MandrakeSecurity. Multiple Network Firewall. Guide de l utilisateur. (

Transcription

1 MandrakeSecurity Multiple Network Firewall Guide de l utilisateur (

3 Table des matières Préface i 1. Notice légale i 2. À propos de Mandrake Linux i 2.1. Contacter la communauté Mandrake i 2.2. Contribuez au projet Mandrake Linux ii 2.3. Acquisition de produits Mandrake ii 3. Au sujet de ce guide d installation et d utilisation MandrakeSecurity iii 4. Auteurs et traducteurs iii 5. Note des traducteurs iv 6. Outils utilisés dans la conception de ce manuel iv 7. Conventions utilisées dans ce manuel iv 7.1. Conventions typographiques iv 7.2. Conventions générales v 1. Démarrage rapide Survol des opérations Étapes préliminaires Installation avec DrakX Introduction au programme d installation de Mandrake Linux Choix de la langue Licence de la distribution Détection et configuration des disques Configuration de la souris Configuration du clavier Création des partitions Choix des partitions à formater Installation des paquetages Mot de passe root Mot de passe de l administrateur Ajouter un utilisateur Configuration réseau Emplacement du programme d amorce Disquette de démarrage Installation de mises à jour depuis Internet L installation est maintenant terminée! Désinstaller Linux I. Administration et configuration de MandrakeSecurity Configuration de base de MandrakeSecurity Introduction Configuration de base du système Configuration des cartes Ethernet Changer le mot de passe de l administrateur Journaux système sur vos machines locales et distantes Configuration de l heure Configurer l accès à Internet Section Accès Internet Configuration d un modem analogique Configurer un accès Internet RNIS (ISDN) Configurer un accès Internet ADSL Configurer un accès Internet par câble ou réseau local Configuration des comptes d accès Restriction de temps Services : DHCP, Proxy, DNS, et bien d autres État des services hébergés Serveur DHCP Serveur mandataire ("Proxy") Squid DNS antémémoire ("Caching") Système de détection d intrusion iii

4 5.6. Activation de services Configuration du comportement du pare-feu Contrôle principal du pare-feu Définition des zones Configuration du masquage, des traductions d adresses réseau statiques et du Proxy ARP Configuration des règles générales Configuration des règles du pare-feu Entretien de la liste noire (BlackList) Configuration des règles de type de service (TDS) Configuration d un VPN Qu est-ce qu un réseau privé virtuel (VPN)? Pourquoi un VPN? Monter un serveur VPN Configurer un client VPN Configurer des clients de paserelle Machine Linux Machine Windows XP Machine Windows 95 ou Windows Machine Windows NT ou Windows Machine DOS utilisant le paquetage NCSA Telnet Windows pour Workgroup Machine MacOS Machine OS/2 Warp Surveillez le pare-feu L utilisation de votre système et de votre réseau Fichiers journaux Outils de gestion Connexion distante en utilisant SSH Sauvegarde et restauration Mise à jour logiciel II. Théorie appliquée De la sécurité sous GNU/Linux Préambule Aperçu Sécurité physique Sécurité locale Sécurité des fichiers et des systèmes de fichiers Sécurité des mots de passe et cryptage Sécurité du noyau Sécurité réseau Préparation de sécurité (avant de vous connecter) Que faire, avant et pendant une effraction Documents de base Foire aux questions Conclusion Vocabulaire relatif à la sécurité Le réseau sous GNU/Linux Copyright Comment utiliser ce document? Informations générales concernant le réseau sous Linux Informations générales sur la configuration du réseau Informations sur IP et Ethernet Informations relative à IP Utilisation du matériel courant pour PC Autres technologies de réseau Câbles et câblages A. Où trouver de la documentation supplémentaire B. La licence Publique Générale GNU (GPL) iv

5 B.1. Introduction B.2. Préambule B.3. Stipulations et conditions relatives à la copie, la distribution et la modification C. Licence de documentation libre GNU C.1. A propos de cette traduction française de la GFDL C.2. Licence de documentation libre GNU PRÉAMBULE APPLICABILITÉ ET DÉFINITIONS COPIES CONFORMES COPIES EN NOMBRE MODIFICATIONS FUSION DE DOCUMENTS REGROUPEMENTS DE DOCUMENTS AGRÉGATION AVEC DES TRAVAUX INDÉPENDANTS TRADUCTION CADUCITÉ RÉVISIONS FUTURES DE CETTE LICENCE C.3. Comment utiliser cette Licence pour vos documents v

6 vi

7 Liste des tableaux 1. Chapitres importés i 1-1. Matériel requis Allocations pour réseaux privés Liste des illustrations 2-1. Écran de bienvenue, le début de l installation Choix la langue par défaut La fenêtre de connexion à MandrakeSecurity Écran d accueil de MandrakeSecurity L icône de déconnexion Modèle d une connexion VPN Ajouter une zone VPN Ajouter une interface réseau ipsec Ajouter des politiques par défaut pour le VPN Ajouter un tunnel au pare-feu Configuration du CA Diagramme VPN Ajouter un serveur VPN Règle pour permettre le trafic HTTP sur le VPN Ajouter un client VPN Nouvelle configuration du réseau local avec drakconnect Régler la passerelle avec drakconnect Configuration de la passerelle sous Windows XP L icône de réseau sous Windows Le tableau de configuration réseau sous Windows Le tableau de configuration TCP/IP sous Windows Le tableau de configuration de la passerelle sous Windows Le tableau de configuration de protocole sous Windows NT La panneau de logiciel réseau sous Windows NT Le tableau de configuration TCP/IP sous Windows NT Le tableau de configuration DNS sous Windows NT Accéder au panneau de contrôle TCP/IP Configuration automatique de l accès à Internet pour MacOS Configuration manuelle de l accès à Internet pour MacOS Exemple de rapport de Snort L écran principal de la section Outils Exemple de l écran Récupérer Appliquer les configurations du fichier restauré Un exemple de routage dynamique Le câblage «NULL-modem» Câblage Ethernet 10base vii

8 viii

9 Préface 1. Notice légale Ce manuel (à l exception des chapitres cités ci-dessous) est la propriété intellectuelle de MandrakeSoft. Ce manuel peut être librement copié, distribué et/ou modifié selon les termes de la Licence GNU Free Documentation License, Version 1.1 ou ultérieure publiée par la Free Software Foundation ; avec la section inaltérable À propos de Mandrake Linux, page i ; les textes de couvertures, cités ci-dessous, et sans texte de dos de couverture. Une copie complète de la licence se trouve à la section Licence de documentation libre GNU, page 201. Textes de couverture : MandrakeSoft Mars Copyright 1999,2000,2001,2002 MandrakeSoft S.A. et MandrakeSoft inc. Les chapitres cité dans le tableau ci-dessous sont la propriété intellectuelle d autres auteurs que le manuel et sont soumis à une licence légèrement différente : De la sécurité sous GNU/Linux, page 131 Le réseau sous GNU/Linux, page 171 Tableau 1. Chapitres importés Copyright Original (c) Kevin Fenzi and Dave Wreski (c) 1997 Terry Dawson, 1998 Alessandro Rubini, 1999 & 2000 Joshua D. Drake {POET}/CommandPrompt, Inc. - Licence Licence publique général (GPL) GNU, telle que publiée par la Free Software Foundation ; version 2 de la licence ou ultérieure, au choix de l utilisateur. Licence LDP (voir l information sur la licence dans le chapitre même) «Mandrake», «Mandrake Linux» et «MandrakeSoft» sont des marques déposées par MandrakeSoft S.A. ; Linux est une marque déposée de Linus Torvalds; UNIX est une marque déposée de «The Open Group» aux États-Unis et d autres pays. Toutes les autres marques déposées et copyrights appartiennent à leurs propriétaires respectifs. 2. À propos de Mandrake Linux Mandrake Linux est une distribution GNU/Linux développée par MandrakeSoft S.A. MandrakeSoft est une société née sur Internet en 1998 avec l ambition de fournir un système GNU/Linux agréable et facile à utiliser. Les deux piliers de MandrakeSoft sont le logiciel libre et le travail coopératif Contacter la communauté Mandrake Nous présentons ci-dessous plusieurs liens Internet pointant vers de nombreuses ressources liées à Mandrake Linux. Si vous souhaitez en savoir plus sur la société MandrakeSoft, consultez son site Web ( mandrakesoft.com/). Un site dédié à la distribution Mandrake Linux ( et tous ses dérivés existe également. MandrakeSoft est également fière de présenter sa plate-forme d aide libre. MandrakeExpert ( mandrakeexpert.com/) n est pas un autre site Web où les gens en aident d autres pour leurs problèmes informatiques en échange d un prix payable d avance, quelle que soit la qualité du service rendu. Il propose une nouvelle expérience s appuyant sur la confiance et le plaisir de récompenser son prochain pour sa contribution. i

10 Préface En sus, MandrakeCampus ( propose à la communauté GNU/Linux des cours de formation libres sur toutes les technologies en rapport avec les logiciels libres. Professeurs, formateurs et élèves disposent là d une plate-forme unique d échange du savoir. Il y a un site pour les fans de Mandrake Linux appelé Mandrake Forum ( : un site exclusif pour toutes les annonces, ragots, astuces, conseils, nouvelles et plus, sur Mandrake Linux. C est aussi un des seuls sites Web interactifs hébergés par MandrakeSoft. Donc, si vous avez quelque chose à nous dire, ou quelque chose que vous souhaitez partager avec d autres utilisateurs, ne cherchez plus, c est l endroit rêvé! Dans la philosophie des logiciels libres, MandrakeSoft offre de nombreux canaux de support ( mandrake-linux.com/fr/ffreesup.php3) pour les distributions Mandrake Linux. Vous êtes en particulier invité à participer aux nombreuses listes de diffusion ( où la communauté Mandrake Linux déploie tout son enthousiasme et sa vivacité. Finalement, n oubliez pas de vous connecter sur MandrakeSecure ( Ce site rassemble tout ce qui a rapport à la sécurité des distributions Mandrake Linux. Vous y trouverez notamment les avertissements de bogues et sécurité, ainsi que des articles en rapport avec la sécurité et la privacité. Un incontournable pour tout administrateur système, ou simple utilisateur soucieux de sécurité Contribuez au projet Mandrake Linux À la demande générale, MandrakeSoft propose à ses utilisateurs enthousiastes de faire une donation (http: // pour encourager les développements futurs du système Mandrake Linux. Vos contributions aideront MandrakeSoft à fournir à ses utilisateurs une distribution améliorée, sécuritaire, conviviale, actualiser, et prenant en charge encore plus de langues. Quels que soient vos talents, vous êtes encouragé à participer à l une des nombreuses tâches que requiert la construction du système Mandrake Linux : paquetages : un système GNU/Linux est principalement constitué de programmes rassemblés depuis Internet. Ils doivent être mis en forme de façon à ce qu ils puissent fonctionner ensemble, si tout se passe bien ; programmation : une foule de projets sont directement développés par MandrakeSoft : cherchez celui qui vous intéresse le plus et proposez votre aide au développeur principal ; internationalisation : traduction des pages des sites Web, programmes et leur documentation respective. documentation : enfin, le livre que vous lisez actuellement lire demande beaucoup d efforts pour suivre l évolution rapide du système. Rédacteurs et traducteurs seront accueillis à bras ouverts! Consultez aussi les pages des contributeurs ( pour en savoir plus sur les différentes façons de contribuer à l évolution de Mandrake Linux. Le 3 août 2001, après avoir rejoint le peloton de tête des fournisseurs de solutions libres et de logiciels GNU/Linux, MandrakeSoft est devenue la première société Linux à être cotée sur une bourse européenne. Que vous soyez déjà actionnaire de MandrakeSoft ou que vous souhaitiez le devenir, nos pages investisseurs ( vous fourniront les meilleures informations financières sur notre société Acquisition de produits Mandrake Pour les fans de Mandrake Linux désirant profiter de la facilité de l achat en ligne, MandrakeSoft vend désormais ses produits dans le monde entier depuis son site de commerce électronique MandrakeStore ( Vous trouverez des logiciels Mandrake Linux systèmes d exploitation et outils réseau (pare-feu), mais aussi des offres spéciales d abonnement, de l assistance, des logiciels tiers et des licences, des manuels de formation et des livres GNU/Linux, ainsi que des tee-shirts, casquettes, et autres gadgets MandrakeSoft. ii

11 3. Au sujet de ce guide d installation et d utilisation MandrakeSecurity Préface Ce livre comprend un chapitre d introduction qui vous guidera quant à l installation et vous informera des composants matériel nécessaires pour utiliser MandrakeSecurity. Il est ensuite conseillé de lire Survol des opérations, page 1 qui donne un aperçu du cycle de vie d un serveur MandrakeSecurity et les tâches de maintenance. Nous détaillerons ensuite le processus d installation (Installation avec DrakX, page 3). C est assez simple, mais s il s agit de votre première installation de GNU/Linux, il est préférable de suivre ce chapitre pendant que vous installez MandrakeSecurity. Puis vient le coeur de la bête! Après ce chapitre d introduction suivent deux parties. La première s intitule Réglage et gestion de MandrakeSecurity et passe à travers toutes les étapes nécessaires pour opérer MandrakeSecurity de façon efficace. Vous apprendrez les réglages de base dans le chapitre Configuration de base de MandrakeSecurity, page 21 et comment configurer la connexion Internet de votre serveur dans le chapitre Configurer l accès à Internet, page 31. Ensuite, le chapitre Services : DHCP, Proxy, DNS, et bien d autres, page 47 explique comment configurer votre serveur en tant que DNS, DHCP et mandataire (Proxy). Il vous informera également au sujet de l utilisation des dispositifs SDI (soit IDS ou Intrusion Detection System). Un des chapitres les plus importants est celui-ci : Configuration du comportement du pare-feu, page 65. Il scrute la section Règles pare-feu de l interface MandrakeSecurity et vous aidera à définir le trafic entrant/sortant sur votre réseau. Les derniers chapitres de cette première partie traitent des réglages initiaux, de configurations ultérieures et de réglage de services. Vous trouverez des renseignements à ces sujets dans les chapitres Surveillez le pare-feu, page 111 et Outils de gestion, page 123. La deuxième partie est plus théorique, d où le titre : Théorie appliquée. Elle est divisée en deux chapitres. Le premier, De la sécurité sous GNU/Linux, page 131, s appuie sur un HOWTO de Kevin Fenzi et Dave Wreski. Son but premier est d aborder des questions de sécurité auxquelles les administrateurs système auront sans aucun doute à faire face. Il alterne entre des sujets philosophiques et pratiques qui vous permettront de mieux sécuriser votre système des crackers potentiels. Le second et dernier chapitre de cette partie s appelle Le réseau sous GNU/Linux, page 171. Il s appuie sur un HOWTO de Joshua D. Drake {POET}. Ce chapitre contient des liens vers de la documentation de réseau, par exemple, sur le TCP/IP. Il discute des incontournables pour opérer un réseau de façon efficace. Il explique des principes technologiques reliés à l IP et à Ethernet, des technologies communes à la plupart des PCs, ainsi que des technologies réseau particulières telles que Appletalk et le relais de trames (Frame Relay). Ce manuel se conclut sur deux annexes. La première, Où trouver de la documentation supplémentaire, page 195, vous guidera vers des sources d information sur Internet. Et la deuxième est la Licence de documentation libre GNU, page 201, soit la licence qui s applique au contenu de ce livre. 4. Auteurs et traducteurs Les personnes suivantes ont contribué à l élaboration de ce manuel Mandrake Linux : Camille Bégnis Fabian Mandelbaum Roberta Michel Rodrigo Pedrosa Joël Pomerleau Christian Roy Les personnes ayant écrit des documents que nous avons intégrés sont listées dans au tableau 1. Ces personnes ont aussi participé à des degrés divers : Amaury Amblard-Ladurantie, Florin Grad, Philippe Libat et Diane Tan. iii

12 Préface 5. Note des traducteurs En passant d un chapitre à l autre, vous remarquerez que ce livre est une œuvre composite. En effet, nous avons cru essentiel de respecter le style spécifique de chaque auteur (anglophone pour la plupart), même si, évidemment, la cohérence technique et lexicale a été notre priorité. Maintenir cette documentation est d ailleurs un véritable défi! Choisir le bon mot n est pas toujours facile puisque la plupart des termes informatiques utilisés par les professionnels de par le monde demeurent en fait des mots de langue anglaise. Inventer un terme français plus clair pour le novice risque alors de dérouter l expert! Que faire? On aura en général opté pour un compromis : donner les deux termes anglais et français lors de la première occurrence textuelle de la notion, puis un seul par la suite, afin de ne pas entraver la lecture. N hésitez pas à nous donner votre avis à ce sujet. Car enfin, dans le droit fil de l esprit particulier de la communauté du libre (open source), nous accueillons les collaborations à bras ouverts! Il vous est tout à fait possible d apporter votre petite pierre à l édification de ce projet de diverses façons. Vous disposez de temps libre? Proposez-nous un nouveau chapitre! Vous comprenez bien l anglais? Aidez-nous à traduire! Vous avez des idées pour améliorer ce document? Nous sommes tout ouïe! Pour toute information sur le projet de documentation de Mandrake Linux, communiquez avec le responsable de la documentation ([email protected]). 6. Outils utilisés dans la conception de ce manuel Ce manuel a été mis en forme avec DocBook. Borges (http: // linux-mandrake. com/ en/ doc/ project/ Borges/ ) a été utilisé pour gérer l ensemble des fichiers du projet. Les fichiers sources XML ont été préformatés avec openjade et jadetex, grâce aux feuilles de style de Norman Walsh personnalisées. Les images ont été prises avec xwd ou GIMP puis converties avec la commande convert du paquetage ImageMagick. Tous ces logiciels sont libres et disponibles sur votre distribution Mandrake Linux. 7. Conventions utilisées dans ce manuel 7.1. Conventions typographiques Afin d accentuer clairement certains mots ou groupes de mots, nous avons utilisé certains attributs typographiques. Le tableau suivant en donne la signification symbolique : Exemple formaté inœud ls -lta ls(1) Signification Signale un terme technique. Types utilisés pour une commande et ses arguments, les options et les noms de fichier (voir la section «Synopsis d une commande, page v»). Référence vers une page de manuel. Pour consulter la page correspondante dans un shell (ou ligne de commande), exécutez la commande man 1 ls. $ ls *.pid $ Ce style est utilisé pour une copie d écran texte. Signale une interaction utilisateur-ordinateur, le code source d un programme, etc. localhost Apache C onfigurer Bus SCSI Once upon a time... Données littérales qui ne correspondent généralement pas à une des catégories précédemment définies : citation d un mot-clé tiré d un fichier de configuration, par exemple. Nom des applications. À ne pas confondre avec le nom de la commande associée (vois plus haut). Entrées de menu ou labels des interfaces graphiques, en général. La lettre soulignée indique le raccourci clavier éventuel. Partie d un ordinateur ou ordinateur lui-même. Citation en langue étrangère. Attention! Types réservés pour les mots que nous voulons accentuer (on les lira à voix haute ;-) iv

13 Préface Cette icône introduit une note. Il s agit généralement d une remarque dans le contexte courant, pour donner une information additionnelle. Cette icône introduit une astuce. Il peut s agir d un conseil d ordre général sur la meilleure façon d arriver à un but spécifique, ou une fonctionnalité intéressante qui peut vous rendre la vie plus facile. Soyez très attentif lorsque vous rencontrez cette icône. Il s agit toujours d informations très importantes sur le sujet en cours de discussion Conventions générales Synopsis d une commande L exemple ci-dessous présente les différents signes et symboles que vous rencontrerez lorsque nous décrivons les arguments d une commande : command <argument non littéral> [--option={arg1,arg2,arg3}] [argument optionnel...] Ces conventions étant standardisées, vous les retrouverez en bien d autres occasions (dans les pages de man, par exemple). Les signes «<» (supérieur) et «>» (inférieur) indiquent un argument obligatoire qui ne doit pas être recopié tel quel mais remplacé par votre texte spécifique. Par exemple : <fichier> désigne le nom d un fichier ; si ce fichier est toto.txt, vous devrez taper toto.txt, et non <toto.txt> ou <fichier>. Les crochets «[ ]» indiquent des arguments optionnels que vous déciderez ou non d inclure dans la ligne de commande. Les points de suspension «...» signifient qu un nombre illimité d options peut être inséré à cet endroit. Les accolades «{ }» contiennent les arguments autorisés à cet endroit. Il faudra obligatoirement insérer un d entre eux à cet endroit précis Notations particulières Il vous sera demandé, de temps à autre, de presser les touches Ctrl+R. Cela signifie que vous devez taper et maintenir la touche Ctrl enfoncée pendant que vous appuyez sur la touche R. Le même chose se rencontre pour les touches Alt et Shift. De même, à propos des menus, aller sur l entrée de menu Fichier Relire la configuration utilisateur (Ctrl+R) signifie : cliquer sur le texte File du menu (généralement horizontal en haut de la fenêtre) puis sur le menu vertical qui apparaît, cliquer sur Relire la configuration utilisateur. De plus, vous êtes informé que vous pouvez utiliser la combinaison de touches Ctrl+R comme décrit ci-dessus pour arriver au même résultat Utilisateurs du système À chaque fois que cela est possible, nous utiliserons deux utilisateurs génériques dans nos exemples : Reine Pingusa Pierre Pingus Cet utilisateur est créé pendant l installation. Cet utilisateur est ensuite créé par l administrateur système. v

14 Préface vi

15 Chapitre 1. Démarrage rapide Dans ce chapitre d introduction, nous passerons en revue toutes les étapes de pré-configuration requises avant de pouvoir utiliser les produits s appuyant sur MandrakeSecurity. Que vous utilisiez MandrakeSecurity sur un serveur dédié ou par-dessus une distribution Mandrake Linux, ce chapitre est pour vous Survol des opérations La liste chronologique présentée ici vous guidera à travers tout le cycle de vie de votre pare-feu. Lisez-la attentivement avant tout, et référez-vous aux sections du manuel citées. 1. Configuration matériel requise. Si vous construisez votre pare-feu à partir d un PC standard, vérifiez l adéquation entre vos besoins réels et le matériel en lisant Étapes préliminaires, page Installation. Installez une distribution minimale sur la machine, en suivant les instructions à Installation avec DrakX, page Première connexion et configuration de base. Configurez les paramètres de base du système et la connexion Internet : Configuration de base de MandrakeSecurity, page Activation des services. Activez ceux des services proposés par MandrakeSecurity dont vous avez besoin : Services : DHCP, Proxy, DNS, et bien d autres, page Paramétrage des règles de pare-feu. Contrôlez le trafic sur la passerelle : Configuration du comportement du pare-feu, page Configuration VPN. Si vous souhaitez établir un réseau privé virtuel (VPN : Virtual Private Network) avec un autre site distant équipé avec MandrakeSecurity : Configuration d un VPN, page Configuration des systèmes client. Il est maintenant temps de connecter vos différents serveurs et machines hôtes à votre pare-feu. Configurez les serveurs de la DMZ en fonction des règles que vous aurez ajoutées dans MandrakeSecurity. Pour les clients, suivez les instructions du chapitre Configurer des clients de paserelle, page Tests. Assurez-vous simplement que les différents services configurés fonctionnent comme prévu. Vérifiez aussi que les différentes règles du pare-feu donnent bien le résultat attendu, dans toutes les directions. 9. Sauvegarde de la configuration. Obligatoire, inutile d insister : Sauvegarde et restauration, page Surveillance du système. Tout le système est maintenant en étape de production et rempli ses missions comme prévu. Pour faire en sorte que tout se passe bien dans le temps, prenez la bonne habitude de vérifier régulièrement les indicateurs vitaux du système : Surveillez le pare-feu, page Changer les mots de passe. Il est extrêmement important pour la sécurité du système de changer périodiquement le mot de passe admin permettant d accéder au système pare-feu. Pour ce faire, allez au formulaire Configuration système Compte administrateur depuis l interface Web: Changer le mot de passe de l administrateur, page Mise à jour du système. Afin d être sûr que votre pare-feu est toujours au summum de la sécurité, MandrakeSoft publie régulièrement des mises à jour de paquetages des applications pour lesquelles des trous de sécurité ou des bogues ont été découverts et supprimés. Faites en sorte d installer toutes les mises à jour dès qu elles sont disponibles : Mise à jour logiciel, page Réinitialisation profonde. En cas d absolue nécessité : Sauvegardez la configuration ; désinstallez les paquetages naat-* du système ; installez le paquetage snf-en ; et restaurez la configuration. 1

16 Chapitre 1. Démarrage rapide 1.2. Étapes préliminaires Si vous avez choisi d installer MandrakeSecurity sur une machine du commerce, voici quelques conseils au sujet du matériel nécessaire pour deux utilisations différentes. Ensuite, nous passerons rapidement en revue le processus d installation. Configuration Réseau local modeste, sans DMZ et peu de trafic Processeur P166 PIII Mémoire RAM 64Mo 128Mo Disque dur 2Go 10Go Réseau local avec DMZ hébergeant plusieurs serveurs Internet publics Interfaces réseau Ethernet (LAN) + Internet 2*Ethernet (LAN+DMZ) + Internet Tableau 1-1. Matériel requis Ces chiffres sont évidemment purement indicatifs et dépendent grandement de l utilisation effective du réseau. Selon les services activés sur le serveur, la configuration peut s avérer à l étroit. Vérifiez régulièrement la charge du système (Surveillez le pare-feu, page 111). Ainsi, vous pourrez agir avant que votre système ne sature. 2

17 Chapitre 2. Installation avec DrakX 2.1. Introduction au programme d installation de Mandrake Linux DrakX est le logiciel d installation pour Mandrake Linux. Possédant son interface graphique, il offre une facilité d utilisation incomparable. Il permet, par exemple, de retourner à tout moment à une étape précédente de l installation ou de définir le type d installation selon votre niveau d expertise avec GNU/Linux. Figure 2-1. Écran de bienvenue, le début de l installation Au début de l installation, que ce soit par CD-ROM ou disquette, le premier écran vous propose plusieurs options d installation (figure 2-1). Ne rien faire démarrera l installation en mode standard ou «linux». Les quelques paragraphes qui suivent présentent quelques options et paramètres qui peuvent être passés au programme d installation en cas de problème. En appuyant sur F1, un écran d aide apparaît. Voici les options qui vous y sont proposées : vgalo : Si vous avez essayé une installation normale et qu il vous a été impossible de voir l interface graphique telle que montrée plus loin (Choix de la langue, page 4), vous pouvez essayer de lancer l installation en mode basse résolution. Cela peut arriver avec quelques cartes graphiques et MandrakeSecurity vous propose de contourner ce problème. Pour lancer l installation en mode basse résolution, tapez vgalo à l invite. text : Dans la situation où vous utilisez une très vieille carte vidéo et que l installation en mode graphique refuse de démarrer, le mode text vous permettra de poursuivre l installation. Le mode expert : Dans certains cas isolés, la détection du matériel peut bloquer votre ordinateur. Le mode expert permet de contourner ce problème, mais sachez que vous devrez alors fournir l ensemble des paramètres de votre matériel manuellement. Enfin, expert est une option pour les modes précédents (ou linux, le mode standard). Vous pouvez donc être amené à spécifier: boot: vgalo expert Pour lancer une installation en mode graphique basse résolution sans détection matérielle. 3

18 Chapitre 2. Installation avec DrakX Le mode expert proposera aussi une installation plus détaillée, permettant une plus grande souplesse. options du noyau : vous permet de spécifier des options directement au noyau d installation. On l utilisera particulièrement sur les systèmes où l installeur est incapable de déterminer la quantité de mémoire installée. Il vous suffit donc de l inscrire manuellement, en option du mode d installation avec la commande mem=xxxxm. Par exemple, pour démarrer une installation en mode standard sur un PC ayant 256 Mo de mémoire vive, entrez la commande suivante : boot: linux mem=256m Le processus d installation proprement dit possède une interface graphique (figure 2-2). À gauche, les différentes phases d installation sont identifiées. Selon où vous en ètes dans le processus d installation, certaines étapes seront accessibles ou non. Si vous y avez accès, elles sont mises en surbrillance lorsque le curseur de la souris les survole. Par ailleurs, différentes couleurs identifient les phases de l installation. rouge : cette étape n est pas encore entamée. orange: identifie l étape où vous en ètes vert: cette étape est terminée. Rappelez-vous que vous pouvez toujours y revenir pour en changer les configurations. Ce guide se place dans l hypothèse où vous effectuez une installation standard, étape par étape, telle que décrite ci-dessous Choix de la langue La première étape consiste à choisir votre langue. 4

19 Chapitre 2. Installation avec DrakX Figure 2-2. Choix la langue par défaut Veuillez choisir votre langue. Celle-ci sera utilisée durant le processus d installation, ainsi que durant les mises à jour de votre système. En cliquant sur Avancé, le programme vous proposera également des langues complémentaires pouvant être installées sur votre station de travail. En choisissant des langues supplémentaires, le programme vous installera toute la documentation et les applications nécessaires à l utilisation de ces langues. Par exemple, si vous prévoyez d accueillir des utilisateurs d Espagne sur votre serveur, choisissez l anglais comme langue principale, et, dans la section avancée, cliquez sur l étoile grise correspondant à Spanish Spain. Sachez que plusieurs langues peuvent être installées. Une fois votre sélection complète terminée, cliquez sur OK pour continuer. Les langues présentées ici ne sont pas toutes disponibles dans l interface Web de MandrakeSecurity. 5

20 Chapitre 2. Installation avec DrakX 2.3. Licence de la distribution Avant d aller plus loin, il est fortement recommandé de lire attentivement les termes et conditions d utilisations de la licence. Celle-ci régit l ensemble de la distribution Mandrake Linux. Si, pour une raison ou une autre, vous n acceptez pas ces conditions, cliquez sur Refuser. L installation sera alors immédiatement interrompue. Pour continuer, cliquez sur Accepter. 6

21 Chapitre 2. Installation avec DrakX 2.4. Détection et configuration des disques. DrakX détecte maintenant tous les périphériques IDE présents sur votre système. DrakX recherchera aussi les périphériques SCSI. Finalement, selon les composantes détectées, DrakX installera tous les pilotes nécessaires à son fonctionnement. Compte tenu de la vaste gamme de périphériques disponibles sur le marché, dans certains cas la détection de matériel ne fonctionnera pas. DrakX vous demandera alors de confirmer si des composantes SCSI sont présentes sur votre système. Cliquez sur Oui si vous ètes certain d avoir un périphérique SCSI sur votre système. DrakX vous présentera alors une liste de carte SCSI disponibles. Sélectionnez la vôtre. Vous devez évidemment cliquer sur Non, si vous n en avez pas. Si vous n ètes pas certain, cliquez sur Voir les informations sur le matériel, puis sur OK. Vérifiez la liste du matériel, puis cliquez sur OK pour retourner à la question concernant les périphériques SCSI. Si vous devez configurer votre carte SCSI manuellement, DrakX vous demandera si vous souhaitez spécifier à la main les options du périphérique. Laissez en fait DrakX chercher automatiquement les options nécessaires à la configuration de votre carte, cela fonctionne généralement. Il peut arriver que DrakX soit incapable de vérifier les options nécessaires. Dans ce cas, vous devrez les déterminer manuellement. 7

22 Chapitre 2. Installation avec DrakX 2.5. Configuration de la souris DrakX détecte généralement le nombre de boutons de votre souris. Sinon, il prend pour acquis que vous avez une souris à deux boutons et configurera l émulation du troisième bouton. De plus, DrakX saura automatiquement si vous avez une souris PS/2, série ou USB. Si vous désirez installer une souris différente, veuillez la sélectionner à partir de la liste qui vous est proposée. Si vous sélectionnez une souris différente de celle choisie par défaut, DrakX vous présentera un écran de test. Utilisez les boutons et la roue pour vous assurer que tout fonctionne correctement. Si votre souris ne fonctionne pas normalement, appuyez sur la barre d espacement ou Entrée ou encore Annuler, puis, sélectionnez une autre souris. Les souris à roulette ne sont pas détectées parfois. Vous devrez alors sélectionner manuellement une souris dans la liste. Assurez vous de choisir celle qui correspond à votre modèle et au bon port de connexion. Après avoir pressé le bouton OK, une image de souris apparaît. Vous devez alors faire tourner la molette afin de l activer correctement. Testez alors que tous les mouvements et boutons fonctionnent correctement Configuration du clavier Cette étape est généralement ignorée en mode Recommandé. 8

23 Chapitre 2. Installation avec DrakX Normalement, DrakX sélectionne le clavier approprié en fonction de la langue choisie et vous ne devriez pas voir cette étape. Cela dit, il est possible que vous ayez un clavier ne correspondant pas exactement à votre langue d utilisation. Par exemple, si vous habitez le Québec et parlez le français et l anglais, vous pouvez vouloir avoir votre clavier anglais pour les tâches d administration système et votre clavier français pour écrire de la poésie. Dans ces cas, il vous faudra revenir à cette étape d installation et sélectionner un autre clavier à partir de la liste. Cliquez sur Davantage pour voir toutes les options proposées. 9

24 Chapitre 2. Installation avec DrakX 2.7. Création des partitions Cette étape vous permet de déterminer précisément l emplacement de votre installation de MandrakeSecurity. Si votre disque est vide ou utilisé par un autre système d exploitation, vous devrez repartitionner votre disque. Partitionner un disque signifie de le diviser précisément afin de créer un espace pour votre installation. Comme les effets du partitionnement sont irréversibles (l ensemble du disque est effacé), le partitionnement est généralement intimidant et stressant pour un utilisateur inexpérimenté. Heureusement, un assistant a été prévu à cet effet. Avant de commencer, révisez vos manuels et surtout, prenez votre temps. Si des partitions ont déjà été définies, peu importe qu elles proviennent d une autre installation ou d un autre outil de partitionnement, il vous suffit de simplement choisir sur quelle partition vous voulez installer Mandrake. Si vos partitions ne sont pas définies, vous devrez les créer en utilisant l assistant. Selon la configuration de votre disque, plusieurs options sont disponibles : Utilisez l espace disponible : cette option tentera simplement de partitionner automatiquement l espace inutilisé sur votre disque. Il n y aura pas d autre question. Utiliser les partitions existantes : l assistant a détecté une ou plusieurs partitions existants sur votre disque. Si vous voulez les utiliser, choisissez cette option. Il vous sera alors demandé de choisir les points de montage associés à chacune des partitions. Les anciens points de montage sont sélectionnés par défaut, et vous devriez généralement les garder. Utilisez l espace libre sur une partition Windows : si Microsoft Windows est installé sur votre disque et prend l ensemble de l espace vous devez créer une place pour votre installation Mandrake. Pour ce faire, vous pouvez tout effacer (voir «effacer tout le disque» ou «Mode expert») ou vous pouvez redimensionner l espace utilisé par Windows. Le redimensionnement peut être effectué sans pertes de données, à condition que vous ayez préalablement défragmenté la partition Windows. Une sauvegarde de Vos données ne fera pas de mal non plus. Cette seconde option peut être accomplie sans perte de données. Cette solution est recommandée pour faire cohabiter Linux et Windows sur le même ordinateur. Avant de choisir cette option, il faut comprendre qu après cette procédure l espace disponible pour Windows sera réduit. Vous aurez moins d espace pour installer des logiciels ou sauvegarder de l information avec Windows. 10

25 Chapitre 2. Installation avec DrakX Effacer tout le disque: si vous voulez effacer toutes les données et les applications installées sur votre système et les remplacer par votre nouveau système MandrakeSecurity, choisissez cette option. Soyez prudent, car ce choix est irréversible et permanent. Il vous sera impossible de retrouver vos données effacées. En choisissant cette option, l ensemble du contenu de votre disque sera détruit. Supprimer Microsoft Windows: ce choix effacera tout simplement ce que contient le disque et recommencera à zéro. Toutes les données et les programmes présents sur le disque seront effacés. En choisissant cette option, l ensemble de votre disque sera effacé Partitionnement personnalisé : permet de partitionner manuellement votre disque. Soyez prudent, parce que bien que plus puissante, cette option est dangereuse. Vous pouvez facilement perdre l ensemble du contenu d un disque. Donc, ne choisissez pas cette option si vous ne savez pas exactement ce que vous devez faire. Pour en savoir plus sur DiskDrake, référez vous à la documentation en ligne de DiskDrake ( Choix des partitions à formater Les partitions ayant été nouvellement définies doivent être formatées (ce qui implique la création d un système de fichiers. Lors de cette étape, vous pouvez reformater des partitions existantes pour effacer les données présentes. Vous devrez alors les sélectionner également. 11

26 Chapitre 2. Installation avec DrakX Sachez qu il n est pas nécessaire de reformater toutes les partitions existantes. Vous devez formater les partitions contenant le système d exploitation (comme /, /usr ou /var, mais il n est pas nécessaire de formater les partitions de données, notamment /home.. Soyez prudent. Une fois que les partitions sélectionnées seront reformatées, il sera impossible de récupérer des données. Cliquez sur OK lorsque vous ètes prêt à formater les partitions. Cliquez sur Annuler pour ajouter ou enlever une partition à formater. Cliquer sur Avancer si vous désirez sélectionner des partitions pour une vérification des secteurs défectueux (Bad Blocks) Installation des paquetages Votre nouveau système MandrakeSecurity est actuellement en cours d installation. La liste de paquetages installés est prédéfinie et ne peux pas être modifiée. Selon la quantité de paquetages installés et la vitesse de votre ordinateur, la durée de cette opération peut varier de quelques instants à plusieurs minutes Mot de passe root Vous devez prendre ici une décision cruciale pour la sécurité de votre système. L utilisateur root est l administrateur du système qui a tous les droits d accès aux fichiers de configuration, etc. Il est donc impératif de choisir un mot de passe difficile à deviner (pensez aux systèmes prévus à cet effet qui anticipent les combinaisons communes des utilisateurs). DrakX vous avertira si le mot de passe entré est trop facile à deviner. Comme vous pouvez le voir, il est également possible de ne pas entrer de mot de passe. Nous déconseillons fortement cette pratique. Comme l erreur est humaine, un utilisateur avec tous les droits peut tout détruire sur votre système, c est pourquoi le mot de passe doit agir comme barrière à l entrée. Le niveau de sécurité MSEC est positionné à 4 («haut») par défaut. Le mot de passe choisi doit contenir au moins 8 caractères alphanumériques. Ne jamais écrire un mot de passe, forcez-vous à vous en souvenir par coeur. 12

27 Chapitre 2. Installation avec DrakX Il faut donc ménager accessibilité et mémoire, donc un mot de passe de 30 caractères est presque impossible à mémoriser. Afin d éviter les regards indiscrets, le mot de passe n apparaîtra pas à l écran. Il vous faudra donc l inscrire deux fois afin d éviter les erreurs de frappe. Évidemment, si vous faites deux fois la même erreur, celle-ci sera sauvegardée et vous devrez la reproduire afin d accéder à votre système pour la première fois Mot de passe de l administrateur Vous devez maintenant choisir le mot de passe pour l administrateur du système (login: admin). Cet utilisateur est différent du compte root pour des raisons de sécurité, mais aussi parcequ il peut s agir de personnes différentes. C est ce compte admin qui sera nécessaire pour accéder à l interface Web de MandrakeSecurity. Les critères de choix de ce mot de passe sont les mêmes que pour le compte root Ajouter un utilisateur Tous les utilisateurs nécessaires au fonctionnement de MandrakeSecurity ont été définis. Cependant, si vous prévoyez d utiliser la fonction d authentification PAM de squid, vous pouvez ajouter ici les utilisateurs qui seront autorisés. Il faut d abord entrer le vrai nom de la personne. Évidemment, vous pouvez y inscrire n importe quoi. DrakX prendra le premier mot inséré et le transposera comme Nom de login. C est le nom qui sera utilisé pour se connecter au système. Vous pouvez le modifier. Il faut maintenant entrer un mot de passe. Celui-ci n est pas aussi crucial que le mot de passe de root, mais ce n est pas une raison pour le laisser blanc ou trop simple. Après tout, ceci mettrait vos fichiers en péril. Vous pouvez alors choisir de rendre cet utilisateur membre d un ou plusieurs groupes spéciaux ce qui lui donnera des privilèges particuliers. Cochez les cases correspondants aux privilèges que vous souhaitez accorder à cet utilisateur. Si vous cliquez Accepter, il vous sera possible d ajouter d autres utilisateurs. Une fois chaque utilisateur défini, cliquez sur Terminer. 13

28 Chapitre 2. Installation avec DrakX En cliquant sur Avancé, vous pourrez sélectionner un shell différent pour cet utilisateur (bash est assigné par défaut) Configuration réseau Vous allez pouvoir configurer maintenant votre accès au réseau local (LAN). MandrakeSecurity tentera de détecter les périphériques réseau et modems. Si cette détection échouait, décochez la case Utiliser la détection automatique. Bien que plusieurs type de connexion soient proposés ici, ne configurez pas votre connexion Internet maintenant. Vous devriez vous contenter de configurer votre accès Ethernet LAN, de façon à pouvoir accéder à l interface d administration après l installation pour y configurer facilement toutes les autres connexions. Nous ne détaillerons pas ici chacune des configurations possibles. Assurez-vous seulement que vous avez toutes les informations (adresse IP, passerelle, serveurs DNS) de votre fournisseur de service Internet ou de l administrateur système à portée de main. Vous pourrez configurer toutes les autres interfaces réseau (Internet, DMZ, etc.) plus tard grâce à l interface de MandrakeSecurity. 14

29 Chapitre 2. Installation avec DrakX Emplacement du programme d amorce Vous devez indiquer le répertoire où vous souhaitez enregistrer les informations nécessaires au démarrage sous GNU/Linux. A moins que vous ne maîtrisiez parfaitement les choix dans ce domaine, nous vous conseillons de choisir Premier secteur du disque (MBR). Les différentes options de démarrage seront alors présentées, vous pouvez les modifier si nécessaire. 15

30 Chapitre 2. Installation avec DrakX Disquette de démarrage Le CD-ROM d installation de MandrakeSecurity a un mode de récupération prédéfini. Vous pouvez y accéder en démarrant l ordinateur sur le CD-ROM: pressez la touche F1 au premier écran, puis tapez rescue. Selon la version de votre BIOS, il faut lui spécifier de démarrer sur le CDROM. Vous pourrez avoir besoin de cela dans deux cas précis : Au moment d installer le Programme d amorce, DrakX va réécrire sur le secteur (MBR) contenant le programme d amorce (boot loader) afin de vous permettre de démarrer avec Windows ou GNU/Linux (en prenant pour acquis que vous avez deux systèmes d exploitation installés). Si vous réinstallez Windows, celui-ci va réécrire sur le secteur de démarrage et il vous sera désormais impossible de démarrer GNU/Linux. Si un problème survient et qu il vous est impossible de démarrer GNU/Linux à partir du disque dur, cette disquette deviendra votre seul moyen de démarrer votre système Linux. Elle contient un bon nombre d outils pour récupérer un système défectueux, peu importe la source du problème. En cliquant sur cette étape, on vous demandera d insérer une disquette. La disquette insérée sera complètement effacée et DrakX se chargera de la formater et d y insérer les fichiers nécessaires. 16

31 Chapitre 2. Installation avec DrakX Installation de mises à jour depuis Internet Au moment où vous êtes en train d installer MandrakeSecurity, il est possible que certains paquetages aient été mis à jour depuis la sortie du produit. Des erreurs ont pu être corrigées, et des problèmes de sécurité résolus. Pour vous permettre de bénéficier de ces mises à jour, il vous est maintenant proposé de les télécharger depuis Internet. Choisissez Oui si vous avez une connexion Internet, ou Non si vous préférez installer les mises à jour plus tard. En choisissant Oui, la liste des sites depuis lesquels les mises à jour peuvent être téléchargées est affichée. Choisissez le site le plus proche. Puis un arbre de choix des paquetages apparaît : vérifiez la sélection, puis cliquez sur Installer pour télé-charger et installer les mises à jour sélectionnées, ou Annuler pour abandonner. 17

32 Chapitre 2. Installation avec DrakX L installation est maintenant terminée! Votre installation de MandrakeSecurity est maintenant terminée et votre système est prêt à être utilisé. Notez soigneusement l adresse donnée par ce dialogue, c est celle que vous devrez utiliser dans votre navigateur Internet pour accéder à l interface Web de MandrakeSecurity avec le compte admin. Cliquez maintenant sur OK deux fois pour redémarrer votre système Désinstaller Linux Le processus s effectue en deux étapes simples : 1. Détruire toutes les partitions sur votre disque et les remplacer par une seule partition FAT. Pour ce faire, consulter la section Gérer ses partitions. 2. Désinstaller le programme d amorce (généralement grub ). Pour ce faire, démarrer sous DOS et lancer la commande : fdisk /mbr. Évidemment, si vous utilisez un autre système d exploitation, celui-ci inclut sans doute de la documentation concernant l installation de son programme d amorce (boot loader). Au revoir. Merci d avoir utilisé MandrakeSecurity :-) 18

33 Présentation de l interface de MandrakeSecurity Les chapitres de cette partie sont dédiés à l utilisation de l outil d administration Web de MandrakeSecurity, qui vous permet de contrôler votre pare-feu à distance depuis n importe quelle machine connectée à votre réseau local. Le premier chapitre, Configuration de base de MandrakeSecurity, page 21, vous guidera pour les premières étapes de configuration de base du pare-feu. Vous pourrez y créer des comptes, configurer les cartes réseau, le serveur de journaux (logs), ainsi que l heure locale et un serveur local de temps NTP (Network Time Protocol). Vient ensuite le chapitre Configurer l accès à Internet, page 31, qui vous permettra de configurer la connexion Internet de votre serveur. Le troisième chapitre, Services : DHCP, Proxy, DNS, et bien d autres, page 47, vous conseille dans la configuration des services associés tels que DHCP, DNS et serveurs mandataires (Proxy). Vous pourrez aussi activer un système de détection d intrusion IDS (Intrusion Detection System) comme Prelude ou Snort, ou encore bloquer l accès à certaines adresses Internet auxquelles vous ne voulez pas que vos utilisateurs accèdent. Le chapitre Configuration du comportement du pare-feu, page 65 parcours toutes les pages de la section des règles pare-feu de MandrakeSecurity. Cette section permet de réguler le trafic entre les différentes zones gérées par le pare-feu. Finalement, nous parlerons de surveillance du système (essentiel pour garantir le bon fonctionnement du système) dans le chapitre Surveillez le pare-feu, page 111, et des outils d entretien dans Outils de gestion, page 123. Nous espérons que vous apprécierez MandrakeSecurity!

