serveur Dhcp A. Site B. Téléchargement C. Compilation D. Script E. Installation à partir d'un fichier rpm F. Exemple de fichier dhcpd.conf G Lancez le serveur dhcpd H. 5.4 Contrôle I. Exemple VIII. Apache A. Fonctionnement d'apache B. Les directives C. Les modules D. Gestion de l'accès du client au serveur E. Les SSI (Server Side Include) F. Le proxy G. Documentation H. Annexe A : liste des types MIME (conf/mime-types) I. ANNEXE B : les directives d'apache J. Annexe C : les modules d'apache IX. Ftp A. Configuration d'un serveur wuftpd B. Configuration d'un serveur vsftpd XI. Ipchains A. Présentation... 53

3 Services Ip sous Linux - 3 /90 - B. Fonctionnement C. Syntaxe générale D. Utilisation de constantes E. Remarques F. Utilisation interactive G. Les ports courants H. Créer des règles I. Quelques règles types XII. Syslog A. Introduction B. Le principe C. L'installation D. Configuration E. Exemple F. Remarques divers G. Tester votre configuration H. Exporter vos logs sur une autre machine XIII. Crontab et at A. Pour quoi faire B. L'installation C. crontab D. Exemples E. at F. Contrôle G. Remarques XIV. Squid A. Installer Squid B. Configuration C. Les droits D. Contrôler l'exécution de squid E. Les commutateurs F. Les directives ou TAG de configuration du fichier /etc/squid.conf G. Les ACL (Access Control List) H. Interface web L. Caches hiérarchiques M. Redirection vers un proxy N. Squidguard XV. SSHD A. Le fichier de configuration B. Protocoles C. Les directives D. Exemple de fichier sshd_config XVI. Qmail A. Fichiers de contrôle XVII. Client Rdp... 69

4 Services Ip sous Linux - 4 /90 - A. Rdesktop XVIII. Netfilter A. Configuration du filtrage B. Principe de l'outil iptables C. Utilisation de l'outil iptables Lancer plusieurs sessions de X D. Définition E. Intérêt I. Les fichiers de configuration TCP/IP A. Le répertoire /etc/xinetd Il contient les fichiers de configuartion. Les paramètres de ces fichiers sont : ftp : nom du service, tel qu'il est déclaré dans /etc/services stream : type de service de transport de données (il existe stream pour tcp, dgram pour udp, raw pour IP) tcp : nom du protocole tel qu'il existe dans /etc/protocols wait : état d'attente, si l'état est wait inetd doit attendre que le serveur ait restitué la socket avant de se remettre à l'écoute. On utilise wait plutôt avec les types dgram et raw. l'autre possibilité est nowait qui permet d'allouer dynamiquement des sockets à utiliser avec le type stream. root : Nom de l'utilisateur sous lequel le daemon tourne /usr/sbin/tcpd in.ftpd Chemin d'accès au programme in.ftpd lancé par inetd (il est possible ici d'ajouter les options de démarrage du programme. B. Le fichier /etc/hosts Il contient la liste des noms associés aux ip Des Différentes machines présentes dans le réseau : host (machine locale) et remotes (machines distantes). La commande hostent permet de consulter ce fichier. La commande hostname permet de connaître le nom de la machine locale. C. Le fichier /etc/lmhosts D. Le fichier /etc/services E. Le fichier /etc/protocols F. Les fichiers hosts.allow et hosts.deny Vous trouverez ces deux fichiers dans le répertoire /etc. Le premier fichier lu est hosts.allow, puis hosts.deny. Si une requête est autorisée dans le fichier hosts.allow alors elle est acceptée, quelque soit le contenu du fichier hosts.deny. Si une requête ne satisfait aucune règle, que ce soit dans hosts.allow ou hosts.deny alors elle est autorisée. En un mot si vous ne mettez rien dans hosts.deny, alors vous n'avez rien fait. Voici un petit exemple qui dans des cas simples est suffisant : # hosts.allow ALL : LOCAL in.ftpd : , / , in.telnetd :.ac-creteil.fr On autorise tout les ports depuis un accès local, et on autorise ftp pour les machines venant du réseau , ainsi que les machines du réseau avec une autre notation et enfin la seule machine qui a pour adresse