34 20

35 Chapitre 3. Configuration de base de MandrakeSecurity 3.1. Introduction Nous allons maintenant présenter brièvement l interface de configuration et comment y naviguer. Celle-ci est faite de menus ouvrant des assistants de configuration Connexion La connexion au serveur pare-feu depuis n importe quel client est effectuée grâce à n importe quel fureteur Internet, suffisamment récent. La communication est intégralement cryptée. Ainsi les informations transmises sur le réseau sont chiffrées et, presque impossible, à lire sans les codes d accès. Pour démarrer la session, pointez votre fureteur sur l adresse qui vous a été fournie lors de la dernière étape de la procédure d installation. Ce devrait être une adresse qui ressemble à : où est l adresse IP interne (réseau local) du pare-feu. Des messages vont alors apparaître pour accepter un nouveau certificat de site, acceptez les. Finalement, l écran de connexion de MandrakeSecurity apparaîtra (figure 3-1). Figure 3-1. La fenêtre de connexion à MandrakeSecurity Remplissez-la avec les informations de connexion du compte admin tel que défini durant l installation. À chaque fois que vous devrez vous identifier pour vous connecter à l interface, utilisez le compte admin. Le mot de passe doit être modifié dès la première connexion, voyez Changer le mot de passe de l administrateur, page

36 Chapitre 3. Configuration de base de MandrakeSecurity L interface Figure 3-2. Écran d accueil de MandrakeSecurity L interface est disposée de manière traditionnelle, avec un menu à deux niveau sur la gauche et un cadre de contenus sur la droite. Ce dernier contiendra les différentes étapes des assistants correspondant aux entrées de menu de second niveau. Par la suite, nous appellerons «section» le sujet couvert par une entrée de menu de premier niveau, et «sous-section» pour les entrées de second niveau (les assistants). Les pages des assistants sont composées de : texte informatif : Le sujet de cet écran ; champs de saisie : à remplir ou sélectionner selon votre choix ; boutons : pour lancer des actions. Vous rencontrerez aussi divers icônes. Voici les plus importants : Le bouton d aide. Ouvre une fenêtre d aide contextuelle, détaillant les divers éléments présents dans la page courante. Le bouton d annulation. Annule toutes les modification faites depuis le début de l assistant, et vous ramène à la page d accueil de MandrakeSecurity. Le bouton de retour. Revient à l étape précédente de l assistant. Le bouton «suivant». Passe à l étape suivante. Notez que les choix effectués sur une page ne sont rendus effectifs que lorsque le bouton de confirmation de l assistant tout entier (ci-dessous) est pressé. Le bouton de confirmation. Lorsque vous atteignez le dernier écran de confirmation d un assistant, ce bouton confirme tous les choix afférant à cet assistant et les applique au système. N oubliez pas de l utiliser lorsque vous avez fini un assistant, si non tous vos changements seront perdus! 22

37 Chapitre 3. Configuration de base de MandrakeSecurity Déconnexion Il est très important de se déconnecter explicitement de l interface lorsque vous avez fini de travailler, ou si vous abandonnez votre bureau pour un certain temps. Notez bien que fermer le navigateur ne suffit généralement pas, car le serveur n a alors aucun moyen de savoir que vous abandonnez votre machine, et une autre personne utilisant l ordinateur juste après vous pourrait reprendre votre session là où vous l avez laissée. Figure 3-3. L icône de déconnexion Dès que vous avez fini une session, cliquez sur cet icône. La prochaine fois que vous essaierez de vous connecter, vous devrez vous identifier à nouveau Configuration de base du système Cette section vous guidera pour la configuration de base du serveur. Elle permet aussi à l administrateur de changer son mot de passe d accès à l interface Configuration générale du système L information affichée ici est très générale, quoique essentielle. Votre système doit être associé à un nom ainsi qu à un nom de domaine. Les champs Informations du système et temps d utilisation (Uptime) vous donnent de l information de base au sujet de votre système. Un nom sera attribué au système. Celui-ci sera ensuite alloué à un réseau local. À ce stade, les paramètres à entrer dépendront du fait que vous ayez ou non un accès permanent à Internet avec une adresse IP fixe. Nom du système machine.domain.net Ce champ contient le nom d hôte complet de votre machine: le nom de la machine suivi du nom de domaine, tel que parefeu.société.net. Nom du domaine domain.net Ce champ abrite le nom de domaine de votre machine. Si vous possédez un nom de domaine et que les DNS requis pointe vers votre adresse IP, utilisez votre nom de domaine dans ce champ. Sinon, utilisez le nom de domaine de votre fournisseur Internet. 23

38 Chapitre 3. Configuration de base de MandrakeSecurity System Info Linux machine.domain.net mdk #1, etc. Dans ce champ sont listés 1) le type de système d exploitation 2) le nom complet de la machine 3) la version du noyau 4) la date à laquelle le système a été installé 5) et le type de processeur. Temps d utilisation 4:33pm up 1 day, 23:26, 7 users, load average: 0.00, 0.00, 0.00 Ce champ affiche 1) l heure locale 2) temps d utilisation en jour, minutes et secondes 3) le nombre d utilisateurs 4) et la charge moyenne ("load average") des dernières 1, 5 et 15 minutes. Modifier Cliquez sur cette icône si vous voulez change le nom de votre système ou le nom de domaine Propriétés du système Cette section vous aidera à changer le nom de votre système et de votre nom de domaine. Lorsque vous aurez terminé vos changements, cliquez sur le bouton Next, puis sur le bouton Apply. Vous reviendrez alors à la page System Properties Group, qui affichera le nom du système, le nom de domaine, ainsi que de l information sur le système et le temps disponible ("uptime") Configuration des cartes Ethernet Cette page liste les cartes d interface réseau ("Network Interface Cards" ou NIC) qui sont actuellement configurées sur votre machine. Cela vous permettra de choisir une carte particulière et de la configurer à nouveau, ou d ajouter une autre carte. Zone IP Address Subnet Mask On Boot Protocol eth0 wan yes dhcp edit suppress admin eth1 lan yes static edit suppress admin 24

39 Chapitre 3. Configuration de base de MandrakeSecurity Chaque ligne correspond à une carte d interface réseau dans votre ordinateur: pour la configurer à nouveau, cliquez sur cette icône située à la gauche de la corbeille. Vous serez également en mesure de choisir si vous voulez l activer (ou non) lors de l amorçage depuis la page Ethernet Interface Configuration; pour permettre au réseau associé à cette interface de se connecter à l interface Web, cliquez sur Admin (voir "Administration Interface" plus bas); pour la supprimer, cliquez sur cette icône. Puis vient l interface d administration, qui indique l interface à travers laquelle les connexions de l administrateur sont permises. Ceci signifie que votre pare-feu devra être administré depuis un ordinateur connecté au sousréseau qui est associé à la carte réseau susmentionnée. Vous pouvez effectuer deux actions: - Détection des cartes d interface réseau courantes: en cliquant sur cette icône, vous lancerez un processus d auto-détection de cartes d interface réseau. Utilisez cette fonctionnalité si vous avez installé une nouvelle carte d interface réseau dans votre ordinateur. Note: après votre clic, il pourrait prendre un certain temps avant que le prochain écran apparaisse puisque l ordinateur cherche les nouvelles cartes. - Ajouter une carte d interface réseau manuellement: si l opération précédente devait échouer, vous pouvez configurer manuellement votre carte en cliquant sur cette icône Détection des interfaces Ethernet Cet écran montre les cartes d interface réseau qui viennent tout juste d être détectées automatiquement sur votre machine. Si la carte que vous souhaitez configurer n apparaît pas sur cet écran, retournez à la page précédente et cliquez sur le bouton "Ajouter une carte d interface réseau manuellement". Driver Mac IP Address Subnet Mask On Boot Eth0 ne2k-pci 00:40:05:E2:55:F yes Chaque ligne correspond à une carte d interface réseau physique dans votre ordinateur. Pour en choisir une et la configurer en tant qu interface d accès au réseau local, revenez à la page précédente, cliquez sur remplissez les champs. et 25

40 Chapitre 3. Configuration de base de MandrakeSecurity Configuration de l interface Ethernet pour votre réseau local Dans cette section, vous devez définir les paramètres de la carte d interface nécessaires pour ajuster les besoins de votre réseau local (ou vos réseaux locaux, le cas échéant). Certains des paramètres auront peut-être été déjà définis lors de l installation, ou durant une configuration précédente, ou complétés avec des valeurs par défaut. Faites les modifications nécessaires pour répondre à vos besoins actuels. Connecté au nom de zone lan Vous devez choisir dans quel sorte de réseau vous travaillerez. Voici vos choix : lan, ou les systèmes de votre réseau local (ou réseaux locaux, le cas échéant). Ces systèmes doivent être protégés d Internet et de la DMZ et, dans certains cas, entre eux également. Choisissez cette zone pour définir votre réseau local ; dmz, qui signifie "Demilitarized Zone" (soit zone démilitarisée). Choisissez ce type de zone si vos systèmes doivent être accessibles depuis Internet et depuis votre réseau local ; wan - "Wide Area Network" (soit réseau étendu). Il peut être soit public, soit privé, et il assure l interconnexion entre les réseaux à l extérieur de votre LAN (soit Internet). Choisissez ce type de zone pour vous connecter directement au monde extérieur. Adresse IP Remplissez ce champ si vous avez une adresse IP statique pour cette interface. C est l adresse de votre serveur : elle est essentielle puisque les systèmes client se référeront à cette adresse. Masque de sous-réseau ("Subnet Mask". ex.: ) Dans ce champ, entrez le nom du masque de sous-réseau relié au réseau auquel l interface est connectée. Maintenant, réglez le protocole d amorçage à utiliser lorsque l interface est initialisée. Cela dépend du protocole utilisé par votre FAI ("ISP"). Choisissez la bonne boîte à cocher, par exemple, une des suivantes : static. C est une adresse IP permanente assignée à votre serveur par votre FAI ; dhcp. C est une adresse IP dynamique assignée par votre FAI lors de l amorçage de la machine. La plupart des FAI câble et DSL utilise une forme de DHCP ou une autre pour assigner une adresse IP à votre système. Notez également que les postes de travail devraient être configurés de cette façon pour simplifier la gestion de réseau ; bootp. Permet à une machine Linux de récupérer son information réseau depuis un serveur à travers le réseau. 26

41 Chapitre 3. Configuration de base de MandrakeSecurity Ensuite, vous pouvez décider d activer (ou non) cette interface lors de l amorçage. Client DHCP (optionnel) dhcpd Ce champ vous permet de choisir quel client DHCP sera utilisé sur votre réseau. Vous pouvez choisir un des suivants : dhcpcd - démon client qui récupère une adresse IP et d autres informations depuis un serveur DHCP. Il configure automatiquement l interface réseau, et essaie de renouveler le temps de location selon le RFC2131 ou RFC1541 (ce dernier est désuet) ; pump - démon client pour BOOTP et DHCP. Il permet à votre machine de récupérer de l information de configuration depuis un serveur ; dhclient - avec celui-ci, vous pouvez configurer une ou plusieurs interfaces utilisant le protocole DHCP ou BOOTP ; dhcpxd - son but premier est de se conformer aux spécifications DHCP définies par le RFC2131. Il prend en charge un processus par session et est aussi capable de gérer des sessions processus-tout-en-un ("all-in-oneprocess sessions"). Une de ses fonctionnalités les plus avancées réside sous forme de scripts, lesquels sont exécutés lorsque nécessaire, dans le but de configurer tout ce qui est requis pour régler les interfaces. Finalement, vous pouvez choisir de remplir le champ Nom d hôte DHCP (optionnel) avec une valeur appropriée Changer le mot de passe de l administrateur Ce formulaire vous permettra de modifier le mot de passe de l administrateur. Nous recommandons que vous le changiez de façon périodique. Nom de connexion admin Nouveau mot de passe ******** Nouveau mot de passe (encore) ******** Vous devez choisir un mot de passe sécuritaire. Lorsque vous avez terminé, cliquez sur le bouton "Modifier". 27

42 Chapitre 3. Configuration de base de MandrakeSecurity 3.5. Journaux système sur vos machines locales et distantes Les journaux constituent une partie essentielle d un système à vocation sécuritaire tel qu un pare-feu. Ils ne font pas que donner de l information en temps réel sur ce qui se passe sur votre système: ils peuvent en retracer l historique, par exemple, lorsque quelque chose cloche sur votre système - un crash ou une intrusion - ils trouveront la source de votre problème et, généralement, une solution à ce problème. Premièrement, vous avez le choix d activer (ou non) le système de journaux sur la machine locale (soit le parefeu). Évidemment, ceci ne sera pertinent que si un affichage est directement relié au pare-feu. Il sera possible de contrôler: Serveur Syslog (ex: ) Vous pouvez choisir d entrer soit le nom du serveur syslog (ex: syslog.entreprise.com) ou l adresse IP. Si vous ne connaissez pas cette dernière, utilisez la commande ifconfig en tant que root, ou /sbin/ifconfig en tant qu utilisateur normal. Ensuite, entrez l adresse du serveur syslog. C est une façon de mieux sécuriser vos journaux en ne les hébergeant pas directement sur votre serveur, mais bien sur une autre machine. Niveau d information émis Info Ce paramètre contrôle l information qui sera affichée, selon le niveau que vous choisirez: Information: affiche en sortie tous les messages sur le pare-feu, en passant des messages normaux aux plus critiques; Notification: retourne les messages qui ne poseront pas de problèmes au système, mais qui sont inhabituels; Attention: vous informe que quelque chose d anormal est peut-être en train de se réaliser et que vous devriez commencer à penser à passer à l acte; Erreur: affiche en sortie les messages d erreur qui pourraient mener à un mauvais fonctionnement du système; Critique: retourne les messages indiquant que votre système est en sérieux danger; Alertes: vous indique d agir immédiatement; Panique: affiche en sortie seulement les messages critiques qui mènent généralement à une panne totale de votre système. À cette étape, votre système pourrait être inutilisable. À moins que vous sachiez exactement ce que vous faites, nous vous déconseillons fortement d utiliser ce niveau d information. 28

43 Chapitre 3. Configuration de base de MandrakeSecurity 3.6. Configuration de l heure Premièrement, l assistant fera deux suggestions concernant la configuration de l heure interne. Cliquez sur l icône relative à ce que vous voulez configurer : date et heure : si vous ne possédez pas de serveur NTP ("Network Time Protocol"), cliquez sur le bouton Modifier pour régler manuellement la date actuelle et l heure sur la machine ; fuseau horaire et adresse du serveur NTP : cliquez sur le bouton sous le champ Adresse du serveur NTP (optionnel) pour indiquer la location physique du serveur et éventuellement, configurer un serveur de temps, qui règlerait automatiquemnt la date et l heure du système Configuration de l heure et de la date Tapez simplement la date et l heure courante dans leurs champs respectifs : Date (jj/mm/yy) 22/05/02 Heure 24 heures (hh:mm:ss) 17:07:58 Ensuite, appliquez vos modifications en cliquant sur le bouton Modifier. 29

44 Chapitre 3. Configuration de base de MandrakeSecurity Configuration d un fuseau horaire et d un serveur NTP Vous devez choisir le fuseau horaire de votre location géographique et indiquer la présence éventuelle d un serveur NTP. Fuseau horaire Adresse du serveur NTP (optionnel) Amérique/Montréal ntp.myco.com Dans la liste de fuseau horaire, choisissez celui qui est situé le plus près de votre emplacement géographique, ainsi que la ville la plus près de votre location. Éventuellement, vous pouvez entrer le nom d un serveur NTP, qui règle automatiquement et vérifie l heure sur votre machine de façon périodique. Si votre société possède son propre serveur, utilisez-le. Sinon, vous pouvez utiliser un serveur public, tels que ceux contenus sur le site Web Public NTP Secondary (stratum 2) Time Servers ( 30

45 Chapitre 4. Configurer l accès à Internet Dans cette section, vous pourrez configurer le ou les accès Internet dont dispose votre pare-feu. Il est possible de configurer des interfaces vers les protocoles supportés par votre version de MandrakeSecurity. Vous pourrez aussi définir tous vos comptes de fournisseurs d accès Section Accès Internet Cette page d introduction aux interfaces de configurations résume l état des connexions à Internet. Elle permet d arrêter, de démarrer et de tester la connexion à Internet. La première partie du cadre présente tous les paramètres d accès à Internet selon la configuration active : type, interface, compte (Account), etc. Ensuite, on présente l état de l accès à Internet: "Up" (actif) ou "Down" (inactif); et quelques informations supplémentaires à propos de la connexion courante. Ceci est suivit de trois boutons: Démmarrer: Démarrer manuellement la connexion à Internet selon la configuration courante. Arrêter: Forcer déconnexion à Internet. Tester: mise à jour de l état de la connexion présenté plus haut. Pour effectuer ce test, le logiciel tente simplement un "ping" vers un système externe. Si vous désirez tester avec un système spécific, entrez son adresse IP ici, selon la convention suivante: Tester l hôter Puis, cliquez sur Mise à Jour 31

46 Chapitre 4. Configurer l accès à Internet Service DNS Dynamique Nom d hôte DNS Dynaamique on your_host_name.dyndns.org Si vous utilisez un service de DNS dynamique pour configurer votre nom de domaine (lorsque votre adresse IP est dynamique), cliquez sur Modifier et remplissez les champs correspondants pour établir la configuration Configuration d un modem analogique Ce formulaire contient l ensemble des paramètres requis pour configurer un modem analogique standard pour se brancher à Internet. Assurez d avoir l ensemble des informations remises par votre fournisseur de services Internet (ISP) D abord, il se peut que vous receviez des rappels concernant la configuration actuelle. Nom de la connexion Ma formidable connexion à Internet Remplissez ce champ avec n importe quel nom vous permettant d identifier cette connexion. Vous pouvez ensuite essayer le mode auto détection du modem, en cliquant sur l icône détection: Liste des modems trouvés ttys0 Cette liste contient tous les modems détectés sur votre machine (le premier port série, selon notre exemple). Choisissez celui que vous désirez utiliser pour cette connexion. Port du modem ttys1 (COM 2) Si vous modem n a pas été détecté, vous pouvez également configurer manuellement le port auquel il est relié 32

47 Chapitre 4. Configurer l accès à Internet Vitesse du modem Déterminez ici la vitesse maximum de transfert de votre modem (en bits/seconde) Commande spéciale PPP Dans certaines situations, il est nécessaire de fournir des paramètres supplémentaire au deamon PPP. Vous pouvez les inclure ici. Dans la majorité des cas, ces cases seront laissées vides. Nom de Domaine du fournisseur de services free.fr Le nom de domaine de votre fournisseur de services Internet. Numéro de téléphone du fournisseur de services Le numéro de téléphone d accès internet de votre fournisseur de service. Il est important d inscrire ici les préfixes d appel nécessaire. Nom d usager foo Mot de passe ****** Confirmez votre mot de passe ****** Entrez votre nom d usager et votre mot de passe fournis par votre fournisseur de service internet. Authentification PAP Le mécanisme d authentification utilisés par votre fournisseur de service. Généralement, PAP. DNS DNS Les serveurs de noms de domaine de votre fournisseur de service. Dès que vous aurez remplis tous les champs, cliquez sur suivant. Vous pourrez réviser votre configuration avant de l appliquer. Si vous voulez retirer un compte, cliquez sur comptes internet dans le menu de gauche Listes des modems analogiques 33

48 Chapitre 4. Configurer l accès à Internet Cette page affiche tous les modems analogiques trouvés sur votre machine. Assurez-vous qu ils sont brahccnez correctement et bien branché à internet avant d aller sur cette page. Liste des modem détectés ttys0 (COM1) Dans le menu déroulant, choississez simplement le port sur lequel le modem choisi est branché, et cliquer sur suivant Configurer un accès Internet RNIS (ISDN) Déterminez le type de votre carte ISDN Cette première étape de la configuration d une carte internet ISDN vous offre plusieurs options: Détecter un carte interne: en cliquant sur cet icône, une liste des cartes ISDN détectées sur votre système vous sera présentées. Si vous avez une carte interne, c est la première étape à essayer. Si non: Sélectionnez une carte interne: une liste des cartes supportées sera présentée si l étape précédente à échouée. Configurer une carte externe: sélectionnez cet icône si vous avez un modem ISDN externe Choisissez votre carte ISDN 34

49 Chapitre 4. Configurer l accès à Internet On vous présente la liste des cartes ISDN détectées sur votre système. Sélectionnez simplement la carte que vous désirez utiliser pour votre branchement à Internet, puis continuez vers la prochaine étape. Si votre carte n a pas été détectée, cliquez sur "Configurer une carte manuellement " pour la configurer manuellement Choisir le modèle de la carte RNIS Choisissez simplement le modèle de votre carte dans la liste des modèles suggérés, et passez à l étape suivante. Si votre modèle de carte n est pas dans la liste, identifiez un modèle compatible avec le vôtre dans la documentation fournie avec votre carte. 35

50 Chapitre 4. Configurer l accès à Internet Choisissez votre fournisseur de service et votre protocole ISDN (RNIS) On vous présente une liste étendue des fournisseurs ISDN à travers le monde. Si le votre est absent, il vous faudra le créer manuellement. Vous devez d abord indiquer le protocole à utiliser, selon votre emplacement: Europe Reste du monde Puis, il vous faudra configurer votre fournisseur : Sélectionnez votre FAI : pour choisir votre fournisseur dans une liste classée par pays, ville et par nom du fournisseur. Si le votre y est, choisissez-le et passer à l autre étape. Modifier manuellement les paramètres du FAI: Si votre fournisseur n apparaît pas dans la liste, cliquez ici. 36

51 Chapitre 4. Configurer l accès à Internet ISDN - Configuration de l accès Cette page énumère tous les paramètres nécessaires pour configurer un connexion Internet ISDN. Assurezvous d avoir toutes les informations nécessaires remis par votre fournisseur de service Internet. Si votre fournisseur est présenté dans la liste, il vous suffit de remplir les champs vides suivants : Compte RNIS foo Votre mot de passe RNIS ****** Votre mot de passe RNIS (confirmation) ****** Ce sont les noms d usager et mot de passe remis par votre ISP. Votre numéro de téléphone Il faut entrer ici le numéro de téléphone de la ligne utilisée pour votre branchement ISDN. Nom du fournisseur Mon FAI préféré Numéro de téléphone du FAI Il suffit ici d identifier votre fournisseur, mais plus important, son numéro de téléphone pour l accès à Internet.. DNS primaire du FAI DNS secondaire du FAI Les serveur de nom de domaine (DNS) de votre ISP. Description de la carte RNIS ELSA Quickstep 1000 (PCI) 37

52 Chapitre 4. Configurer l accès à Internet Ceci indique le nom de la carte présentement configurée. Mode de composition Automatique/manuel Cette section permet de choisir le comportement du branchement à Internet : Automatic: (automatique) Dès que votre serveur reçois un requête pour Internet, la connexion sera établie automatiquement. Manual: (manuel) Cette option requiert que l administrateur du système démarre et arrête la connexion manuellement. IRQ de la carte RNIS 12 E/S de la carte RNIS 0x300 Si votre carte n a pas été détectée, vous devrez indiquer ces informations. Lorsque tous les champs sont remplis ou laissé vide, allez à la prochaine étape. Vous pourrez réviser les changements et confirmer vos choix. La connexion sera alors automatiquement créée Configurer un accès Internet ADSL Sélection du protocole ADSL. Choisissez ici le protocole DSL spécifié par votre fournisseur de service. Choisissez le protocole approprié en cochant la boîte appropriée. Point-to-Point Tunnelling Protocol (PPTP) Point-to-Point Over Ethernet (PPPOE) Adresse IP dynamique (DHCP) 38

53 Chapitre 4. Configurer l accès à Internet Dynamic Host Configuration Protocol (DHCP) Configurez un connexion DSL Cette première interface vous guidera vers les prochaines étapes de configuration. Premièrement, sélectionnez la carte réseau (NIC) à utiliser. Dans la liste présenté, cliquez sur l interface désirée pour votre connexion DSL. Si votre carte est absente, essayer de la détecter en cliquant sur "Détecter" Ajouter une interface réseau Cette page affiche les interfaces réseau détectées sur votre mur coupe-feu. Choisissez simplement le nom (ETHx) de la carte désirée. 39

54 Chapitre 4. Configurer l accès à Internet Configuration de l interface Ethernet pour votre accès Internet Sur cette page sont définis les paramètres de la carte d interface nécessaire pour mapper les paramètres de votre accès xdsl. La plupart des paramètres auront déjà été choisis ou remplis avec des valeurs standards : vérifiez qu elles correspondent à vos besoins. Adresse IP (ex: ) Remplissez ce champ si vous avec une adresse IP statique pour cette interface. Assurez-vous que c est bien celle qui vous est assignée. Masque de sous-réseau (ex: ) Remplissez ce champ avec le sous-réseau du réseau auquel cette interface est connectée. Assurez-vous que c est bien celui qui vous est assigné. Passerelle par défaut (ex: ) C est la passerelle à travers laquelle vos requêtes Internet passeront. Ce paramètre est crucial pour que votre pare-feu puisse accéder à Internet. Finalement, vous pouvez choisir que cette interface soit activée lors du démarrage, ou non. 40

55 Chapitre 4. Configurer l accès à Internet Configuration du compte d accès DSL Pour que votre fournisseur de service vous reconnaisse comme usager, vous devez spécifier des informations de comptes. Les informations nécessaires auraient due vous être fournies par votre ISP. Nom d usager foo Mot de passe ****** Confirmation du mot de passe ****** Entrez précisément le nom d usager et le mot de passe fournies par votre ISP. Attention au lettre majuscules/minuscules. Nom de votre fournisseur) Serveur DNS 1 de votre fournisseur Serveur DNS 1 de votre fournisseur Mon fournisseur favori Un formule simple pour identifier votre fournisseur de service et ses serveurs de DNS. Une fois tous les champs remplis, passez à prochaine étape. Vous aurez une dernière chance de réviser vos changements avant de le appliquer. 41

56 Chapitre 4. Configurer l accès à Internet 4.5. Configurer un accès Internet par câble ou réseau local Configurez une connexion Cable/LAN Cet écran apparaît lorsque vous avez déjà configurer ce type de connexion à Internet pour résumer les informations principales. Cliquez sur "change" si vous désirez utiliser une autre carte réseau avec cet accès Internet. Cliquez sur "Configure" si vous désirez reconfigurer la carte réseau sélectionnée Configurez une connexion Cable/Lan Cette première interface vous guidera vers les autres étapes de configuration. Ces deux types sont plus ou moins identiques, c est pourquoi ils sont traités ensemble. Choisissez d abord la carte réseau à configurer. Dans la liste de suggestions, sélectionner le nom de la carte que vous désirez utiliser. 42

57 Chapitre 4. Configurer l accès à Internet Configuration Ethernet pour accès internet Cable/LAN Vous définirez ici les paramètres de la carte réseau pour accéder à Internet. La plupart de ceux-ci auront été remplis par les valeurs par défaut, commercer par les valider. IP Address (adresse IP) Il faut remplir ce champ si vous avez une adresse IP fixe. Assurez qu il s agit de la bonne adresse car des conflits d adresse IP génère de nombreux problèmes intermittent. Subnet Mask (Masque de sous-réseau) Indique ici le masque de sous-réseau correspondant au réseau sur lequel l interface est branchée. Default Gateway (passerelle par défaut) Il s agit de la passerelle par laquelle toutes vos requêtes Internet seront acheminés. Il s agit d une information cruciale pour que votre coupe-feu accède à Internet. Il faudra ensuite déterminer le protocole de démarrage à utiliser. Ceci dépend généralement de votre ISP. Choisissez parmi les suivants: static, si vous avez une adresse IP fixe assignée à votre serveur. dhcp, si votre adresse est configurée dynamiquement par ce protocole. bootp, si votre adresse est configurée dynamiquement par ce protocole Vous pouvez finalement choisir si vous voulez que la carte s auto-détecte. il faut ensuite configurer le serveur sur Internet. Nom d hôte externe 43

58 Chapitre 4. Configurer l accès à Internet Nom de domaine externe myco.org Remplissez ces champs avec les informations externes. DNS Externe DNS Externe Ces adresses IP sont généralement celles des serveur de DNS de votre ISP Cable/Lan - Appliquez votre configuration Vous êtes à la dernière étape de la configuration. Réviser tous les paramètres et clique sur "Apply" pour appliquer votre changements. Cliquez sur "Back" pour revenir en arrière. 44

59 Chapitre 4. Configurer l accès à Internet 4.6. Configuration des comptes d accès Cet écran présente les configurations courantes. Dans le cas où vous avec plusieurs comptes d accès, vous pouvez changer de compte à l intérieur d un même type d accès. La première partie vous informe à propos de la configuration active. Ensuite, vous avez la liste des comptes associés à ce type d accès. DNS1 ProviderPhone DNS2 Password Login Auth free.fr SecreT bar PAP suppress provider.net SoSecreT foo PAP suppress Chaque compte contient 8 champs: Provider Domain: Cliquez ici pour activer le compte DNS1: le premier serveur DNS du fournisseur Internet ProviderPhone: si nécessaire, c est le numéro à composer pour accéder au fournisseur. DNS2: le serveur DNS secondaire Password: le mot de passe Login: le nom d usager Auth: si nécessaire, le protocole d authentification à utiliser. supprimer: pour détruire le compte. 45

60 Chapitre 4. Configurer l accès à Internet 4.7. Restriction de temps Si vous avez une connexion non permanente, cette page vous permettra de définir vos schèmes de connexion Internet. Pour chacune des trois périodes définies, vous aurez 5 options de connexion. Durant les heures d affaire (8 heure à 18 heure) À l extérieur de heures d affaire (18 heure à 8 heure). Durant le week-end (samedi et dimanche). Pour chacune de ces périodes, choisissez une des politiques suivantes : Pas de connexion la connexion n est pas opérationnelle durant cette période. Connexion de courte durée : les connexions sont faites sur demande, et le lien se coupe lorsque il n y a plus de requêtes. (Pertinent seulement pour les types de lien analogue et modem RNIS (ISDN en anglais).) Connexion de moyenne durée : les connexions sont faites sur demande, et le lien est coupé quelques temps après qu il n y ait plus de requêtes (Impertinent pour les types de lien permanents.) Connexion de longue durée : les connexions sont faites sur demande, et le lien est coupé très longtemps après qu il n y ait plus de requêtes. Les délais de connexion moyens sont en conséquence minimisés. (Impertinent pour les types de lien permanents.) Connexion continue : le lien Internet est maintenu durant cette période. Nous avons passé à travers les 3 types de période. La prochaine étape consiste à montrer les choix que vous venez de faire. Réviser-les et passe à l étape suivante. Vous reviendrez alors à la page de filtrage Proxy Web. 46

61 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres Cette section permet de contrôler l utilisation d autres services tels que DHCP, DNS ou mandataire (proxy) Internet État des services hébergés Cette page affiche l état des services hébergés sur votre machine. Vous pouvez les changer en cliquant sur les différents services, tels que serveur DHCP, mandataire ("Proxy"), DNS et détection d intrusion, lesquels sont tous situés à la gauche de votre fenêtre MandrakeSecurity Serveur DHCP Afin de permettre la configuration dynamique de nouvelles machines connectées sur votre LAN ("Local Area Network" ou, simplement, réseau local), vous devez configurer un serveur DHCP sur votre pare-feu. Si ces machines sont configurées pour utiliser le serveur DHCP au démarrage, elles seront automatiquement réglées 47

62 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres selon les paramètres réseau nécessaires à l intégration au réseau local. Ensuite, vous n avez qu à configurer les clients pour utiliser un serveur DHCP. Cette fonctionnalité est disponible sur la plupart des systèmes d exploitation modernes. Choisissez, si vous désirez utiliser un serveur DHCP (ou non), en sélectionnant Oui ou Non et en cliquant sur le bouton Next Configuration d un serveur DHCP Vous devez maitenant, à l aide de cet assistant, établir certain paramètres afin que votre coupe-feu agisse comme serveur DHCP sur votre réseau. Interface que le DHCP devrait écouter eth0 Ce champ abrite le nom de l interface connectée au LAN. Seulement les ordinateurs qui partagent le même sous-réseau avec cette adresse recevront une réponse de la part du serveur DHCP. Nom de domaine du client (ex. : entreprise.com) entreprise.com Entrez simplement le nom de domaine de votre machine dans ce champ. Adresse IP du serveur WINS Si vous hébergez un serveur de noms de domaine Windows sur votre réseau local, entrez son IP dans ce champ. Ainsi, le serveur DHCP dira aux postes de travail Windows de votre réseau, à l amorçage, quelle est l IP du serveur WINS, au lieu d avoir à configurer en conséquence chacun des postes de travail Windows. Début de la plage d adresses IP (ex. : 24) Fin de la plage d adresses IP (ex. : 75) Ces champs contiennent l étendue d adresses IP allouée pour les hôtes de client DHCP. L exemple donné est pour un sous-réseau de classe C. Assurez-vous de ne pas inclure la première IP (0 dans notre exemple) ni 48

63 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres la dernière (255) dans l étendue : elles sont réservées. Notez que les premières adresses sont généralement réservées pour les hôtes d IP statique, tandis que les dernières sont utilisées par les serveurs DHCP. Intervalle de temps par défaut en secondes (21600 = 6h) Intervalle de temps maximale en secondes (43200 = 12h) L assignation d une adresse IP à un hôte est toujours limitée dans le temps. Lorsque le client ne règle pas la période d assignation nécessaire, le serveur interviendra et réassignera une IP à l hôte à chaque "Intervalle de temps par défaut". Toutefois, une requête client pour une période spécifique, inférieure à l "Intervalle de temps maximale" sera honorée. Sinon, une adresse IP sera réassignée automatiquement après l expiration de l "Intervalle de temps maximale" Serveur DHCP - confirmer vos changements À ce stade, la page de confirmation affiche les données qui seront appliquées à la MNF. Si vous cliquez sur le bouton Appliquer, tous vos changements seront sauvegardés, et ils remplaceront la configuration par défaut ou la précédente. Si vous souhaitez changer les paramètres, cliquez sur le bouton Précédent, changez les paramètres, cliquez sur le bouton Suivant, et appliquer vos changements. 49