5 Services Ip sous Linux - 5 /90 - et le fichier hosts.deny #hosts.deny ALL:ALL Le fichier hosts.deny est simple à comprendre, il interdit tout par défaut. Le fichier hosts.allow indique les services que je veux autoriser (Le nom du service doit être identique au nom qui se trouve dans inetd.conf). la syntaxe est la suivante : deamon [,deamon,... ] : client [,client,... ] [: option : option...] Cette syntaxe est identique dans les deux fichiers, hosts.allow et hosts.deny. On peut contrôler plus finement les accès à sa machine en contrôlant le fichier de log, en envoyant un message à la personne qui cherche à se connecter, on peut aussi se faire envoyer des messages en utilisant la commande mail. Voici un exemple un peu plus complet et complexe que le précédent : # Fichier hosts.allow ALL: LOCAL.intranet.moi EXCEPT sousdomaine.intranet.moi : ALLOW in.ftpd : ALL : banners /root/messages.txt : spawn (echo " Accès au serveur ftp par l'adresse" %a "le " 'date') >> var/log/ftp.log & sshd : in.telnetd : EXCEPT PARANOID : spawn (/bin/mail -s "Alert le nom d hote et l adresse IP ne correspondent pas" root@%h)& La ligne 1 indique que tous les ports sont ouverts pour la machine LOCAL et pour le domaine.intranet.moi sauf pour sousdomaine.intranet.moi La ligne 2 autorise toutes les connexions sur le service ftp, mais envoi un message sur la machine qui se connecte, reste à placer le texte dans le fichier message.txt. spawn vous permet de faire appel à la commande echo qui envoie un message dans le fichier de log ftp.log avec l'adresse de la machine qui se connecte %a et la date. La ligne 3 indique que seul le réseau peut se connecter via ssh à la machine. La ligne 4 autorise la connexion en telnet depuis la machine uniquement si l'adresse IP de la machine et le nom d'hôte correspondent. On envoie alors un message en utilisant la commande mail. Le fichier hosts.deny restant avec ALL : ALL Les variables que vous pouvez utiliser sont : %a L'adresse IP du client %A L'adresse IP du serveur %c Informations disponibles sur l'utilisateur %d Le nom du daemon %h Le nom du client ou son adresse IP si on ne peut avoir le nom %H Le nom du serveur ou son adresse IP si on ne peut avoir le nom %n Idem mais en vérifiant le reverse DNS %N Idem pour le serveur %p Le pid du daemen %s Informations disponibles sur le serveur %u Nom de l'utilisateur %% Caractère % II. Les outils TCP/IP A. ping Cette commande est normalement connue de tous. Elle existe dans tous les systèmes. Elle permet de vérifier si une machine distante répond. La syntaxe est des plus simple ping -c pour envoyer 5 pings à la machine dont l'adresse IP est

6 Services Ip sous Linux - 6 /90 - On peut aussi utiliser le nom de la machine, si celle-ci est renseignée dans votre fichier Hosts ou dans un serveur DNS. On peut par exemple utiliser ping pour vérifier si la connexion est toujours active ou pour la monter. Si vous ne placez pas l'option -c 5 pour n'envoyer que 5 pings, la commande ne s'arrête pas. Utilisez alors Ctrl C. B. ifconfig ifconfig permet de connaître la configuration de vos cartes réseau, mais aussi de changer celle-ci. Pour changer la configuration de votre carte réseau, vous devez taper ifconfig eth netmask broadcast Comme les valeurs que je viens de donner sont standards, vous pouviez simplement taper ifconfig ETH (le netmask et broadcast proposés sont ceux correspondant à une adresse de classe C). Attention au redémarrage de la machine ce changement sera perdu. Il vous faut donc modifier en même temps le fichier /etc/sysconfig/network-script/ifcfg-eth0. Vous pouvez utiliser linuxconf pour faire plus simplement le même travail. On peut aussi désactiver une carte réseau ifconfig eth0 down et bien sûr la réactiver ifconfig eth0 up C. arp La commande arp permet de mettre en correspondance des adresses IP et les adresses MAC. Les options possibles importantes sont arp -a pour avoir toutes les entrées ARP de la table arp -d nom_de_la_machine pour supprimer une entrée de la table arp -s nom_de_la_machine adresses_mac pour ajouter une nouvelle entrée dans la table. D. route Cette commande permet de voir, d'ajouter ou d'enlever les routes se trouvant déclarées sur votre machine. Ainsi pour indiquer à votre machine où aller trouver les adresses qui ne sont pas les adresses de votre réseau local, vous devez lui indiquer la passerelle (ou gateway) vers laquelle elle doit envoyer tous les paquets. Pour voir les routes indiquer route -n (on peut aussi utiliser netstat -nr) L'option -n permet de ne pas avoir la résolution des noms. Pour ajouter une route par defaut : route add default gateway (La passerelle vers qui j'envoie tous les paquets qui ne sont pas pour le réseau local). Pour détruire cette route route del default Pour ajouter une route vers une machine indiquer route add -host gateway (Indiquer le netmask si celui-ci n'est pas un mask correspondant à la classe de votre adresse). Pour ajouter une route vers un réseau indiquer route add -net netmask gateway Enfin pour supprimer une de ces routes remplacer add par del. La gateway ou passerelle correspond la plupart du temps à votre routeur. Pour avoir la route que vous venez d'ajouter à chaque démarrage placer la commande dans le fichier /etc/rc.d/rc.local par exemple. On peut aussi utiliser linuxconf pour faire la même chose. E. netstat Voilà une commande moins connue et pourtant très utile. Je ne peux ici commenter toutes les options, je vous propose de lire le man netstat. Elle permet en effet de connaître les ports en écoute sur votre machine, sur quelles interfaces, avec quels protocoles de transport (TCP ou UDP), les connexions actives et de connaître les routes. Pour voir les connexions actives netstat -nt, pour les ports ouverts netstat -ntl. On peut aussi vérifier s'il existe une route par défaut, par exemple existe-t-il une route par défaut vers la machine utilisez alors netstat -nr grep L'option -a énumère les ports en cours d'utilisation ou ceux qui sont écoutés par le serveur.