64 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres 5.3. Serveur mandataire ( Proxy ) Squid Afin d être capable de mettre en cache (mémoire temporaire) les requêtes HTTP et FTP faites depuis votre réseau local vers Internet, vous devez configurer un serveur mandataire (Proxy) sur votre pare-feu. Ceci permet de récupérer une page Web depuis Internet une seule fois, et de la mettre à la disposition de tous les utilisateurs du réseau. En conséquence, ceci accélère de façon substantielle l accès aux pages mises en cache et permet d économiser de la précieuse bande passante. MandrakeSecurity utilise le serveur mandataire Squid. Il agit comme un agent et il accepte les requêtes des clients (tel que les fureteurs) et les passent au serveur Internet approprié. Ensuite, il stocke une copie des données retournées dans une mémoire locale. Choisissez une des quatre options qui suivent avant de passer à la prochaine étape : désactiver : si vous choisissez de ne pas utiliser un mandataire, les requêtes faites par les utilisateurs seront transférées directement au monde extérieur ; transparent : active le mandataire et le configure afin qu il agisse en tant que mandataire transparent. Par exemple, les utilisateurs n auront pas à configurer leur client pour l utiliser : toutes les requêtes sont interceptées automatiquement et gérées par le mandataire ; manuel : même fonctions que l option précédente, mais les navigateurs client devront être configurés à nouveau pour utiliser le serveur mandataire installé sur votre serveur MandrakeSecurity ; activer le mandataire manuel avec un niveau d authentification : même chose que l option précédente. AT- TENTION : sur le pare-feu, créez des comptes pour les utilisateurs qui ont le droit de se connecter à Internet Configuration principale du mandataire C est ici que vous pourrez configurer les paramètres du mandataire. Après avoir réglé quelques paramètres communs, vous avez l option d activer (ou non) le filtrage Web ("web filtering"). 50

65 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres Le mode de Squid : authenticate Ce champ est défini par le mode de serveur mandataire que vous avez précédemment choisi, soit "désactiver", "transparent", "manuel" ou "manuel avec authentification". Dans notre exemple, nous avons choisi le mode "manuel". Le port de Squid : 3328 Voici le port du le pare-feu sur lequel Squid écoutera les requêtes. Il n y a pas lieu de faire de changements à moins que ce port soit déjà utilisé par un autre service. La taille du cache de Squid (en Mo) : 150 Ce champ vous laisse contrôler la somme des données en cache que Squid peut stocker et gérer. Pour que votre cache soit efficace, vous devez ajuster l espace cache au nombre d usagers : plus il y a d utilisateurs, plus vous aurez besoin d espace. Cet espace peut varier entre 10 Mo et 10 Go ou plus. L de l administrateur de Squid : [email protected] Si un pépin devait survenir, tapez le courriel de l administrateur dans ce champ ([email protected] dans notre exemple). Ainsi, vos utilisateurs sauront qui contacter en cas de problèmes/bogues. Veuillez sélectionner le mode d authentification Pam Ce champ ne sera affiché que si vous avez choisi le mode "manuel avec authentification". Il permet de choisir entre les modes suivants : PAM ("Pluggable Authentication Modules", soit modules d authentification enfichables), un mécanisme flexible pour l authentification d usagers (et l action par défaut sous MandrakeSecurity) ; LDAP ("Lightweight Directory Access Protocol", soit protocole d annuaire) qui permet d accéder à des services de répertoire en ligne ; Samba, qui vous permettra de vous connecter à un groupe de travail Samba tel que SOCIÉTÉ si vous utilisez un tel serveur ; et finalement, NIS ("Network Information Service" soit service d information réseau), qui facilite le flux d informations essentielles à chacune des machines de votre réseau. Lorsque vous serez de retour sur la page principale du serveur mandataire Squid, vous pourrez activer le filtrage Web. Cette fonctionnalité vous permettra de refuser ou de restreindre l accès à certaines pages sur Internet, tout dépendant des adresses Web. Par exemple, il est utile de bloquer l accès aux publicités ou aux sites pour adultes. Vous pouvez filtrer par adresse Web ou par contenu. Choisissez l icône pour un ou l autre. Ensuite, vous pouvez appliquer des règles de filtrage pour les réseaux autorisés ("Authorized Networks"), la restriction de temps ("Time Restriction"), les publicités à supprimer ("Advertising to Be Removed"), les adresses bannies ("Banned Destination URLs"), les IPs privilégiées ("Privileged IPs") les IPs source bannies ("Banned Source IPs") ou faire une sauvegarde de vos données. 51

66 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres Options LDAP Pour utiliser LDAP, vous devez régler quelques paramètres de base tels que ceux qui suivent. ou (ex. : people) dc (ex. : mdk) IP du serveur LDAP Premièrement, associez l attribut d objet à la catégorie nécessaire, telle que "people" ou "department". Ensuite, associez la variable d objet dc à votre nom de domaine, tel que "mandrake". L autre variable d objet dc devrait être associée à votre pays, tel que "fr" pour la France. Finalement, tapez l IP du serveur LDAP (par exemple : ) ou son nom (ex. : ldap.mesd.k12.or.us) Options Samba Cette page permet de régler le nom de votre groupe de travail ("Workgroup") Samba. Groupe de travail Samba (ex. : MANDRAKESOFT) Entrez simplement le nom de votre groupe de travail Samba dans le champ. 52

67 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres Options NIS La page d authentification NIS permet de régler deux paramètres essentiels : le domaine NIS et la liste NIS. Domaine NIS (ex. : yp.mandrakesoft.com) Liste NIS (d habitude, yp_liste.parnom) Dans ce champ, tapez votre nom de domaine NIS en empruntant le format suivant : yp.mandrakesoft.com, soit "yp" pour "Yellow Pages" (pages jaunes), suivi de votre nom de domaine. Même principe pour la liste NIS : commencez avec "yp", suivi du symbole de soulignement ("_"), puis le nom de la liste sous la forme "liste.nom" Filtrage d adresse par le Proxy Web Vous avez activé Proxy-Guard et cette page vous permettra de le configurer. Vous êtes en face du premier écran de l assistant. Des suggestions vous seront faites pour configurer les divers aspects du filtrage. Premièrement, cochez la section à configurer et passez à l étape suivante : Réseau autorisé : entrez les réseaux/masques autorisés dans le but de leur permettre d utiliser les services du mandataire. 53

68 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres Restriction du temps : permet de définir un horaire de connexion, par exemple, lorsque les utilisateurs ont le droit de se connecter à Internet, ou non. Publicité à supprimer : entrez les adresses ou les domaines complets de sites de publicité. Les images procédant de ces sites ne seront pas transférées aux clients. URLS de destination interdits : entrez les adresses ou les domaines complets pour lesquels l accès devrait être bloqué. Adresse IP privilégiées : entrez les IPs des machines privilégiées votre réseau local. Elles seront libérées des restrictions imposées par le filtre aux autres hôtes. Adresse IP interdite : désignes les machines qui n ont pas l autorisation d utiliser le mandataire. Sauvegarde et restauration : permet de faire une sauvegarde de vos règles de mandataire, ainsi que de les restaurer. Lorsque vous aurez terminé de configurer une des sections précédentes, vous reviendrez à la page d accueil Proxy Web Réseau/masque source autorisé Ce formulaire vous permettra de spécifier les sous-réseaux qui peuvent utiliser les services du mandataire. Si des classes différentes de réseau doivent être spécifiées (une pour les personnes qui ont le droit d accéder au Web, une autre pour celles qui n ont pas ce droit), vous devrez créer un sous-réseau pour les machines autorisées et assigner des IP selon le statut d authentification d un ordinateur donné. Entrée de réseau/masque autorisée /25 Dans ce champ, entrez l adresse IP du réseau/masque du sous-réseau (notre exemple montre une étendue IP de à où 0 est l adresse réseau et 127 l adresse de diffusion). Ensuite, cliquez sur le bouton Add: L adresse apparaîtra dans la liste au bas de la page. Si vous désirez supprimer une IP de la liste, choisissez-la et cliquez sur le bouton Suppress: 54

69 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres Lorsque vous aurez tout parcouru la liste, passez à la prochaine étape qui vous ramènera à la page principale "WebProxy Filtering" Restriction de temps Ce formulaire vous permettra de définit des plages de temps à l intérieur desquelles l accès au mandataire sera alloué. Notez que cela n affecte pas les hôtes privilégiés de votre réseau local. À l extérieur de ces plages de temps, les machines à accès restreint ne seront pas en mesure de naviguer sur le Web. Premièrement, vous devez choisir d activer ou non cette fonctionnalité. Si vous l activez, vous devrez définir les plages de temps en question : il existe deux périodes par jour. Dim AM 09:00-13:00 Assurez-vous de respecter strictement le format d heure tel qu illustré : HH:MM-HH:MM. Modifiez toutes les périodes à votre convenance. Lorsque vous aurez terminé de définir lesdites plages de temps, passez à l étape suivante. Vos choix seront alors affichés. Révisez-les et passez à l étape suivante. Vous retournerez ensuite à la page principale du filtrage Proxy Web. 55

70 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres Domaines et adresses publicitaires Comment peut-on se débarrasser des encombrantes publicités sur nos sites Web préféré? Examinons deux exemples : freshmeat.net et yahoo.com. Sur le site Web de freshmeat.net, faites un clic droit sur l image publicitaire puis cliquez "Copier l adresse de l image". Ensuite, allez dans la section New Banned Advertising Domain (nouveau domaine publicitaire banni), cliquez sur le bouton du milieu de votre souris ou sur les deux boutons simultanément. Effacez la dernière partie de l adresse et vous obtiendrez ads.freshmeat.net. Maintenant, ajoutez ce domaine à la liste. Nouveau domaine de publicité interdit ads.freshmeat.net Sur le site de Yahoo.com, faites un clic droit sur l image publicitaire et ensuite, choisissez l option "Copier l adresse de l image". Ensuite, placez-vous dans le champ New Banned URL (nouvelle adresse bannie) cliquez sur le bouton du milieu de votre souris, ou sur les deux boutons simultanément pour copier l information. Effacez la dernière partie de l adresse et vous obtiendrez us.a1.yimg.com/us.yimg.com/a/pr/promo/anchor. Maintenant, ajoutez cette adresse à la liste. Si vos cliquez sur le bouton Rafraîchir de votre navigateur plusieurs fois et que vous copiez l adresse de l image, vous obtiendrez plusieurs adresse différents : us.a1.yimg.com/us.yimg.com/a/ya/promo/anchor us.a1.yimg.com/us.yimg.com/a/an/promo/anchor us.a1.yimg.com/us.yimg.com/a/ya/yahoopager/messenger us.a1.yimg.com/us.yimg.com/a/ya/yahoo_auctions ainsi de suite... Nouvelle URL interdit us.a1.yimg.com/us.yimg.com/a/an/anchor La publicité correspondant à cette adresse précise ne sera pas affichée. Les listes pour ces deux catégories apparaîtront. Choisissez n importe quel item de ces listes et effacez-le en cliquant sur le bouton Supprimer : 56

71 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres Une fois que vous aurez passé à travers ces listes, passez à l étape suivante. Vous reviendrez alors à la page principale de filtrage Proxy Web Sites interdits Ce formulaire offre trois façon différentes pour filtrer les pages lues à l intérieur de votre réseau local. Ces trois types de filtrage dépendent des adresses des pages à bannir. Nouveau mot clé msn Toutes les adresses contenant ce mot seront bloquées. Cliquez sur "Ajouter ce mot clé à la liste" pour ce faire. Nouveau domaine interdit microsoft.com Toutes les pages dépendant d un serveur dont le nom ce termine par ce domaine seront bloquées. Dans notre exemple : " ne sera pas affiché. Cliquez sur "Ajouter ce domaine à la liste" pour ce faire. Nouvelle URL interdit Cette adresse spécifique ne sera pas affichée. Dans notre exemple : ne sera pas supprimer. Cliquez sur "Ajouter cet URL à la liste) pour ce faire. Ensuite, les listes pour les trois catégories seront affichées. Vous pouvez choisir un item d une de ces listes et le supprimer en le saisissant et en cliquant sur le bouton Supprimer : 57

72 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres Lorsque vous aurez terminé de réviser ces listes, passez à l étape suivante. Vous reviendrez alors à la page principale de filtrage Proxy Web IPs privilégiées Ce formulaire vous permettra d ajouter ou de supprimer des IPs privilégiées sur votre réseau local. Ces machines seront libérées de toute restriction imposée par le filtre qui s applique aux autres hôtes. Entrer une nouvelle adresse IP privilégiée Entrez l adresse IP complète de l hôte privilégié. Ensuite, cliquez sur le bouton Ajouter : L IP apparaîtra dans la liste au bas de la page. Pour supprimer les privilèges d une IP sur la liste, choisissez-la simplement et cliquez sur le bouton Supprimer : Lorsque vous aurez passé à travers la liste, passez à l étape suivante. Vous reviendrez alors à la page principale de filtrage Proxy Web. 58

73 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres IPs bannies Ce formulaire vous permettra d ajouter ou de supprimer les IPs des machines qui n ont pas le droit d utiliser le mandataire. Ceci signifie que s il n y a aucune autre passerelle vers Internet depuis le réseau local, ces utilisateurs ne pourront pas naviguer sur le Web. Entrez une nouvelle adresse IP bannie Entrez l adresse IP complète de l hôte banni. Ensuite, cliquez sur le bouton Ajouter : au bas de la liste. L IP apparaîtra Si vous souhaitez supprimer une IP de la liste, sélectionnez-la et cliquez sur le bouton Supprimer : Lorsque vous aurez passé à travers la liste, passez à l étape suivante. Vous reviendrez alors à la page principale Proxy Web. 59

74 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres Faire des copies de sauvegarde et restaurer les règles du mandataire Faire une copie de sauvegarde de vos règles de mandataire est une excellente idée. D être capable de pouvoir les restaurer est également très commode. Suivez ces étapes simples pour ce faire. Sauvegarde : pour créer une copie de sauvegarde de vos règles de mandataire, cliquez sur le bouton gris appelé Sauvegarde. Une nouvelle page s affichera : appuyez sur la touche Shift et cliquez sur le lien "Web- Proxy Backup File" (ou faites un clic droit et choisissez Télécharger ce lien) et le fichier WebProxyRulesBackup.tar.bz2 sera sauvegardé sur votre disque dur. Restauration : pour restaurer vos règles de mandataire, cliquez sur le bouton Browse ("Naviguer") pour localiser le fichier approprié (tel que WebProxyRulesBackup.tar.bz2). Ensuite, cliquez sur le bouton Charger et, sur la prochaine page, cliquez sur Appliquer Règles de sauvegarde Votre opération de sauvegarde a été réussie avec succès. Maintenant, suivez les instructions plus bas pour sauvegarder votre fichier de règles du mandataire. Faites simplement un shift-click sur le lien "WebProxy Backup" (ou en faisant un clic droit et en choisissant Télécharger ce lien) et le fichier WebProxyRulesBackup.tar.bz2 sera sauvegardé sur votre disque dur. Ensuite, cliquez sur le bouton Suivant. Toutefois, si vous souhaitez terminer cette opération, cliquez sur le bouton Annuler : vous reviendrez alors à la page principale de MandrakeSecurity. 60

75 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres 5.4. DNS antémémoire ( Caching ) Cet assistant vous aidera à configurer votre serveur DNS. DNS est un acronyme qui signifie Système de nom de domaine ("Domain Name System"). Il traduit des noms de machine lisibles par des humains en adresses IP lisibles par des machines, et vice versa. Cet assistant de configuration fournira un service DNS local aux ordinateurs connectés à votre réseau local, et toutes les requêtes non locales seront transférées à un serveur DNS externe. Pour activer ce service, veuillez cocher la boîte Activer et cliquez sur le bouton Suivant. En cliquant sur le bouton Annuler, vous reviendrez à la page par défaut et vous annulerez cet assistant de configuration Étape de configuration des relais primaires DNS À partir de cette page, vous pouvez spécifier les serveurs DNS utilisés pour transférer les requêtes. Serveur DNS Relais primaire de DNS Relais secondaire de DNS activé adresse_ip_de_dns_primaire_de_votre_fai adresse_ip_de_dns_secondaire_de_votre_fai Vous devez entrer les adresses IP des serveurs de relais primaire DNS et, en option, celles des relais secondaires, dans les champs respectifs. Normalement, vous devriez entrer les adresses IP de vos serveurs de relais 61

76 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres primaire/secondaire DNS ici, mais peut-être utilisez-vous un autre serveur DNS vers lesquels les requêtes sont transférés. Une fois que vous aurez entré les adresses IP de vos serveurs de relais DNS, cliquez sur le bouton. En cliquant sur En cliquant sur, vous reviendrez à l étape précédente de cet assistant de configuration., vous reviendrez à la page d accueil de MandrakeSecurity Système de détection d intrusion Cette page permet de choisir et d activer un système de détection d intrusion ou SDI (soit «Intrusion Detection System» ou IDS en anglais) sur votre serveur. Les SDI sont des applications de filtrage de paquets à base de signature utilisés pour générer des alarmes lorsque des activités anormales ont lieu sur un réseau. SDI Prelude SDI Snort Activer/désactiver Activer/désactiver SDI Prelude Prelude est un SDI hybride qui combine la détection d intrusion réseau («Network Intrusion Detection») et la détection d intrusion à base d hôte («Host-Based Intrusion Detection»). SDI Snort Snort est un SDI de réseau open source. 62

77 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres 5.6. Activation de services Cette page liste les services présents sur votre machine. Vous aurez l opportunité de les activer (ou non). Status [...] Gpm Running reload restart stop start Details Httpd-naat Running reload restart stop start Details Squid Running reload restart stop start Details [...] La première colonne de la table liste le nom du service et son statut actuel : "Running" (en marche) : ce service est installé et accepte les connexions. "Stopped" (arrêté): ce service est installé sur le pare-feu mais est actuellement désactivé. "Unknown" (inconnu) : pour une raison ou une autre, l interface n a pas été en mesure de déterminer le statut de ce service. Les paramètres de ces services peuvent ensuite être modifiés : recharger : permet le rechargement de la configuration de ce service sans interruption. À utiliser lorsqu un paramètre de ce service vient tout juste d être modifié. redémarrer : arrête et redémarre le service. arrêter : le service refusera toutes connexions et arrêtera les connexions courantes. démarrer : ce service acceptera les nouvelles connexions. Détails : affiche une nouvelle page contenant plus d information au sujet d un service particulier. 63

78 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres 64

79 Chapitre 6. Configuration du comportement du pare-feu Dans ce chapitre, nous allons parcourir toutes les pages de configuration de la section Règles pare-feu de l interface. C est ici que nous autoriserons ou bloquerons le trafic entre les différentes zones et machines auxquelles le pare-feu est relié Contrôle principal du pare-feu Cette section permet de contrôler tout le trafic entrant et sortant sur le pare-feu. Plus particulièrement, il permet de définir les différents groupes d ordinateurs (zones) avec lesquels votre pare-feu interopère, ainsi que le trafic alloué entre ces zones. Sur l écran principal, vous trouverez les Actions du Firewall pour tous les services de filtrage et de routage. Quatre actions peuvent être appliquées au pare-feu : démarrer : met le pare-feu en route, ainsi que tous les services définis dans cette section ; arrêter : arrête le pare-feu. Tous les canaux de communication seront perdus, isolant la machine du réseau externe. Cette opération peut être utile lorsque vous vous appercevez que certaines machines ont été compromises. Toutefois, l interface d administration ne sera plus accessible. Vous pourrez toujours vous connecter physiquement sur la consôle du pare-feu. redémarrer : arrête le pare-feu (s il est en fonction) et le démarre à nouveau ; effacer («clear») : efface toute la configuration effectuée par l administrateur dans la section Règles du pare-feu («firewall rules»). Utilisez cette action avec beaucoup de prudence! Ensuite, cette action réinstalle et active la configuration par défaut du manufacturier. Utilisez «démarrer» ou «redémarrer» pour revenir à la configuration personnalisée. Soyez particulièrement conscient des effets des actions arrêter et nettoyer. Lorsque vous aurez choisi l action désirée, cliquez sur le bouton Suivant pour confirmer. 65

80 Chapitre 6. Configuration du comportement du pare-feu 6.2. Définition des zones Cette sous-section permet de déterminer précisément chaque groupes de machines (zones) avec lequel le coupe-feu devra interagir. Les écrans d introduction résument les configurations actuelles et permettent de gérer les trois composantes de la définition d une zone. N oubliez pas de cliquer sur Appliquer après avoir modifié ou créé une zone dans cette sous-section. D abord, vous devez définir le nom de chaque zone. Réfléchissez aux zones nécessaires à votre réseau. Trois noms sont fournis pas défaut comme en témoigne la première table résumant les noms définis. Ces valeurs prédéterminées permettent une configuration simple et sécuritaire de votre coupe-feu. LAN : Local Area Network (réseau local). Le réseau interne où sont branchés les postes clients. Les connexions de l extérieur vers cette zone sont généralement refusées. DMZ : DeMilitarized Zone (zone démilitarisée). Généralement réservée aux serveurs Internet, cette zone sera dédiée à des serveurs publics offrants des services tel que "WWW", "SMTP" ou "POP". Les connexions de l extérieur sont donc permises. WAN : Wide Area Network (réseau étendu). Cette appellation désigne le réseau Internet, ou plus précisément, un réseau relié à Internet. Pour chaque nom de zone définis, cliquez sur l icône pour modifier les noms associés à cette zone ou sur pour la détruire. 66

81 Chapitre 6. Configuration du comportement du pare-feu Si vous désirez définir une nouvelle zone, cliquez sur Rajouter une interface Il y une zone spéciale fw qui n est pas affichée ici mais qui existe toujours. Elle est utilisée pour désigner la zone coupe-feu firewall : une zone composée d une seule machine, le coupe-feu lui-même. Puis, il faut informer le système de chaque interface réseau configurée sur le coupe-feu, et les zones leur étant associées. Les tables qui suivent listent les interfaces et les zones respectives. Si le nom de zone est "-", ça signifie que plusieurs zones sont associées à cette interface. La procédure de création de zones "host" est définies plus bas. Pour chaque interface définie, cliquez sur pour modifier une zone associée à cette interface ou pour la détruire. Pour ajouter une nouvelle interface, cliquer sur Rajouter une interface Vous pouvez définir, dans la dernière partie de la page les zones hôtes ("host"). Ces zones sont composées d un groupe de machines partageant la même interface sur le coupe-feu. Vous voulez que ces machines soient traitées différemment des autres postes du réseau. Les machines appartenant à ces zones hôtes sont identifiées par leur masque de sous-réseau ("subnet mask"). Par exemple, ceci pourrait être utile si votre serveur Internet est branché physiquement à votre réseau local. Il faut alors le séparer virtuellement en associant la zone DMZ à une zone hôte composée exclusivement du serveur Internet. Pour chaque zone hôte, cliquez sur pour modifier la configuration ou sur pour la détruire. Pour ajouter une nouvelle zone hôte, cliquez sur "Add Host" Modifier une identification de Zone Ce formulaire permet d ajouter/modifier une identification de zone. On compte trois façons d identifier une zone, utilisée selon l endroit où elle est affichée. N o de zone (unique) : Ce numéro sera utilisé partout où la zone doit être identifiée. Il est recommandé de ne pas modifier la valeur par défaut. 67

82 Chapitre 6. Configuration du comportement du pare-feu Zone : Nom d affichage de zone : Commentaires : Le surnom de la zone. Le nom devrait être d au maximum 5 chiffres ou lettres (minuscules). Le nom doit commencer par une lettre. Aussi, le nom du pare-feu et "multi" sont réservés à des usages internes du système. Le nom de la zone tel qu il doit apparaître dans les fichiers journaux (logs). Ce champ vous permet d ajouter quelques précisions sur le rôle de la zone, pour fins de maintenance. Attention : certains caractères ou symboles peuvent causer des conflits. Il est fortement recommandé de limiter votre créativité à des lettres, des chiffres et des traits de soulignement ("_"). Attention 2 : si vous renommez ou détruisez une zone, vous devez arrêter ("stop") puis démarrer le serveur ("start") pour que les changements prennent effets. Un redémarrage "restart" ne prendra pas en compte les changements. Par exemple : vous avez plusieurs serveurs Web sur le même sous réseau. Nous créerons ici la zone pour la configurer plus tard. N o de zone (unique) Nom d affichage de zone : Commentaires www WWW Web_Servers_Farm Associer une zone à une interface réseau Pour chaque interface Ethernet, au moins une zone doit y être associée. On peut associer plusieurs zones à une interface réseau par les zones "host". Ce formulaire permet donc de configurer les options associées aux interfaces. 68

83 Chapitre 6. Configuration du comportement du pare-feu ID d interface : Zone : Interface : Diffusion (Broadcast) : Options : Cette valeur numérique sera utilisée partout pour identifier l interface. Il est recommandé de ne pas modifier les valeurs proposées par défaut. Dans le menu déroulant, choisissez la zone que vous voulez assigner à cette interface. La zone spéciale "-" signifie que plusieurs zones "host" seront associées à cette interface. Choisissez l interface à configurer dans le menu déroulant. Si vous ne retrouver par l interface désirée, c est qu il faut d abord la déclarer dans la section "System setup". L adresse de diffusion pour le sous-réseau relié à l interface. Cette valeur doit rester vide pour les interfaces P-T-P (ppp*, ippp*); si vous devez spécifier une valeur, entrez "-" dans ce champ. Si vous indiquer "detect", le coupe-feu déterminera automatiquement l adresse de diffusion. Neuf options de configurations avancées de l interface. Voir le tableau suivant: Voici quelques informations supplémentaires sur les options disponibles. Réviser-les biens puisque pour certaines interfaces, certaines options sont fortement recommandées. dhcp noping routestopped norfc1918 routefilter multi dropunclean logunclean Liste noire L interface se verra assignée une adresse IP automatiquement pas un serveur DHCP. Le mur coupe feu sera configuré pour permettre le trafic entrant et sortant de cette interface, même s il est arrêté. Les requêtes ICMP echo-request (ping) seront ignorées par cette interface. Lorsque le coupe feu est arrêté, le trafic entrant et sortant de cette interface sera accepté et la redirection ("routing") permise entre les interfaces "routestopped". Les paquets arrivant sur cette interface et qui ont comme source ou destination des adresses réservées dans le RFC 1918 (adresse de réseau privée) seront tracés ("logged") et abandonnés. Cette option est généralement activée pour les interfaces Internet. Cette option invoque les fonctionnalités de filtre de redirection du noyau. Celui-ci rejettera tout paquet entrant avec une adresse source redirigeable vers l extérieur par une autre interface réseau. ATTENTION: si vous spécifiez cette options pour une interface, il faudra alors que celle-ci soit mise en fonction avant le coupe-feu. L interface a plusieurs adresses et vous voulez permette la redirection entre celle-ci. Par exemple: vous avez deux adresses sur eth1, la première dans le sous-réseau /2 et l autre dans /2 et vous voulez permettre la redirection entre ces réseaux. Parce que vous avez seulement une interface dans la zone locale, le système ne créera pas normalement de règle pour rediriger entre eth1 et eth1. En ajoutant "multi" à l entrée de eth1, le coupe-feu créera la chaîne "loc2loc" dans l entrée de eth1 et les règles de redirection appropriée. Les paquets de cette interface sélectionné par "unclean" de IPtables seront tracés (logged) et abandonnés. Similaire à la précédente, les paquets sélectionné par "unclean" seront tracés (logged), mais ne seront pas abandonnés. Cette option a pour effet de faire valider les paquets entrant contre un fichier "blacklist" (liste noire). Voir la sous-section blacklist. Par exemple, selon notre exemple de serveur Web, nous allons indiquer que la zone "www" est attribuée au sous-réseau branché à l interface "eth3". 69

84 Chapitre 6. Configuration du comportement du pare-feu Zone : Interface : Diffusion : www eth3 detect Associer des zones hôte ( host ) à une interface Si vous avez assigné la zone spéciale "-" à une interface, vous devez maintenant déterminer la zone hôte pour cette interface. Une zone hôte est simplement un groupe de machines identifiées par leur sous-réseau commun. Cette zone peut être réduite à une seule machine. Host ID : Zone : Interface : Adresse IP : Options : Ce numéro d identification (ID number) sera utilisé partout pour identifier cette zone hôte. Choisissez, dans le menu déroulant, le nom de zone à utiliser pour cette zone hôte. Choisissez l interface associée à cette zone hôte dans le menu déroulant. Choisissez "+" si vous ne voulez pas associer une interface spécifique à une zone hôte ou à un sous-réseau. Notez : l utilisation du "+" affaiblit et ralentit légèrement le pare-feu. L hôte ou l adresse de sous-réseau pour les machines associées à cette zone hôte. Par exemple : " /2". L option "routestopped" a l effet suivant : lorsque le pare-feu est arrêté, le trafic de et vers cet hôte (ou ces hôtes) est accepté et redirigé entre les hôtes et interfaces "routestopped". Par exemple : vous désirez que certains postes de votre réseau local puissent administrer le pare-feu même lorsque celui-ci est arrêter. Après avoir configuré "eth2" avec la zone spéciale "-" et l option "multi", vous devez configurer la zone hôte spéciale "adm", qui correspond exclusivement aux machines qui doivent administrer le pare-feu à partir du sous-réseau. Zone : adm Interface : eth2 Adresse IP : /25 70

85 Chapitre 6. Configuration du comportement du pare-feu Options : routestopped 6.3. Configuration du masquage, des traductions d adresses réseau statiques et du Proxy ARP Cette sous-section propose des services pour faciliter les communications entre Internet et vos machines internes, quelles soient client ou serveur. ATTENTION : souvenez-vous de cliquer sur le bouton Appliquer lorsque vous aurez terminé de configurer les services nécessaires de cette sous-section. La partie "Masquage classique" gère les règles qui permettent aux clients internes d accéder à Internet. Pour chacune des règles définies (s il y a lieu), cliquez sur l icône correspondante pour modifier la règle ou sur pour supprimer définitivement ce masquage. Si vous souhaitez définir un nouveau masquage, cliquez sur l icône Ajouter un masque La partie "Traduction statique", pour sa part, gère les règles de traduction d adresse réseau (NAT). Ceci permet aux serveurs internes (généralement dans la DMZ) d apparaître comme s ils faisaient partie d Internet pour les clients externes. Pour chacune des règles définies (s il y a lieu), cliquez sur l icône correspondante pour modifier la règle ou sur pour supprimer définitivement ce masquage. 71

86 Chapitre 6. Configuration du comportement du pare-feu Si vous souhaitez ajouter une nouvelle règle de traduction d adresse réseau, cliquez sur l icône Ajouter NAT Finalement, vous pouvez définir, dans la dernière partie de la page, les "Règles Proxy ARP" Mascarade IP classique Afin de permettre aux clients de votre réseau local d accéder à Internet, vous devez masquer ce réseau en toute déférence d Internet, puisque votre réseau s appuie sur des adresses privées invalides sur Internet. ID : Réseau masqué : À travers l interface : Réseau/masque (optionnel) : Adresse source NAT (SNAT) : Le numéro d ID unique qui identifie cette règle classique de masquage IP. Le sous-réseau que vous voulez masquer à travers l interface ci-dessous. Ceci peut être exprimé comme une adresse IP unique, un sous-réseau ou un nom d interface. En option, le sous-réseau peut être suivi de «"!"» et d une liste d adresses ou/et de sous-réseaux, séparés par une virgule, lesquels sont à exclure du masquage. L interface qui masquera le sous-réseau ; normalement, c est votre interface Internet. En option, vous pouvez spécialiser une règle en ajoutant un sous-réseau ou un hôte IP. Lorsque cet ajout est fait, seulement les paquets adressés à l hôte ou au réseau seront masqués. L adresse source à utiliser pour les paquets sortants. Cette colonne est optionnelle et, si elle demeure vide, l adresse IP primaire courante de l interface sera utilisée. Exemple1 : vous avez de nombreux tunnels IPSEC à travers ipsec0 et vous voulez masquer le trafic depuis votre sous-réseau /24 au sous-réseau /16 seulement. Réseau masqué : /24 À travers l interface : ipsec0 Réseau/hôte optionnel : /16 Adresse source (SNAT) : Exemple2 : vous avez une ligne DSL connectée sur eth0 et un réseau local ( /24) connecté sur eth1. Vous voulez que toutes les connexions local->internet utilisent l adresse source De plus, vous 72

87 Chapitre 6. Configuration du comportement du pare-feu souhaitez exclure et de la règle SNAT. Réseau masqué : /24! , À travers l interface : eth0 Réseau/hôte optionnel : Adresse source (SNAT) : Traduction d adresse réseau statique La traduction d adresse réseau statique est une façon de présenter les systèmes derrière un pare-feu, et configurés avec des adresses IP privées (celles réservées pour un usage privé dans le RFC1918), comme s ils avaient des adresses IP publiques. Pour permettre aux clients de votre réseau local d accéder à Internet, vous devez masquer ce réseau en toute déférence d Internet, puisque votre réseau local s appuie sur des adresses privées invalides sur Internet. IMPORTANT : si vous voulez seulement transférer des ports à des serveurs derrière votre pare-feu, vous ne devez PAS utiliser une traduction d adresse réseau statique. Le transfert de port peut être accompli avec des entrées simples dans la sous-section Règles. Aussi, dans la plupart des cas, Proxy ARP est une meilleure solution que la traduction d adresse réseau statique puisqu on accède aux systèmes internes en utilisant la même adresse IP à l interne qu à l externe. ID: IP publique externe : Sur cette interface réseau : IP privée interne (RFC1918) : Le numéro d ID unique qui identifie cette règle de traduction d adresse réseau statique. Adresse IP externe pour la traduction - Ceci ne devrait PAS être l adresse IP primaire de l interface nommée dans le champ suivant. Interface sur laquelle vous voulez que l adresse IP publique externe apparaisse. Adresse IP interne pour traduction. Doit être une adresse IP privée tel que défini par le RFC Deux options sont disponibles pour la traduction : 73

88 Chapitre 6. Configuration du comportement du pare-feu Tous les hôtes Système pare-feu Si activé, cette traduction d adresse réseau sera en fonction pour tous les hôtes. Sinon, la traduction d adresse réseau s appliquera uniquement à travers l interface nommée dans le champ «Sur cette interface réseau». Si activé, la traduction d adresse réseau s appliquera aussi depuis le système pare-feu en tant que tel. Exemple : nous voulons que le système interne avec l adresse IP apparaisse sur Internet en tant que sous-réseau *. Si nous assumons que l interface à Internet est eth0, donc la règle suivante affichera le système comme ayant l adresse IP IP publique externe : Sur cette interface réseau : eth0 IP privée interne : Tous les hôtes Système pare-feu Oui Oui Note 1 : l option «Tous les hôtes» est utilisée pour spécifier que l accès à l IP externe depuis toutes les interfaces pare-feu devraient passer par la traduction d adresse réseau. Si cette option est réglée à «Non», seulement l accès depuis l interface dans le champ Interface devrait passer par la traduction d adresse réseau. Note 2 : le fait de régler l option «Système pare-feu» fait en sorte que le paquet originaire du pare-feu luimême, et destiné à l adresse externe, sera redirigé à l IP privée interne Règle de Proxy ARP Ce formulaire est utilisé pour définir les règles de Proxy ARP ("Address Resolution Protocol", soit protocole de résolution d adresse). Vous avez besoin d une règle pour chaque système sur lequel vous voulez utiliser le protocole de résolution d adresse. ID : Adresse IP du serveur : Interface interne : Le numéro d ID unique qui identifie cette règle de Proxy ARP. Adresse du système ciblé. L interface qui se connecte au système. Si l interface est évidente depuis le sous-réseau, vous pouvez choisir «-». 74

89 Chapitre 6. Configuration du comportement du pare-feu Interface externe : Route vers le serveur IP déjà active : L interface externe avec laquelle vous voulez honorer les requêtes ARP pour l adresse IP du serveur spécifié plus haut. Si vous avez déjà une route à travers l "Interface interne" vers l "adresse IP du serveur", cochez cette option. Si vous voulez que le pare-feu lui-même ajoute la route, assurez-vous que la case n est pas cochée. Exemple : vous avez les adresses IP publiques /28. Vous configurez votre pare-feu ainsi : eth (Internet connection) eth /24 (masqueraded local systems) eth (interface to your DMZ) Dans votre DMZ, vous voulez installer un serveur Web/FTP avec l adresse publique Sur le serveur Web, vous faites un sous-réseau exactement comme l eth0 du pare-feu et vous configurez l adresse en tant que passerelle par défaut : Adresse IP du serveur : Interface interne : Interface externe : Route vers le serveur IP déjà active : eth2 eth0 Non Note : il est possible que vous vouliez configurer les serveurs de votre DMZ avec un sous-réseau similaire à celui de votre interface Internet. Dans ce cas, choisissez Oui dans la colonne HAVEROUTE Configuration des règles générales Cette sous-section décrit la politique du pare-feu relative à l établissement de connexion. Cette dernière est 75

90 Chapitre 6. Configuration du comportement du pare-feu décrite selon la dichotomie suivante : les clients qui initient les connexions ; et les serveurs qui reçoivent les requêtes de connexion. Les politiques définies dans cette section sont celles par défaut. Si aucune règle dans la section suivante appelée Règles ne s applique à une requête de connexion particulière, la politique par défaut définit ici sera en vigueur. La table fait un résumé de toutes les politiques par défaut actuellement configurées. La configuration des politiques par défaut est réglée à REFUSER pour toutes les règles, dans le but de ne permettre l accès qu aux connexions explicitement permises dans la sous-section Règles qui suit. ATTENTION : l ordre est important. Le pare-feu exécute les règles de la politique de haut en bas et utilise la première politique applicable qu il trouve. Par exemple, dans le fichier de politique qui suit, la politique pour les connexions (loc, loc) serait ACCEPTER tel que spécifié dans la première entrée même si la troisième entrée du fichier spécifie de REFUSER. S il y a plusieurs règles, vous pouvez les filtrer par client et zones serveur. Choisissez les zones "client" et "Serveur" disponibles que vous désirez dans le menu contextuel et cliquez sur l icône "*" est simplement un métacaractère («wildcard») qui permet de rejoindre toutes les zones. Rappel : la zone «fw» désigne le pare-feu lui-même. La zone spéciale Pour toutes les politiques définies, cliquez sur l icône correspondante pour modifier cette politique ou pour la supprimer définitivement. Pour ajouter une nouvelle politique, cliquez sur l icône Définir une politique par défaut Vous êtes sur le point de définir une politique par défaut pour les requêtes de connexion entre des zones Client et Serveur. Pour que cette politique soit en fonction, la connexion doit provenir d une machine de la zone Client et doit être dirigée vers une machine appartenant à la zone Serveur. Ensuite, l action de politique par défaut sera prise pour cette connexion. En option, si cette politique est déjà active, elle générera une entrée journal ("log entry") au niveau "Niveau journal". ID de la politique Le numéro d ID unique identifiant cette règle de politique. 76

91 Chapitre 6. Configuration du comportement du pare-feu Zone client Zone serveur Comportement par défaut Niveau journal La zone depuis laquelle la connexion doit provenir pour la politique à activer. La zone vers laquelle la connexion est ciblée. L action qui sera entreprise si la politique est activée. Voir le tableau ci-bas pour de plus amples détails au sujet des actions possibles. Si réglé à "-", aucun message journal n est généré lorsque la politique est en fonction. Sinon, un message syslog est généré avec le niveau de syslog choisi. Voir la page de man "syslog.conf" pour obtenir une description de chacun des niveaux journal. Voici une courte description des 4 politiques possibles : ACCEPTER RETIRER ("DROP") REJETER CONTINUER La connexion est permise. La requête de connexion est ignorée. La requête de connexion est bloquée et un message de "destination impossible à rejoindre" est renvoyé au client. La connexion n est ni ACCEPTée, RETIRée ou REJETée. L action CONTINUER peut être utilisée lorsqu une ou les deux zones nommées dans l entrée sont des sous-zones d une autre zone, ou en croise une autre (zone). Exemple : vous faites confiance aux gens de votre réseau local et vous voulez autoriser l accès à tous les services Web (zone WAN). Vous ne souhaitez pas journaliser leurs activités non plus. Zone client loc Zone serveur wan Comportement par défaut ACCEPTER Niveau journal - 77

92 Chapitre 6. Configuration du comportement du pare-feu 6.5. Configuration des règles du pare-feu Voici le coeur du pare-feu. La sous-section Règles définit les exceptions des politiques établies dans la section Politiques par défaut. Une entrée correspond à chacune de ses règles dans le tableau. Le tableau fait un sommaire de toutes les règles présentement configurées. Par défaut, MandrakeSecurity définies des valeurs standards pour les zones par défaut (LAN, WAN, DMZ). Vu que la politique par défaut est de «RETIRER» («DROP») toutes les connexions, les règles par défaut permettent d en définir de plus précises : les ordinateurs du réseau local peuvent se connecter à Internet (WAN) pour naviguer sur le Web, accéder aux services du courrier électronique, au protocole FTP et aux connexions SSH ; les ordinateurs du réseau local peuvent se connecter au serveur SSH du pare-feu ou à l interface Web de MandrakeSecurity ; toutes les requêtes DNS («Domain Name Service») vers Internet sont acceptées ; les échos Ping sont permis entre les zones internes. Si beaucoup de règles existent, vous pouvez les filtrer. Choisissez les zones Client et Serveur désirées, ainsi qu un Port dans le menu contextuel, et cliquez sur l icône La zone spéciale ou le port «*» est tout simplement un métacaractère («wildcard») qui correspond à toutes les possibilités. Rappel : la zone «fw» désigne le pare-feu en tant que tel. Pour chacune des règles définies dans le tableau, cliquez sur l icône correspondante pour modifier cette règle ou sur pour la supprimer définitivement. 78

93 Chapitre 6. Configuration du comportement du pare-feu Si vous souhaitez ajouter une nouvelle règle, deux formulaires sont disponibles : cliquez sur l icône correspondante «Ajouter un hôte» Ajouter une règle simple Ajouter une règle personnalisée Vous obtiendrez le formulaire de règle simple, permettant de définir une règle «ACCEPTER» en spécifiant seulement la source, la destination et le protocole. Le formulaire affiché permet de définir une ou plusieurs règles complexes, avec toutes sortes d actions disponibles, et quelques options, comme la connexion, le transfert et le SNAT («Source Network Address Translation») Définir une règle ACCEPT simple de pare-feu Vous êtes sur le point de définir une nouvelle règle pour autoriser une connexion spécifique entre deux zones différentes. Lorsque une connexion rejoint les critères définis sur cette page, la connexion sera permise. ID de la règle Services prédéfinis Protocole Origine ("Coming from") Destination ("and going to") Renvoyer Le numéro d ID unique qui définit cette règle de politique. Choisissez un service commun depuis le menu contextuel, ou entrez un nom ou un numéro de service dans ce champ. Le type de protocole associé à ce service. La zone depuis laquelle la requête de connexion provient. la zone vers laquelle la requête de connexion est dirigée. Peut être suivi par une IP ou un masque de sous-réseau. Laissez «-» dans le champ pour toute la zone. Lorsque cette option est cochée, le fonctionnement de la règle est modifié. Toutes les requêtes depuis des sources spécifiques et pour le service spécifié seront interceptées, quelque soit le système cible. Ensuite, cette requête sera transférée à l IP de destination («and going to»). Dans ce cas, une adresse IP spécifique doit être mentionné dans le champ de Destination. 79

94 Chapitre 6. Configuration du comportement du pare-feu Exemple : vous désirez transférer toutes les requêtes de connexion SSH depuis Internet à votre système local Services prédéfinis Protocole Origine Connexion distante sécuritaire [ssh] tcp wan Destination lan Renvoyer [cocher] Définir une règle complexe de pare-feu Vous êtes sur le point de définir une nouvelle règle pour gérer une connexion spécifique entre deux zones différentes. Si la requête rejoint les critères définis sur cette page, l action «Résultat» sera entreprise. Voici une description des différents champs disponibles pour ce formulaire. Remplissez-les selon les critères correspondants pour que cette règle soit activée. Quelques options sont également disponibles afin de gérer ces connexions : Rule Id («ID de la règle») Action («Résultat») Logging («Connexion») Services prédéfinis Protocole Le numéro d ID unique de cette règle de politique. L action entreprise pour les requêtes de connexion qui correspondent à cette règle. Voir le tableau ci-dessous. Réglez ce champ à «info» si vous voulez que chacune de ces connexions soient journalisées par syslog lorsque elles sont acceptées. Choisissez un service commun dans le menu contextuel ou entrez un nom ou un numéro de service dans le champ. Le type de protocole associé à ce service. 80

95 Chapitre 6. Configuration du comportement du pare-feu Client Serveur Adresse de renvoi SNAT La zone depuis laquelle la requête de connexion provient. La correspondance peut être réduite en spécifiant une adresse IP ou masque de sous-réseau précis, même un numéro de port. Laissez «-» dans le champ pour que la requête corresponde à n importe quel port ou IP. La zone vers laquelle la requête de connexion est dirigée. La correspondance peut être restreinte en spécifiant une IP ou un masque de sous-réseau précis, même un numéro de port. Laissez «-» dans le champ pour que la requête corresponde à n importe quel port ou IP. Si la requête cible une IP spécifique (ou si elle est réglée à «tout»), elle sera transférée à l IP «Serveur» et au port. Dans ce cas, une adresse IP spécifique doit être présente dans le champ Serveur. Si spécifiée, et si le transfert ci-haut est activé, l adresse source de la requête sera réglée selon la valeur «SNAT» avant d être transférée au serveur. Voici une courte description des 4 actions disponibles : ACCEPTER RETIRER («DROP») REJETER CONTINUER La connexion est permise. La requête de connexion est ignorée. La requête de connexion est bloquée et un message de «destination impossible à rejoindre» est envoyé au client. La connexion n est ni ACCEPTÉE, RETIRÉE ou REJETÉE. L action CONTINUER peut être utilisée lorsqu une ou les deux zones nommées dans l entrée sont des sous-zones d une autre zone, ou en croise une autre (zone). Exemple : vous voulez que le serveur FTP sur dans votre DMZ en mascarade soit accessible depuis votre sous-réseau local /24. Puisque le serveur est dans le sous-réseau /24, nous pouvons assumer que l accès au serveur depuis ce sous-réseau n impliquera pas le pare-feu. Résultat ACCEPTER Connexion Services prédéfinis ftp Protocole tcp Client loc /24 Serveur dmz Adresse de renvoi SNAT 81

96 Chapitre 6. Configuration du comportement du pare-feu 6.6. Entretien de la liste noire (BlackList) Cette page liste les hôtes et les sous-réseaux pour lesquels les requêtes de connexion sont annulés systématiquement, même si, normalement, une règle explicite permet la connexion. Notez que pour que cette liste soit en fonction, les options «liste noire» doivent être réglées dans la sous-section «Paramétrage de zone» («Zone setup») de l interface (ou les interfaces, selon le cas) à laquelle ces IPs sont connectés. Pour ajouter un nouveau sous-réseau ou IP à la liste noire, entrez-le dans le champ «Ajouter une entrée» et cliquez sur La nouvelle adresse apparaîtra dans la liste. Pour supprimer un nouveau sous-réseau ou IP à la liste noire, sélectionnez-le dans la liste et cliquez sur 82

97 6.7. Configuration des règles de type de service (TDS) Chapitre 6. Configuration du comportement du pare-feu Cette page liste et permet de gérer les règles de TDS (type de service) du pare-feu. Les règles de TDS indique AU pare-feu les en-têtes de paquet modifiées en leur ajoutant une valeur TDS. Cette valeur donne de l information supplémentaire, notamment aux routeurs, pour que les paquets reçoivent un traitement optimal concernant leur utilisation. Le tableau fait un sommaire de toutes les règles de TDS actuellement configurées. Si plusieurs règles existent, vous pouvez les filtrer. Choisissez les zones Client et Serveur désirées, ainsi qu un Port dans le menu contextuel et cliquez sur l icône Le port ou la zone spéciale «*» est simplement un métacaractère («wildcard») correspondant à toutes les possibilités Rappel : la zone «fw» désigne le pare-feu lui-même. Pour toutes les politiques définies, cliquez sur l icône correspondante pour modifier cette politique ou pour la supprimer définitivement. Pour ajouter une nouvelle politique, cliquez sur l icône 83

98 Chapitre 6. Configuration du comportement du pare-feu Éditer des règles de TDS Ce formulaire définit les règles de TDS (type de service), lesquelles règles ajoutent une valeur TDS aux en-têtes de paquet correspondant. Lorsqu un paquet passant à travers le pare-feu correspond à un critère définit sur cette page, la valeur de TDS correspondante sera ajoutée. ID de la règle TDS Client Serveur Protocole Le numéro d ID unique identifiant cette règle de TDS. Choisissez le type de traitement qui conviendra le mieux aux paquets qui coïncident avec cette règle. La zone depuis laquelle le paquet provient. La correspondance peut être restreinte en spécifiant une IP précise, une interface ou un sous-réseau dans le champ du milieu, ou même un numéro de port dans le champ correspondant. Laissez «-» dans le champ pour faire coïncider n importe quel port ou IP. La zone à laquelle le paquet est destiné. La correspondance peut être restreinte en spécifiant une IP précise, une interface ou un sous-réseau dans le champ du milieu ; même un numéro de port dans le champ correspondant. Laissez «-» dans le champ pour faire coïncider n importe quel port ou IP. Le type de protocole associé à ce service. Exemple : vous voulez que les paquets de données FTP soient gérés de façon à ce que le taux de transfert soit maximisé, passant outre la fiabilité et le délai, dans toutes les directions. TDS Maximiser le débit (8) Client tous Serveur tous Protocole données-ftp 84

99 Chapitre 7. Configuration d un VPN Ce chapitre explique ce qu est un VPN. Il décrit également comment en configurer un avec MandrakeSecurity, que ce soit coté serveur ou client Qu est-ce qu un réseau privé virtuel (VPN)? Un réseau privé virtuel (VPN) permet d établir un réseau privé à l intérieur d un réseau public, tel qu Internet, en utilisant des mécanismes de sécurité. Voir figure 7-1. Figure 7-1. Modèle d une connexion VPN Les VPNs utilisent la tunnellisation pour créer des réseaux privés virtuels sur Internet. Pour résumer, la tunnellisation consiste à encapsuler un paquet à l intérieur d un autre, puis de le transmettre sur un réseau (Internet, dans le cas d un VPN). MandrakeSecurity utilise IPSec 1 comme protocole de tunnellisation. Le «réseau de confiance» («network of trust») entre plusieurs ordinateurs privés sur Internet s établit grâce aux Certificats et aux Autorités de certification (Certificate Authority --CA). Le CA est l entité de «confiance» de chacun des participants du VPN. Les certificats créés par votre système MandrakeSecurity, bien qu adhérant à tous les standards de l industrie, ne seront pas garantis par un tiers, tel que VeriSign. Vous pourrez évidement utilisez vos propres certificats, approuvés par une CA publique, avec votre système MandrakeSecurity Pourquoi un VPN? L installation d un VPN recèle de nombreux avantages dont : La possibilité de relier des réseaux privés géographiquement éloignés. C est la raison principale pour laquelle les VPNs ont été conçus. Faites un parallèle avec le concept suivant : lier les différentes sociétés sœur de votre entreprise où qu elles soient situées dans le monde. Communications sécurisées. Tout le trafic VPN étant chiffré, vous pouvez être assuré que vos données transiteront de façon sûre sur le réseau. Réduction des coûts. En utilisant un réseau déjà établi à travers le monde (Internet), toute l infrastructure dont vous avez besoin pour interconnecter vos réseaux privés distribués est en place. Nul besoin de payer pour des liens dédiés (très) dispendieux. L utilisation de quelques liens Internet haute vitesse tel que ceux de type DSL est suffisant. 1. IPIP est également pris en charge. 85

100 Chapitre 7. Configuration d un VPN En fait, les VPNs peuvent également être utilisés avec des liens par modem analogique, mais d habitude, une connexion de type permanent (tel que le DSL ou le modem-câble) est plus appropriée. Ceci dépend de la façon dont vous voulez utiliser votre VPN. Bien entendu, il y a quelques effets secondaires : Vous ne gérez pas tout le réseau. Vu que les réseaux publiques sont une partie inhérentes d un réseau VPN, la partie «publique» du réseau est totalement hors de votre contrôle. Toutefois, c est également un de ses plus grands avantages : moins de gestion de réseau donc une réduction des coûts. De plus, la partie publique du réseau est Internet, et ce dernier est bien géré par des gens intelligents qui possèdent assez de ressources pour assurer un service de qualité supérieure. Un point d échec unique. Généralement, on n utilise qu un serveur VPN donc, si cette machine échoue, le réseau est mort. Toutefois, ce risque peut être diminué en utilisant des machines qui tolèrent certaines erreurs. Ceci dépend évidemment du niveau d importance de vos opérations Monter un serveur VPN Les sections suivantes détailleront comment monter un serveur VPN sur un système MandrakeSecurity. Nous supposons que votre système MandrakeSecurity possède une connexion permanente à Internet réglée avec un adresse IP fixe, et que le LAN derrière celui-ci abrite un sous-réseau de type /24. De plus, MandrakeSecurity agira en tant que CA pour le VPN. Les étapes de configuration seront présentées en ordre logique, il est hautement recommandé de les suivre pas à pas. Toutefois, si vous savez ce que vous faites, vous pourrez réaliser ces étapes dans un ordre quelque peu différent Sauvegarder la configuration actuelle de MandrakeSecurity Vu que le réglage d un VPN implique des changements de politiques et de règles du pare-feu, c est une bonne idée de les sauvegarder en utilisant la fonction Sauvegarde et restauration située dans la section Outils. Veuillez-vous référer à Outils de gestion, page 123 pour plus de renseignements. 86

101 Chapitre 7. Configuration d un VPN Créer une zone VPN Allez dans la sous-section Définition des zones de la section Configuration du pare-feu et cliquez sur le bouton Ajouter une zone. Des exemples de valeur relatives aux divers champs sont montrées dans la figure ci-bas. Figure 7-2. Ajouter une zone VPN Veuillez-vous référer à Configuration du comportement du pare-feu, page 65 pour une explication des différents champs. Aucun caractère d espacement n est autorisé dans ces chaînes. Il est plus sûr d utiliser uniquement des lettres et des chiffres, ainsi que le caractère de soulignement (_). Ensuite, cliquez sur le bouton Suivant pour ajouter une nouvelle zone identifiant le VPN en tant que tel. Une fois que vous verrez la zone listée dans la page Définition des zones, appuyez sur le bouton Appliquer pour que vos changements s effectuent Ajouter l interface réseau VPN Allez dans la sous-section Définition de zones de la section Configuration du pare-feu et cliquez sur le bouton Rajouter une interface. Des exemples de valeur relatives aux divers champs sont montrées dans la figure 87

102 Chapitre 7. Configuration d un VPN ci-bas. Figure 7-3. Ajouter une interface réseau ipsec Référez-vous à Configuration du comportement du pare-feu, page 65 pour une explication plus en profondeur de la signification de ces champs. Ensuite, cliquez sur le bouton Suivant pour ajouter une interface IPSec au VPN. Une fois que vous verrez que l interface est listée dans la page Définition des zones, appuyez sur Appliquer pour activer vos changements. Les interfaces ipsecn sont des interfaces logiques liées à des interfaces physiques, eth0 par exemple. Vous pouvez associer plus d un VPN à la même interface ipsecn, et ajouter des zones VPN différentes pour régler une politique par zone, si nécessaire Ajouter des politiques par défaut au pare-feu pour gérer le trafic du VPN Maintenant, vous devez ajouter des politiques par défaut de pare-feu pour gérer le trafic VPN. Pour ce faire, allez dans la sous-section Règles par défaut de la section Configuration du pare-feu et cliquez sur le bouton Ajout d une règle. La figure ci-dessous montre la politique pour le trafic entrant depuis n importe quelle zone 88

103 Chapitre 7. Configuration d un VPN et se dirigeant vers le VPN (all->vpn). Figure 7-4. Ajouter des politiques par défaut pour le VPN Vous devez également ajouter une politique similaire pour le trafic provenant du VPN et se dirigeant vers toutes les autres zones (vpn->all), dans le but de monter un lien de communication bidirectionnel. Référez-vous à Configuration du comportement du pare-feu, page 65 pour une explication plus approfondie des différents champs. Ensuite, cliquez sur le bouton Suivant pour ajouter la politique de pare-feu pour le VPN. Une fois que vous avez ajouté les deux politiques et que vous les voyez listées dans la page Règles par défaut, appuyez sur Appliquer pour que vos changements soient activés. Cette configuration permettra tout et n importe quel type de trafic VPN. Pour une configuration et des tests initiaux, vous pouvez laisser tel quel. Mais une fois que vous serez certain que votre VPN fonctionne, vous devriez changer les règles définies plus haut afin qu elles soient REJETÉES (REJECTed), et ajouter des règles pour les types de trafic spécifiques que vous voulez allouer sur votre VPN. Référez-vous à Tester le VPN et le rendre plus sûr, page 94 pour voir un exemple de configuration de règles qui permet le trafic HTTP Ajouter le tunnel VPN du pare-feu Il est maintenant temps d ajouter le «tunnel» VPN dans le pare-feu, permettant le trafic sur le port 500/udp. Allez dans la sous-section Tunnels de la section Configuration du pare-feu et cliquez sur le lien Ajouter un 89

104 Chapitre 7. Configuration d un VPN tunnel. La figure ci-dessous montre les valeurs du tunnel. Figure 7-5. Ajouter un tunnel au pare-feu ID (unique). L identifiant unique pour ce tunnel. Il est hautement recommandé de laisser cette valeur inchangée. Type. Le type de tunnel. ipsec pour un tunnel IPSec (la valeur par défaut et celle que nous recommandons) ; ipip pour un tunnel IPIP. Zone. La zone depuis/vers laquelle le trafic VPN se dirigera. Pour ce type de VPN que nous sommes en train de configurer, il doit être réglé à wan (la zone Internet). IP de la passerelle. L adresse IP de la machine passerelle «distante». Dans notre exemple, nous l avons réglé à /0, ce qui signifie que le trafic VPN sera autorisé depuis n importe où sur Internet. Le fait de le régler à /0 peut être perçu comme un trou de sécurité et, en effet, ce n est pas très sûr. Toutefois, c est le seul réglage possible pour les machines qui ont un accès non permanent à Internet (comme un modem analogique) et pour celles qui ont une adresse IP non fixe (presque toutes les connexions DSL et modemcâble). Zone passerelle (Gateway Zone) optionnel. Réglez-la à vpn parce que ce dernier sera la «passerelle» entre les deux réseaux privés. Puis, cliquez sur le bouton Suivant pour ajouter le tunnel pare-feu au VPN. Une fois que vous le verrez listé sur la page Tunnels, cliquez sur le bouton Appliquer pour activer vos changements Générer des certificats CA Tous les intervenants impliqués dans un VPN ont besoin d un certificat en tant que «preuve» de leur identité (authentification) et pour des raisons de chiffrement. 90

105 Chapitre 7. Configuration d un VPN La procédure suivante n est nécessaire que si votre système MandrakeSecurity sera l Autorité de certification (CA) de votre VPN. Si ce n est pas le cas, vous pouvez ignorer cette étape sans problème. Il est obligatoire de créer la clé de CA en premier lieu Clé de CA Allez dans la sous-section CA de la section VPN et cliquez sur le lien Clé du CA puis cliquez sur le bouton Suivant. La figure ci-dessous montre un exemple des valeurs associées à chacun des champs. Figure 7-6. Configuration du CA Aucun caractère d espacement n est autorisé dans ces chaînes. Il est plus sûr d utiliser uniquement des lettres et des chiffres, ainsi que le caractère de soulignement (_). Ce qui suit est une brève explication de certains champs (les autres sont explicites) : Nom commun. Ce champ doit être réglé au nom de domaine complet (FQDN) de votre hôte MandrakeSecurity. Jours. Le temps d expiration de ce certificat en termes de jours. Réglé à 10 ans dans notre exemple. 91

106 Chapitre 7. Configuration d un VPN Jours Crl. Le nombre de jours avant que la Liste de révocation de certificat (Certificate Revocation List ou CRL) soit considérée comme obsolète. Bits. Le nombre de bits à utiliser pour la génération de la clé. Généralement réglé à 1024 ou N utilisez pas de valeurs inférieures à 1024 pour ce champ. Pays. Le code ISO de deux lettres identifiant le pays où MandrakeSecurity réside physiquement. Courrier électronique. L adresse de courrier électronique de l administrateur de MandrakeSecurity. Généralement, ce champ devrait être réglé à admin@fqdn_de_mandrakesecurity.ext. Une fois que la configuration vous convient, cliquez sur le bouton Suivant puis cliquez sur le lien Généré le certificat autosigné pour générer le certificat du CA Autres clés (Other Keys) Allez dans la sous-section CA de la section VPN et cliquez sur le lien Autres clés puis sur Ajouter une entrée VPN. Vous verrez le même dialogue que pour la clé de CA. Il est obligatoire que la première entrée que vous ajoutée soit celle de votre serveur VPN, soit votre système MandrakeSecurity dans notre exemple. Donc, entrez les mêmes valeurs que celles entrées pour la Clé de CA et cliquez sur le bouton Suivant. Maintenant, vous devez ajouter des entrées pour vos machines distantes. Une fois que vous aurez ajouté toutes les entrées et que vous les verrez listées sur la page Configuration des certificats, cliquez sur le bouton Appliquer pour activer vos changements Ajouter un serveur VPN La figure ci-dessous montre le VPN que nous sommes en train de mettre en place. Cette figure montre des détails concernant l IP et le masque réseau du réseau privé, ainsi que la signification des positions «gauche» et «droit» nécessaires à la configuration voulue à cette étape. Figure 7-7. Diagramme VPN Donc, votre serveur MandrakeSecurity (Serveur MNF A) est du «côté gauche» et tous les autres serveurs/clients sont du «côté droit» du VPN. C est une convention qui doit être établie à priori et les deux extrémités (gauche et droite) doivent être configurées pour que la configuration soit complète. 92

107 Chapitre 7. Configuration d un VPN Allez dans la sous-section Serveur de la section VPN et cliquez sur le lien Ajouter un serveur VPN. La figure ci-dessous montre les valeurs typiques attribuées à chaque champs. Figure 7-8. Ajouter un serveur VPN Le serveur VPN doit être la première entrée. ID du serveur VPN. Identifiant numérique unique. Il est plus sûr (et recommandé) de ne pas toucher à cette valeur. Position. Réglé à gauche pour votre système MandrakeSecurity et à droite pour le système distant. Nom commun. Ce champ doit contenir le nom de domaine complet (FQDN) de votre hôte MandrakeSecurity pour le côté gauche et le nom de domaine complet de votre hôte distant sur le côté droit. IP. L adresse IP sur l interface Internet de votre hôte MandrakeSecurity pour le côté gauche, ainsi que l adresse IP de votre hôte distant sur le côté droit. Adresse réseau/masque. L adresse IP et le masque de réseau pour le côté correspondant (gauche ou droit). Dans notre exemple, le côté gauche est réglé à /24, tandis que le côté droit est réglé à /24. VPN distant. L adresse IP de la passerelle du système. Elle sera dépendante de l adresse IP de l hôte que vous êtes en train de configurer, mais généralement, c est identique à l hôte IP sauf que le dernier numéro est 1. Par exemple, si l IP de votre hôte est , sa valeur devrait être réglée à Authentification. x509 est le seul type de certificat pris en charge. Une fois que vous aurez ajouté les côtés gauche et droit, cliquez sur le bouton Appliquer puis sur Redémarrer IPSEC pour activer vos changements. Félicitations! Le serveur VPN est configuré. 93

108 Chapitre 7. Configuration d un VPN Distribution des certificats et des clés Les opérations suivantes ne sont nécessaires que si vous comptez utiliser MandrakeSecurity en tant qu Autorité de certification (CA) pour votre VPN. Si ce n est pas le cas, vous pouvez ignorer cette étape sans problème. Maintenant, vous devez distribuer tous les certificats et clé nécessaires aux intervenants. Cette distribution doit être faite de façon sécurisée puisque la sécurité de toute l architecture VPN dépend de ces certificats et clés. Vous pouvez chiffrer les fichiers puis les envoyer (ex. : en utilisant OpenPGP ), rencontrer les parties en personne et leur donner une disquette abritant les données, ou toute autre façon sûre. N envoyez jamais ces fichiers sans qu ils ne soient chiffrés. Voici les fichiers que vous devez distribuer aux tiers : /etc/freeswan/ipsec.d/fqdn_of_mandrakesecurity.crt /etc/freeswan/ipsec.d/fqdn_of_remote_system.crt /etc/freeswan/ipsec.d/private/fqdn_of_remote_system.key Les tiers doivent alors copier ces fichiers à leur place sur leurs systèmes. Cette opération dépend du système en question et nous ne la détaillerons pas ici. Après que les certificats et clés aient été distribués et copiés aux endroits appropriés sur les systèmes distants, le service ipsec doit être redémarré sur les hôtes distants afin que les clés et certificats distribués soient inclus Tester le VPN et le rendre plus sûr Il est maintenant temps de tester le VPN. C est relativement simple. Vous n avez qu à faire un ping sur le réseau distant et voyez si vous obtenez une réponse. Suivant notre exemple, la commande ping -c devrait retourner quelque chose de similaire à la capture d écran ci-bas : PING ( ) from : 56(84) bytes of data. 64 bytes from : icmp_seq=1 ttl=64 time=0.047 ms 64 bytes from : icmp_seq=2 ttl=64 time=0.069 ms ping statistics packets transmitted, 2 received, 0% loss, time 1502ms rtt min/avg/max/mdev = 0.047/0.055/0.069/0.011 ms en supposant que l hôte distant, , est actif. Une fois que vous êtes certain qu il fonctionne, réglez les règles par défaut du pare-feu pour le VPN à REJECT (interdire tout trafic VPN par défaut) et ajoutez une règle pare-feu pour le service spécifique que vous souhaitez utiliser sur le VPN. La figure suivante montre le champ de valeur pour une règle de pare-feu permettant le trafic HTTP sur le port 80 à travers le VPN : 94

109 Chapitre 7. Configuration d un VPN Figure 7-9. Règle pour permettre le trafic HTTP sur le VPN 7.4. Configurer un client VPN Allez dans la sous-section Client de la section VPN et cliquez sur le bouton Suivant. La figure ci-contre vous renseigne sur les valeurs à entrer dans les divers champs : Figure Ajouter un client VPN Une fois que vous aurez rempli tous les champs, cliquez sur le bouton Appliquer pour activer vos changements. Référez-vous à Ajouter un serveur VPN, page 92 pour une explication plus détaillée de ces champs. 95

110 Chapitre 7. Configuration d un VPN Une fois que le VPN est configuré, les rôles client/serveur ne sont pas obligés de demeurer les mêmes. Par exemple, vous pourriez configurer un serveur VPN sur votre réseau et rendre les services (serveurs) disponibles à travers ce dernier sur le réseau distant. Vous devez copier les fichiers listés dans Distribution des certificats et des clés, page 93 sur votre système (souvenez-vous que ces fichiers dépendent du système donc, nous ne décrirons pas comment procéder ici) puis cliquer sur le lien Redémarrer IPSEC pour que les réglages soient pris en considération. 96

111 Chapitre 8. Configurer des clients de paserelle Ce chapitre vous montrera comment faire interagir différents systèmes d opération avec une machine GNU/Linux, laquelle agit comme dispositif mandataire (masquerading) réglé en tant que passerelle vers le monde extérieur. Les tests de configuration sur les systèmes d exploitation suivants ont tous été couronnés de succès : Apple Macintosh, avec MacTCP ou Open Transport ; Commodore Amiga, avec AmiTCP ou AS225-stack ; Postes de travail Digital VAX 3520 et 3100, avec UCX (pile TCP/IP pour VMS) ; Digital Alpha/AXP, avec Linux/Red Hat ; IBM AIX (sur un RS/6000), OS/2 (incluant Warp 3) et OS400 (sur un OS/400) ; Linux (évidemment!) : n importe quel noyau depuis 1.2.x ; Microsoft DOS, (avec le paquetage NCSA Telnet, support partiel de DOS Trumpet), Windows 3.1 (avec le paquetage Netmanage Chameleon) et Windows pour Workgroup 3.11 (avec le paquetage TCP/IP) ; Microsoft Windows 95, Windows 95 OSR2, Windows 98, Windows 98se ; Microsoft Windows NT 3.51, 4.0 et 2000 (poste de travail et serveur) ; Serveur Novell Netware 4.01, avec le service TCP/IP ; SCO OpenServer (v et 5) ; Sun Solaris 2.51, 2.6 et 7. Passons à travers la configuration de certains d entre eux. Si votre système n est pas inclus dans la liste susmentionnée, une façon simple de procéder est de «simplement signifier au système d exploitation quelle machine doit être utilisée en tant que passerelle». Notez qu ici, nous nous concentrerons sur le côté passerelle du réseau : donc, nous n aborderons pas les problèmes pouvant être reliés au DNS, au partage de fichiers ou au schémas de connexion. Ainsi, pour que ce chapitre vous soit utile, votre réseau local doit être bien configuré. Référez-vous à la documentation de votre système pour le régler de façon adéquate, en accordant une attention particulière aux réglages du DNS. Pour la suite, nous assumons que vous travaillez avec un réseau de classe C : vos différents postes de travail ont tous une adresse IP ressemblant à x, votre masque de réseau (netmask) est réglé à et vous utilisez une interface de réseau eth0. Nous prenons également pour acquis que l adresse IP de votre passerelle est réglée à et que tous vos postes de travail peuvent «parler» à la passerelle (vous pouvez tester ceci avec la commande ping ou son équivalent, tout dépendant de l environnement que vous utilisez) Machine Linux Il y a (au moins) trois façons pour réaliser le tout sous Linux Configuration à la volée Voici probablement la façon la plus rapide de procéder. Toutefois, lorsque vous redémarrerez votre couche réseau ou votre système en entier, vous aurez perdu tous les changements de configuration! Si vous accédez à la passerelle à travers l interface de réseau eth0, tapez simplement la commande suivante (en tant qu utilisateur root) : route add default gw eth0 C est tout! Si la passerelle est configurée adéquatement et connectée à Internet, le monde entier est maintenant à votre portée grâce à votre navigateur préféré. 97

112 Chapitre 8. Configurer des clients de paserelle Configuration permanente et manuelle Nous devons éditer un fichier de configuration afin de maintenir la configuration globale de votre système à chaque fois que ce dernier est éteint puis réamorcer. Ce fichier s appelle /etc/sysconfig/network sur une machine Mandrake Linux (son nom peut être différent sur la vôtre). Ouvrez-le avec votre éditeur de texte habituel, et ajoutez les lignes suivantes : GATEWAYDEV="eth0" GATEWAY=" " Maintenant, relancez votre couche réseau avec la commande suivante : service network restart Configuration permanente et automatique Pour régler la configuration de façon automatique, vous n avez qu à entrer les bons paramètres avec l aide de l assistant de configuration. Référez-vous au chapitre Configuration des connexions Internet du Guide de démarrage. Lorsque vous configurez une connexion Internet à l intérieur d un réseau local, il vous est proposé, lors de la première étape, de configurer le réseau en mode manuel ou automatique (DHCP) : Figure 8-1. Nouvelle configuration du réseau local avec drakconnect Vous n avez qu à entrer les informations pertinentes. Si votre réseau local abrite un serveur bootp ou DHCP, cochez la boîte Attribution automatique de l adresse IP, et votre configuration sera réglée. Si votre machine possède une adresse IP fixe, entrez-la dans le premier champ après vous être assuré que le champ Attribution automatique de l adresse IP est bien désactivé. Ensuite, cliquez sur le bouton Suivant ->. 98

113 Chapitre 8. Configurer des clients de paserelle Figure 8-2. Régler la passerelle avec drakconnect Vous devez écrire les bonnes adresses IP pour la passerelle et le serveur DNS. Une fois fait, suivez les étapes de l assistant et redémarrez votre réseau lorsque proposé. Et c est tout. Votre réseau est correctement configuré et prêt à être utilisé. Maintenant, la configuration est permanente Machine Windows XP Dans cette section, nous prenons pour acquis que votre connexion de réseau est configurée. La capture d écran qui suit montre les trois étapes nécessaires pour obtenir le menu contextuel désiré. 99

114 Chapitre 8. Configurer des clients de paserelle Figure 8-3. Configuration de la passerelle sous Windows XP Voici les étapes à suivre pour passer d une fenêtre à l autre : 1. Sur le bureau, faites un clic droit sur l icône My network places, et sélectionnez Properties dans le menu contextuel ; 2. Dans la fenêtre Network Connections, faites la même chose avec la connexion liée au réseau où se trouve la passerelle ; 3. Dans le prochain menu, choisissez le champ Internet Protocol (TCP/IP) et cliquez sur le bouton Propriétés ; 4. Dans ce menu, vous pouvez sélectionner Obtenir une adresse IP automatiquement si votre réseau abrite un serveur DHCP. Ensuite, la passerelle devrait être configurée automatiquement. Sinon, choisissez Utiliser l adresse IP suivante et entrez les données pertinentes dans les champs appropriés Machine Windows 95 ou Windows 98 Figure 8-4. L icône de réseau sous Windows 95 Premièrement, allez dans le panneau de contrôle (Démarrer+Paramètres Panneau de contrôle) et trouvez l icône de réseau ci-haut. Double-cliquez dessus et un tableau de configuration réseau apparaîtra. 100

115 Chapitre 8. Configurer des clients de paserelle Figure 8-5. Le tableau de configuration réseau sous Windows 95 Dans la liste affichée, vous devriez trouver le protocole TCP/IP. Sinon, vous devrez vous référer à la documentation de votre système pour savoir comment l installer. S il l est déjà, sélectionnez-le et cliquez sur Propriétés. Figure 8-6. Le tableau de configuration TCP/IP sous Windows

116 Chapitre 8. Configurer des clients de paserelle À travers cette fenêtre, vous pourrez régler les paramètres TCP/IP. Votre administrateur système vous dira si vous avez une adresse IP statique ou si vous utilisez un DHCP (adresse IP automatique). Cliquez sur l onglet Passerelle (gateway). Figure 8-7. Le tableau de configuration de la passerelle sous Windows 95 Le reste est un jeu d enfants! Remplissez les champs vides avec l adresse IP de votre passerelle (dans notre exemple, ). Finalement, cliquez sur les boutons Ajouter et OK. Évidemment, vous devrez redémarrer votre machine. Une fois fait, vérifiez que vous pouvez rejoindre le reste du monde Internet Machine Windows NT ou Windows 2000 Pour configurer ces systèmes d exploitation, suivez ces étapes très simples : 1. Allez dans le menu Panneau de contrôle+réseau Protocole. 102

117 Chapitre 8. Configurer des clients de paserelle Figure 8-8. Le tableau de configuration de protocole sous Windows NT 2. Premièrement, sélectionnez le Protocole TCP/IP dans la liste de protocoles réseau. Ensuite, cliquez sur le bouton Propriétés, et choisissez la carte réseau connectée au réseau local (figure 8-9 ). Dans cet exemple, nous montrons une configuration faite avec un serveur DHCP activé sur le serveur MandrakeSecurity : l option Obtenir une adresse IP du serveur DHCP (Obtain an IP address from a DHCP server) est cochée. 103

118 Chapitre 8. Configurer des clients de paserelle Figure 8-9. La panneau de logiciel réseau sous Windows NT Si tel est votre cas, vous n avez qu à confirmer tous ces choix et redémarrer votre machine. Sinon, suivez les prochaines étapes. 3. Si vous ne possédez pas de serveur DHCP, vous devez régler les paramètres manuellement. Premièrement, cochez l option Spécifiez une adresse IP (figure 8-10). 104

119 Chapitre 8. Configurer des clients de paserelle Figure Le tableau de configuration TCP/IP sous Windows NT Choisissez l adapteur approprié : l adresse IP devrait déjà être la bonne. 4. Dans le champ Passerelle par défaut, écrivez (soit l adresse de la machine Linux partageant la connexion dans notre exemple). 5. Finalement, vous devez spécifier les serveurs DNS que vous utilisez dans l onglet DNS, tel que montré dans la figure

120 Chapitre 8. Configurer des clients de paserelle Figure Le tableau de configuration DNS sous Windows NT Vous devez également fournir le nom d hôte et le nom de domaine qui y est associé. Sauf si vous savez exactement ce que vous faites, procédez de façon très minutieuse lors des étapes qui suivent : laissez le champ Configuration automatique du DHCP vide, sauf si votre réseau abrite un serveur DHCP ; laissez également tous les champs Serveur WINS vides, sauf si vous possédez un ou plus d un serveur WINS ; ne cochez pas le champ Activez le transfert d IP (Enable IP Forwarding) sauf si votre machine NT est utilisée pour le routage et, encore une fois, que vous savez exactement ce que vous faites ; désactivez DNS for Windows Name Resolution et Activez le lookup LMHOSTS (Enable LMHOSTS lookup). Cliquez sur OK dans les menus contextuels qui apparaîtront et redémarrez votre ordinateur pour tester la configuration Machine DOS utilisant le paquetage NCSA Telnet Dans le répertoire qui abrite le paquetage NCSA, vous trouverez un fichier nommé config.tel. Éditez-le avec votre éditeur de texte préféré et ajoutez les lignes suivantes : name=default host=yourlinuxhostname hostip= gateway=1 106

121 Chapitre 8. Configurer des clients de paserelle Évidemment, écrivez le nom de votre machine Linux au lieu de yourlinuxhostname et changez l adresse de passerelle donnée dans notre exemple ( ). Maintenant, sauvegardez le fichier, essayez de faire un telnet sur votre machine Linux, puis sur une machine branchée à Internet Windows pour Workgroup 3.11 Le paquetage TCP/IP 32b devrait déjà être installé. Allez dans le menu Principal+Configuration Windows+Configuration réseau Pilotes et choisissez Microsoft TCP/IP b dans la section Pilotes réseau (Network Drivers), puis cliquez sur Réglage (Setup. Ensuite, la procédure est très similaire à celle décrite dans la section Windows NT Machine MacOS MacOS 8/9 Premièrement, vous devez ouvrir le panneau de contrôle TCP/IP tel qu illustré dans le menu Apple. Figure Accéder au panneau de contrôle TCP/IP 107

122 Chapitre 8. Configurer des clients de paserelle Avec la configuration automatique du DHCP Si vous configurez votre mur pare-feu pour qu il agisse en tant que serveur DHCP, suivez cette procédure à la lettre. Sinon, allez à la section suivante. Figure Configuration automatique de l accès à Internet pour MacOS Dans le menu contextuel qui apparaît, remplissez les champs comme indiqué plus bas : Connect via: Ethernet ; Configure : Using DHCP server (soit Utiliser un serveur DHCP ; DHCP Client ID (soit Identification du client DHCP) : Configuration manuelle Si votre réseau local n abrite pas de serveur DHCP, suivez la procédure ci-bas : 108

123 Chapitre 8. Configurer des clients de paserelle Figure Configuration manuelle de l accès à Internet pour MacOS Dans le menu contextuel, remplissez les champs tel qu expliqué : Connect via : Ethernet ; Configure : Manuellement ; Adresse IP : ; Masque de sous-réseau ( Subnet Mask : ; Adresse du routeur : ; Adresses des serveurs de noms de domaine : et ; Nom de domaine de recherche : myco.com. Les adresses des serveurs de noms de domaine peuvent être celles des DNS s internes ou celles des serveurs de votre fournisseur d accès à Internet MacTCP 1. Dans le Panneau de contrôle MacTCP, choisissez le pilote de réseau Ethernet (attention, ce n est pas EtherTalk) puis cliquez sur le bouton Encore... ( More... ). 2. Dans le champ Adresse de la passerelle, entrez l adresse de la machine Linux qui partage la connexion (dans notre exemple, ). 3. Cliquez sur OK pour sauvegarder les réglages. Peut-être aurez-vous à redémarrer votre système pour tester ces réglages. 109

124 Chapitre 8. Configurer des clients de paserelle 8.8. Machine OS/2 Warp Le protocole TCP/IP devrait déjà être installé. Sinon, installez-le. 1. Allez dans Programmes, puis TCP/IP (LAN), et Réglages TCP/IP. 2. Dans la rubrique Routing, choisissez Ajouter. Pour le Type, sélectionnez Défaut. 3. Remplissez le champ Adresse du routeur avec l adresse de la machine Linux qui partage la connexion Internet (dans notre exemple, ). 4. Maintenant, fermez le panneau de contrôle TCP/IP, répondez Oui à toutes les questions, et réamorcez votre machine afin de tester les réglages. 110

125 Chapitre 9. Surveillez le pare-feu Dans cette section, nous détaillerons les outils permettant de surveiller votre pare-feu : nous discuterons des graphiques résumant l utilisation de votre système et de votre réseau, ainsi que des fichiers journaux (logs files) de votre système L utilisation de votre système et de votre réseau L écran principal du groupe Surveillance (Monitoring) affiche le uptime (l étendue de temps depuis laquelle le système a été redémarré) ; le nombre d usagers connectés, ainsi que la charge moyenne depuis les dernières 1, 5 et 15 minutes Surveillance de l utilisation système Les deux graphiques de cette page affichent de l information au sujet de la charge de votre système. Ce sont de bons indicateurs des performances de votre système, démontrant sa charge réelle. Ils peuvent également fournir des arguments valables quant à la décision potentielle d actualiser les unités centrales et la quantité de RAM. 111