7 Services Ip sous Linux - 7 /90 - L'option -i donne des informations sur les interfaces réseau. F. traceroute Traceroute permet de déterminer la route prise par un paquet pour atteindre la cible sur internet. On peut utiliser soit l'adresse IP, soit le nom d'hôte. Attention certains FireWall ou routeurs ne se laissent pas voir avec la commande traceroute. La commande traceroute est très utile pour savoir ou peut se trouver un blocage (plutôt ralentissement). Il existe un grand nombre d'options, entre autre il est possible de choisir les gateway (jusqu'à 8) pour atteindre une machine. Je vous conseille donc encore une fois de lire le man traceroute. G. telnet Telnet est l'outil indispensable à connaître. Il existe en tant que client sur tous les systèmes. Par contre Linux dispose en plus d'un serveur telnet permettant d'administrer à distance une machine (quoiqu'il existe maintenant un serveur telnet sur windows 2000). On peut ainsi administrer une machine linux depuis un Microsoft quelconque et, mais cela va de soi, depuis une autre machine linux. En tant que client, telnet vous permet d'envoyer et de lire vos messages (voir ici). Pour pouvoir administrer à distance, il faut que le serveur telnet soit installé sur la machine que vous souhaitez administrer. Pensez aussi à vérifier que cela est autorisé dans le fichier etc/inetd.conf et dans /etc/hosts.allow et /etc/hosts.deny (voir tcp wrappers). Si vous devez vous en servir sur un réseau local ou sur internet, préférez lui SSH (ou la version autorisée en France SSF), car alors les mots de passe ne se promènent pas en clair sur le réseau. Par défaut il n'est pas possible de se connecter en root avec une connexion telnet. Vous devez utiliser un autre compte et utiliser la commande su. H. ftp ftp est un outil qui permet de télécharger des fichiers entre machines. Vous connaissez les clients ftp comme ws_ftp. Sous Linux il existe un serveur ftp, que vous activez dans /etc/inetd.conf. Il est installé par défaut dans toutes les distributions. Ce serveur ftp n'est pas lié à l'installation d'apache, comme pour les systèmes Microsoft où vous devez installer IIS pour bénéficier de ce service. Attention toutefois le serveur ftp pose un problème de sécurité important, utilisez plutôt SFTP, qui est disponible avec SSH. Vous disposez aussi d'un client ftp en ligne de commande sous Linux comme sous Microsoft. La syntaxe étant pratiquement la même. [philippe@lycee1 /]$ ftp localhost Connected to localhost. 220 lycee1.ac-creteil.fr FTP server (Version wu-2.6.0(1) Mon Feb 28 10:30:36 EST 2000) ready. Name (localhost:philippe): philippe 331 Password required for philippe. Password: 230 User philippe logged in. Remote system type is UNIX. Using binary mode to transfer files. ftp> binary 200 Type set to I. ftp> mget * Voici les commandes que vous allez utiliser le plus : dir pour lister un répertoire cd nom_du_répertoire pour changer de répertoire

8 Services Ip sous Linux - 8 /90 - get mon_fichier pour copier un fichier vers votre client (obtenir). Il se place alors dans le répertoire où vous vous trouviez. mget * copier tous les fichiers du répertoire vers votre station put mon_fichier pour copier un fichier vers le serveur mput * pour copier les fichiers se trouvant dans votre répertoire. binary pour copier en mode binaire. exit pour quitter Il existe un grand nombre d'autres commandes. Mais vous avez là les principales, pour copier des fichiers entre machines. La commande ftp vous rendra un grand nombre de services, car elle permet assez simplement d'échanger des fichiers entre linux et windows, sans avoir à installer un client ftp ou à configurer samba. I. nslookup L'utilitaire nslookup permet d'interroger un serveur de nom (serveur dns) afin d'avoir des informations sur un domaine ou sur une machine. Par défaut nslookup utilise le serveur de nom configuré sur votre machine, vous pouvez toutefois interroger un autre serveur de nom. [root@aleu /]#nslookup Default Serveur: localhost Car j'ai un serveur dns sur ma machine Address: >help Pour avoir de l'aide >set type = MX Pour lister les entrées de type MX (à savoir les serveurs SMTP du domaine). >ac-creteil.fr Le nom du domaine dont vous voulez avoir des MX Remplacer MX par le type d'enregistrement que vous souhaitez avoir. Par exemple NS pour les serveurs de nom d'un domaine, SOA pour start of authority, PTR pour le reverse, A pour une machine. Pour avoir toutes les informations set type=any puis le nom du domaine. On peut aussi utiliser la commande ls -t CNAME nom_du_domaine pour avoir tous les enregistrements de type cname (les alias). Pour interroger un autre serveur DNS que votre serveur par défaut server NAME J. who Cette commande permet de connaître les personnes qui sont loguées sur votre machine. K. last Cette commande vous permet de voir les dernières connexions ayant eu lieu sur votre machine (en fait il lit le fichier /var/log/wtmp). last sans rien, vous affiche toutes les informations. last philippe toutes les connexions de l'utilisateur philippe. last reboot tous les reboot de la machine avec la date. lastb est une variante de last, dans la mesure ou il ne cherche que les mauvais login (il lit le fichier /var/log/btmp) L. finger finger est un service qui vous permet d'obtenir des informations sur les comptes utilisateurs de votre machine. Ce service est à proscrire. sa syntaxe est toutefois assez simple finger toto@la_machine_distante Pour avoir plus d'informations utiliser l'option -l Cet exemple montre les deux connexions ouvertes sur la machine aleu.