126 Chapitre 9. Surveillez le pare-feu avgload : représente l utilisation moyenne de l unité centrale pour les dernières 24 heures. L unité utilisée indique approximativement le nombre de processus tentant d accéder à l unité centrale simultanément. Une charge normale devrait se maintenir sous 2. Si la charge se situe entre 2 et 5, votre système est plutôt occupé. Au-deçà de 6, vous devriez considérer l actualisation de votre unité centrale (CPU). memusage : représente l utilisation de votre mémoire RAM principale (en mégaoctets). Des couleurs différentes sont utilisées pour donner de l information plus précise au sujet de la façon dont est utilisée cette mémoire (utilisation de la RAM en noir, RAM libre en vert, Swap en rouge, et la cache en jaune). Par défaut, un graphique quotidien est affiché. En cliquant sur à droite du graphique, vous obtiendrez les graphiques par jour, semaine, mois et année sur une seule page. Ceci peut être utile afin de planifier l utilisation système. Cliquez sur le bouton Arrière pour retourner au graphique quotidien. En cliquant sur le bouton Rafraîchir, vous actualiserez les graphiques Surveillance de la charge de l unité centrale (CPU) Vous trouverez sur cette page des graphiques démontrant l utilisation de l unité centrale, selon différentes échelles de temps. La charge moyenne de l unité centrale est représentée graphiquement par jour, par semaine, par mois et par année, le tout sur une page. L unité utilisée indique sommairement le nombre de processus tentant d accéder simultanément à l unité centrale. Les valeurs normales sont en-deçà de 2. Les valeurs au-deçà de 6 indiquent que vous devriez considérer l actualisation de votre unité centrale. Cliquez sur le bouton Rafraîchir pour actualiser les graphiques. Cliquez sur En cliquant sur pour retourner à la section Utilisation système. vous reviendrez à la page d accueil de MandrakeSecurity. 112

127 Chapitre 9. Surveillez le pare-feu Surveillance de l utilisation mémoire Sur cette page, vous trouverez des graphiques se rapportant à l utilisation de mémoire RAM, selon différentes échelles de temps. L utilisation de mémoire RAM (physique) est exprimée graphiquement par jour, semaine, mois et année, le tout sur une page. Des couleurs différentes sont employées pour donner de l information plus précise au sujet de la façon dont la mémoire est utilisée (utilisation de la RAM en noir, RAM libre en vert, Swap en rouge, et la cache en jaune). Cliquez sur le bouton Rafraîchir pour actualiser les graphiques. Cliquez sur En cliquant sur pour revenir à la section Utilisation système. vous reviendrez à la page d accueil de MandrakeSecurity. 113

128 Chapitre 9. Surveillez le pare-feu Surveillance du trafic réseau Les graphiques présentés ici vous informent au sujet du trafic réseau entrant/sortant sur vos interfaces. La première page montre le trafic pour toutes les interfaces durant la dernière heure (par défaut). Les unités utilisées seront ajustées selon le trafic sur chaque interface. Ainsi, vous pouvez obtenir des statistiques en octets/sec., koctets/sec., moctets/sec., etc. Au haut de la page se trouve une liste des échelles temporelles disponibles pour les graphiques : par heure, par jour, par semaine, par mois et par année. Pour changer cette échelle temporelle, cliquez sur le lien correspondant. Chaque graphique vous informe également au sujet du trafic entrant/sortant moyen et maximal sur vos interfaces réseau. Le trafic entrant est représenté en vert et le trafic sortant en gris foncé. En cliquant sur à la droite de chaque graphique (disponible seulement en mode Heure), vous arriverez sur une page montrant les statistiques de trafic pour chaque interface. En cliquant sur le bouton Rafraîchir, vous actualiserez les graphiques. Vous pourriez utilisez les graphiques susmentionnés pour planifier vos temps de connexion et votre bande passante, par exemple Fichiers journaux Les fichiers journaux sont de puissants outils d analyse de système et d évaluation des performances. Évidement, encore faut-il les consulter... Toutes les actions posées par votre pare-feu sont tracées dans les fichiers journaux, accessible sous l onglet Journaux. 114

129 Chapitre 9. Surveillez le pare-feu Journaux des messages système L item système permet de regarder les journaux système. La table affiche tous les messages système journalisés par cet outil, par exemple : mots de passe acceptés/refusés pour sshd, mises à jour NTP, mise en marche de scripts d entretien de système, etc. Les colonnes de la table représentent respectivement : la date et l heure, ainsi que le message qui a été généré pour chaque événement journalisé. Cliquez sur le bouton Rafraîchir pour obtenir les entrées les plus récentes. 115

130 Chapitre 9. Surveillez le pare-feu Journaux d authentification L item d authentification permet de regarder les journaux d authentification de votre système reliés à la sécurité. La table décrit les événements journalisés concernant l authentification, comme les changements de mode de fichier pour les fichiers journaux, les services démarrant/s arrêtant, les tentatives de connexion sur la console et utilisant sshd qui ont échoué, etc. Les services typiques pour ces types de messages sont : msec : l outil de sécurité Mandrake ; sshd: «Secure shell daemon», soit démon de terminal sécuritaire ; xinetd : remplacement sécuritaire de inetd, le démon Internet ; Cliquez sur le bouton Rafraîchir pour obtenir les entrées les plus récentes. 116

131 Chapitre 9. Surveillez le pare-feu Journaux pare-feu L item pare-feu permet de regarder les journaux de filtrage de paquets pour votre pare-feu. Vous trouverez des rapports pour toutes les chaînes pare-feu. Les rapports peuvent être générés selon différents critères : tout et résolution de nom : affiche tous les détails au sujet des paquets, soit : le numéro de paquet, début, intervalle, protocole, IP source, nom d hôte et de port, IP de destination, nom d hôte et de port et les options de paquet. IP de destination : affiche seulement les détails suivants au sujet des paquets : numéro de paquet, début, intervalle et IP de destination. IP source : affiche seulement les détails suivants au sujet des paquets : numéro de paquet, début, intervalle et IP source. IP source et de destination : affiche seulement les détails suivants au sujet des paquets : numéro de paquet, début, intervalle, IP source et IP de destination. avec port de destination : affiche seulement les détails suivants au sujet des paquets : numéro de paquet, début, intervalle, IP source, IP de destination et port de destination. avec port source : affiche seulement les détails suivants au sujet des paquets : numéro de paquet, début, intervalle, IP et port source ainsi que l IP et le port de destination. avec port source et de destination : affiche seulement les détails suivants au sujet des paquets : numéro de paquet, début, intervalle, IP et port source, ainsi que l IP et le port de destination. avec les options TCP : affiche les mêmes détails que l option «tout et résolution de nom», sauf les noms d hôte source et de destination. En cliquant sur à la gauche de chacun des éléments susmentionnés, une fenêtre de sommaire des journaux du pare-feu correspondant à l item qui y est associé sera affiché. Par exemple : Generated Mon Apr 15 11:16:09 ART 2002 by root. 5 of 456 items in the file "/var/log/messages" are packet logs, one has unique characteristics. First packet log entry: Apr 15 10:53:26; last: Apr 15 10:53:26. All entries where logged by the same host: "e500". 117

132 Chapitre 9. Surveillez le pare-feu All entries are from the same chain: "Shorewall:fw2all:REJECT:". All entries have the same target: "-". All entries are from the same interface: "". Only entries with a count larger than 2 are shown. Après les messages ci-haut vient une table contenant de l information supplémentaire au sujet des paquets. Ces journaux peuvent ne pas être disponibles immédiatement, selon l activité du système. Cliquez sur le bouton Rafraîchir pour obtenir les entrées les plus récentes Journaux du SDI Prelude L item SDI Prelude permet de lire les journaux SDI Prelude sur votre système qui sont reliés à la sécurité. Le système de détection d intrusion (SDI) Prelude fait un rapport des paquets «anormaux» (imprévus, suspects; en fait, il applique une stratégie de reconnaissance de signatures d attaques) que votre système reçoit et qui ciblent votre réseau. Prelude essaie également d éviter de recevoir de telles attaques. Si l SDI Prelude n est pas activé sur votre système, le rapport montrera quelque chose du genre : Reports empty Prelude IDS was not activated yet Si l SDI Prelude est actif mais qu aucune attaque n a été tentée sur votre système, le rapport affichera quelque chose comme : Reports empty No log available! Certains journaux peuvent ne pas être disponibles immédiatement, à cause des activités du système. 118

133 Chapitre 9. Surveillez le pare-feu Lorsque les journaux deviennent disponibles, le fait de cliquer sur des journaux SDI. Cliquez sur le bouton Rafraîchir pour obtenir les entrées les plus récentes. montrera la fenêtre de sommaire Journaux de l SDI (IDS) Snort L item SDI Snort permet de lire les journaux relatifs à la sécurité de votre système. Le système de détection d intrusion (SDI) Snort analyse le trafic entrant sur votre réseau et recherche des correspondances en vérifiant les règles prédéfinies. Ensuite, il réagit selon ces règles. Si Snort n est pas activé sur votre système, le rapport affichera quelque chose du genre : Reports empty Snort IDS was not activated yet Si Snort est activé mais qu aucune attaque n a été tentée sur votre système, le rapport affichera quelque chose du genre : Reports empty No log available! Dû à l activité du système, certains journaux peuvent ne pas être disponibles immédiatement. Lorsque les journaux deviendront disponibles, vous obtiendrez une fenêtre sommaire des journaux de Snort en cliquant sur cette icône Cliquez sur Rafraîchir pour obtenir les entrées les plus récentes. Vous trouverez plus bas un exemple de rapport de Snort. 119

134 Chapitre 9. Surveillez le pare-feu Figure 9-1. Exemple de rapport de Snort Journaux du serveur mandataire L item mandataire («proxy») Web permet de lire les journaux du serveur mandataire Squid de votre système. Squid est un serveur antémémoire («caching») mandataire de haute performance pour les clients Web qui prennent en charge les données («data objects») FTP, Gopher et HTTP. Il place également en antémémoire les consultations DNS («DNS lookups»). Tous ces composants procurent une utilisation plus efficace de votre bande passante, et engendrent une meilleure réactivité de la part des clients Web, ce qui signifie habituellement de meilleures performances d accèss à Internet. 120

135 Chapitre 9. Surveillez le pare-feu Sur cette page, vous trouverez de l information d accès, la consommation de ressources (mémoire, espace disque) et les erreurs de configuration du serveur Web mandataire Squid. Si le serveur Squid n est pas activé sur votre système, le rapport émettra quelque chose du genre Reports empty The WebProxy server was not activated yet Si le serveur Squid est activé mais qu aucune événement n a été journalisé, le rapport affichera quelque chose du genre : Empty list... Dû à l activité du système, certains journaux peuvent ne pas être disponibles immédiatement. Lorsque les journaux deviendront disponibles, vous obtiendrez une fenêtre sommaire des journaux du serveur mandataire en cliquant sur cette icône Cliquez sur Rafraîchir pour obtenir les entrées les plus récentes Journaux DHCP L item DHCP permet de regarder les journaux du serveur DHCP de votre système. Les messages du serveur DHCP, tels que l assignation d IP aux interfaces, les paquets DHCP provenant de clients, et des informations du même ordre, sont affichées ici. Si le serveur DHCP n est pas activé sur votre système, le rapport affichera quelque chose du genre : Reports empty The DHCP server was not activated yet Si le serveur DHCP est actif sur votre système, en cliquant sur une table contenant de l information au sujet du sous-réseau DHCP apparaîtra. La table contient les colonnes suivantes : Emplacement («Location»), Sous-réseau, Masque de réseau, Étendue IP, Routeur, IPs définies, IPs utilisées et IPs libres. 121

136 Chapitre 9. Surveillez le pare-feu Cliquez sur le bouton Rafraîchir pour obtenir les entrées les plus récentes. 122

137 Chapitre 10. Outils de gestion Dans cette section, nous aborderons les outils disponibles pour faciliter la gestion de votre pare-feu : console distante, copie de sauvegarde des configurations et mise à jour. Figure L écran principal de la section Outils Lorsque vous cliquez sur Outils, l écran suivant vous sera retourné : figure 10-1 où vous remarquerez le bouton Arrêter le pare-feu (Shutdown the Firewall). En cliquant dessus, le pare-feu sera arrêté, coupant par le fait même toutes les connexions actives à Internet. Soyez prudent! 123

138 Chapitre 10. Outils de gestion Connexion distante en utilisant SSH Après avoir entré l adresse IP (ou le nom d hôte) de l hôte auquel vous voulez vous connecter, une fenêtre roulant une console SSH apparaîtra. Elle vous permettra de réaliser certaines opérations comme si vous étiez assis devant la console du système pare-feu. En général, le système auquel vous voulez vous connecter est le pare-feu lui-même. À l invite («prompt»), entrez «admin» (sans les guillemets) en tant que nom de connexion, ainsi que le mot de passe admin : firewall login:admin admin@firewall s password: ********* Si vous vous connectez avec succès, une console apparaîtra et vous serez en mesure d accomplir des tâches d administration comme si vous étiez assis devant l écran de votre pare-feu. Prenez en considération que les actions accomplies pendant la connexion distante peuvent engendrer une perte de vos modifications. Si, plus tard, vous décidez d utiliser l interface Web à nouveau pour modifier votre configuration, les modifications manuelles faites en utilisant la console seront perdues. Donc, assurez-vous d utiliser l interface Web lorsque possible, au lieu d utiliser une connexion SSH pour changer les paramètres de votre système pare-feu. 124

139 Chapitre 10. Outils de gestion Finalement, notez que si un client SSH est installé sur votre machine, vous pouvez vous connecter sur l hôte pare-feu directement et outrepasser l interface Web. Notez toutefois que l avertissement précédent est toujours valide Sauvegarde et restauration Cette fonctionnalité permet de faire une copie de sauvegarde complète de la configuration de votre parefeu. En conséquence, vous pouvez facilement récupérer vos données en cas de crash majeur, ou facilement reconfigurer un nouveau système pare-feu s appuyant sur la configuration sauvegardée. Pour créer une copie de sauvegarde de votre fichier de configuration, cliquez sur le bouton «Sauvegarde». Conséquemment, une copie de sauvegarde sera créée et vous serez guidez vers une autre page depuis laquelle vous pourrez la récupérer. Veuillez vous référer à la page d aide de la page Sauvegarde pour obtenir des instructions précises pour récupérer ledit fichier de configuration. Pour restaurer la configuration, vous devez «Choisir le fichier de configuration» en cliquant sur le bouton «Naviguer» («Browse»). Une fenêtre apparaîtra, depuis laquelle vous pourrez sélectionner le fichier qui abrite la configuration sauvegardée. Si vous avez suivi la procédure décrite dans la page d aide Sauvegarde, le chemin devrait être «/mnt/floppy/configurationbackup» (sans les guillemets). Si vous ne sauvegardez pas vos copies de sauvegarde sur une disquette, nous vous recommandons de les copier régulièrement sur une disquette et de les stocker dans un endroit sécuritaire. Cette copie de sauvegarde ne contiendra que les paramètres gérés par l interface Web. Si vous avez modifié des paramètres de configuration d une autre façon (avec un outil de connexion à distance ou par connexion directe à travers SSH), ces fichiers devront être sauvegardés manuellement. Choisir le fichier de configuration /mnt/floppy/configurationbackup Lorsque vous aurez terminé, cliquez sur le bouton «Télécharger». Vous arriverez sur une page de confirmation qui vous permettra d appliquer, de modifier ou d annuler vos changements. Veuillez vous référer à la page d aide de Restauration pour de plus amples renseignements. 125

140 Chapitre 10. Outils de gestion Plus bas, vous trouverez un exemple de l écran Récupérer (Restore), permettant de restaurer les fichiers de configuration à partir d une archive. Figure Exemple de l écran Récupérer Après avoir cliqué sur le bouton Télécharger, une confirmation comme celle-ci figure 10-3 vous sera présentée. Cliquez sur Appliquer afin que les changements à votre pare-feu soient activés. Figure Appliquer les configurations du fichier restauré 126

141 Chapitre 10. Outils de gestion Récupérer la configuration sauvegardée à Travers cette page, vous pouvez stocker votre configuration de pare-feu sur une disquette (ou un autre médium amovible). Après avoir cliqué sur le bouton Sauvegarde de la page précédente, vous pourrez cliquer sur un lien nommé «Fichier de sauvegarde» dans le but de récupérer la configuration que vous avez sauvegardée. Veuillez procéder ainsi (nous assumons que vous voulez stocker la configuration sur une disquette) : insérer une disquette vierge dans votre lecteur de disquette ; faites un clic droit (tout dépendant du navigateur que vous utilisez, vous devrez peut-être faire un «Shiftclick») sur le lien «Fichier de sauvegarde» et choisissez l option «Télécharger le lien» (souvenez-vous que la méthode peut être un peu différente selon le navigateur que vous utilisez...) ; lorsqu on vous demandera un nom de fichier, entrez «/mnt/floppy/configurationbackup» (sans les guillemets). Vous pouvez choisir un autre nom que ConfigurationBackup si vous le voulez ; acceptez et sauvegardez le fichier. Après avoir réalisé les étapes susmentionnées, une copie de la configuration de votre pare-feu se retrouvera sur votre disquette. Enlevez-la de votre lecteur de disquette, assurez-vous d enlever les droits d écriture et rangez-la dans un endroit sécuritaire. Ensuite, cliquez sur pour retourner à la page de sauvegarde et de restauration. En cliquant sur, vous reviendrez à la page d accueil de MandrakeSecurity Mise à jour logiciel 127

142 Chapitre 10. Outils de gestion Cet assistant vous aidera à actualiser tous les paquetages installés sur votre système. Pour des raisons de sécurité, il est essentiel que vous vérifiez régulièrement les actualisations logiciel. Miroir courant de mise à jour ftp://ftp-linux.cc.gatech.edu/pub/linux/distributions/ mandrake/updates Les champs susmentionnés montrent le site miroir actuellement utilisé pour récupérer les actualisations logiciel. Modifier le type de miroir de mise à jour Miroir enregistré Vous devez choisir entre 3 types différents de miroirs : Miroir enregistré : cette option vous donnera accès aux actualisations dédiées à MandrakeSecurity. Il contient des mises à jour pour la distribution Mandrake Linux de base sur laquelle repose MandrakeSecurity. Il abrite également des paquetages spécifiques à MandrakeSecurity, ainsi que des modules optionnels. Miroir officiel : sur la page suivante, vous trouverez une liste des sites miroirs officiels de Mandrake Linux. Il est fortement recommandé de choisir un de ces miroirs. Miroir personnel : sur la page suivante, vous serez en mesure d entrer manuellement l adresse d un site hébergeant les mises à jour pour votre système. Faites votre choix et cliquez sur pour passer à l étape suivante. Veuillez vous référer aux pages d aide de l étape suivante pour de plus amples renseignements. vous reviendrez à la page d accueil de MandrakeSecurity et vous annulerez cet assis- En cliquant sur tant de configuration. 128

143 Questions de sécurité et de réseau Jusqu à maintenant dans ce manuel, vous avez lu de l information très pratique. Vous devriez être en mesure de configurer votre serveur de façon efficace et d en être satisfait. Toutefois, cette information pratique ne constitue qu une parcelle des possibilités de votre système Mandrake Linux. Afin d approfondir vos connaissances, nous avons choisi d ajouter deux chapitres à ce manuel : De la sécurité sous GNU/Linux, page 131 : la lecture de ce chapitre est impérative pour tout administrateur système. Même si vous pouvez rendre votre système Mandrake Linux assez sécuritaire avec les outils par défaut, un système n est vraiment sécuritaire que lorsqu il est administré de manière pro-active, en prenant soin d entretenir la sécurité globale, autant physique que logique de votre système ; Le réseau sous GNU/Linux, page 171 : le but d un serveur est de rendre disponible des services sur un réseau. Ce manuel aurait été incomplet sans un chapitre entièrement dédié à la réseautique. La configuration du réseau en lui-même, et les différents protocoles, y sont définis et explicités.

144 130

145 Chapitre 11. De la sécurité sous GNU/Linux Ce document est un aperçu général des problèmes de sécurité auxquels pourrait être confronté un administrateur de système GNU/Linux. Il traite de la philosophie de la sécurité en général et aborde quelques exemples spécifiques pour mieux sécuriser votre système GNU/Linux des intrus. De nombreux liens vers de la documentation et des programmes relatifs à la sécurité sont aussi fournis Préambule 1. Le document original (voir ci-dessous) a été adapté pour la distribution Mandrake Linux, des parties ont été enlevées ou modifiées. Ce chapitre est basé sur un HOWTO de Kevin Fenzi et Dave Wreski dont l original est hébergé par le Linux Documentation Project ( Information sur le copyright Ce document est soumis aux droits de copyright (c) Kevin Fenzi et Dave Wreski Les modifications depuis la version v1.3.1, 11 février 2002, sont (C)opyright MandrakeSoft Introduction Ce chapitre traite certains des principaux problèmes affectant la sécurité de GNU/Linux. La philosophie générale ainsi que les ressources réseau sont abordées. Un certain nombre d autres HOWTOs débordent sur les questions de sécurité et ces documents ont été référencés chaque fois qu ils s y prêtaient. Ce chapitre n est pas destiné à recenser tous les trous de sécurité. Un grand nombre de nouvelles techniques sont sans arrêt utilisées. Ce chapitre vous apprendra où rechercher ce type d information mise à jour, et donnera des méthodes générales pour empêcher de telles exactions d avoir lieu Aperçu Ce chapitre tentera d expliquer certaines procédures et programmes communément employés pour vous aider à rendre votre système plus sûr. Il est important de discuter de certains des concepts de base en premier, et créer une base de sécurité, avant de commencer Pourquoi a-t-on besoin de sécurité? Dans le monde en ébullition des communications mondiales de données, connections Internet peu chères, et développement de programmes accéléré, la sécurité devient une question de plus en plus importante. La sécurité est maintenant une nécessité de base, parce que l informatique mondiale est intrinsèquement exposée au danger. Alors que vos données circulent d un point A vers un point B sur Internet, par exemple, elles peuvent transiter par plusieurs autres points sur le trajet, donnant à d autres la possibilité de les intercepter ou même de les modifier. Même d autres utilisateurs sur votre système peuvent intentionnellement modifier vos données à votre insu. Les accès non autorisés à votre système peuvent êtres obtenus par des intrus, aussi appelés crackers, qui utilisent alors des techniques avancées pour se faire passer pour vous, vous voler de l information, ou même vous empêcher d accéder à vos propres ressources. Si vous vous demandez quelle est la différence entre un «hacker» et un «cracker», lisez le document How to Become a Hacker ( tuxedo.org/~esr/faqs/hacker-howto.html) de Eric Raymond. 131

146 Chapitre 11. De la sécurité sous GNU/Linux Degré de sécurité Il convient de garder à l esprit qu aucun système ne peut jamais être absolument sûr. Tout ce que vous pouvez faire, est de rendre la tâche de plus en plus difficile à quiconque tenterait de compromettre votre système. Pour l utilisateur moyen de GNU/Linux, il suffit de peu pour garder le cracker à l écart. Néanmoins, pour les utilisateurs GNU/Linux de renom (banques, compagnies de télécommunications, etc), beaucoup plus de travail est nécessaire. Un autre facteur à prendre en compte est que au plus votre système est sécurisé, au plus votre sécurité devient intrusive. Vous devez décider un juste milieu, compromis entre la sécurité et la facilité d utilisation. En fait, vous pourriez exiger que toute personne se connectant à votre système utilise un modem à retour d appel (call-back) pour les rappeler à leur propre numéro de téléphone. Cela est plus sûr, mais si quelqu un n est pas chez lui, cela devient difficile pour lui de se connecter. Vous pouvez aussi configurer votre système GNU/Linux sans réseau ou connexion Internet, mais cela réduit son utilité. Si vous êtes en charge d un site de taille moyenne à grande, vous devriez établir une politique de sécurité faisant état du degré de sécurité requis pour votre site, et quel outil d audit est en place pour le contrôler. Vous pouvez trouver un exemple bien connu de politique de sécurité sur le site faqs.org ( rfcs/rfc2196.html). Il a été récemment mis à jour et propose un modèle exhaustif pour établir un plan de sécurité pour votre société Qu essayez-vous de protéger? Avant d essayer de sécuriser votre système, vous devriez déterminer à quel niveau de menace vous avez à vous protéger, quels risques vous pouvez ou ne pouvez pas prendre, et comme résultat, quel sera le degré de vulnérabilité de votre système.. Vous devriez analyser votre système pour savoir ce que vous protégez, pourquoi vous le protégez, quelle est sa valeur, et qui est responsable pour vos données et autres biens. Le risque est la possibilité qu un intrus puisse réussir à accéder à votre ordinateur. Un intrus peut-il lire ou écrire des fichiers, ou exécuter des programmes qui pourraient faire des dégâts? Peut il détruire des données critiques? Peut-il vous empêcher vous ou votre compagnie de réaliser un travail important? N oubliez pas : quelqu un ayant accès à votre compte ou votre système peut se faire passer pour vous. Mais encore, un seul compte non sécurisé sur votre système peut conduire à compromettre le réseau tout entier. Si vous autorisez un seul utilisateur à se connecter en utilisant un fichier.rhosts, ou à utiliser un service non sécurisé tel que tftp, vous prenez le risque de voir un intrus «mettre un pied dans la porte». Une fois que l intrus a un compte utilisateur sur votre système, ou le système de quelqu un d autre, il peut être utiliser pour obtenir l accès à un autre système ou un autre compte. Le danger vient généralement de quelqu un ayant des motivations pour obtenir un accès pervers à votre réseau ou ordinateur. Vous devez décider en qui vous avez confiance pour leur donner accès à votre système, et quelle menace ils représentent. Il y a plusieurs types d intrus, et il est utile d avoir à l esprit leurs différentes caractéristiques pendant que vous mettez en place la sécurité de votre système. Le Curieux - Ce type d intrus est surtout intéressé par le type de votre système et les données qui s y trouvent. Le Malveillant - Cet intrus est là pour faire écrouler votre système, modifier vos pages Web, ou même vous obliger à dépenser du temps et de l argent pour vous remettre des dommages causés. L intrus Célèbre - Ce type d intrus essaye d utiliser votre système pour augmenter sa côte de popularité et d infamie. Il est susceptible d utiliser la popularité de votre système pour afficher ses capacités. Le Concurrent - Cet intrus est intéressé par les données qui se trouvent sur votre système. Il peut d agir de quelqu un qui pense que vous possédez des informations dont il pourrait tirer profit, financièrement ou autre. Le Locataire - Ce type d intrus souhaite s installer sur votre système, et utiliser ses ressources pour son propre compte. Ils font généralement tourner des serveurs chat ou IRC, site d archives pornographiques, ou même des serveurs DNS. 132

147 Chapitre 11. De la sécurité sous GNU/Linux Le Passager - Cet intrus n est intéressé par votre système que pour obtenir l accès à d autres systèmes. Si votre système est bien connecté, ou une passerelle vers certains hôtes internes, vous êtes directement exposé à ce type d individu. La vulnérabilité décrit le degré de protection de votre ordinateur depuis d autres réseaux, et la possibilité pour quelqu un d obtenir un accès non autorisé. Qu y a-t-il en jeu si quelqu un casse votre système? Bien sûr, les soucis d un particulier en connexion PPP seront différents d une société connectant leurs machines à Internet, ou un autre grand réseau. Combien de temps cela prendrait-il de récupérer/recréer quelque donnée qui serait perdue? Un investissement de temps maintenant peut économiser dix fois plus de temps plus tard, si vous devez recréer des données perdues. Avez vous vérifié votre stratégie de sauvegarde, et vérifié vos donnés récemment? Développer une politique de sécurité Créez une politique simple, générique, que vos utilisateurs pourront aisément comprendre et suivre. Cela devrait protéger les données et l intimité des utilisateurs. Certains aspects que vous pouvez aborder sont : Qui a accès au système (ma fiancée peut-elle utiliser mon compte?) Qui est autorisé à installer des programmes sur le système, qui possède quelle donnée, récupération des catastrophes, et utilisation appropriée du système. Une politique de sécurité généralement acceptée commence par la phrase «Ce qui n est pas permis est interdit» Ceci signifie que, à moins que vous n autorisiez l accès à un service pour un utilisateur, cet utilisateur ne devrait pas utiliser ce service jusqu à ce que vous l y autorisiez. Assurez vous que les règles fonctionnent pour votre compte d utilisateur normal. Vous dire «Ah, je n arrive pas à résoudre ce problème de permissions, je vais le faire comme root» peut conduire à des trous de sécurité évidents et d autres n ayant pas encore été exploités. RFC 1244 (ftp:// est un document décrivant comment créer votre propre politique de sécurité réseau. RFC 1281 (ftp:// est un document qui décrit un exemple de politique de sécurité avec des descriptions détaillées de chaque étape. Enfin, vous pourrez jeter un coup d oeil à la bibliothèque COAST (ftp://coast.cs.purdue.edu/pub/doc/ policy) pour voir de quoi ont l air de véritables politiques de sécurité Moyens pour sécuriser votre site Cette section va aborder plusieurs moyens grâce auxquels vous pourrez sécuriser les entités pour lesquelles vous avez travaillé dur : votre propre machine, vos données, vos utilisateurs, votre réseau, et même votre réputation. Qu arriverait il à votre réputation si un intrus effaçait des données de vos utilisateurs? Ou défigure votre site Web? Ou publie le projet trimestriel de votre compagnie? Si vous envisagez une installation réseau, il y a beaucoup de facteurs dont vous devez tenir compte avant d ajouter une simple machine à votre réseau. Même si vous avez un simple compte PPP, ou juste un petit site, cela ne signifie pas que les intrus se désintéresseront de votre système. Les grands sites célèbres ne sont pas les uniques cibles beaucoup d intrus veulent simplement pénétrer le plus de sites possibles, sans égard à leur taille. De plus, ils peuvent utiliser un trou de sécurité de votre site pour obtenir l accès à d autres sites auxquels vous êtes connectés. Les intrus ont beaucoup de temps devant eux, et peuvent s économiser de deviner comment vous avez bouché les trous, simplement en essayant toutes les possibilités. Il y a aussi plusieurs raisons pour lesquelles un intrus peut être intéressé par votre système, ce que nous traiterons plus tard. 133

148 Chapitre 11. De la sécurité sous GNU/Linux Sécurité de l hôte Sans doute le domaine de sécurité sur lequel les administrateurs se concentrent le plus. Cela implique généralement de vous assurer que votre propre système est sûr, et espérer que tous les autres sur votre réseau font de même. Choisir de bons mots de passe, sécuriser les services réseau de votre hôte local, garder de bons registres de comptes et mettre à jour les programmes qui résolvent des trous de sécurité sont parmi les tâches dont est responsable l administrateur sécurité local. Bien que cela soit absolument nécessaire, cette tâche peut devenir harassante dés que votre réseau dépasse la taille de quelques machines Sécurité du réseau local La sécurité réseau est tout autant nécessaire que la sécurité de l hôte local. Avec des centaines, des milliers, ou plus, d ordinateurs sur le même réseau, vous ne pouvez supposer que chacun de ces système est sûr. Vous assurer que seuls les utilisateurs autorisés peuvent utiliser votre réseau, construire des pare-feu, utiliser du cryptage lourd, et s assurer qu il n y a pas de machine «crapuleuse» (non sûre) sur votre réseau font partie des devoirs de l administrateur de la sécurité du réseau. Ce document va aborder certaines des techniques utilisées pour sécuriser votre site, et ainsi vous montrer certaines façons de prévenir qu un intrus obtienne l accès à ce que vous essayez de protéger La sécurité par l obscurité Un certain type de sécurité qui doit être abordé est "La sécurité par l obscurité". Cela signifie par exemple, déplacer un service qui est vulnérable vers un port non standard, en espérant que cela déroutera les attaquants. Un temps suffira pour qu ils découvrent la supercherie et exploitent le vulnérabilité. La sécurité par l obscurité signifie aucune sécurité. Simplement parce que vous avez un petit site ou peu de notoriété, ne signifie pas qu un intrus ne sera pas intéressé par ce que vous avez. Nous discuterons de ce que vous protégez dans les prochaines sections Organisation de ce chapitre Ce chapitre a été divisé en un certain nombre de sections. Elles couvrent plusieurs larges problèmes de sécurité. La première Sécurité physique, page 134, explique comment vous devez protéger votre machine physique de violation. La seconde, Sécurité locale, page 139, décrit comment protéger votre système de violations par des utilisateurs locaux. La troisième, Sécurité des fichiers et des systèmes de fichiers, page 141, vous enseigne comment configurer votre système de fichiers et les permissions sur les fichiers. La suivante, Sécurité des mots de passe et cryptage, page 146, traite des moyens de cryptage pour mieux sécuriser machines et réseaux. Sécurité du noyau, page 151 débat des options du noyau (kernel) que vous pouvez utiliser ou être informé pour un système plus sûr. Sécurité réseau, page 154, décrit comment mieux sécuriser votre système GNU/Linux d attaques réseau. Préparation de sécurité (avant de vous connecter), page 161, vous informe de la préparation des machines avant leur connexion. Ensuite, Que faire, avant et pendant une effraction, page 163, conseille l attitude à avoir lors d une intrusion en cours et comment détecter une intrusion récente. Dans Documents de base, page 165, quelques documents de base sur la sécurité sont recensés. La section Questions et Réponses Foire aux questions, page 167, réponds à quelques questions fréquentes, et finalement une section Conclusion, page 168. Les deux points principaux à réaliser lors de la lecture de ce chapitre sont : Soyez conscient de votre système. Consulter les logs systèmes /var/log/messages, garder un oeil sur votre système, et Gardez votre système à jour en vous assurant que sont installées les dernières versions des programmes mises à jours pour les alertes de sécurité. Cette simple précaution rendra votre système notablement plus sûr. 134

149 11.3. Sécurité physique Chapitre 11. De la sécurité sous GNU/Linux Le premier niveau de sécurité que vous devez prendre en compte est la sécurité physique de vos systèmes d ordinateurs. Qui a un accès physique direct à votre machine? Devrait-il? Pouvez-vous protéger votre machine d une intrusion de leur part? Devez vous? le degré de sécurité physique dont vous avez besoin sur votre système dépends beaucoup de votre situation et/ou de votre budget. Si vous êtes un particulier, vous n en aurez sans doute pas trop besoin (cependant vous pourriez avoir besoin de protéger votre machine de vos enfants ou de visiteurs gênants. Si vous êtes dans un laboratoire, vous en avez besoin de beaucoup plus, mais les utilisateurs devront néanmoins pouvoir travailler sur les machines. Beaucoup des section suivantes vous y aideront. Si vous êtes dans des bureaux, vous aurez ou non besoin de protéger votre machine pendant les heures de pause ou lorsque vous êtes absent. Dans certaines sociétés, laisser votre console non sécurisée est un crime grave. Des méthodes de sécurité physiques comme des serrures sur les portes, câbles, armoires fermées, et vidéo surveillance sont de bonnes idées, mais en dehors de la portée de ce chapitre Verrouillage de l ordinateur De nombreux boîtiers de PC proposent une option de verrouillage. Cela se présente généralement sous la forme d une serrure sur l avant du boîtier vous permettent de passer d un état déverrouillé à verrouillé à l aide d une clé. Ce type de verrouillage peut empêcher quelqu un de voler votre ordinateur, ou ouvrir le boîtier pour directement manipuler ou voler votre matériel. Il peut aussi parfois empêcher le redémarrage de la machine par une disquette ou autre. Ces verrouillages de boîtier font différents choses selon le support par la carte mère et la conception du boîtier. Sur beaucoup de PCs ils font en sorte que vous devez casser le boîtier pour pouvoir l ouvrir. Sur d autres, ils empêchent la connexion de nouveaux claviers ou souris. Consultez les caractéristiques de votre carte mère ou du boîtier pour plus de renseignements. Ils peuvent être parfois une caractéristique très utile, même si la serrure est parfois de très mauvaise qualité, et facile à forcer avec un passe-partout Certains boîtiers (particulièrement des SPARCs et macs) possèdent un anneau à l arrière, de sorte que si vous y passez un câble l attaquant devra couper le câble ou casser le boîtier pour pouvoir l ouvrir. Y mettre un cadenas ou une chaîne peut avoir un bon effet dissuasif sur quelqu un essayant de voler votre machine Sécurité au niveau du BIOS Le BIOS est le niveau logiciel le plus bas qui configure ou manipule votre matériel x86. grub ou d autres méthodes de boot GNU/Linux accèdent au BIOS pour déterminer comment démarrer votre machine GNU/Linux. Les autres architectures sur lesquelles GNU/Linux tourne ont des programmes similaires (OpenFirmware sur Macs et nouveaux Sun, Sun boot PROM, etc.). Vous pouvez utiliser votre BIOS pour empêcher les attaquants de redémarrer votre machine et y manipuler votre système GNU/Linux. La plupart des BIOS de PC permettent la configuration d un mot de passe. Cela ne garantit pas beaucoup de sécurité (le BIOS peut être réinitialisé, ou enlevé si quelqu un a accès au boîtier), mais peut être une bonne dissuasion (i.e. cela prendra du temps et laissera des traces d infraction). De même, sur S/Linux (GNU/Linux pour SPARC ( tm )), votre EEPROM peut être configurée pour exiger un mot de passe de démarrage. Le mot de passe par défaut s avère un autre risque lorsque vous faites confiance au mot de passe du BIOS pour sécuriser votre système. La plupart des fabricants de BIOS ne s attendent pas à ce que les utilisateurs ouvrent leur ordinateur et déconnectent les batteries s ils oublient leur mot de passe et ont muni leurs BIOS de mots de passe par défaut qui fonctionnent, nonobstant le mot de passe que vous avez choisi. Voici certains des mots de passe les plus communs : j262 AWARD_SW AWARD_PW lkwpeter Biostar AMI Award bios BIOS setup cmos AMI!SW1 AMI?SW1 password hewittrand shift + s y x z J ai testé un BIOS Award et AWARD_PW a fonctionné. Ces mots de passe sont assez faciles à obtenir sur les sites Web des favricants ou sur astalavista ( et en tant que tel, un mot de passe de BIOS ne peut pas être considéré comme une protection adéquate contre les attaquants informés. Beaucoup de BIOS x86 vous permettent aussi de spécifier plusieurs autres bons paramètres de sécurité. Consultez le manuel de votre BIOS ou explorez le la prochaine fois que vous redémarrez. Par exemple, certains 135

150 Chapitre 11. De la sécurité sous GNU/Linux BIOS désactivent le démarrage depuis une disquette et d autres demandent un mot de passe pour pouvoir accéder aux caractéristiques du BIOS. Si votre machine est un serveur, et vous configurez un mot de passe de démarrage, votre machine ne pourra pas redémarrer toute seule. Gardez à l esprit que vous aurez besoin de vous déplacer et fournir le mot de passe en cas de coupure de courant. ;( Sécurité avec OpenBoot Le BIOS est le niveau logiciel le plus bas qui configure ou manipule votre matériel x86. LILO ou d autres méthodes de boot GNU/Linux accèdent au BIOS pour déterminer comment démarrer votre machine GNU/Linux. Les autres architectures sur lesquelles GNU/Linux tourne ont des programmes similaires (OpenFirmware sur Macs et nouveaux Suns, Sun boot PROM, etc...). Vous pouvez utiliser votre BIOS pour empêcher les attaquants de redémarrer votre machine et y manipuler GNU/Linux. OpenBoot est plus évolué qu un BIOS de PC lorsqu il s agit de sécurité (consultez le «Guide d installation» sur la façon d utiliser OpenBoot ). 1. Il est crucial de définir votre mot de passe avant de changer le mode de sécurité, car sinon vous ne pourriez plus le définir. De plus, SUN avertit que vous devriez alors contacter votre revendeur pour que votre machine puisse démarrer à nouveau... Voici un exemple d interaction sur la manière de définir votre mot de passe : > password > New password (only first 8 chars are used): > Retype new password: > 2. Vous pouvez choisir entre trois niveaux de sécurité en modifiant la variable security-mode : a. full: Toutes les commandes sauf go requièrent le mot de passe. b. command: Toutes les commandes sauf boot et go requièrent le mot de passe. c. none: Aucun mot de passe nécessaire (défaut). Voici un exemple d interaction sur la manière de définir votre mode de sécurité : > setenv security-mode full > Si votre machine est un serveur, et vous configurez un mot de passe de démarrage, votre machine ne pourra pas redémarrer toute seule. Gardez à l esprit que vous aurez besoin de vous déplacer et fournir le mot de passe en cas de coupure de courant. ;( 136