9 Services Ip sous Linux - 9 /90 - [root@aleu philippe]# finger -l Login: root Name: root Directory: /root Shell: /bin/bash On since Sun Oct 22 18:34 (CEST) on tty1 39 seconds idle (messages off) No mail. No Plan. Login: philippe Name: philippe Directory: /home/philippe Shell: /bin/bash On since Sun Oct 22 18:48 (CEST) on pts/0 from No mail. No Plan. Par défaut et par sécurité les machines distantes ne permettent pas, ou plus les commandes finger. M. tcpdump tcpdump permet de faire des captures de paquets sur votre réseau. Je présente ici tcpdump car on le trouve sur tous les cd des distributions. Il n'est pas le plus agréable à utiliser et des utilitaires de ce type plus conviviaux existent. Mon but n'est pas ici de vous montrer comment devenir un pirate (en capturant les mots de passe qui circulent en clair sur votre réseau), mais plus de vous permettre de vérifier par exemple lorsque votre routeur monte la ligne sans que vous ne soyez capable de donner l'origine de cette montée de ligne. Comme de plus cela arrive la nuit (toujours quand on n'est pas là..!), il peut être utile de placer tcpdump et de capturer les paquets à destination de votre routeur et uniquement cela. Au petit matin en analysant le résultat vous savez quelle machine et quel protocole monte la ligne. Par exemple pour intercepter tous les paquets vers la machine sur le port telnet tcpdump -l -q -x host and port telnet Pour intercepter tous les paquets d'une machine vers une autre sur le port telnet tcpdump -l -q -x dst and src and port telnet and tcp Pour avoir tous les paquets qui arrivent sur votre machine ne pas indiquer la source. N. nmap nmap est un outil pour scanner les ports ouverts sur une machine distante. Son utilisation est des plus simple nmap pour scanner une machine ou nmap * pour scanner les machines se trouvant dans le plan d'adressage /24 Utilisez l'option -v pour avoir plus d'informations. On peut bien sur scanner que certains protocoles, par défaut le protocole scanné est TCP. Pour scanner les deux nmap -v -su -st Les options disponibles sont : -st Scanne les ports TCP (attention cela est inscrit dans les fichiers de log de la machine cible). -ss Est identique au précédent sauf que cela ne laisse pas de trace. (il y a une différence quant à la méthode mais cela n'est pas l'objet de cette présentation). -sp En fait un ping. -p Ne scanne que les ports entre 20 et 40. -I Pour avoir plus d'information sur le port ouvert [root@aleu philippe]# nmap -v -su -st Starting nmap V. 2.30BETA17 by fyodor@insecure.org ( ) Host ( ) appears to be up... good. Initiating TCP connect() scan against ( ) Adding TCP port 139 (state Open). Adding TCP port 25 (state Open). Adding TCP port 110 (state Open).

10 Services Ip sous Linux - 10 /90 - Adding TCP port 21 (state Open). Adding TCP port 135 (state Open). Adding TCP port 80 (state Open). Adding TCP port 1026 (state Open). The TCP connect scan took 1 seconds to scan 1534 ports. Initiating FIN,NULL, UDP, or Xmas stealth scan against ( ) The UDP or stealth FIN/NULL/XMAS scan took 4 seconds to scan 1534 ports. Interesting ports on ( ): Port State Service 21/tcp open ftp 25/tcp open smtp 80/tcp open http 110/tcp open pop-3 135/tcp open loc-srv 137/udp open netbios-ns 138/udp open netbios-dgm 139/tcp open netbios-ssn 1026/tcp open nterm Nmap run completed -- 1 IP address (1 host up) scanned in 5 seconds Il n'est pas installé par défaut sur votre machine, mais on commence à le trouver sur le CD d'installation des distributions. Il existe une interface graphique (installer nmap-frontend en version rpm). Evitez de scanner des machines qui ne sont pas vos machines. Ce produit a pour vocation de vérifier si votre machine est correctement configurée, pas pour tester les autres. III. Nfs (Network File System) A. Site web B. Les fichiers de configuration du serveur Nfs /etc/exports Contient les partages et leurs gestions de droits associés /etc/hosts.allow Services autorisés à s'exécuter sur les machines distantes /etc/hosts.deny Services interdits à s'exécurter sur les machines distantes C. Exemples de fichiers /etc/exports 1. Syntaxe générique directory machine1(option11,option12) machine2(option21,option22) 2. Les options ro Lecture seule rw Lecture écriture 3. Spécifier les noms de machines /usr/local (ro) (ro) /home (rw) (rw) 4. Spécifier des sous-réseaux /usr/local / (ro) /home / (rw) 5. Utiliser des noms de domaine /usr/local *.dsfc.fr(ro) /home *.local(rw) D. Exemples de fichiers hosts.deny et hosts.allow Ces fichiers sont utilisés par le démon Inetd et nfsd.

11 Services Ip sous Linux - 11 /90-1. Syntaxe générique service: host [or network/netmask], host [or network/netmask] 2. Exemples de fichiers /etc/hosts.deny ALL:ALL 3. Exemples de fichiers /etc/hosts.allow lockd: / rquotad: / mountd: / statd: / E. Exécution et contrôle d'exécution des services 1. Lancement du service Le service portmap doit être préalablement activé. service nfs start 2. Contrôle du service rpcinfo p 3. Rechargement du fichier /etc/exports exportfs ra F. Ports utilisés Le service portmap utilise les ports Tcp/Udp 111. Le service nfsd utilise les ports Tcp/Udp G. Test de conenxion en local sur le serveur mkdir /mnt/nfs mkdir /mnt/nfs/home mount o=nfsvers= :/home /mnt/nfs/home H. Clients Nfs Hummingbird Nfs Maestro Labtam ProNFS Wrq Reflection I. Commandes 1. nfsstat 2. nfs-export IV. Nis (Network Internet Services) A. Définition C'est un système centralisé d'authentification pour des machines à base d'unix ou de Linux. Il a évolué vers NYS (incluant NIS + et YP Yellow Pages). B. Les fichiers de configuration du serveur /var/yp/securenets /etc/ypserv.conf. C. Configuration du nom de domaine NISDOMAIN in the file /etc/sysconfig/network.

12 Services Ip sous Linux - 12 /90 - V. Samba A. Présentation 1. Historique Le projet est né à partir de Le créateur de Samba, Andrew Tridgell, a trouvé l'acronyme à partir de la commande : grep -i 's.*m.*b' /usr/share/dict/words SMB/CIFS Server Message Block/Common Internet File System 1984 IBM développe l'api NetBIOS (Network Basic Input Output System) IBM définit NetBios Extended User Interface (NetBEUI). Le réseau est limité à 255 noeuds L'IETF (Internet Engineering Task Force) normalise le fonctionnement de NetBIOS sur TCP/IP. B. Résolution et enregistrement de nom Dans un réseau NetBios, chaque ordinateur diffuse son nom. Ce processus s'appelle l'enregistrement. 1. Types de noeuds B broadcast pour l'enregistrement et la résolution P Point à point pour l'enregistrement et la résolution M Diffusion pour l'enregistrement et notification au NBNS NBNS pour la résolution et diffusion en cas d'échec H utilisation du NBNS pour l'enregistrement et la résolution. En cas de panne du NBNS, le noeud recourt à la diffusion. Ressource Valeur hexa Service de station de travail standard 00 Service Messagerie (Winpopup) 03 Service Serveur RAS 06 Service Explorateur principal (associé au PDC) 1B Nom explorateur principal 1D Service NetDDE 1F Serveur de fichiers et d'imprimantes 20 Serveur Client Ras 21 Agent de moniteur réseau BE Moniteur réseau BF Serveur de connexion 1C Non de groupe normal 1E Nom de groupe administratif 20 <01><02>_MSBROWSE_<02> 1 C. Les primitives Datagrammes UDP (137,138) Send Datagram Send Broadcast Datagram Receive Datagram Receive Broadcast Datagram Session TCP (139) Call Listen Hang-up Send Receive Session Status D. Site Samba E. Les outils Samba samba Démarre, arrête et relance le service (samba restart start stop)