151 Chapitre 11. De la sécurité sous GNU/Linux Sécurité du chargeur de démarrage Gardez à l esprit lorsque vous mettez en place tous ces mots de passe, que vous devez vous en souvenir :- ) Rappelez-vous aussi que ces mots de passe vont seulement ralentir un intrus déterminé. Ils ne vont pas empêcher quelqu un de démarrer à partir d une disquette et monter votre partition racine. Si vous utilisez la sécurité en conjonction avec votre chargeur de démarrage, vous devriez aussi désactiver le démarrage depuis une disquette, ainsi que protéger l accès au BIOS. Souvenez-vous également que les permissions du fichier /etc/lilo.conf doivent être réglées en mode 600 (lecture et écriture pour root seulement). Sinon, d autres utilisateurs pourront lire vos mots de passe! Si vous utilisez la sécurité en conjonction avec votre chargeur de démarrage, vous devriez aussi protéger l accès au PROM. Une fois encore, Si votre machine est un serveur, et vous configurez un mot de passe de démarrage, votre machine ne pourra pas redémarrer toute seule. Gardez à l esprit que vous aurez besoin de vous déplacer et fournir le mot de passe en cas de coupure de courant. ;( Avec grub The various GNU/Linux boot loaders also can have a boot password set. grub is quite flexible in that sense: your default config file /boot/grub/menu.lst may contain a line allowing the loading of a new config file with different options (this new file may contain a new password to access another third config file and so on). So you have to add a line in your file /boot/grub/menu.lst, something like: password very_secret /boot/grub/menu2.lst and of course generate a new config file /boot/grub/menu2.lst where you move unsecure entries previously removed from /boot/grub/menu.lst. From the grub info page: - Command: password passwd new-config-file Disable all interactive editing control (menu entry editor and command line). If the password PASSWD is entered, it loads the NEW-CONFIG-FILE as a new config file and restarts the GRUB Stage Avec LILO LILO propose les paramètres password et restricted; password exige un mot de passe à chaque redémarrage, alors que restricted demande un mot de passe seulement si vous spécifiez des options au prompt (comme single) au prompt LILO. Extrait de la page man de lilo.conf : password=password Correspond à l option password spécifique à une image, que l on applique alors à toutes les images (voir plus bas). restricted Correspond à l option restricted spécifique à une image, que l on applique alors à toutes les images (voir plus bas). password=password Protéger le chargement de l image par un mot de passe. restricted Ne demander un mot de passe que si l on ajoute des paramètres sur la ligne de commande (par exemple single pour redémarrer en mode mono-utilisateur). 137

152 Chapitre 11. De la sécurité sous GNU/Linux Avec SILO Le chargeur de démarrage SILO peut aussi proposer un mot de passe de démarrage : password exige un mot de passe à chaque redémarrage, alors que restricted demande un mot de passe seulement si vous spécifiez des options (comme single) au prompt SILO. Extrait de la page man de silo.conf : password=password Protège le démarrage avec un mot de passe. Le mot de passe est donné en clair dans le fichier de configuration. A cause de cela, le fichier de configuration ne devrait ^etre accessible que par le super-utilisateur et le mot de passe devrait ^etre différent si possible des autres mots de passe du système. restricted Un mot de passe n est nécessaire pour lancer l image spécifiée dans /etc/silo.conf que si des paramètres sont rajoutés sur la ligne de commande, ou si l image n est pas du tout citée dans le fichier de configuration (par exemple. lecture d un fichier arbitraire) kxlock et vlock Si vous vous éloignez de votre machine de temps à autre, il est bon de «verrouiller» votre console afin que personne ne puisse manipuler ou regarder votre travail. Pour ce faire, vous pouvez utiliser les programmes klock ou vlock. klock est un verrouilleur d écran X ;. Vous pouvez lancer klock depuis n importe quel terminal X, il verrouillera alors l affichage et exigera un mot de passe pour pouvoir y retourner. La plupart des environnements graphiques proposent aussi cette option dans leurs menus respectifs. vlock est un simple petit programme qui vous permet de verrouiller quelques unes ou toutes les consoles de votre machine GNU/Linux. vous pouvez bloquer l\juste celle que vous utilisez ou bien toutes. Si vous n en bloquez qu une, d autres peuvent venir et utiliser la console; ils ne seront simplement pas autorisés à utiliser votre console jusqu à ce que vous la déverrouilliez. Bien sûr, verrouiller votre console empêchera quelqu un de falsifier votre travail, mais ne les empêchera pas de redémarrer la machine, et ainsi interrompre votre travail. Ça ne les empêche pas non plus d accéder à votre machine depuis une autre et y faire des dégâts. Plus important, cela n empêche personne de quitter complètement X Window System et d aller sur un prompt de console virtuelle normale, ou à la console depuis laquelle X a été démarré et la suspendre, obtenant ainsi vos privilèges. Pour cette raison, vous ne devriez utiliser cela que sous le contrôle de KDM (ou autre) La sécurité des périphériques locaux Si une webcam ou un microphone est relié à votre système, vous devriez analyser s il est possible qu un attaquant gagne l accès à votre système par leur entremise. Lorsqu ils ne sont pas utilisés, débrancher ou carrément enlever ces périphériques s avère une option intelligente. Sinon, vous devriez lire la documentation et examiner tout logiciel qui pourrait donner accès à ces périphériques. 138

153 Chapitre 11. De la sécurité sous GNU/Linux Détecter des violations physiques de sécurité La première chose à toujours noter, est quand la machine est redémarrée. Du fait que GNU/Linux est un système d exploitation stable et robuste, les seules fois où votre machine devrait redémarrer, est lorsque vous l arrêtez pour des mises à jour majeure, changement de matériel, ou des actions de cet ordre. Si votre machine a redémarré sans votre intervention, cela pourrait être un signe qu un intrus l a violée. Beaucoup des manières de violer votre machines impliquent en effet le redémarrage ou l arrête de celle-ci. Vérifier qu il n y a aucune trace d infraction sur le boîtier et dans la zone de la machine. Bien que la plupart des intrus nettoient les traces de leur passage des logs, c est une bonne idée de les vérifier et noter toute irrégularité. C est aussi une bonne idée de garder les données de log en un endroit sûr, comme un serveur de logs dédié, à l intérieur de votre réseau bien protégé. Lorsque une machine a été violée, les données de log deviennent de peu d utilité, car il est fort probable qu ils aient aussi étés modifiés par l intrus. Le démon syslog peut être configuré pour envoyer automatiquement les données de log vers un serveur %prog-syslog; central, mais les données sont généralement envoyées en clair, permettant à un intrus de consulter les logs lors du transfert. Cela pourrait révéler des informations sur votre réseau qui ne devraient pas être dévoilées. Il y a des démons %prog-syslog; disponibles qui cryptent les données lorsqu elles sont envoyées. Soyez aussi conscient que falsifier les messages de %prog-syslog; est facile - avec un programme de craquage ayant été publié. %prog-syslog; accepte même les entrées de log réseau qui prétendent venir de l hôte local sans même indiquer leur origine réelle. Quelques points à vérifier dans vos logs : Logs courts ou incomplets. Logs contenant des dates étranges. Logs avec des permissions ou propriétaire incorrects. traces de redémarrage de la machine ou de services. Logs manquants. Entrées su ou connections depuis des origines inhabituelles. Nous parlerons des donnés log système dans le chapitre Gardez trace des données de journalisation du système, page Sécurité locale L aspect suivant à regarder est la sécurité de votre système vis-à-vis des utilisateurs locaux. Avons nous dit utilisateurs locaux? Oui! Obtenir l accès au compte d un utilisateur local est la première chose que fait un intrus, sur le chemin de l exploitation du compte root. Avec une sécurité locale laxiste, il peut alors «améliorer» ses privilèges du compte normal vers des privilèges de root en utilisant un certain nombre de bogues et de services locaux mal configurés. Si vous vous assurez que votre sécurité locales est serrée, alors l intrus suera un peu plus pour passer la barre. Les utilisateurs locaux peuvent aussi causer beaucoup de dégâts sur votre système, même (et surtout) s ils sont vraiment qui ils prétendent être. Donner des comptes à des gens que vous ne connaissez pas ou pour lesquels vous n avez pas de renseignements est une très mauvaise idée Créer de nouveaux comptes Vous devriez vous assurer de fournir aux comptes utilisateurs le strict minimum requis pour leur tâche. Si vous donnez un compte à votre fils (10 ans), vous voudrez qu il puisse accéder à un traitement de textes et un programme de dessin, mais qu il ne puisse pas effacer des données qui ne sont pas les siennes. Plusieurs bonnes règles à suivre lorsque vous autorisez des gens à accéder à votre machine GNU/Linux : 139

154 Chapitre 11. De la sécurité sous GNU/Linux Leur donner la plus petite quantité de privilèges dont ils ont besoin. S assurer de quand/où ils se connectent, ou devraient se connecter. S assurer de supprimer les comptes inutilisés, que vous trouverez aisément en utilisant la commande last ou en vérifiant les fichiers journaux pour déterminer si ses utilisateurs sont encore actifs. Pour faciliter la maintenance des comptes et l analyse des données de log, il est conseillé d utiliser du même numéro d usager (userid) sur tous les ordinateurs et réseaux. La création de groupes de userids devrait être strictement interdite. Les comptes d utilisateurs permettent aussi la responsabilisation, ce qui est rendu impossible par les comptes groupés. Beaucoup de comptes d utilisateurs locaux qui sont utilisés dans des infractions de sécurité n ont pas été utilisés pendant des mois ou des années. Comme personne ne les utilise, ils sont des vecteurs d attaque idéaux Sécurité pour root Le compte le plus sollicité sur votre machine est le compte root (super-utilisateur). Ce compte a l autorité sur toute la machine, ce qui peut aussi inclure l autorité sur d autres machines du réseau. Rappelez vous que vous ne devriez utiliser le compte root que pour de très courtes tâches particulières, et être le plus souvent sous votre compte normal. Même de petites erreurs commises lorsque vous êtes connecté en tant que root peuvent causer des problèmes. Au moins vous êtes connecté avec les privilèges de root, au plus sûr ce sera. Plusieurs astuces pour éviter de bousiller votre propre machine en tant que root : Lorsque vous effectuez des commandes complexes, essayer de les faire tourner d abord de manière non destructive... tout particulièrement les commandes qui utilisent l englobement. i.e., si vous voulez faire rm -f foo*.bak, lancez d abord ls foo*.bak et assurez vous que vous allez effectivement effacer les fichiers que vous pensiez. Utiliser echo à la place d une commande destructive marche aussi parfois. Ne devenez root que pour lancer des tâches spécifiques. Si vous vous retrouvez en train de vous demandez comment faire pour résoudre un problème, revenez sous votre compte normal, jusqu à ce que vous soyez sûr de ce que vous avez besoin de faire en tant que root. Le chemin de commandes pour l utilisateur root est très important. Ce chemin de commandes (c est a dire, la variable d environnement PATH) désigne les répertoires dans lesquelles le shell cherche les programmes. Essayez de limiter le chemin de commandes pour l utilisateur root le plus possible, et n y incluez jamais. (qui signifie «le répertoire courant») dans votre PATH. De plus, n ayez jamais de répertoires en écriture dans votre chemin de recherche, car cela pourrait permettre aux attaquants de modifier ou placer de nouveaux binaires dans votre chemin de recherche, leur permettant de se lancer comme root la prochaine fois que vous utilisez la commande. N utilisez jamais le suite d outils rlogin/rsh/rexec (appelés les «r-utilitaire») en tant que root. Ils sont sujet de plusieurs attaques, et sont cruellement dangereux utilisés comme root. Ne créez jamais un fichier.rhosts pour root. le fichier /etc/securetty contient la liste de terminaux depuis lesquels root peut se connecter. Par défaut, cela est arrêté aux consoles virtuelles locales (ttys). Soyez très prudent lors de l ajout de nouvelles choses à ce fichier. Vous devriez être capable de vous connecter à distance avec votre compte normal, puis utiliser su si nécessaire (de préférence sous couvert de ssh ou un autre tube crypté), il n y a donc pas de besoin de se connecter directement sous root. Soyez toujours lent et réfléchi sous root. Vos actions peuvent modifier beaucoup de choses, faites sept fois le tour du clavier avant de taper! Si vous avez assurément absolument besoin d autoriser quelqu un (de préférence de toute confiance) à avoir un accès root sur votre machine, il y a un certain nombre d outils qui peuvent vous y aider. sudo autorise les utilisateurs à accéder à un certain nombre de commandes comme root avec leur propre mot de passe. Cela devrait vous permettre ainsi de laisser un utilisateur éjecter et monter un support amovible, sans aucun autre privilège root. sudo garde aussi une trace de toutes les tentatives fructueuses ou non d utilisation, vous permettant de savoir qui a utilisé quelle commande pour faire quoi. Pour cette raison sudo marche bien même à des endroits où certaines personnes ont des accès root, car il vous aide à suivre les changements apportés. 140

155 Chapitre 11. De la sécurité sous GNU/Linux Bien que sudo puisse être utilisé pour donner à certains utilisateurs des privilèges pour effectuer certaines tâches, il présente quelques inconvénients. Il devrait être utilisé uniquement pour un ensemble de tâches limitées, comme redémarrer un serveur ou ajouter de nouveaux utilisateurs. Tout programme offrant une fuite vers un shell donnera l accès root à un utilisateur l invoquant depuis sudo. Cela inclus la plupart des éditeurs, par exemple. De même, un programme aussi inoffensif que /bin/cat peut être utilisé pour écraser des fichiers, ce qui pourrait être utilisé pour exploiter root. Envisagez sudo comme un moyen de responsabilisation, mais n espérez pas qu il remplace l utilisateur root tout en étant sûr Sécurité des fichiers et des systèmes de fichiers Quelques minutes de préparation et de planification avant de mettre votre système en ligne peut vous aider à le protéger ainsi que les données qu il contient. Il ne devrait y avoir aucune raison pour que le répertoire «maison» d un utilisateur y autorise l exécution de programmes SUID/SGID. Utiliser l option nosuid dans /etc/fstab pour les partitions en écriture par d autres que root. vous pourrez aussi souhaiter utiliser nodev et noexec sur la partition des répertoires des utilisateurs, ainsi que sur /var, interdisant ainsi l exécution de programmes, et la création de périphériques caractère ou bloc, qui ne devraient jamais être nécessaires de toute façon. Si vous exportez des systèmes de fichier via NFS, assurez vous de configurer /etc/exports avec le plus de restrictions d accès possibles. Cela signifie ne pas utiliser de caractères d englobement (*?) ni autoriser un accès pour root en écriture, et exporter en lecture seule chaque fois que c est possible. Configurez le umask de création de fichier des utilisateurs le plus restrictif possible, voir Paramètres umask, page 142. Si vous montez des systèmes de fichier en utilisant un système de fichier réseau comme NFS, assurez vous de configurer /etc/exports avec des restrictions appropriées. Généralement, utiliser nodev, nosuid, et même noexec, est désirable. Fixer les limites du système de fichier, au lieu de le laisser illimité comme il est par défaut. Vous pouvez contrôler des limites par utilisateurs en utilisant le module de limites de ressources PAM et le fichier /etc/ pam.d/limits.conf. Par exemple, les limites pour le groupe users pourraient ressembler à cela hard core hard nproc hard rss 5000 Cela interdit la création de fichiers «core», limite le nombre de processus à 50, et limite l utilisation de la mémoire par utilisateur à 5Mo. Vous pouvez aussi utiliser le fichier de configuration /etc/login.defs pour régler les mêmes limites. Les fichiers /var/log/wtmp et /var/run/utmp contiennent les registres de connexion pour tous les utilisateurs de votre système. Leur intégrité doit être assurée, car ils peuvent être utilisé pour déterminer quand et d où un utilisateur (ou un possible intrus est entré sur le système. Ces fichiers devraient aussi avoir des permissions en 644, sans affecter la marche normale du système. Le bit «inaltérable» peut être utilisé pour empêcher l effacement ou l écrasement accidentel d un fichier qui doit être protégé. Cela empêche aussi quelqu un de créer un lien dur vers le fichier. Voir la page de man de chattr(1) pour plus d information sur le bit «inaltérable». Les fichiers suid et SGID sur votre système présentent un risque potentiel de sécurité, et devraient être surveillés de près. Du fait que ces programmes donnent des privilèges particuliers aux utilisateurs qui les exécutent, il est nécessaire de s assurer que des programmes non surs ne sont pas installés. Un coup favori des «crackers» est d exploiter les programmes SUID-root, puis laisser un programme suid comme porte dérobée (backdoor) pour rentrer à nouveau plus tard, même si le trou original a été bouché. Cherchez tous les programmes SUID/SGID sur votre système, et garder une trace de ce qu ils sont, de sorte que vous puissiez vous rendre compte de tout changement, ce qui pourrait indiquer un intrus potentiel. Utilisez les commandes suivantes pour trouver tous les programmes SUID/SGID de votre système : root# find / -type f $ -perm o -perm $ 141

156 Chapitre 11. De la sécurité sous GNU/Linux Vous pouvez supprimer la permission suid ou SGID sur un programme suspect avec la commande chmod, puis changez la à nouveau si vous vous rendez compte que c est absolument nécessaire. Les fichiers en écriture non restreinte (world-writable), plus particulièrement les fichiers systèmes, peuvent être un trou de sécurité si un cracker obtient l accès à votre système, et les modifie. De plus, les répertoires en écriture non restreinte sont dangereux, car ils autorisent à un cracker de créer ou effacer des fichiers à volonté. pour localiser de tels fichiers sur votre système, utilisez la commande suivante : root# find / -perm -2! -type l -ls et assurez vous de la cause de l existence de tels fichiers. En utilisation normale, plusieurs fichiers seront en écriture non restreinte, même certains fichiers de /dev, et les liens symboliques d où le! -type l qui exclus ces derniers de la commande find. Les fichiers sans propriétaires peuvent aussi être un signe qu un intrus est passé par là. Vous pouvez localiser les fichiers qui n ont pas de propriétaire ou de groupe propriétaire grâce à la commande : root# find / -nouser -o -nogroup -print Trouver les fichiers.rhosts devrait faire partie de vos devoirs d administrateur système, car ils devraient être bannis de votre système Rappelez vous qu un cracker n a besoin que d un compte ouvert pour avoir l opportunité d accéder au réseau entier. Vous pouvez localiser les fichiers.rhosts avec la commande : root# find /home -name.rhosts -print Enfin, avant de changer les permissions de quelque fichier système, assurez vous que vous comprenez ce que vous faites, Ne changez jamais les permissions d un fichier parce que cela semble être une manière facile pour que tout marche bien. Cherchez toujours à savoir pourquoi ce fichier à ces permissions avant de les modifier Paramètres umask La commande umask peut être utilisée pour connaître le mode de création des fichiers par défaut sur votre système. C est le complément octal du mode du fichier en question. Si les fichiers sont créâés sans égard à leurs permissions, l utilisateur pourrait donner des permissions en lecture ou en écriture par inadvertance à quelqu un qui ne devrait pas avoir ces permissions. Généralement, les paramètres umask sont 022, 027, ou 077 (qui est le plus restrictif). Normalement, le umask est fixé dans /etc/profile, de sorte qu il s applique à tous les utilisateurs du système. le masque de création de fichiers peut être calculé en soustrayant la valeur souhaitée de 777. En d autres termes, un umask de 777 implique que les fichiers nouvellement créâés de contenir des permissions sans lecture, ni écriture, ni exécution pour tout le monde. Un masque de 666 implique que les fichiers nouvellement créâés ont un masque de 111. Par exemple, vous pourriez avoir une ligne comme celle-ci : # Fixer le umask utilisateur par défaut umask 033 Assurez vous d utiliser un umask pour root s de 077, qui interdira lecture, écriture, et exécution pour les autres utilisateurs a moins que vous ne changiez cela explicitement avec la commande chmod. Dans ce cas, les répertoires nouvellement créâés devraient avoir des permissions de 744, obtenues en soustrayant 033 de 777. Les fichiers nouvellement créâés avec un umask de 033 devraient avoir des permissions de 644. Pour Mandrake Linux, il est juste nécessaire d utiliser un umask de 002. Cela est dû au fait que la configuration de base utilise un groupe par utilisateur. 142

157 Chapitre 11. De la sécurité sous GNU/Linux Permissions des fichiers Il est important de vous assurer que vos fichiers système ne sont pas ouverts à des modifications accidentelles des utilisateurs et des groupes qui ne devraient pas faire de maintenance système. UNIX différencie le contrôle d accès aux fichiers et répertoire selon trois critères : propriétaire, groupe, et autres. Il y a toujours un seul propriétaire, un nombre quelconque de membres du groupe et tous les autres. Une explication rapide des permissions sous UNIX : Propriété - Quels utilisateurs et groupes ont le contrôle des paramètres de permission du noeud et du parent du noeud Permissions - Bits susceptibles d être mis ou enlevés pour permettre un certain type d accès. Les permissions pour les répertoires peuvent avoir une signification différente que les mêmes paramètres de permissions sur un fichier. Lecture: Être capable de lire le contenu d un fichier Être capable de lire un répertoire Écriture: Être capable d ajouter ou modifier un fichier Être capable de supprimer ou de déplacer des fichiers d un répertoire Exécution: Être capable de lancer un programme binaire ou un script shell Être capable de chercher dans un répertoire, en accord avec la permission de lecture Attribut de sauvegarde du texte : (Pour les répertoires) Le «sticky bit» (bit de conservation) a aussi un comportement différent lorsqu il est appliqué aux répertoires. Si le bit de conservation est mis sur un répertoire, alors un utilisateur pourra seulement supprimer les fichiers qu il y possède, ou pour lesquels il a des droits explicites en écriture, même si il a les droits en écriture sur ce répertoire. Cela est conçu pour des répertoires tels que /tmp, qui sont world-writable (écriture par tout le monde), mais où il ne vaut mieux pas que les utilisateurs puissent effacer des fichiers à l envie. Le sticky bit est vu comme un t dans un listing de répertoire détaillé. Attribut suid : (Pour les fichiers) Il s agit de la permission «set-user-id» (utiliser ID utilisateur) sur le fichier. Quand le mode d utilisation de l ID utilisateur est mis dans les permissions du propriétaire, et si le fichier est exécutable, les processus qui l utilisent obtiennent les ressources systèmes de l utilisateur qui possède le fichier, et non plus de l utilisateur qui a lancé le processus. Cela est la cause de beaucoup de violations de type «buffer overflow» (dépassement de mémoire tampon). Attribut SGID : (Pour fichiers) Si utilisé dans les permission du groupe, ce bit contrôle le statut «set group id» d un fichier. Il se comporte comme pour suid, à part que c est le groupe qui en est bénéficiaire. Le fichier doit être exécutable pour faire effet. 143

158 Chapitre 11. De la sécurité sous GNU/Linux Attribut SGID : (Pour répertoires) Si vous activez le bitsgid sur un répertoire (avec chmod g+s directory), les fichiers qui y seront créâés auront leur groupe mis au groupe du répertoire. Vous - Le propriétaire du fichier Groupe - Le groupe auquel vous appartenez Tous - Quiconque sur le système qui n est ni propriétaire, ni membre du groupe Exemple de fichier : -rw-r--r-- 1 kevin users 114 Aug zlogin 1st bit - répertoire? (non) 2nd bit - lecture propriétaire? (oui, par kevin) 3rd bit - écriture par propriétaire? (oui, par kevin) 4th bit - exécution propriétaire? (non) 5th bit - lecture groupe? (oui, par users) 6th bit - écriture groupe? (non) 7th bit - exécution groupe? (non) 8th bit - lecture tous? (oui, par tous) 9th bit - lecture tous? (non) 10th bit - exécution tous? (non) Les lignes suivantes sont des exemples d ensembles de permissions qui sont nécessaires pour avoir l accès décrit. Vous voudrez sans doute donner plus de permissions que celles données ici, mais on ne décrit ici que l effet de ces permissions minimales : -r w Autoriser l accès en lecture au fichier par le propriétaire Autoriser le propriétaire à modifier ou effacer le fichier (Notez que quiconque ayant les droits d écriture sur le répertoire dans lequel se trouve le fichier peut l écraser/effacer) ---x Le propriétaire peut exécuter ce programme, mais pas de script shell, qui de plus nécessite un droit en lecture ---s Sera exécuté avec l UID du propriétaire s- Sera exécuté avec le GID du groupe -rw------t Pas de mise à jour du "last modified time" (Heure de dernière modification). Généralement utilisé pour le fichiers d échange (swap) ---t Aucun effet. (anciennement bit de conservation) Exemple de répertoires : drwxr-xr-x 3 kevin users 512 Sep 19 13:47.public_html/ 1e bit - répertoire? (oui, il contient de nombreux fichiers) 2e bit - lecture propriétaire? (oui, par kevin) 3e bit - écriture propriétaire? (oui, par kevin) 4e bit - exécution propriétaire? (oui, par kevin) 5e bit - lecture groupe? (oui, par users) 6e bit - écriture groupe? (non) 7e bit - exécution groupe? (oui, par users) 8e bit - lecture par tous? (oui, par tous) 9e bit - écriture par tous? (non) 10e bit - exécution par tous? (oui, par tous) Les lignes qui suivent sont des exemples des ensembles de permissions minimums requis pour autoriser l accès décrit. Vous voudrez sans doute donner plus de permissions que celles données ici, mais on ne décrit ici que l effet de ces permissions minimales : dr Le contenu peut être listé, mais l attribut des fichiers ne peut être lu d--x Le répertoire est accessible, et utilisé comme chemin en exécution complète dr-x Les attributs de fichiers peuvent être lus par le propriétaire d-wx Les fichiers peuvent être créâés/effacés, même si le répertoire n est pas le répertoire courant d------x-t Empêche l effacement de fichiers par tous ayant un droit d écriture. Utilisé pour /tmp d---s--s-- Aucun effet 144

159 Chapitre 11. De la sécurité sous GNU/Linux Les fichiers de configuration système (généralement dans /etc) ont souvent un mode de 640 (-rw-r-----), et possédés par root. Selon les besoins en sécurité de votre site, vous pouvez les ajuster. Ne laissez jamais un fichier système en écriture pour un groupe ou tous. Certains fichiers de configuration, dont /etc/shadow, devraient n être en lecture que par root, et les répertoires de /etc ne devraient pas être accessibles par tous, au moins. Scripts shell suid les scripts shell suid représentent un sérieux risque de sécurité, et pour cette raison, le noyau n en tiendra pas compte. Quel que soit le degré de sécurité que vous supposez pour ces scripts, ils peuvent être exploités par le cracker pour lui fournir un shell root Contrôles d intégrité Une autre très bonne manière de détecter des attaques locales (et réseau) sur votre système est de lancer un contrôleur d intégrité comme Tripwire, Aide ou Osiris. Ces contrôleurs d intégrité génèrent un certain nombre de sommes de contrôle sur tous vos binaires et fichiers systèmes importants et les comparent à une base de données précédemment générée de valeurs références bien connues. Ainsi, tout changement dans un fichier sera détecté. C est un bon réflexe d installer ce genre de programmes sur une disquette, puis empêcher physiquement l écriture sur celle-ci. De cette façon. les intrus ne pourront pas altérer le contrôleur d intégrité lui-même ou modifier sa base de données. Une fois que vous avez une application de ce style configurée, il est conseillé de l ajouter à vos devoirs d administrateurs système pour vérifier que rien n a changé. Vous pouvez même ajouter un entrée crontab pour lancer le contrôleur depuis votre disquette toute les nuits et vous envoyer un message le matin. Quelque chose comme : # set mailto MAILTO=kevin # run Tripwire * * * root /usr/local/adm/tcheck/tripwire Vous enverra un rapport tous les matins à 5H15. Les contrôleurs d intégrité peuvent être une aubaine pour détecter des intrusions avant même que vous ne puissiez les remarquer. Comme beaucoup de fichiers changent sur un système moyen, vous devrez faire le discernement entre des activités de cracker et vos propres agissements. Vous pouvez trouver une version libre et non prise en charge de Tripwire sur le site ( gratuitement. Des manuels et de l assistance technique peuvent être achetés. Aide peut être trouvé à ( html). Osiris peut être trouvé à ( Chevaux de Troie Les «Chevaux de Troie» tirent leur nom du célèbre stratagème décrit dans l Iliade d Homère. L idée est qu un cracker distribue un programme ou binaire qui semble intéressant, et encourage d autres personnes à le télécharger et le lancer en tant que root. Alors, le programme peut compromettre leur système pendant qu ils n y prêtent attention. Alors qu ils pensent que le logiciel qu ils viennent de charger ne fait qu une seule chose (et parfois très bien), il transige aussi leur sécurité. Vous devez prendre garde aux programmes que vous installez sur votre machine. MandrakeSoft fournit les sommes de contrôle MD5 et les signatures PGP de chacun des RPM qu il fournit, de sorte que vous puissiez vérifier que vous installez la bonne chose. Vous ne devriez jamais lancer un binaire que vous ne connaissez pas, pour lequel vous n avez pas les sources comme root! Peu d attaquant souhaitent publier leur code source pour sondage public. 145

160 Chapitre 11. De la sécurité sous GNU/Linux Bien que cela puisse être complexe, assurez vous que vous obtenez le code source d un programme depuis son site réel de distribution. Si le programme doit être lancé par root, assurez vous que vous ou quelqu un de confiance a regardé les sources et les a vérifiées Sécurité des mots de passe et cryptage La plupart des programmes de cryptage décrits dans ce chapitre sont disponibles dans votre distribution Mandrake Linux. Une des caractéristiques de sécurité les plus importantes utilisée aujourd hui est le mot de passe. Il est important que vous et vos utilisateurs ayez des mots de passe sûrs et impossibles à deviner. Votre distribution Mandrake Linux fournit le programme passwd qui interdit l utilisation d un mot de passe trop simple. Assurez vous que votre version de passwd est à jour. une discussion en profondeur du thème du cryptage est au delà de la portée de ce document, mais une introduction est de rigueur. Le cryptage est très utile, parfois même nécessaire à notre époque. Il y a toutes sortes de méthodes de cryptage des données, chacune avec ses propres caractéristiques. La plupart des UNIX s (et GNU/Linux n y fait pas exception) utilise principalement un algorithme de chiffrement à sens unique appelé DES (Data Encryption Standard, soit Standard de cryptage de données) pour crypter vos mots de passe. Ce mot de passe crypté est alors gardé dans le fichier /etc/shadow. Quand vous essayez de vous connecter, le mot de passe que vous tapez est crypté à nouveau et comparé avec l entrée contenue dans le fichier qui contient les mots de passe. S ils coïncident, cela doit être le même mot de passe, et l accès est alors autorisé. Bien que DES soit un algorithme de cryptage à double sens (vous pouvez coder puis décoder un message, la bonne clé étant fournie), les variantes utilisées par la plupart des UNIX s est à sens unique. Cela signifie qu il ne devrait pas être possible de renverser le chiffrement pour récupérer le mot de passe d après le contenu du fichier /etc/shadow. Des attaques en force, du type «Crack» ou «John the Ripper» (voir la section Crack et John the Ripper, page 150) peuvent souvent deviner vos mots de passe, à moins qu ils ne soient suffisamment aléatoires. Les modules PAM (voir ci-dessous) vous permettent d utiliser différentes routines de cryptage pour vos mots de passe (MD5 ou similaire). Vous pouvez aussi utiliser Crack à votre avantage. Envisagez de le lancer périodiquement sur votre propre base de mots de passe, pour trouver les mots de passe non sûrs. Contactez alors l utilisateur en infraction, et demandez lui de changer son mot de passe. Vous pouvez vous rendre à ( cern.ch/writeup/security/security_3.html) pour des conseils sur le choix d un bon mot de passe PGP et la cryptographie à clé publique La cryptographie à clé publique, comme celle utilisée par PGP, utilise une clé pour le cryptage, et une autre pour le décryptage. La cryptographie traditionnelle, pourtant, utilise la même clé pour le cryptage, et le décryptage; cette clé doit être connue des deux côtés, et quelqu un a donc dû transférer de manière sûre la clé d un côté à l autre. pour soulager le besoin de transférer de manière sûre la clé de chiffrement, la clé publique d encryption utilise deux clés séparées : Une clé publique et une clé privée. La clé publique de chacun est disponible pour quiconque pour faire le cryptage, alors que cependant, chacun garde sa clé privée pour décrypter les messages cryptés avec la clé publique. Il y a des avantages aux deux méthodes de cryptage, clé publique ou clé privée, et vous pouvez lire à propos de leurs différences : La FAQ pour la cryptographie RSA ( citée à la fin de cette section. PGP (Pretty Good Privacy, soit intimité plutôt bonne) est bien toléré par GNU/Linux. Les versions et 5.0 sont reconnues pour leur stabilité. Pour des nouvelles de PGP et comment l utiliser, jetez un coup d oeil à la FAQ de PGP : faqs.org ( Veillez à utiliser la version autorisée dans votre pays. Du fait des restrictions d exportation du gouvernement américain, il est interdit de transférer hors de ce pays de la cryptographie lourde sous forme électronique. 146

161 Chapitre 11. De la sécurité sous GNU/Linux Les contrôles d exportation des US sont maintenant gérés par EAR (Export Administration Regulations), et non plus par ITAR. Il y a aussi un guide pas à pas pour configurer PGP sous GNU/Linux disponible à LinuxFocus (http: //mercury.chem.pitt.edu/~angel/linuxfocus/english/november1997/article7.html). Il a été écrit pour la version internationale de PGP, mais est aisément transposable à la version des États-Unis. Vous pourriez aussi avoir besoin de correctifs pour certaines des dernières versions de GNU/Linux ; le correctif (patch) est disponible chez metalab (ftp://metalab.unc.edu/pub/linux/apps/crypto). Il y a un projet travaillant dur une réimplantation libre de PGP sous licence «open source». GnuPG est un remplaçant complet et libre pour PGP. Du fait qu il n utilise pas IDEA ou RSA il peut être utilisé sans aucune restriction. GnuPG respecte pratiquement OpenPGP ( Voir la page Web «GNU Privacy Guard» pour plus d information : ( Vous trouverez plus de renseignements au sujet de la cryptographie dans la FAQ du site de la cryptographie RSA ( Vous trouverez ici toute l information sur des sujets tels que «Diffie-Hellman», «cryptographie à clé publique», «certificats électroniques», etc SSL, S-HTTP, et S/MIME Les utilisateurs se demandent souvent ce qui différencient les différents protocoles de cryptage, et comment les utiliser. Bien que ce document ne soit pas consacré au cryptage, il est bon d expliquer brièvement ce qu est chaque protocole, et où trouver plus d information. SSL : - SSL (Secure Sockets Layer) est une méthode de cryptage développée par Netscape pour fournir de la sécurité sur Internet. Il prend en charge plusieurs protocoles de cryptage et fournit l authentification du client et du serveur. SSL agit sur la couche transport, crée un canal crypté de données et peut ainsi encoder des données de diverses natures. Vous constaterez cela lorsque vous visiterez un site sécurisé pour consulter un document en ligne avec Communicator. C est également la base des communications sécuritaires avec Communicator, ainsi qu avec plusieurs composantes de chiffrement de données de Netscape Communications. Vous trouverez plus de renseignements sur le site Openssl.org ( Des informations sur les autres implémentations de sécurité de Netscape et un bon point de départ pour ces protocoles sont disponibles sur le site de Netscape ( Mentionnons aussi que le protocole SSL peut être utilisé pour passer nombre de protocoles communs, les enveloppant par sécurité. Voir le site de Quiltaholic ( S-HTTP : - S-HTTP est un autre protocole qui fournit des services de sécurité par Internet. Il a été conçu pour pourvoir, aux deux parties impliquées dans les transactions, confidentialité, authentification, intégrité, et non répudiation [ne pas pouvoir être pris pour un autre] tout en gérant des mécanismes à clés multiples et des algorithmes de cryptographie à négociation d options. S-HTTP est limité au logiciel spécifique qui l implémente et crypte chaque message individuellement. [ extrait de «RSA Cryptography FAQ», page 138] S/MIME : - S/MIME (Secure Multipurpose Internet Mail Extension, soit extension de courrier électronique sécurisé à portée multiple) est un standard de cryptage utilisé pour crypter le courrier électronique et autres types de messages sur Internet. C est un standard ouvert développé par la RSA, de sorte qu il est probable qu il apparaisse sous GNU/Linux un jour ou l autre. plus de renseignements sur S/MIME peuvent être trouvées sur RFC2311 ( Implémentations IPSEC A côté de CIPE, et d autres formes de cryptage de données, il y a aussi plusieurs implémentations de IP- SEC pour GNU/Linux. IPSEC est une tentative de l IETF pour créer des communications cryptographiquement sûres au niveau du réseau IP, et assurer authentification, intégrité, contrôle d accès, et confidentialité. Des information sur IPSEC le projet Internet peut être consulté à : ( Vous pouvez aussi trouver des liens vers d autres protocoles impliquant la gestion de clés, et une mailing list IPSEC et son archive. L implémentation de GNU/Linux x-kernel, qui était développée (ce projet n est plus maintenu) à la University of Arizona, utilisait une base orientée objet pour implémenter les protocoles réseau appelés x-kernel, et peut être trouvée sur le site de l université ( 147

162 Chapitre 11. De la sécurité sous GNU/Linux html). En clair, le x-kernel est une méthode pour passer les messages au niveau du noyau, ce qui facilite l implémentation. Une autre implémentation librement disponible de IPSEC est l IPSEC «FreeS/WAN» GNU/Linux. Leur page Web indique : «Ces services vous permettent de monter un tuyau sécurisé à travers des réseaux non fiables. Tout ce qui passe à travers le réseau non fiable est crypté par la machine passerelle IPSEC et décrypté par la passerelle à l autre bout. Cela conduit à un réseau privé virtuel ou VPN (Virtual Private Network). Cela est un réseau qui est effectivement privé, même si il inclut des machines de plusieurs sites différents interconnectés par Internet, incertain.» Elle est disponible en téléchargement sur le site Linux FreeS/WAN ( De même que d autres formes de cryptographie, elle n est pas distribuées dans le noyau par défaut, à cause des restrictions à l export ssh (shell sécurisé) et stelnet ssh et stelnet sont des suites de programmes qui permettent de se connecter à un système distant avec des échanges cryptés. ssh est une suite de programmes utilisée comme remplacement sécurisé de rlogin, rsh et rcp. Elle utilise la cryptographie à clé publique pour crypter les communications entre deux hôtes, ainsi que l authentification des utilisateurs. Ces outils peuvent être utilisés pour se connecter à un serveur distant ou copier des données entre deux hôtes, tout en empêchant des attaques de tiers («session hijacking») et «DNS spoofing». Ils assurent la compression de données sur vos connections et les communications X11 sécurisées. Il y a à l heure actuelle plusieurs implémentations de ssh. L implémentation commerciale originale par Data Fellows peut être trouvée à ( L excellente implémentation Openssh est basée sur une ancienne version de datafellows ssh et a été entièrement retravaillée pour n inclure aucun brevet ou partie propriétaire. Elle est libre et sous licence BSD. Elle peut être trouvée à : ( Il y a aussi un projet «open source» pour réimplémenter ssh depuis le néant appelé «psst...». Pour plus de renseignement, consulter : ( Vous pouvez aussi utiliser ssh depuis vos stations Windows vers votre serveur ssh GNU/Linux. Il y a plusieurs implémentations de clients windows librement disponibles, dont celui de PuTTY ( greenend.org.uk/~sgtatham/putty/), ainsi qu une version commerciale de DataFellows, sur le site Datafellows ( SSLeay (obsolète, voir OpenSSL plus loin) est une implémentation libre du protocole Secure Sockets Layer de Netscape, développé par Eric Young. Il comporte plusieurs applications, comme «Secure telnet», un module pour Apache, plusieurs bases de données, ainsi que plusieurs algorithmes dont DES, IDEA et «Blowfish». En utilisant cette bibliothèque, un remplacement de telnet sécurisé qui fait de l encryption par dessus une connexion telnet. Au contraire de SSH, stelnet utilise SSL, le protocole Secure Sockets Layer développé par Netscape. Vous pourrez trouver «Secure telnet» et «Secure FTP» en commençant par la FAQ SSLeay, disponible à psy.uq.oz.au ( Le projet OpenSSL basé sur SSLeay a pour but de développer une boite à outils robuste, de qualité commerciale, entièrement fonctionnelle, et Open Source qui implémente les protocoles Secure Sockets Layer (SSL v2/v3) et Transport Layer Security (TLS v1) ainsi qu une librairie de cryptographie forte d usage général. Pour plus d information sur ce projet, consultez les PagesOpenSSL ( Il y a aussi une liste conséquente d applications basées sur OpenSSL à Applications en relation avec OpenSSL ( SRP est une autre implémentation sécurisée de telnet/ftp. Extrait de leur page Web : «Le projet SRP développe des logiciels Internet sûrs pour utilisation mondiale gratuite. À partir d une distribution de Telnet et FTP totalement sécurisés, nous espérons supplanter les systèmes d authentification 148