13 Services Ip sous Linux - 13 /90 - smbd Démon Samba qui s'appuie sur la configuration définie dans /etc/samba/smb.conf smbd D installe le service smbd h permet d'obtenir l'aide sur la commande. smbd v affiche la version de Samba /usr/local/samba/bin/smbd -D -l /var/adm/smblogs/log -s /usr/local/samba/lib/smb.conf nmbd démon gérant toutes les opérations relatives à la résolution de noms et le parcours du réseau et qui transforme le serveur Linux en serveur Wins smbclient client UNIX pour se connecter à des ressources SMB telles que des partgaes sur des machines Windows à l'instar de clients Ftp smbtar Sauvegarde des données identique à la commande tar sur le client nmblookup Permet d'effectuer des requêts sur des noms NetBios sur TCP/IP make_smbcodepage Crée des fichiers de page de code pour le serveur smbd smbadduser Crée un utilisateur Samba dans le fichier /etc/smbpasswd smbpasswd Crée un mot de passe associé à un utilisateur Samba dans le fichier /etc/smbpasswd smbstatus Etat des connexions au démon smbd testparm Test du fichier /etc/samba/smb.conf testprns Vérification des impirmantes réseau définies dans le fichier /etc/printcap SWAT (Samba Web Administration Tool) Il utilise le port TCP/901. addtosmbpass Script utilisé pour ajouter des entrées sans mots de passe dans le fichier smbpasswd convert_smbpasswd Script permettant de convertir des fichiers smbpasswd d'une version ultérieure vers la version 2.0.x. make_printerdef Script utilisé pour créer un fichier printer.def depuis un fichier.inf de Windows. make_smbcodepage Utilisé pour créer un code page pour Samba. rpcclient Un outil pour les dévelopeurs. smbrun Programme d'interfaçage entre Samba et d'autre programmes. smbtar Outil de backup. Avec l'option smbwrapper smbsh Shell qui vous permet de parcourir un serveur SMB. smbwrapper.so Librairie requise par smbsh. Avec l'option smbmount smbmnt Permet de monter un partage NetBIOS. smbmount Commande qui effectue le montage d'un répertoire smbumount Commande qui démonte le répertoire. Linuxconf Webmin F. Option smbwrapper smbwrapper Compilé avec cette option, vous pourrez à partir de votre station faire : ls /smb cd /smb/nom_de_serveur/nom_de_partage G. Liste des dépendances cd /usr/sbin ldd smbd libssl.so.0 => /usr/lib/libssl.so.0 (0x ) libcrypto.so.0 => /usr/lib/libcrypto.so.0 (0x4004e000) libdl.so.2 => /lib/libdl.so.2 (0x ) libcrypt.so.1 => /lib/libcrypt.so.1 (0x ) libnsl.so.1 => /lib/libnsl.so.1 (0x ) libdes425.so.3 => /usr/kerberos/lib/libdes425.so.3 (0x4014d000) libkrb5.so.3 => /usr/kerberos/lib/libkrb5.so.3 (0x ) libk5crypto.so.3 => /usr/kerberos/lib/libk5crypto.so.3 (0x401ba000) libcom_err.so.3 => /usr/kerberos/lib/libcom_err.so.3 (0x401cf000) libpam.so.0 => /lib/libpam.so.0 (0x401d1000) libc.so.6 => /lib/libc.so.6 (0x401d9000) /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x )

14 Services Ip sous Linux - 14 /90 - H. Configuration./configure --with-smbwrapper I. Compilation make J. Installation make install K. Répertoires /usr/local/samba /usr/local/samba/bin /usr/local/samba/lib /usr/local/samba/man /usr/local/samba/private arborescence prinicpale binaires fichiers de configuration smb.conf et lmhosts documentation L. Fichiers de configuration Dans le fichier /etc/services : swat 901/tcp netbios-ssn 139/tcp netbios-ns 137/udp Dans le fichier /etc/inetd.conf : swat stream tcp nowait.400 root /usr/local/samba/bin/swat swat netbios-ssn stream tcp nowait root /usr/local/samba/bin/smbd smbd netbios-ns stream tcp nowait root /usr/local/samba/bin/smbd nmbd Contenu du fichier /etc/xinetd.d/swat service swat { port = 901 socket_type = stream only_from=localhost wait = no user = root server = /usr/sbin/swat #server_args = /usr/sbin/swat log_on_failure += USERID disable = no } M. Fichiers de log Vous pouvez tracer l'activité au niveau des connexions et du serveur en éditant les fichiers contenus dans le dossier /var/log/samba. N. Lancement de Samba a) Manuel /usr/local/samba/bin/smbd D /usr/local/samba/bin/nmbd D b) Script /etc/rc.local/smb start stop 2. Vérification de l'installation smbclient U% -L localhost

15 Services Ip sous Linux - 15 /90 - O. Partage de disques 1. Variables Variables client %a Architecture du client (Samba, WfWg, WinNT,Win95, UNKNOWN) %I Adresse IP du client %m Nom NetBIOS du client %M Nom DNS du client Variables utilisateur %g Groupe principal de l'utilisateur UNIX %G Groupe principal du nom d'utilisateur client demandé %H Répertoire de base de l'utilisateur %u Nom de l'utilisateur UNIX actuel %U Nom d'utilisateur client demandé Variables de partage %p Chemin d'accès au montage %P Répertoire racine du partage en cours %S Nom du partage en cours Variables serveurs %d ID de processus du serveur en cours %h Non d'hôte DNS du serveur SAMBA %L Nom Netbios du serveur Samba %N Serveur de répertoires de base établi à partir de la table automount %v Version de Samba Autres variables %R Niveau de protocole SMB pris en compte dans la négociation %T Date et heure courantes 2. Sections de /etc/samba/smb.cnf [global] Paramètres s'appliquant à tous les partages [homes] Partage s'appliquant aux utilisateurs connectés s'ils sont identifiés dans le fichier passwd ou smbpasswd. Le partage auquel ils accèdent est par défaut /home/nom_utilisateur 3. Fichiers externes [global] config file=/usr/local/samba/lib/smb.conf.%m # Les paramètres globaux sont lus à partir du fichier spécifié ci-dessus. include file=/usr/local/samba/lib/smb.conf.%m # Les paramètres du fichier spécifiés ci-dessus sont inclus dans la section globale. 4. Les modèles [modele] writable=yes browsable=yes invalid users=dsi,jdt,jms [partage] path=/home/partage copy=modele 5. Options de configuration des partages path Répertoire partagé guest ok Permet le partage sans authentification si la valeur est à yes L'identité de l'utilisateur guest est définie dans la section [global] par la directive guest account=nom_utilisateur comment commentaire volume Nom dos de l'unité physique read only Le partage est en lecture seule si la valeur est à yes writeable Permet l'écriture si la valeur de ce paramètre est à yes 6. Options réseau (section [global]) hosts allow Autorise les machines spécifiées à accéder au serveur hosts allow= localhost ALL ALL EXCEPT

16 Services Ip sous Linux - 16 /90 - hosts deny Interdit les machines spécifiées à accéder au serveur hosts deny= interfaces Spécifie des cartes réseaux par lesquels vous voulez autoriser l'accès au serveur Samba interfaces= / \ / # le backslash permet d'entrer plusieurs lignes associées à la mê directive. bind interfaces only En passant cette directive à yes, le serveur refuse les messages de diffusion n'émanant pas des interfaces socket address Définit l'ip qui écoute netbios aliases Définit les serveurs hébergés sous les noms définis par cette directive netbios aliases = drh compta prod 7. Options d'exploration (section [global]) announce as Déclare le serveur en tant que serveur Win95, WinNT, WfW, NT announce version Par défaut, le serveur est en mode Windows NT 4.2. Evitez de changer cette valeur. browe list Fournit la liste d'exploration à toutes les machines qui se connectent au serveur Samba. la valeur par défaut est à yes browseable Si la valeur est à yes, le partage est affiché dans le voisinage réseau du poste client auto services ou preload Spécifie la liste des utilisateurs dont les répertoires personnels seront visibles à partir d'une exploration réseau local master Le serveur Samba tente de devenir l'explorateur principal si la valeur est à yes preferred master Permet de transformer le serveur Samba en tant qu'explorateur principal. Passez cette valeur à yes os level En passant la valeur à 34 (supérieure à 33), l'explorateur Samba prend le pas sur tous les explorateurs Windows Nt. Windows Nt Server 4 33 Windows Nt Server Windows Nt WorkStation Windows Nt WorkStation Windows 98 2 Windows 95 1 Windows 3.1 for WorkGroups 1 domain master Passez la valeur à yes au cas où Samba soit le contrôleur de domaine remote browse Se synchronise avec les sous-réseaux remote announce Envoie les listes d'exploration 8. Journalisation Il faut avoir compiler Samba avec l'option --with syslog 9. Système de fichiers([global] ou [partage]) hide files=/*.jpg/*.mp3/ Permet de cacher les fichiers spécifiés veto files=/*.jpg/*.mp3/ Enlève les fichiers spécifiés de la liste follow symlinks=no Evite de suivre les liens symboliques constitués dans l'arborescence du partage. les liens symboliques sont assimilés à des raccourcis wide links=yes Permet de suivre les liens symboliques en dehors du partage unix realname=no Si l'option est à yes, elle fournit le nom complet figurant dans le fichier passwd dont descend= rep1 rep2 Spécifie des répertoires Comme étant vides getwd cache=yes Par défaut à no, cette valeur permet d'accélérer l'accès au répertoire de travail hide dot files=yes Vous ne pourrez pas voir les Fichiers commençant par un point. delete veto files=yes Supprime les fichiers spécifiés dans les fichiers à ne jamais visualiser. 10. Permissions create mask=0755 Propriétaire RWX, Groupe RX, Autres RX P. Sécurité 1. Utilisateurs ([partage]) valid Définit les utilisateurs ayant accès au partage

17 Services Ip sous Linux - 17 /90 - invalid users fonction symétrique à la précédente admin users= Définit les utilisateurs agissant en tant que root guest account=anonymous L'utilisateur anonymous est défini en tant que compte invité #Cette directive peut se définir dans la section Global guest ok=yes Active l'accès de type invité guest only=yes N'autorise que l'accès en tant qu'invité read list=user1 user2 Accès en lecture seule write list=user3 user4 Accès en écriture max connections=10 Limite le nombre de connections 2. Sécurité([global]) security=domain share user server domain : par un contrôleur de domaine server : par un autre serveur user : utilisateur et mot de passe share : mot de passe a) Niveau partage (share) [global] security=share [partage] username=pierre, paul, jacques only user=yes Seuls les utilisateurs spécifiés ont le droit de se connecter. b) Niveau utilisateur (user) [global] security=share [partage] writable=yes valid users=pierre, paul, jacques c) Niveau utilisateur (server) [global] security=server password server=server d) Niveau domaine (domain) [global] security=domain password server=server domain logins=yes workgroup=dsfc N'oubliez pas de créer sur le serveur Samba smbpasswd j DSFC r SERVER 3. Mots de passe [global] security=user encrypt passwords=yes smb passwd file=/usr/local/samba/private/smbpasswd unix password sync=yes passwd program=changepass %u passwd chat=*old*password* %o\n *new*password %n\n *new*password %n\n changed