163 Chapitre 11. De la sécurité sous GNU/Linux réseau vulnérables par des substituts solides qui ne sacrifient en rien la facilité d utilisation pour la sécurité. La sécurité devrait être de fait et non pas une option!» Pour plus de renseignements, visiter stanford.edu ( PAM - Modules Additionnels d Authentification Votre version de Mandrake Linux est fournie avec une combinaison d authentifications unifiée appelée PAM. PAM vous permet de changer vos méthodes d authentification et exigences à la volée, et encapsule toutes les méthodes locales d authentification sans besoin de recompiler un quelconque binaire. La configuration de PAM est au delà de la portée de ce chapitre, mais allez faire un tour du côté du site Web de PAM : kernel.org ( Juste un aperçu des possibilités de PAM : Utiliser un cryptage autre que DES pour vos mots de passe. (Les rendant plus résistant aux décodages par la force) Fixer des limites de ressources pour tous vos utilisateurs, de sorte qu ils ne puissent mener des attaques de type dénis de service (denial of service) (nombre de processus, quantité de mémoire, etc.) Activer les mots de passe fantôme (shadow) (voir ci-dessous) à la volée autoriser certains utilisateurs à se connecter uniquement à certaines heures depuis des sites spécifiques En quelques heures d installation et de configuration de votre système, vous pouvez empêcher plusieurs attaques avant qu elles ne surviennent. Par exemple, utilisez PAM pour désactiver l utilisation sur tout le système des fichiers.rhosts dans les répertoires des utilisateurs en ajoutant ces lignes dans /etc/pam.d/rlogin : # # Désactiver rsh/rlogin/rexec pour les utilisateurs # login auth required pam_rhosts_auth.so no_rhosts Encapsulation IP Cryptographique (CIPE) Le premier objectif de ce logiciel est de fournir un moyen de sécuriser (contre l espionnage, y inclus l analyse de trafic, et l injection de message truqué) des interconnexions de sous-réseaux au travers d un réseau par paquets non sûr tel que Internet. CIPE encrypte les données au niveau du réseau. Les paquets voyageant entre les hôtes sur le réseau sont cryptés. Le moteur de cryptage est placé près du périphérique qui envoie et reçoit les paquets. Cela est différent de SSH, qui crypte les données par connexion, au niveau du port (socket). Une connexion logique entre des programmes tournant sur des hôtes différents est cryptée. CIPE peut être utilisé pour faire du pontage (tunnelling), afin de créer un réseau privé virtuel (VPN). Le cryptage de bas niveau a l avantage de pouvoir être rendu transparent entre deux réseaux connectés dans le VPN, sans besoin de changer une quelconque application. Résumé depuis la documentation de CIPE : «Le standard IPSEC définit un ensemble de protocoles qui peuvent être utilisés (entre autre) pour monter des VPNs cryptés. Cependant, IPSEC est un protocole plutôt lourd et compliqué possédant un grand nombre d options, les implémentations de l ensemble complet du protocole sont encore rarement utilisés et plusieurs problèmes (tel que la gestion des clés) ne sont toujours pas complètement résolus. CIPE utilise une approche simple, dans laquelle beaucoup de choses modifiables (comme le choix de l algorithme de cryptage effectivement utilisé) sont fixées à l installation. Cela limite la flexibilité, mais permet une implémentation simple (et par là même efficace, facile à déboguer...).» Plus d informations peuvent être trouvées à ( sites.inka.de/sites/bigred/devel/cipe.html) 149

164 Chapitre 11. De la sécurité sous GNU/Linux De même que d autres formes de cryptographie, il n est pas distribué avec le noyau par défaut du fait de restrictions à l export Kerberos Kerberos est un système d authentification développé par The Athena Project au MIT. Quand un utilisateur se connecte, Kerberos authentifie cet utilisateur (en utilisant un mot de passe), et fournit à cet utilisateur un moyen de prouver son identité aux autres serveurs et hôtes disséminés sur le réseau. Cette authentification est alors utilisée par des programmes tels que rlogin pour autoriser l utilisateur à se connecter à d autres hôtes sans mot de passe (au lieu du fichier.rhosts). Cette méthode d authentification peut aussi être utilisée par le système de courrier électronique pour garantir que les messages seront délivrés à la bonne personne, ainsi que pour garantir l authenticité de l expéditeur. Kerberos et les programmes qui l accompagnent, empêchent les utilisateurs de tromper le système en lui faisant croire qu ils sont quelqu un d autre («spoofing»). Malheureusement, installer Kerberos est très intrusif, et demande le remplacement ou la modification de nombreux programmes standards. Vous pourrez trouver plus d informations à propos de Kerberos en visitant la FAQ Kerberos ( faqs.org/faqs/kerberos-faq/general/), et le code peut être obtenu depuis le site de la Kerberos: The Network Authentication Protocol ( [Stein, Jennifer G., Clifford Neuman, and Jeffrey L. Schiller. "Kerberos: An Authentication Service for Open Network Systems." USENIX Conference Proceedings, Dallas, Texas, Winter 1998.] Kerberos ne devrait pas être votre premier pas pour améliorer la sécurité de votre hôte. Il est plutôt compliqué, et pas aussi répandu que, disons SSH Crack et John the Ripper Si pour une raison quelconque votre programme passwd ne force pas l utilisation de mots de passe difficiles à deviner, vous pourrez souhaiter utiliser un programme de cassage de mots de passe pour vous assurer que les mots de passe de vos utilisateurs sont sûrs. Les programme de cassage de mots de passe reposent sur une idée simple : ils essayent tous les mots du dictionnaire, puis des variations sur ces mots, en cryptant chacun d eux et les comparant à vos mots de passe cryptés. S ils obtiennent une correspondance, ils ont trouvé le mot de passe Il y a plusieurs programmes de ce type les deux les plus connus sont Crack et John the Ripper (voir Open- Wall ( Malheureusement, ils consomment beaucoup de temps CPU, mais vous devriez être capable de vérifier si un attaquant est susceptible de pénétrer en les utilisant vous-même, puis en avertissant les utilisateurs dont le mot de passe est trop faible. Notez qu un attaquant devra d abord utiliser un autre trou pour pouvoir lire votre fichier /etc/shadow, mais de tels trous sont plus courants que vous ne le pensez. Parce que la sécurité n est aussi forte que le plus faible des hôtes, il est bon de mentionner que si vous avez des machines Windows sur votre réseau, vous devriez jeter un coup d œil à L0phtCrack, une implantation de Crack sous windows. Il est disponible depuis le ( CFS - Système de Fichiers Crypté et TCFS - Système de Fichiers Crypté Transparent CFS (Cryptographic File System) permet de chiffer une arborescence complète ; pour leur part, les utilisateurs peuvent y enregistrer des fichiers cryptés. Il utilise un serveur NFS tournant sur la machine locale. Plus de renseignements ainsi que les sources sont disponibles sur le site de AT&T (ftp://ftp.research.att.com/ dist/mab/). TCFS (Transparent Cryptographic File System) améliore CFS en lui ajoutant une meilleure intégration dans le système de fichiers, de sorte qu il devient transparent aux utilisateurs. Plus d information sur le site de TCFS ( il n a pas non plus besoin d être utilisé sur des systèmes de fichiers complets. Il fonctionne aussi bien sur de simples arborescences. 150

165 Chapitre 11. De la sécurité sous GNU/Linux X11, SVGA et sécurité de l affichage X11 Il est important de sécuriser votre affichage graphique pour empêcher les attaquants de saisir vos mots de passe lorsque vous les tapez Lire des documents ou des informations que vous consultez à l écran, ou même utiliser un trou de sécurité pour obtenir l accès root. Lancer des applications X par réseau peut aussi être plein de dangers, en autorisant des «sniffers» à voir votre interaction avec le système distant. X possède un certain nombre de mécanismes d accès de contrôle. Le plus simple d entre eux est basé sur l hôte : vous utilisez xhost pour spécifier quels hôtes sont autorisés à accéder à votre affichage. Cela n est pas du tout sûr, car si quelqu un a accès à votre machine, il peut xhost + sa.machine et rentrer aisément. Ainsi, si vous devez autoriser l accès à une machine peu sûre, quiconque là bas peut violer votre affichage. Si vous utilisez xdm (X Display Manager), ou son équivalent pour KDE KDM, pour vous connecter, vous disposez d une bien meilleure méthode d accès : MIT-MAGIC-COOKIE-1. Un «cookie» de 128 bits est généré et placé dans votre fichier.xauthority. Si vous avez besoin d autoriser un accès distant à votre affichage, vous pouvez alors utiliser la commande xauth et l information qui se trouve dans votre fichier.xauthority pour fournir l accès à cette seule connexion. Voyez le Remote-X-Apps mini-howto : LDP ( HOWTO/mini/Remote-X-Apps.html). Vous pouvez aussi utiliser ssh (voir ssh (shell sécurisé) et stelnet, page 148, ci-dessus) pour permettre des connexions X sécurisées. Cela possède l avantage d être totalement transparent pour l utilisateur, et signifie qu aucune donnée en clair ne circule sur le réseau. Vous pouvez aussi désactiver n importe quelle connexions distantes à votre serveur X en utilisant l option -nolisten tcp vers votre serveur X. Ainsi, vous préviendrez toutes les connexions réseau vers votre serveur sur des interfaces de connexion (sockets) TCP. Jetez un coup d œil à la page de man de Xsecurity pour plus de renseignements concernant la sécurité sous X. La bonne manière est d utiliser kdm pour vous connecter à la console, puis utiliser ssh pour aller sur un site distant sur lequel vous lancez votre application X SVGA Les programmes SVGAlib sont généralement suid -root de façon à pouvoir accéder à tout vos périphériques vidéo. Cela les rends très dangereux. S ils plantent, Vous devez généralement redémarrer la machine pour récupérer une console utilisable. Assurez vous que chaque programme SVGA que vous utilisez est authentique, et que vous pouvez leur faire confiance. Ou mieux, me les utilisez pas du tout GGI (Projet d Interface Graphique Générique) Le projet GNU/Linux GGI essaye de résoudre plusieurs des problèmes de l interface graphique de GNU/Linux. GGI déplace une petite partie du code vidéo dans le noyau de GNU/Linux, et contrôle alors l accès au système vidéo. Ce qui signifie que GGI sera capable de récupérer votre console à tout instant vers un état stable connu. Cela permet aussi d utiliser une clé de sécurité qui empêche l utilisation de programmes login de type «cheval de Troie» (Trojan) sur votre console. Projet GGI ( Sécurité du noyau Ceci constitue une description des options de configuration du noyau en rapport avec la sécurité, une explication de leur effet, et comment les utiliser. Du fait que le noyau contrôle les communications réseau de votre ordinateur, il est important qu il soit très sûr, et inviolable. Pour empêcher quelques unes des dernières attaques réseau, vous devriez essayer de garder votre noyau à jour. Vous pouvez trouver les nouvelles versions à ftp://ftp.kernel.org (ftp://ftp.kernel. org) ou grâce aux mises à jour du paquetage du noyau avec MandrakeUpdate. Il y a là aussi un groupe international qui propose un unique correctif cryptographique unifié pour le noyau GNU/Linux. Ce correctif (patch) fournit le support pour plusieurs sous-systèmes cryptographiques et d autres 151

166 Chapitre 11. De la sécurité sous GNU/Linux choses qui ne peuvent pas être inclues dans le noyau principal, à cause des restrictions à l export. Pour plus d information, consulter : ( Options de compilation du noyau Lorsque ce document a été écrit, le noyau 2.2 était le nec plus ultra. Encore aujourd hui, la plupart des parefeu l utilise encore. Toutefois, avec le noyau 2.4, beaucoup de choses ont changé. La plupart des options de compilation contenues dans ce chapitre sont encore valides, mais le masquage et le transfert de port ont été remplacés par les tables IP. Vous obtiendrez de plus amples renseignements en visitant le Linux iptables HOWTO ( Pour les noyaux 2.2.x, les options suivantes s appliquent. Vous devriez voir ces options pendant le processus de configuration du noyau. La plupart des commentaires sont issus depuis /usr/src/linux/documentation/ Configure.help, soit le même document utilisé dans l aide en ligne pendant l étape make config de la compilation du noyau. Consultez le chapitre Compilation et mise en place de nouveaux noyaux du Manuel de référence pour obtenir une description du processus de compilation d un nouveau noyau. Pare-feu réseau (CONFIG_FIREWALL) Cette option devrait être activée si vous envisagez de faire du pare-feu (firewalling) ou du masquage IP (masquerading) sur votre machine GNU/Linux. Si vous ne configurez qu une simple machine cliente, il est plus sûr de répondre non. IP: reroutage/passerelle (CONFIG_IP_FORWARD) Si vous activez le reroutage IP (IP forwarding); votre machine devient essentiellement un routeur. Si votre machine est sur un réseau, vous pourriez réexpédier des données d un réseau à un autre, et même subvertir un pare-feu qui était la justement pour empêcher cela. Les utilisateurs normaux en connexion par modem devraient désactiver cette option, et les autres se focaliser sur les implications au niveau de la sécurité d une telle décision. Les machines pare-feu devront activer cela, en conjonction avec un logiciel de pare-feu. Vous pouvez activer le reroutage IP en utilisant la commande : root# echo 1 > /proc/sys/net/ipv4/ip_forward et le désactiver avec la commande : root# echo 0 > /proc/sys/net/ipv4/ip_forward IP: cookies syn (CONFIG_SYN_COOKIES) Une «attaque SYN» est une attaque du type dénis de service (DoS) qui consomme toutes les ressources de votre machine, vous forçant au redémarrage. Nous ne voyons pas de raisons pour ne pas activer cela. Pour activer cela, vous devez faire : root# echo 1 > /proc/sys/net/ipv4/tcp_syncookies <P> IP: Pare-feu (CONFIG_IP_FIREWALL) Cette option est nécessaire si vous envisagez de configurer votre machine comme pare-feu, faire du reroutage IP, ou souhaitez protéger votre station en connexion par modem de quelqu un qui souhaiterais y pénétrer. IP: noter les paquets pare-feu (CONFIG_IP_FIREWALL_VERBOSE) Cette option vous donne des informations sur les paquets que votre pare-feu a reçu comme l expéditeur, le destinataire, le port, etc. IP: Refuser les structures routées à la source (CONFIG_IP_NOSR) 152

167 Chapitre 11. De la sécurité sous GNU/Linux Ceci devrait être activé. Les structures routées à la source contiennent le chemin complet vers leur destination à l intérieur du paquet. Cela signifie que les routeurs n ont pas besoin de les vérifier et ne font que les réexpédier. Cela pourrait conduire à laisser entrer des données sur votre système qui pourraient représenter une possible violation. IP: masquage (CONFIG_IP_MASQUERADE) Si l un des ordinateurs de votre réseau local, pour lequel votre machine GNU/Linux agit comme pare-feu, veut envoyer quelque chose à l extérieur, votre machine peut «masquer» cet hôte, i.e., elle réexpédie le trafic vers la destination mais le fait comme si il venait de lui-même. Consultez ( et le chapitre Configurer des clients de paserelle, page 97 pour plus d information. IP: masquage ICMP (CONFIG_IP_MASQUERADE_ICMP) Cette option ajoute le masquage ICMP à l option précédente qui ne masque que le trafic TCP ou UDP. IP: support de mandataire (proxy) transparent (CONFIG_IP_TRANSPARENT_PROXY) Cela autorise votre pare-feu GNU/Linux à rediriger de manière transparente tout le trafic réseau provenant du réseau local destiné à un hôte distant depuis un serveur local, appelé «serveur proxy transparent». Cela fait croire aux ordinateurs locaux qu ils communiquent avec l hôte distant, alors qu ils sont connectés au proxy local. Consultez le chapitre HOWTO IP-Masquerading et le site Web de Indyramp ( indyramp.com/masq) pour plus de renseignements. IP: défragmenter toujours (CONFIG_IP_ALWAYS_DEFRAG) Cette option est normalement désactivée, mais si vous construisez un pare-feu, ou un hôte de masquage, vous devrez l activer. Lorsque des données sont envoyées d un hôte à un autre, elles ne sont pas toujours envoyées comme un seul paquet de données, mais plutôt fragmentées en plusieurs morceaux. Le problème de cela est que les numéros de ports ne sont connus que du seul premier fragment. Cela signifie que quelqu un pourrait insérer dans les paquets suivants, des informations erronées. Cela est aussi susceptible d empêcher une attaque de type «teardrop» contre un serveur interne qui ne serait lui même pas immunisé contre cela. Signatures de paquets (CONFIG_NCPFS_PACKET_SIGNING) Cela est une option qui va signer les paquets NCP pour une sécurité accrue. Vous pouvez normalement la laisser désactivée, mais elle est là si vous en avez besoin. IP: Périphérique pare-feu de paquets netlink (CONFIG_IP_FIREWALL_NETLINK) Voilà une option bien pensée qui vous permets d analyser les 128 premier octets des paquets dans un programme utilisateur, pour déterminer si vous souhaiter accepter ou refuser le paquet, selon sa validité. Filtrage de Socket (CONFIG_FILTER) Pour le plus grand nombre, il est bon de répondre non à cette option. Celle-ci vous permet de connecter un filtre utilisateur à n importe quel Socket et choisir les paquets à accepter ou refuser. À moins que vous n ayez un besoin très spécifique et que vous soyez capable de programmer un tel filtre, vous devriez dire non. Notez aussi que à l heure d écrire cette section, tous les protocoles sont supportés, sauf TCP. Redirection de port La redirection de port (Port Forwarding) est une extension du masquage IP qui autorise la redirection de paquets depuis l intérieur d un pare-feu sur des ports spécifiques. Cela peut être utile si, par exemple, vous voulez utiliser un serveur Web derrière le pare-feu ou hôte de masquage et ce serveur Web doit être accessible du monde externe. Un client externe envoie une requête au port 80 du pare-feu, le pare-feu fait suivre la requête au serveur Web, le serveur Web traite la requête et les résultats sont envoyés par le réseau 153

168 Chapitre 11. De la sécurité sous GNU/Linux au client original. Le client croit que c est le pare-feu lui-même qui est le serveur Web. Cela peut aussi être utiliser pour répartir la charge si vous avez une «ferme» de serveurs identiques en deçâà du pare-feu. Toute l information à propos de cette caractéristique est disponible à monmouth ( demon.co.uk/ipsubs/portforwarding.html). Pour des informations générales, consulter compsoc (ftp: //ftp.compsoc.net/users/steve/ipportfw/linux21/) Filtrage de ports Socket (CONFIG_FILTER) En utilisant cette option, un programme utilisateur peut affecter un filtre à chaque socket, et indiquer par là au noyau s il peut accepter ou refuser à certains types de données de passer à travers le socket. Le filtrage de socket GNU/Linux marche sur tous les types de socket sauf les TCP pour l instant. Consultez le fichier texte./linux/documentation/networking/filter.txt pour plus d information. IP: Masquage Le masquage pour les noyaux 2.2 a été amélioré. Il propose des supports additionnels pour masquer des protocoles particuliers, etc. Assurez vous de lire le HOWTO ipchains pour plus d information Périphériques noyau Il y a plusieurs périphériques en mode bloc et caractère disponibles sous GNU/Linux qui vous aiderons aussi pour la sécurité. Les deux fichiers /dev/random et /dev/urandom sont fournis par le noyau pour offrir des données aléatoires à tout instant. Aussi bien /dev/random que /dev/urandom devraient être assez sûrs pour générer des clés PGP, des challenges ssh, et autres applications où des nombres aléatoires sont requis. Les attaquants devraient être incapable de prédire le nombre suivant, connaissant une séquence initiale de nombres provenant de ces sources. Beaucoup d efforts ont étés consentis pour s assurer que les nombres fournis par ces sources sont aléatoires, dans tous les sens du terme. La seule différence entre ces deux périphériques, est que /dev/random s épuise en octets aléatoires, et vous fait attendre jusqu à ce que d autres ce soient accumulés. Notez que sur certains systèmes, il peut se bloquer pendant un long moment, attendant que de la nouvelle entropie, générée par l utilisateur entre dans le système. Vous devez donc faire attention avant d utiliser /dev/random. (La meilleure chose à faire est sans doute de l utiliser lorsque vous générez des informations de clés sensibles, et vous demandez à l utilisateur d utiliser le clavier intensément.) /dev/random est de haute qualité entropique, généré en mesurant les temps inter-interruptions, etc. Il se bloquera jusqu à ce que suffisamment de bits aléatoires aient été générés. /dev/urandom est semblable, mais lorsque la réserve d entropie baisse, il retournera un mélange cryptographiquement élevé de ce qu il reste. Ce n est pas aussi sûr, mais cela suffit pour la plupart des applications. Vous pouvez lire depuis ces périphériques en utilisant quelque chose comme : root# head -c 6 /dev/urandom mimencode Cela imprimera six caractères aléatoires à la console, convenables pour un mot de passe. Vous pourrez trouver mimencode dans le paquetage metamail. Consultez /usr/src/linux/drivers/char/random.c pour une description de l algorithme. 154

169 11.8. Sécurité réseau Chapitre 11. De la sécurité sous GNU/Linux La sécurité du réseau devient de plus en plus importante, au fur et à mesure que les utilisateurs passent de plus en plus de temps connectés. Violer la sécurité du réseau est souvent beaucoup plus facile que violer la sécurité physique ou locale, tout en étant beaucoup plus répandue. Il y a plusieurs bons outils pour vous assister dans la sécurité du réseau, et ils sont de plus en plus fournis avec les distributions GNU/Linux Renifleurs de paquets (Packet Sniffers) Une des manières les plus répandues parmi les intrus pour obtenir l accès à plus de systèmes sur votre réseau, est d employer un renifleur de paquets sur un hôte déjà violé. Ce sniffer écoute simplement sur les ports Ethernet et repère des choses comme passwd, login ou su dans le corps du paquet et enregistre alors le trafic qui suit. De cette façon, les attaquants obtiennent des mots de passe pour des systèmes qu ils n essayent même pas de casser. Les mots de passe en clair sont évidemment très vulnérables à cette attaque. Exemple : Un hôte A a été violé. L attaquant y installe un sniffer. Ce dernier tombe sur l administrateur en train de se connecter de l hôte B à l hôte C. Il obtient alors le mot de passe personnel de l administrateur sur B. Puis l administrateur fait un su pour corriger un problème. Il a maintenant le mot de passe de root pour l hôte B. Plus tard, l administrateur laisse quelqu un faire un telnet depuis sa machine vers l hôte Z sur un autre site, L attaquant possède désormais un login et mot de passe sur Z... A l heure actuelle, les attaquants n ont même pas besoin de violer un système pour faire cela : Ils peuvent aussi amener un portable ou un PC dans un bâtiment et se brancher sur votre réseau. Utiliser ssh ou une autre méthode pour crypter les mots de passe déjoue cette attaque. Des outils comme comptes APOP au lieu de POP pour le courrier électronique préviennent aussi ces attaques. (Les login normaux POP sont très vulnérables à cela, de même que tout ce qui envoie des mots de passe en clair à travers le réseau.) Services système et encapsuleurs tcp Avant que vous ne connectiez votre système GNU/Linux sur un QUELCONQUE réseau, la première chose à déterminer est les services que vous souhaitez offrir. Les services que vous n avez pas besoin d offrir devraient être désactivés de sorte que vous aurez moins de choses pour lesquelles vous préoccuper et les attaquants auront moins de chances de pouvoir trouver un trou. Il y a plusieurs façons de désactiver des services sous GNU/Linux. Vous pouvez regarder le fichier /etc/inetd. conf et noter les fichiers qui sont offerts par inetd. Désactivez tous ceux dont vous n avez pas besoin en les commentant (# au début de la ligne), et redémarrez alors votre service inetd. Vous pouvez aussi supprimer (ou commenter) des services dans votre fichier /etc/services. Cela signifiera que les clients locaux seront aussi incapables de trouver ces services (i.e., si vous supprimez ftp, et essayez de faire une connexion FTP vers un site distant depuis cette machine, cela échouera avec un message service inconnu). Cela ne vaut généralement pas la peine de supprimer les services à partir de /etc/services, vu que cela ne fournit pas de sécurité supplémentaire. Si un utilisateur veut utiliser ftp même si vous l avez commenté, il pourrait faire son propre client qui utilise le port FTP standard, et cela fonctionnerait. Certains des services que vous pourriez souhaiter activer sont : ftp telnet (ou ssh) courrier électronique, comme pop-3 ou imap identd Si vous savez que vous n allez pas utiliser un paquetage en particulier, vous pouvez aussi le supprimer complètement. rpm -e packagename effacera un paquetage entier. De plus, vous devriez vraiment désactiver les utilitaires rsh/rlogin/rcp, y inclus login (utilisé par rlogin), shell (utilisé par rcp),et exec (utilisé par rsh) depuis /etc/inetd.conf. Ces protocoles sont extrêmement vulnérables et ont été la cause de violations dans le passé. 155

170 Chapitre 11. De la sécurité sous GNU/Linux Vous devriez vérifier les répertoires /etc/rc.d/rc[0-9].d, et regarder si des serveurs présent ne sont pas superflu. Les fichiers de ces répertoires sont en fait des liens symboliques vers des fichiers de /etc/rc.d/ init.d. Renommez ces fichiers dans init.d désactive tous les liens symboliques qui pointent vers ce fichier. Si vous ne souhaitez désactiver un service que pour un niveau d exécution (runlevel) particulier, renommez le lien symbolique approprié en remplaçant le S avec un K, comme cela : root# root# cd /etc/rc6.d mv S45dhcpd K45dhcpd Vous pouvez aussi utiliser un petit utilitaire pour faire cela : chkconfig ou l interface graphique sous KDE : ksysv. Votre distribution de Mandrake Linux est fournie avec un encapsuleurs (wrapper) TCP «encapsulant» tous vos services TCP. L encapsuleur TCP (tcpd) est appelé depuis inetd au lieu du service réel. tcpd vérifie alors l hôte demandant le service, et soit exécute le vrai serveur, soit refuse l accès à cet hôte. tcpd vous permet de restreindre l accès aux services TCP. Vous devriez éditer /etc/hosts.allow et y ajouter uniquement les hôtes qui ont besoin d avoir accès aux services de votre machine. Si vous possédez une connexion par simple modem, nous vous suggérons de refuser tous (ALL). tcpd enregistre aussi les tentatives échouées pour accéder aux services, de sorte que cela peut vous alerter si on est en train de vous attaquer. Si vous ajoutez de nouveaux services, vous devriez vous assurer de les configurer pour utiliser l encapsuleur TCP s ils sont basés sur TCP. Par exemple, une machine connectée par modem peut être protégé de l extérieur, tout en pouvant charger son courrier électronique, et faire des connexions réseau à Internet. Pour faire cela, vous devez ajouter ce qui suit à votre /etc/hosts.allow : ALL: 127. Et bien sûr, /etc/hosts.deny contiendra : ALL: ALL Ce qui empêchera des connexions extérieures à votre machine, vous permettant néanmoins de vous connecter depuis l intérieur aux services de Internet. Gardez à l esprit que les encapsuleurs TCP ne protègent que les services exécutés depuis inetd, et quelques rares autres. Il y a sûrement d autres serveurs tournant sur votre machine. Vous pouvez utiliser netstat -ta pour afficher la liste de tous les services que votre machine offre Vérifiez votre information de DNS Garder des informations DNS à jour sur tous les hôtes de votre réseau peut vous aider à améliorer la sécurité. Si un hôte non autorisé se connecte à votre réseau, vous pouvez l identifier grâce à son absence d entrées DNS entry. Beaucoup de services peuvent être configurés de façon à ne pas accepter de connexions d hôtes qui n ont pas d entrées DNS valides identd identd est un petit programme qui est lancé typiquement depuis votre serveur inetd. Il garde la trace de qui utilise quel service TCPet le rapporte alors à qui en fait la demande. Beaucoup de gens ne comprennent pas l utilité de identd, et le désactivent ou bloquent toutes le requêtes de l extérieur qui lui sont destinées. identd n est pas là pour aider les sites distants. Il n y a pas moyen de savoir si l information que vous obtenez de l identd distant est correcte ou non. Il n y a pas d authentification dans les requêtes identd. Pourquoi voudriez-vous l utiliser alors? Parce qu il vous aide, et est une autre source pour le suivi. Si votre identd n est pas corrompu, alors, vous savez qu il informe les sites distants des noms d utilisateur ou UID des personnes utilisant les services TCP. Si l administrateur du site distant revient et vous dit que l utilisateur untel essayait de pénétrer dans leur site, vous pouvez facilement prendre des mesures contre cet utilisateur. Si vous n utilisez pas identd, vous devrez chercher dans un grand nombre de «logs», deviner qui était connecté à ce moment, et en général prendre beaucoup de temps pour rechercher l utilisateur. 156

171 Chapitre 11. De la sécurité sous GNU/Linux Le identd fourni est plus facile à configurer que beaucoup de gens ne le pensent. Vous pouvez le désactiver pour certains utilisateurs (Ils peuvent créer un fichier.noident file), vous pouvez garder trace de toutes les requêtes identd (recommandé), vous pouvez même faire en sorte que identd retourne un UID au lieu du nom de l utilisateur, ou même NO-USER Configuration et sécurisation du MTA de Postfix Le serveur de courrier Postfix a été écrit par Wietse Venema, auteur de Postfix et de plusieurs autres produits de sécurité Internet, afin «d essayer de fournir une alternative au programme Sendmail, grandement utilisé. Postfix tente d être plus rapide, plus facile à administrer et, nous l espérons, plus sécuritaire. Il essaie également d être compatible avec Sendmail, au moins de façon à ne pas fâcher les utilisateurs.» Vous obtiendrez plus de renseignements au sujet de Postfix sur le site de Postfix ( org) ainsi que sur le site Configuring and Securing Postfix ( feature_story-91.html) SATAN, ISS, et autres scanners réseau Il y a plusieurs paquetages de logiciels qui font du balayage de ports et de services sur machines et réseaux. SATAN, ISS, SAINT, et Nessus en sont quelques-uns des plus connus. Ces logiciels se connectent à la machine cible (ou toutes les cibles machines et réseaux) sur tous les ports qu ils ouverts, et essayent de déterminer quels services tournent dessus. Sur la base de ces informations, vous pouvez dire si la machine est vulnérable a une attaque spécifique et sur quels services. SATAN (Security Administrator s Tool for Analyzing Networks, soit Outil d administrateur sécurité pour l analyse de réseaux) est un analyseur de port avec une interface Web. Il peut être configuré pour effectuer des vérifications légères, moyennes, ou lourdes sur une machine ou un réseau de machines. C est une bonne idée de se procurer SATAN et de scanner votre machine ou réseau, et de régler les problèmes qu il rencontre. Assurezvous d obtenir une copie de SATAN sur le site Metalab ( Satan-for-Linux/) ou un site FTP ou Web réputé. Il y avait une copie de SATAN «cheval de Troie» qui était distribuée sur Internet. trouble.org ( Notez que SATAN n a pas été mis à jour depuis longtemps et certains des outils ci-dessous pourraient faire du meilleur boulot. ISS (Scanner de Sécurité Internet) est un autre scanner de port. Il est plus rapide que SATAN, et devraient donc être meilleur pour de grands réseaux. Néanmoins, SATAN tend à fournir plus d information. TriSentry (nouveau nom de Abacus) est une suite d outils qui fournit à la fois la sécurité pour l hôte et la détection d intrusion. Jetez un coup d œil au site Psionic Technologies ( SAINT est une version mise a jour de SATAN. Il a une interface Web et possède des tests bien plus récents que SATAN. Vous pouvez en apprendre plus sur lui à: ( saint) Nessus est un scanner sécurité libre. Il propose une interface graphique GTK pour en faciliter l utilisation. Il est aussi conçu avec un très bon créateur de modules additionnels pour de nouveaux tests de balayage de ports. Pour plus d information, visiter ( Détecter les balayages de ports Il y a quelques outils conçus pour vous alerter de sondages par SATAN, ISS ou d autres logiciels de balayage. Néanmoins, une utilisation étendue des encapsuleurs TCP, et la consultation régulière des fichiers de log, devrait vous avertir de telles tentatives. Même avec les paramètres les plus faibles, SATAN laisse encore des traces dans les logs. Il y a aussi des scanners de ports «furtifs». Un paquet avec le bit TCP ACK activé (comme pour les connexions actives) passera vraisemblablement à travers un pare-feu de filtrage de paquets. Le paquet RST de retour d un port «_had no established session_» (n a pas de session établie) peut être la preuve d activité sur ce port. Je ne pense pas que les encapsuleurs TCP puissent détecter cela. Vous pourriez également essayer SNORT ( soit un IDS (Intrusion Detection System) libre, dont la fonction est de détecter les intrusions réseau. 157

172 Chapitre 11. De la sécurité sous GNU/Linux sendmail, qmail et les MTA 1 Un des services les plus importants que vous puissiez fournir est un serveur de courrier électronique. Malheureusement, c est aussi un des plus vulnérables aux attaques, simplement à cause du grand nombre de tâches qu il doit effectuer et des privilèges dont il a besoin. Si vous utilisez sendmail il est très important de garder votre version à jour. sendmail a une très longue tradition d attaques. Assurez vous de toujours utiliser la version la plus récente de sendmail ( sendmail.org/). Gardez à l esprit que vous n avez pas forcément besoin de sendmail pour envoyer du courrier. Si vous êtes un particulier, vous pouvez désactiver complètement sendmail, et utiliser simplement votre client de courrier pour envoyer vos messages. Vous pouvez aussi choisir d enlever l option -bd du fichier de démarrage de sendmail, désactivant ainsi les requêtes pour le courrier rentrant. En d autres termes, vous pouvez exécuter sendmail depuis vos fichiers de démarrage en utilisant plutôt : # /usr/lib/sendmail -q15m De la sorte, sendmail videra la file de courrier toutes les quinze minutes pour tous les messages n ayant pu être délivrés à la première tentative. Beaucoup d administrateurs choisissent de ne pas utiliser sendmail, et choisissent à la place un des autres agents de transport de courrier. qmail par exemple a été conçu dans un but de sécurité, depuis le néant. Il est plus rapide, stable, et sûr. Qmail peut être trouvé à qmail ( En compétition directe avec qmail, on trouve postfix, écrit par Wietse Venema, l auteur des encapsuleurs TCP et d autres outils de sécurité. Anciennement nommé vmailer, et soutenu par IBM, il est aussi un agent de transport de courrier complètement ré-écrit avec la sécurité à l esprit. Vous pouvez trouver plus d information à propos de postfix à postfix ( postfix est l agent de transport de courrier installé par défaut avec votre distribution de Mandrake Linux Attaques en dénis de service 2 Un attaque en «Dénis de service» (DoS) essaye de saturer les ressources de sorte que le système ne puisse plus répondre aux requêtes légitimes, ou de refuser l accès à votre machine aux utilisateur légitimes. Les attaques en dénis de service ont beaucoup progressé ces dernières années. Certaines des plus récentes et connues sont listées ci-dessous. Notez que de nouvelles naissent sans arrêt, de sorte qu il n y a ici que quelques exemples. Lisez les archives de listes de courriers sur la sécurité ou suivi de bogues GNU/Linux pour une information plus à jour. SYN Flooding - Inondation SYN est une attaque de dénis de service réseau. Il exploite une ouverture dans la façon dont sont créâées les connexions TCP. Les derniers noyaux GNU/Linux ( et au delà) proposent plusieurs options de configuration pour empêcher ce type d attaque de refuser aux gens l accès à votre machine ou services. Consultez Sécurité du noyau, page 151 pour les options de noyaux en question. Ping Flooding - Inondation de Ping est une attaque simple en force brute de dénis de service. L attaquant envoie une «vague» de paquets ICMP à votre machine. S ils font cela depuis un hôte qui possède plus de largeur de bande que le votre, votre machine sera incapable d envoyer quoi que ce soit vers le réseau. Une variation de cette attaque, appelée «smurfing», envoie les paquets ICMP à un hôte avec l IP de retour de votre machine, leur permettant de vous inonder de manière moins détectable. vous pouvez trouver plus d information sur l attaque «smurf» sur le site de linuxsecurity.com ( articles/network_security_article-4258.html). Si vous êtes en train de subir une attaque en inondation de ping, utilisez un outils comme tcpdump pour déterminer l origine des paquets (ou l origine apparente), puis contactez votre fournisseur d accès avec cette information. Les inondations ping peuvent être le plus facilement stoppées au niveau du routeur ou en utilisant un pare-feu. 1. Agents de transport de courrier 2. Denial of Service 158

173 Chapitre 11. De la sécurité sous GNU/Linux Ping o Death - L attaque en ping mortel envoie des paquets ICMP ECHO REQUEST qui sont trop grands pour être contenus dans les structures de données du noyaux prévues pour les accueillir. Parce que envoyer un seul, gros ( octets) paquet ping à plusieurs système les fera s arrêter ou même planter, ce problème a rapidement été surnommé «Ping o Death» (ping mortel). Celui-ci a été contourné depuis longtemps, et il n y a plus à s en préoccuper. Vous pouvez trouver le code pour la plupart de ces attaques, et une description plus détaillée de leur fonctionnement à ( en utilisant leur moteur de recherche Sécurité NFS (Système de Fichiers Réseau). NFS est un protocole de partage de fichiers largement utilise. Il permet a des serveurs qui utilisent nfsd et mountd d «exporter» des systèmes de fichiers entiers vers d autres machines en utilisant le support de systèmes de fichiers NFS inclus dans leurs noyaux. mountd suit les systèmes de fichiers montés dans /etc/ mtab, et peux les afficher avec showmount. Beaucoup de sites utilisent NFS pour fournir les répertoires racines des utilisateurs, de sorte que quelle que soit la machine du réseau sur laquelle ils se connectent, ils auront tous leurs fichiers personnels. Il y a peu de sécurité possible lorsqu on exporte un système de fichiers. Vous pouvez faire en sorte que nfsd remplace l utilisateur root distant (UID=0) par l utilisateur nobody, en leur empêchant totalement l accès aux fichiers exportés. Néanmoins, puisque les utilisateurs individuels peuvent accéder à leur propres fichiers (ou tout au moins ayant le même UID), l utilisateur root distant peut se connecter ou faire un su depuis leur compte et avoir un accès total à leurs fichiers. Ce n est qu un léger obstacle pour un attaquant qui peut monter votre système de fichier distant. Si vous devez utiliser NFS, assurez vous de n exporter que vers des machines qui en ont vraiment besoin. N exportez jamais votre répertoire racine entier; mais seulement les répertoires qui ont besoin d être exportés. Consultez le HOWTO NFS pour plus de renseignements sur NFS, sur le site LDP ( mdw/howto/nfs-howto/) NIS (Service d information réseau) (anciennement YP). NIS (Network Information Service) est un moyen de distribuer de l information à d autres machines. Le maître NIS détient les tables d information et les convertit en fichiers cartes NIS. Ces cartes sont alors servies sur le réseau, permettant aux machines clientes NIS d obtenir les noms de connexion, mots de passe, répertoires utilisateurs et information shell (tout ce qui se trouve dans un fichier /etc/passwd standard). Cela permet aux utilisateurs de changer leur mot de passe une seule fois et prendre pourtant effet sur toutes les machines du domaine NIS. NIS n est pas vraiment sûr. Il n a jamais été sensé l être. Il était censé être pratique et utile. Quiconque capable de deviner votre nom de domaine NIS (où que ce soit sur le réseau) peut obtenir une copie de votre fichier de mots de passes, et utiliser crack et John the Ripper contre les mots de passe de vos utilisateurs. Il est aussi possible de se faire passer pour NIS et faire toutes sortes de vilaines choses. Si vous devez utiliser NIS, soyez avertis des dangers. Il y a un remplaçant beaucoup plus sûr à NIS, appelé NIS+. Consultez le HOWTO NIS pour plus d information: NIS-HOWTO ( Pare-feu Les pare-feu sont un moyen de contrôler les informations autorisées à sortir et à rentrer dans votre réseau local. Généralement, l hôte pare-feu est connecté à Internet et à votre réseau local, et le seul accès depuis votre réseau vers Internet est à travers le pare-feu. De cette façon, le pare-feu peut contrôler ce qui rentre et sort de Internet et de votre réseau local. Plusieurs types de pare-feu et de méthodes pour les mettre en place existent. Les machines GNU/Linux constituent de bons pare-feu. Le code pare-feu peut être inséré directement dans les noyaux 2.0 et supérieurs. Les outils utilisateur ipchains pour les noyaux 2.2, et iptables pour noyau 2.4 vous permettent de changer, à la volée, les types de trafics réseau que vous autorisez. Vous pouvez aussi garder trace de certains trafics réseau. 159