18 Services Ip sous Linux - 18 /90 - Q. Serveur Nt 1. PDC NT (DOMAIN.TXT) a) Client 9x [global] workgroup=dsfc domain logons=yes security=user os level=34 local master=yes preferred master=yes domain master=yes [netlogon] comment=netlogon path=/tmp/netlogon public=no writeable=no b) Client Nt [global] workgroup=dsfc domain logons=yes security=user encrypt passwords=yes Pour la gestion des mots de passe : smbpasswd a m dsi c) Scripts de connexion [global] logon scripts=%u.bat d) Profil errant (PROFILES.TXT) logon path=\\server\profile\%u [profile] comment = Profils path=/tmp/profile create mode=0600 directory mode= 0700 writable=yes browsable=no 2. Serveur Wins Pour spécifier le fichier lmhosts, modifiez le Fichier /etc/sysconfig/samba en entrant : NMBDOPTIONS="-D -H /etc/samba/lmhosts" [global] wins support=yes name resolve order=wins bcast hosts lmhosts dns proxy=yes 3. impression a) Variables %s Chemin du fichier à imprimer %f Nom du fichier %p Nom de l'imprimante UNIX %j Numéro du travail d'impression

19 Services Ip sous Linux - 19 /90 - b) Partage [impr1] printable = yes print command =/usr/bin/lpr r %s printer = lp printing = BSD read only=yes guest account=anonymous guest ok=yes c) test testprns lp /etc/printcap d) Partage PRINTER$ (PRINTER_DRIVER.TXT) Il fait copier les fichiers c:\windows\inf\msprint.inf R. Exemples de script [global] workgroup = DSFC server string = La machine du Pepere Denis netbios name=server ; netbios aliases=pepere DENIS # This option is important for security. It allows you to restrict # connections to machines which are on your local network. The # following example restricts access to two C class networks and # the "loopback" interface. For more examples of the syntax see # the smb.conf man page ; hosts allow = # if you want to automatically load your printer list rather # than setting them up individually then you'll need this printcap name = /etc/printcap load printers = yes # It should not be necessary to spell out the print system type unless # yours is non-standard. Currently supported print systems include: # bsd, sysv, plp, lprng, aix, hpux, qnx printing = lprng guest account = guestsmb # this tells Samba to use a separate log file for each machine # that connects log file = /var/log/samba/%m.log # Put a capping on the size of the log files (in Kb). max log size = 0 # Security mode. Most people will want user level security. See # security_level.txt for details. security = domain # Use password server option only with security = server or security = domain password server = * # Password Level allows matching of _n_ characters of the password for # all combinations of upper and lower case. ; password level = 8 ; username level = 8 # You may wish to use password encryption. Please read # ENCRYPTION.txt, Win95.txt and WinNT.txt in the Samba documentation. # Do not enable this option unless you have read those documents encrypt passwords = yes smb passwd file = /etc/samba/smbpasswd # The following are needed to allow password changing from Windows to # update the Linux sytsem password also.

20 Services Ip sous Linux - 20 /90 - # NOTE: Use these with 'encrypt passwords' and 'smb passwd file' above. # NOTE2: You do NOT need these to allow workstations to change only # the encrypted SMB passwords. They allow the Unix password # to be kept in sync with the SMB password. ; unix password sync = Yes ; passwd program = /usr/bin/passwd %u ; passwd chat = *New*UNIX*password* %n\n *ReType*new*UNIX*password* %n\n*passwd:*all*authentication*tokens*updated*successfully* # Unix users can map to different SMB User names ; username map = /etc/samba/smbusers # Using the following line enables you to customise your configuration # on a per machine basis. The %m gets replaced with the netbios name # of the machine that is connecting ; include = /etc/samba/smb.conf.%m # Most people will find that this option gives better performance. # See speed.txt and the manual pages for details socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 # Configure Samba to use multiple interfaces # If you have multiple network interfaces then you must list them # here. See the man page for details. ; interfaces = / /24 # Configure remote browse list synchronisation here # request announcement to, or browse list sync from: # a specific host or from / to a whole subnet (see below) ; remote browse sync = # Cause this host to announce itself to local subnets here ; remote announce = # Browser Control Options: # set local master to no if you don't want Samba to become a master # browser on your network. Otherwise the normal election rules apply local master = no # OS Level determines the precedence of this server in master browser # elections. The default value should be reasonable os level = 33 # Domain Master specifies Samba to be the Domain Master Browser. This # allows Samba to collate browse lists between subnets. Don't use this # if you already have a Windows NT domain controller doing this job domain master = no # Preferred Master causes Samba to force a local browser election on startup # and gives it a slightly higher chance of winning the election preferred master = yes # Enable this if you want Samba to be a domain logon server for # Windows95 workstations. domain logons = yes # if you enable domain logons then you may want a per-machine or # per user logon script # run a specific logon batch file per workstation (machine) logon script = essai.bat ;%m.bat # run a specific logon batch file per username # logon script = %U.bat # All NetBIOS names must be resolved to IP Addresses # 'Name Resolve Order' allows the named resolution mechanism to be specified # the default order is "host lmhosts wins bcast". "host" means use the unix # system gethostbyname() function call that will use either /etc/hosts OR # DNS or NIS depending on the settings of /etc/host.config, /etc/nsswitch.conf # and the /etc/resolv.conf file. "host" therefore is system configuration # dependant. This parameter is most often of use to prevent DNS lookups # in order to resolve NetBIOS names to IP Addresses. Use with care! # The example below excludes use of name resolution for machines that are NOT