174 Chapitre 11. De la sécurité sous GNU/Linux Les pare-feu sont une technique utile et importante pour sécuriser votre réseau. Néanmoins, ne pensez jamais que, parce que vous avec un pare-feu, vous n avez pas besoin de sécuriser les machines derrière lui. C est une erreur fatale. Consultez le très bon HOWTO pour plus d information sur les pare-feu et GNU/Linux. Firewall- HOWTO ( Si vous n avez aucune expérience avec les pare-feu, et envisagez d en mettre un en place pour plus qu une simple politique de sécurité, le livre Firewalls de chez O Reilly and Associates ou tout autre document en ligne sur les pare-feu est indispensable. Consultez O Reilly ( pour plus d information. Le NIST (National Institute of Standards and Technology) a rassemblé un excellent document sur les pare-feu. Bien que daté de 1995, il est toujours très bon. Vous pouvez le trouver à nist.gov ( gov/publications/nistpubs/800-10/main.html). Il y a aussi : Le projet Freefire -- une liste d outils de pare-feu libres, disponible sur le site de freefire ( inka.de/sites/lina/freefire-l/index_en.html) Mason - the automated firewall builder for Linux (Mason, le bâtisseur de pare-feu automatique pour GNU/Linux ). C est un script de pare-feu qui apprend comment vous faites les choses dont vous avez besoin de faire sur votre réseau! Plus de renseignements sur le site de Mason ( mason/) IP Chains - pare-feu pour les noyaux GNU/Linux 2.2.x Les chaînes pare-feu IP GNU/Linux sont une misa à jour du code de pare-feu des noyaux 2.0, Il y a un bon nombre de nouvelles caractéristiques, dont : Manipulation des paquets plus flexible Gestion des comptes plus complexe Changements de politique simple possible automatiquement Les fragments peuvent être explicitement bloqués, refusés, etc. Enregistre les paquets suspects Peut gérer des protocoles autres que ICMP/TCP/UDP. Assurez-vous de lire le HOWTO IP Chains pour plus d information. Il est disponible sur le site de Linuxdoc ( Netfilter - pare-feu pour les noyaux Linux 2.4.x Netfilter se veut un ensemble d ajout au code de filtrage de paquets IP du noyau. Il permet aux utilisateurs de configurer, d entretenir et d inspecter les règles de filtrage de paquets dans le nouveau noyau 2.4. Le sous-système netfilter est une réâécriture complète des implantations de filtrage de paquets, incluant ipchains et ipfwadm. Netfilter procure un large éventail d améliorations, et est devenu une solution encore plus mature et robuste pour protéger les réseaux professionnels. iptables se veut l interface de ligne de commande pour manipuler les tables de pare-feu à l intérieur même du noyau. Netfilter procure également une architecture brute pour manipuler les paquets tandis qu ils traversent les différentes parties du noyau. Cette architecture inclut la prise en charge du masquage, le filtrage standard de paquets ainsi qu une traduction d adresses de réseau plus complète. La prise en charge des requêtes de charge balancée pour un service en particulier parmi un groupe de serveurs, situés derrière un mur pare-feu, a également été améliorée. La fonctionnalité de filtrage adaptif (stateful inspection) est particulièrement puissante. Le filtrage adaptif permet de tracer et de contrôler le flux de communications passant à travers le filtre. La possibilité de garder une trace des états et le contexte pertinent à une session ne font pas que rendent les règles plus simples ; cela permet également de mieux interpréter les protocoles de niveau supérieur. 160

175 Chapitre 11. De la sécurité sous GNU/Linux De plus, de petits modules peuvent être développés pour produire des fonctions supplémentaires spécifiques, telles que le passage de paquets à des programmes dans l espace utilisateur pour traitement, puis leur réintroduction dans le flux normal de paquets. La possibilité de développer ces programmes dans l espace utilisateur réduit le niveau de complexité y étant associé précédemment : les changements n ont plus à être faits directement au niveau du noyau. Voici d autres références en matières de tables IP : Oskar Andreasson IP Tables Tutorial ( html) Oskar Andreasson, de pair avec LinuxSecurity.com, discute de son tutoriel sur les tables IP et de l utilité de ce document pour construire un pare-feu robuste pour votre entreprise ; Hal Burgiss Introduces Linux Security Quick-Start Guides ( stories/feature_story-93.html) Hal Burgiss a écrit deux guides officiels sur la sécurité sous Linux, y compris la gestion de pare-feu ; Page d accueil de Netfilter ( la page d accueil concernant netfilter et iptables ; Linux Kernel 2.4 Firewalling Matures: netfilter ( html) cet article de LinuxSecurity.com décrit les bases du filtrage de paquets, comment commencer à utiliser les tables IP, ainsi qu une liste des nouvelles fonctionnalités disponibles dans les plus récentes générations de pare-feu pour Linux VPNs - Réseaux privés virtuels Les VPNs (Virtual Private Networks) sont un des moyens d établir un réseau «virtuel» par dessus un réseau déjà existant. Ce réseau virtuel est souvent crypté et transmet les données uniquement de et vers certaines entités qui ont rejoint le réseau. Les VPNs sont souvent utilisés pour connecter quelqu un travaillant chez lui par dessus Internet public sur le réseau interne de sa compagnie. Si vous utilisez un pare-feu Linux en masquage et avez besoin de faire passer des paquets MS PPTP (le produit point-à-point VPN de Microsoft), il y a un correctif de noyau qui fait cela. Voir : ip-masq-vpn (ftp://ftp. rubyriver.com/pub/jhardin/masquerade/ip_masq_vpn.html). Il y a plusieurs solutions GNU/Linux VPN disponibles: vpnd. Voir ( Free S/Wan, disponible à ( ssh peut être utilisé pour construire un VPN. Voir le mini-howto VPN pour plus d information. vps (serveur privé virtuel) à ( vtun (tunnel virtuel) sur le site Web sourceforge ( yavipin ( Consultez aussi la section sur IPSEC pour des références vers plus d information Préparation de sécurité (avant de vous connecter) OK, vous avez vérifié tout votre système, et estimé qu il était aussi sûr que possible, et vous êtes prêt à le mettre en ligne. Il y a quelques petites choses que vous devriez faire maintenant pour vous préparer à une intrusion, de sorte que vous puissiez rapidement déjouer l intrus, récupérer le système et sa bonne marche. 161

176 Chapitre 11. De la sécurité sous GNU/Linux Faites une sauvegarde complète de votre machine Discuter des méthodes de sauvegarde et de stockage est hors de la portée de ce chapitre mais voici quelques mots au sujet des sauvegardes et de la sécurité : Si vous avez moins de 650Mo de données sur une partition, une copie sur CD-R de vos données est un bon moyen (difficile à modifier ensuite, et, si stocké correctement, peut durer longtemps). Bandes et autres médias réinscriptibles devraient être protégés contre l écriture dès que la sauvegarde est complète, puis vérifiés pour empêcher la modification. Assurez vous de stocker vos sauvegardes dans un endroit sûr hors ligne. Une bonne sauvegarde vous fournira un bon point de départ pour restaurer votre système Choisir un bon planning de sauvegardes Un cycle à six bandes est facile à gérer. Il comprends quatre bandes pour la semaine, une pour chaque vendredi pair, et une dernière pour les vendredis impairs. Faites une sauvegarde incrémentale chaque jour, et une sauvegarde complète sur la bande du vendredi appropriée. Si vous faites un changement particulièrement important ou ajoutez des données importantes à votre système, une sauvegarde complète est recommandée Tester vos sauvegardes Vous devriez faire des tests périodiques de vos copies de sauvegarde pour vous assurer qu elles fonctionnent correctement. Les restaurations de fichiers et leur vérification auprès des données réelles, la taille et le listage des copies, et la lecture de vieilles copies de sauvegarde devraient être faites sur une base régulière Sauvegardez votre base de données RPM Dans l éventualité d une intrusion, vous pouvez utiliser votre base de données RPM comme vous utiliseriez tripwire, mais uniquement si vous pouvez être sûr qu elle n a pas été modifiée elle non plus. Vous devriez copier votre base de données RPM sur une disquette, et garder tout le temps cette dernière hors-ligne. Les fichiers /var/lib/rpm/fileindex.rpm et /var/lib/rpm/packages.rpm ne tiendront sans doute pas sur une seule disquette. Mais compressés, ils devraient tenir chacun sur une. Maintenant, si votre système est corrompu, vous pouvez utiliser la commande : root# rpm -Va pour vérifier tous les fichiers du système. Consultez la page de man de rpm, car il y a quelques autres options qui peuvent être inclues pour le rendre moins verbeux. Gardez à l esprit que vous devez aussi être sûr que votre binaire RPM n a pas lui aussi été corrompu. Cela signifie que chaque fois qu un nouveau RPM est ajouté au système, la base de données RPM devra être archivée à nouveau. Vous devrez peser les avantages et les inconvénients Gardez trace des données de journalisation du système Il est très important que l information générée par syslog ne soit pas corrompue. Rendre les fichiers de /var/ log en lecture et écriture par un seul petit nombre d utilisateurs est un bon début. Assurez vous de garder un œil sur ce qui y est écrit, spécialement sous la rubrique auth. Des échecs de connexion répétés par exemple, peuvent révéler une tentative de viol. Vous pourrez regarder dans /var/log et consulter messages, mail.log, et d autres. Vous voudrez aussi configurer votre script de rotation des logs pour les garder plus longtemps de sorte que vous ayez le temps de les examiner. Jetez un coup d œil à la commande logrotate et sa page de man. Si vos fichiers de logs ont été corrompus, essayez de déterminer à partir de quand commence la corruption, et quelles choses semblent être corrompues. Y a-t-il de longues périodes sans logs? Regarder dans les sauvegardes les fichiers de logs originels est une bonne idée. Les intrus modifient généralement les fichiers de logs pour effacer leurs traces, mais on devrait néanmoins y chercher des événements inhabituels. Vous pourriez remarquer l intrus en train d essayer d obtenir l accès, ou 162

177 Chapitre 11. De la sécurité sous GNU/Linux exploiter un programme pour obtenir le compte root. Vous devriez voir des entrées de log avant que l intrus n ait eu le temps de les modifier. Vous devriez aussi vous assurer de bien séparer les entrées auth des autres données de log, y inclus les tentatives de changer d utilisateur en utilisant su, tentatives de connexion, et autres informations des comptes utilisateurs. Si possible, configurez syslog pour envoyer une copie des données les plus importantes vers un système sûr. Cela empêchera un intrus d effacer ses traces en effaçant ses tentatives de login/su/ftp/etc. Voir la page de man de syslog.conf, et consulter l Il y a plusieurs programmes syslogd plus évolués. Consultez (http: // pour Secure Syslog. Secure Syslog vous permet de crypter vos entrées syslog et vous assure que personne ne les a modifiées. Un autre syslogd avec plus de fonctions est syslog-ng ( Il permet beaucoup plus de flexibilité dans la journalisation et peut crypter vos flots syslog distants pour empêcher leur corruption. Enfin, les fichiers de log sont encore plus inutiles lorsque personne ne les lit. Prenez un peu de temps régulièrement pour parcourir vos fichiers de log, et imprégnez vous de ce à quoi ils ressemblent les jours normaux. Cela peut vous aider à repérer les choses anormales Appliquez toutes les nouvelles mises à jour système. A cause du rythme rapide des correctifs de sécurité, de nouveaux programmes (corrigés) sont sans arrêt publiés. Avant de connecter votre machine au réseau, c est une bonne idée de lancer MandrakeUpdate (sur une autre machine connectées à Internet bien sûr) et installer tous les paquetages mis à jour depuis que vous avez reçu vos CD-ROM. Souvent, ces paquetages contiennent d importants correctifs de sécurité, c est donc une bonne idée de les installer Que faire, avant et pendant une effraction Alors vous avez suivi les conseils donnés ici (ou ailleurs) et avez détecté une effraction? La première chose à faire est de garder votre calme. Des actions précipitées peuvent causer plus de dégâts que ce qu aurait fait l attaquant Violation de sécurité sur le vif. Repérer une violation de sécurité sur le vif peut être une expérience stressante. Comment vous réagissez peut avoir de graves conséquences. Si la violation que vous voyez est physique, il y a des chances que vous voyiez quelqu un en train de violer votre maison, bureau ou laboratoire. Vous devriez avertir les autorités locales. Dans un laboratoire, vous pourriez voir quelqu un en train d essayer d ouvrir un boîtier ou de redémarrer une machine. Suivant votre compétence et le règlement, vous pouvez leur demander d arrêter ou contacter le personnel de sécurité local. Si vous avez détecté un utilisateur local en train d essayer de compromettre votre sécurité, la première chose à faire est de confirmer qu il est bien celui que vous pensez. Vérifiez le site depuis lequel il est connecté. Estce le site habituel? Non? Alors utilisez un moyen non électronique pour rentrer en contact. En l occurrence, appelez le par téléphone ou allez à leur bureau/maison pour lui parler. S ils admettent qu ils sont connectés, vous pouvez leur demander d expliquer ce qu ils étaient en train de faire ou leur intimer d arrêter. S ils ne sont pas connectés, et n ont aucune idée de ce dont vous parlez, l incident demandera sans doute plus d investigations. Examinez bien chaque incident, et récoltez le plus d information possible avant de faire une quelconque accusations. Si vous avez détecté une violation réseau, la première chose à faire (si vous le pouvez) est de déconnecter votre réseau. S ils sont connectés par modem, débranchez le câble du modem; s ils sont connectés par Ethernet, déconnectez le câble Ethernet. Cela les empêchera de faire plus de dommages, et ils interpréteront cela comme un problème réseau plutôt qu une détection. 163

178 Chapitre 11. De la sécurité sous GNU/Linux Si vous ne pouvez pas déconnecter le réseau (si vous avez un site occupé, ou n avez pas le contrôle physique des machines), la meilleure étape suivante est d utiliser quelque chose comme les encapsuleurs TCP ou ipfwadm pour refuser l accès au site de l intrus. Si vous ne pouvez pas refuser tous les utilisateurs du même hôte que celui de l intrus, bloquer le compte de cet utilisateur devrait fonctionner. Notez que bloquer un compte n est pas chose aisée. Vous devez prendre en compte les fichiers.rhosts, accès FTP, et une foule de portes dérobées possibles. Après que vous avez fait l une des choses précédentes (déconnecté le réseau, refusé l accès depuis leur site, et/ou désactivé leur compte), vous devez tuer tous leurs processus utilisateurs et les déconnecter. Vous devriez soigneusement surveiller votre site dans les minutes qui suivent, car l attaquant pourra essayer de revenir. Peut-être en utilisant un autre compte, et/ou en utilisant une autre adresse réseau La violation de sécurité a déjà eu lieu Alors vous avez détecté une violation qui a déjà eu lieu ou vous l avez détectée et avez mis dehors (espéronsle) l intrus. Et maintenant? Fermer le trou Si vous pouvez trouver le moyen qu a utilisé l attaquant pour pénétrer votre système, vous devriez essayer de boucher ce trou. En l occurrence, vous verrez peut-être plusieurs entrées FTP juste avant que l utilisateur ne se connecte. Désactivez le service FTP et recherchez s il existe une version mise à jour, ou si une liste quelconque connaît un remède. Consultez tous vos fichiers de log, et faites une visite à vos listes de sécurité et sites Web pour voir s il n y a pas un nouveau trou que vous pourriez boucher. Vous pouvez trouver les mises à jour de sécurité de Mandrake Linux en lançant MandrakeUpdate régulièrement. Il y a maintenant un projet d audit de sécurité GNU/Linux. ils explorent méthodiquement tous les utilitaires utilisateurs à la recherche de possibles exploitations détournées et débordements. Extrait de leur annonce : «Nous tentons un audit systématique des sources GNU/Linux avec le but de devenir aussi sûr que OpenBSD. Nous avons déjà découvert (et résolu) quelques problèmes, mais plus d aide serait la bienvenue. La liste n est pas modérée et est aussi une source utile pour des discussions générales de sécurité. La liste de l adresse est : [email protected]. Pour vous inscrire, envoyez un message à : [email protected]» Si vous ne gardez pas l intrus hors de portée, il reviendra sans doute. Pas seulement sur votre machine, mais quelque part sur votre réseau. S il utilisait un renifleur de paquets, il y a de bonnes chances qu ils aient accès à d autres machines locales Évaluer les dégâts La première chose à faire est d évaluer les dégâts. Qu est-ce qui a été corrompu? Si vous utilisez un contrôleur d intégrité tel que Tripwire, vous pouvez le lancer pour exécuter une vérification d intégrité, et cela devrait vous aider à dire ce qui a été corrompu. Sinon, vous devrez vérifier toutes vos données importantes. Du fait que les systèmes GNU/Linux deviennent de plus en plus facile à installer, vous devriez envisager de sauvegarder vos fichiers de configuration pour effacer vos disques puis réinstaller GNU/Linux, et restaurer les fichiers utilisateurs et fichiers de configuration des sauvegardes. Cela assurera que vous avez à nouveau un système propre. Si vous devez sauvegarder des données depuis le système corrompu, soyez particulièrement vigilant avec tous les binaires que vous restaurez, car ils pourraient contenir des chevaux de Troie, placés là par l intrus. La Réinstallation devrait être considérés obligatoire après qu un intrus a obtenu l accès root. De plus, vous voudrez sans doute garder toutes les preuves, avoir un disque de rechange est donc recommandé. Vous devez alors vous préoccuper de la date de l intrusion, et si la sauvegarde contient alors du travail endommagé. 164

179 Chapitre 11. De la sécurité sous GNU/Linux Sauvegardes, Sauvegardes, Sauvegardes! Faire des sauvegardes régulières est une aubaine pour les problèmes de sécurité. Si votre système est compromis, vous pouvez restaurer les données dont vous avez besoin des sauvegardes. Bien sûr, des données intéressent l intrus aussi, et ils ne feront pas que la détruire, ils la voleront et garderont leur propre copie; Mais au moins vous aurez encore vos données. Vous devriez vérifier plusieurs sauvegardes en arrière avant de restaurer un fichier qui a été compromis. L intrus pourrait avoir compromis vos fichiers il y a longtemps, et vous pourriez avoir fait plusieurs sauvegardes valides du fichier corrompu! Bien sûr, il y a aussi une flopée de soucis avec les sauvegardes. Assurez vous de les stocker dans un endroit sûr. Soyez informé de qui y accède. (Si un attaquant peut obtenir vos sauvegardes, il peut accéder à toutes vos données sans que vous vous en rendiez compte.) Pister l intrus. OK, vous avez mis l intrus hors de portée, et récupéré votre système, mais vous n avez pas tout à fait fini encore. Bien qu il soit improbable que la plupart des intrus soient jamais pris, vous devriez dénoncer l attaque. Vous devriez rendre compte de l attaque au contact administratif du site depuis lequel l attaquant s en est pris à votre système. Vous pouvez rechercher ce contact avec whois ou la base de données Internic. Vous devriez leur envoyer un courriel avec toutes les entrées de log concernées, dates et heures. Si vous avez remarqué quoi que ce soit d autre distinctif à propos de l intrus, vous devriez le mentionner de même. Après avoir envoyé le courriel, vous devriez (si vous y êtes disposé) le faire suivre d un appel téléphonique. Si cet administrateur repère lui aussi l attaquant, il pourrait être capable de contacter l administrateur du site depuis lequel il vient, et ainsi de suite. Les bons crackers utilisent souvent plusieurs systèmes intermédiaires, certains (ou plusieurs) desquels pouvant ne pas même être au courant qu ils ont été violé. Essayer de pister un cracker jusqu à son système de base peut être difficile. En restant poli avec les administrateurs auxquels vous parlez peut être utile pour obtenir de l aide de leur part. Vous devriez aussi avertir toutes les organisations de sécurité dont vous faites partie, (CERT ( cert.org/) ou autre), ainsi que MandrakeSoft: mandrakelinux.com ( security.php3) Documents de base Il y a beaucoup de bons sites sur la sécurité UNIX en général et GNU/Linux en particulier. Il est tés important de s abonner à une (ou plus) des listes de diffusion de sécurité et être informé des mises à jours de sécurité. La plupart de ces listes ont peu de trafic, et un contenu très informatif Références LinuxSecurity.com Le site Web de LinuxSecurity.com pullulent de références en matière de sécurité Linux et Open Source, lesquelles sont écrites par le personnel de LinuxSecurity staff ainsi que des experts d à travers le monde. Linux Advisory Watch ( un bulletin d information compréhensif qui souligne les vulnérabilités de sécurité qui ont été annoncées dans la semaine. Il inclut des astuces pour actualiser les paquetages, ainsi qu une description de chacune des vulnérabilités ; Linux Security Week ( le but de ce document est de fournit à ses lecteurs un résumé des annonces les plus pertinentes du monde Linux au cours de la semaine ; Linux Security Discussion List ( cette liste de discussion s adresse à ceux et celles qui voudraient poser des questions ou émettre des commentaire généraux relatifs à la sécurité ; Linux Security Newsletters ( information d abonnement pour tous les bulletins de nouvelles ; 165

180 Chapitre 11. De la sécurité sous GNU/Linux comp.os.linux.security FAQ ( Foire aux questions dotée de réponses provenant du groupe de nouvelles comp.os.linux.security. Linux Security Documentation ( un excellent point de départ pour obtenir de l information relative à la sécurité dans les environnements Linux et Open Source Sites FTP Le CERT (Computer Emergency Response Team) est l équipe de réponses aux urgences informatiques. Ils émettent souvent des alertes sur les attaques actuelles et des solutions. Consultez ftp://ftp.cert.org (ftp://ftp.cert. org) pour plus d information. ZEDZ (anciennement Replay) ( ( possède des archives de plusieurs programmes de sécurité. Comme ils sont situés en dehors des USA, ils n ont pas à respecter les lois de restriction au sujet de la cryptographie. Matt Blaze est l auteur de CFS et un grand défenseur de la sécurité. Les archives de Matt sont disponibles à ftp://ftp.research.att.com/pub/mab (ftp://ftp.research.att.com/pub/mab) tue.nl est un gros site FTP en Hollande. ftp.win.tue.nl (ftp://ftp.win.tue.nl/pub/security/) Sites Web La FAQ des hackers : The Hacker FAQ ( ; L archive COAST possède un grand nombre de programmes de sécurité pour UNIX et des informations : COAST ( ; Page sécurité de SuSe : ( ; Rootshell ( est un bon site pour voir les attaques actuellement utilisées par les crackers. BUGTRAQ publie des conseils sur des problèmes de sécurité : BUGTRAQ archives ( securityfocus.com/archive/1) ; Le CERT (Computer Emergency Response Team), la célèbre équipe émet des avis sur des attaques courantes sur les plates-formes UNIX : CERT ( ; Dan Farmer est l auteur de SATAN et beaucoup d autres outils de sécurité. Sa page personnelle présente plusieurs études informatives de sécurité, ainsi que des outils de sécurité ( security/) ; Le GNU/Linux security WWW est un bon site pour la sécurité GNU/Linux : Linux Security WWW (http: // Infilsec a un moteur de recherche de vulnérabilités qui vous informe des faiblesses qui affectent une plateforme spécifique ( ; Le CIAC envoie de bulletins périodiques de sécurité sur les attaques courantes ( cgi-bin/index/bulletins) ; Un bon point de départ pour les modules d authentification additionnels GNU/Linux (PAM) peut être trouvé à kernel.org ( WWW Security FAQ ( écrit par Lincoln Stein, est une bonne référence Web sur la sécurité. 166

181 Chapitre 11. De la sécurité sous GNU/Linux Listes de diffusion Liste de sécurité Mandrake Linux : vous pouvez être informé de chaque correctif de sécurité en vous abonnant à notre liste : ( security.php3) Bugtraq : Pour vous abonner à Bugtraq, envoyer un message à [email protected] contenant dans le corps «subscribe bugtraq». (voir le lien ci-dessus pour les archives). CIAC : Envoyer un message à [email protected]. Dans le corps du message écrivez : «subscribe ciac-bulletin» Livres - Documents imprimés Il y a un certain nombre de bons livres sur la sécurité. Cette section en cite quelques-uns. En plus des livres spécialement sur la sécurité, la sécurité est traitée par bon nombre d autres livres sur l administration système. Références D. Brent Chapman, Elizabeth D. Zwicky, Building Internet Firewalls, 1e Édition Septembre 1995, ISBN Simson Garfinkel, Gene Spafford, Practical UNIX & Internet Security, 2e Édition Avril 1996, ISBN Deborah Russell, G.T. Gangemi, Sr., Computer Security Basics, 1e Édition Juillet 1991, ISBN Olaf Kirch, Linux Network Administrator s Guide, 1e Édition Janvier 1995, ISBN Simson Garfinkel, PGP: Pretty Good Privacy, 1e Édition Décembre 1994, ISBN David Icove, Karl Seger, William VonStorch, Computer Crime A Crimefighter s Handbook, 1 ère édition août 1995, ISBN John S. Flowers, Linux Security, New Riders, Mars 1999, ISBN Anonymous, Maximum Linux Security : A Hacker s Guide to Protecting Your Linux Server and Network, Juillet 1999, ISBN Terry Escamilla, Intrusion Detection, John Wiley and Sons, Septembre 1998, ISBN Donn Parker, Fighting Computer Crime, John Wiley and Sons, Septembre 1998, ISBN Foire aux questions Q : Est-il plus sûr de compiler un gestionnaire de périphérique directement dans le noyau, plutôt que d en faire un module? R : Certaines personnes pensent qu il vaut mieux désactiver la possibilité de charger des gestionnaires de périphériques sous forme de modules, car un intrus pourrait charger un module cheval de Troie ou un module qui pourrait affecter la sécurité du système. De toute façon, pour pouvoir charger des modules, vous devez être root. Les fichiers modules objets ne peuvent aussi qu être écrits par root. Cela signifie qu un intrus aurait besoin d un accès root pou insérer un module. Si un intrus obtient l accès root, il y a des choses plus sérieuses à propos desquelles se préoccuper que de savoir s il voudra charger un module. Les modules sont faits pour le chargement dynamique de gestionnaire de périphériques rarement utilisés. Sur des machines serveurs ou pare-feu, en l occurrence, cela est très improbable. Pour cette raison, il devrait être plus logique de compiler les gestionnaires directement dans le noyau pour des machines agissant en tant que serveurs. Les modules sont aussi plus lents que les gestionnaires compilés directement dans le noyau. 167

182 Chapitre 11. De la sécurité sous GNU/Linux Q : Pourquoi se connecter comme root d une machine distante échoue? R : Lisez Sécurité pour root, page 140. Cela est fait à dessein pour empêcher des utilisateurs distants de se connecter via telnet à votre machine comme root, ce qui est une vulnérabilité sérieuse de sécurité, car alors le mot de passe de root serait transmit, en clair, à travers le réseau. N oubliez pas : Les intrus potentiels ont du temps devant eux et peuvent lancer des programmes automatiques pour trouver votre mot de passe. Q : Comment puis-je activer les extensions SSL d Apache? R : Installez le paquetage mod_ssl et consultez la documentation sur le site Web de mod_ssl ( Vous pouvez aussi installer le module mod_sxnet, qui est un greffon pour mod_ssl et permet d activer le Thawte Secure Extranet. mod_ssl chiffre les communications, mais mod_sxnet permet en plus d authentifier de manière sûre les utilisateurs d une page Web grâce à un certificat personnel. Vous pouvez consulter le site Web de Thawte ( Vous devriez aussi essayer ZEDZ net ( qui a plusieurs paquetages pré-compilés, et est situé en dehors des États-Unis. Q : Comment puis-je manipuler des comptes les utilisateurs tout en assurant la sécurité? R : Votre distribution Mandrake Linux propose un grand nombre d outils pour changer les propriétés des comptes utilisateurs. Les commandes pwconv et unpwconv peuvent être utilisés pour passer entre des mots de passe fantômes (shadow) ou non. Les commandes pwck et grpck peuvent être utilisées pour vérifier la cohérence des fichiers passwd et group. Les commandes useradd, usermod, et userdel peuvent être utilisées pour ajouter, supprimer, et modifier des comptes utilisateurs. Les commandes groupadd, groupmod, et groupdel feront de même pour les groupes. Des mots de passe de groupes peuvent être créâés en utilisant gpasswd. Tous ces programmes sont «compatibles shadow» -- c est à dire, si vous activez les procédures shadow, ils utiliseront /etc/shadow pour l information de mots de passes, sinon non. Q : Comment puis-je protéger des documents HTML particuliers en utilisant Apache? R : Je parie que vous ne connaissiez pas apacheweek ( Vous pouvez trouver des informations sur l authentification des utilisateurs sur le site Web de apacheweek ( ainsi que d autres conseils de sécurité pour serveurs Web sur le site de Apache ( Conclusion En vous abonnant aux listes de diffusion d alertes de sécurité, et en vous maintenant au courant, vous pouvez faire beaucoup pour la sécurité de votre machine. Si vous gardez un œil sur vos fichiers de log et lancer régulièrement quelque chose comme tripwire, Vous pouvez faire encore plus. Un niveau raisonnable de sécurité informatique n est pas difficile à maintenir sur une machine personnelle. Plus d effort est nécessaire sur des machines de travail, mais GNU/Linux peut en fait être une plate-forme sûre. Du fait de la nature du développement de GNU/Linux, des correctifs de sécurité sortent souvent beaucoup plus rapidement qu ils ne le font sur des systèmes d exploitation commerciaux, faisant de GNU/Linux une plate-forme idéale lorsque la sécurité est une nécessité. 168

183 Vocabulaire relatif à la sécurité Voici quelques-uns des termes les plus utilisés en sécurité informatique Un dictionnaire complet de termes de sécurité informatique est disponible sur le site de LinuxSecurity ( dictionary/) authentication (authentification) Le processus qui conduit à savoir que les données reçues sont bien les mêmes que celles qui ont été envoyées, et que celui qui prétend être l expéditeur est l expéditeur réel. bastion Host (hôte bastion) Un système informatique qui doit être hautement sécurisé car il est vulnérable aux attaques, habituellement parce qu il est exposé à Internet et est un point de contact principal pour les utilisateurs de réseaux internes. Il tire son nom des fortifications extérieures des châteaux médiévaux. Les bastions supervisent les régions critiques de défense, possédant généralement des murs plus épais, de la place pour plus de gens d armes, et l utile chaudron d huile bouillante pour décourager les attaquants. Une définition raisonnable pour ce qui nous concerne. buffer overflow (dépassement de tampon) Un style de programmation répandu est de ne jamais allouer des tampons suffisamment grands, et ne pas en vérifier les dépassements. Quand de tels tampons débordent, le programme l exécutant (démon ou programme suid ) peut être exploité pour faire autre chose. Cela fonctionne généralement en écrasant une adresse de retour de fonction sur la pile, de sorte qu elle pointe vers un autre endroit. denial of service (dénis de service) Une attaque qui consomme les ressources de votre ordinateur pour des tâches qu il n était pas supposé effectuer, empêchant de la sorte l usage des ressources réseau ou autre pour des buts légitimes. dual-homed Host (hôte à double patrie) Un ordinateur à usage général possédant au moins deux interfaces réseau. firewall (pare-feu) Un composant ou ensemble de composants qui limitent les transferts entre un réseau protégé et Internet, ou entre deux ensemble de réseaux. host (hôte) Un système informatique relié à un réseau. IP spoofing (Usurpation d IP) l IP Spoofing est une technique d attaque complexe composée de plusieurs composants. C est une violation de sécurité qui trompe des ordinateurs sur des relations de confiance en leur faisant croire qu ils sont quelqu un qu ils ne sont pas en fait. Il y a un article complet écrit par démon9, route, et infinity dans le volume Sept, numéro 48 du magazine Phrack. non-repudiation La caractéristique d un destinataire capable de prouver que l expéditeur de données est bien l expéditeur réel, même s il dément plus tard en être à l origine. packet (paquet) L unité de communication fondamentale sur Internet. packet filtering (filtrage de paquets) L action qu un périphérique réalise pour faire du contrôle sélectif sur le flot de données entrant et sortant d un réseau. Le filtrage de paquets autorise eu bloque des paquets, généralement en les routant d un réseau vers un autre (plus généralement de Internet vers un réseau interne, et vice-versa). Pour accomplir le filtrage de paquets, vous définissez des règles qui spécifient quels types de paquets (ceux de ou vers une adresse IP particulière ou un port) doivent être autorisés, et quels autres doivent être bloqués. perimeter network (réseau périmètre) Un réseau ajouté entre un réseau protégé et un réseau externe, pour permettre un niveau de sécurité supplémentaire. Un réseau périmètre est parfois appelé un DMZ. 169

184 Vocabulaire relatif à la sécurité proxy server (serveur mandataire) Un programme qui traite avec les serveurs externes au nom des clients internes. Les clients Proxy parlent au serveur Proxy, qui relaie les requêtes autorisées du client au serveur réel et relaie la réponse en retour au client. superuser (super-utilisateur) Un nom officieux de root. 170

185 Chapitre 12. Le réseau sous GNU/Linux Copyright Ce chapitre s appuie sur un HOWTO de Joshua D. Drake {POET} dont l original est hébergé sur le site thelinuxreview.com ( La traduction en français est basée sur l adaptation française par [email protected]. Les HOWTOs NET-3/4-HOWTO, NET-3, et Networking-HOWTO, renseignements au sujet de l installation et la configuration de réseau prenant en charge Linux. Copyright ( ) 1997 Terry Dawson, 1998 Alessandro Rubini, 1999 Joshua D. Drake {POET} thelinuxreview.com/ ( est un document LIBRE. Vous pouvez le redistribuer sous les termes de la Licence Publique Générale GNU (GPL). Les modifications depuis la version «v1.6.9, 3 juillet 2000», sont (C)opyright MandrakeSoft Comment utiliser ce document? Ce document s organise de haut en bas. La lecture des premières sections, qui fournissent des informations sur le matériel, est facultative; par contre, il est conseillé d avoir bien assimilé la section qui concerne les réseaux avant de poursuivre vers les suivantes qui s avèreront plus pointues. Le reste du manuel est plus technologique. Il comporte trois grandes parties : Informations sur Ethernet et IP, Technologies pour matériel PC le plus courant, et Technologies moins répandues. La démarche suggérée pour parcourir ce document est donc la suivante : Lire les sections générales. Celles-ci s appliquent à quasiment toutes les technologies qui seront décrites plus loin. Il est donc important de les avoir bien saisies. La plupart d entre vous connaissent sans doute déjà bien le sujet. Réfléchissez à votre réseau. Il faudra savoir quelle est ou sera la conception de votre réseau, quels matériels et types de technologies seront utilisés. Lisez la section Informations sur IP et Ethernet, page 178 si vous êtes connecté en direct sur un réseau local ou à Internet : Cette section traite de la configuration de base d Ethernet et des différentes possibilités qu offre Linux, concernant le réseau, telles que le pare-feu, le routage avancé, etc. Lisez la suite si les réseaux locaux à bas coût ou les connexions par téléphone vous intéressent Dans cette section, il s agira de PLIP, PPP, SLIP, et RNIS : les technologies utilisées habituellement sur les stations personnelles. Lisez les sections relatives à vos besoins technologiques spécifiques : Si ceux-ci diffèrent de IP et/ou de matériel standard, la section finale couvre des détails spécifiques aux protocoles non IP et au matériel de communication particulier. Configurez votre réseau. Si vous avez la ferme intention de vous lancer dans la configuration de votre réseau, il serait prudent de prévenir tout problème éventuel en lisant attentivement cette partie. Cherchez de l aide si nécessaire. Si certains problèmes, non traités par notre documentation, apparaissent lors de votre installation, reportez-vous à notre section "Bonnes adresses". Elles vous permettront de crier à l aide ou simplement de rapporter l existence de bogues. 171

186 Chapitre 12. Le réseau sous GNU/Linux Amusez-vous! On peut vraiment prendre son pied sur le réseau. Foncez! N hésitez pas! Les conventions utilisées dans ce document. Aucune conventions spéciales n est utilisée ici. Il faudra cependant prêter attention à la façon dont les commandes sont indiquées. Dans la documentation usuelle de UNIX, toute commande à entrer est précédée d une invite du shell. Ce document utilisera«user%» comme invite pour les commandes ne nécessitant pas de privilèges de super utilisateur, et «root#» pour les commandes que l on doit exécuter comme utilisateur root. Il nous a semblé préférable d utiliser«root#» à la place du classique «#» pour éviter toute confusion avec les extraits de scripts shell, où le signe # (dièse) est utilisé pour définir les lignes de commentaires. Lorsqu il sera mentionné «Options de Compilation du noyau», il faudra savoir qu elles le sont avec le format utilisé par menuconfig. Elles devraient donc être compréhensibles même dans le cas où on ne serait que peu familiarisé avec menuconfig. S il existe un doute quant à la déclaration des options, il suffira de faire marcher le programme une fois pour voir la question se simplifier d elle-même Informations générales concernant le réseau sous Linux Informations sur la couche réseau de Linux. Bon nombre d adresses existe pour dégoter des informations sur le réseau Linux. Les spécialistes disponibles pullulent. Par exemple, voir la liste sur le site thelinuxreview.com/ ( thelinuxreview.com/). Alan Cox, le mainteneur courant du code réseau Linux, offre une page Web explicitant les principaux points du réseau actuel et l état de ses nouveaux développements. Son adresse est : ( linux.org.uk/netnews.html). Il existe également un groupe de discussion consacrée au réseau et à ce qui le concerne dans la hiérarchie Linux, c est :comp.os.linux.networking (news:comp.os.linux.networking) On pourra également s inscrire sur la liste de diffusion, qui permet de poser ses questions sur le réseau Linux, en envoyant un message électronique : To: [email protected] Subject: (n importe quoi) Message: subscribe linux-net Lorsque vous faites part d un problème, n omettez aucun détail. Plus spécifiquement, indiquez de quelles versions de logiciels vous vous servez - en particulier celle du noyau, des outils tels que pppd ou dip, et décrivez précisément la nature exacte des problèmes rencontrés. Il faudra donc noter la syntaxe exacte des messages d erreurs reçus, et les commandes que vous avez exécutées Où obtenir des informations sur le réseau, non spécifiques à Linux? Si vous désirez des informations générales sur TCP/IP, lisez les documents suivants : Introduction à TCP/IP. ce document se trouve à la fois sur en version texte (ftp://athos.rutgers.edu/runet/tcp-ip-intro. doc) et en version postscript (ftp://athos.rutgers.edu/runet/tcp-ip-intro.ps). 172

187 Chapitre 12. Le réseau sous GNU/Linux Administration TCP/IP. ce document se trouve à la fois sur en version texte (ftp://athos.rutgers.edu/runet/tcp-ip-admin. doc) et en version postscript (ftp://athos.rutgers.edu/runet/tcp-ip-admin.ps). Si vous recherchez des informations plus détaillées, ceci est très recommandé : «Internetworking with TCP/IP, Volume 1 :principes, protocoles et architectures, par Douglas E. Comer, ISBN , Prentice Hall publications, 3ème édition, 1995.» Si vous voulez apprendre comment écrire des applications réseau dans un environnement compatible avec UNIX, je vous recommande également : «Unix Network Programming par W. Richard Stevens ISBN , Prentice Hall publications, 1990.» Une deuxième édition de ce livre est disponible en trois volumes, consultez le site Web de Prentice-Hall (http: // pour plus d information. Vous pouvez essayer aussi le groupe de discussions :comp.protocols.tcp-ip (news:comp.protocols.tcp-ip). Une importante source d informations techniques concernant Internet et la suite des protocoles TCP/IP sont les RFC. RFC est l acronyme de «Request For Comment», c est le moyen habituel de soumettre et de s informer des normes de protocoles Internet. Il y a beaucoup d endroits où sont stockées ces RFC. Beaucoup de ceux-ci sont des sites FTP, d autres fournissent des accès WWW avec un moteur de recherche qui cherche les bases de données RFC avec des mots-clés particuliers. Une source possible de RFC est :la base de données RFC de Nexor ( rfc/index/rfc.html) Informations générales sur la configuration du réseau Vous devez connaître et bien comprendre les paragraphes suivants avant d essayer de configurer votre réseau. Ce sont des principes de base qui s appliquent, indépendamment de la nature du réseau que vous voulez mettre en place De quoi ai-je besoin pour démarrer? Avant de commencer à construire ou configurer votre réseau, vous aurez besoin de certaines choses. Les plus importantes sont : Sources du noyau récentes (optionnel) Votre distribution Mandrake Linux est livrée avec l option réseau activée, de sorte que vous n avez pas besoin de recompiler le noyau. Si vous utilisez du matériel bien connu, tout ira bien. Par exemple : cartes 3COM, cartes NE2000 ou cartes Intel. Cependant si vous devez recompiler le noyau, voyez les informations qui suivent. Si le noyau que vous utilisez actuellement ne reconnaît pas les types de réseau ou les cartes dont vous avez besoin, il vous faudra les sources du noyau pour pouvoir le recompiler avec les options adéquates. Mais tant que vous conservez un matériel de grande diffusion, il n est pas nécessaire de recompiler le noyau, à moins que vous n ayez un besoin bien particulier Vous pouvez toujours obtenir les sources du dernier noyau sur : sunsite.unc.edu (ftp://sunsite.unc. edu/pub/linux/kernel.org/pub/linux/kernel/). Ce n est pas le site officiel mais ils ont BEAUCOUP de bande passante et BEAUCOUP d utilisateurs peuvent se connecter en même temps. Le site officiel est kernel.org, mais dans la mesure du possible, il est recommandé d utiliser ce dernier. Il faut en effet se rappeler que ftp.kernel.org est particulièrement surchargé. Utilisez un miroir. (NdT :et bien sûr ftp.lip6.fr (ftp: //ftp.lip6.fr/pub/linux/kernel/sources/)). Les sources du noyau doivent être décompactées dans le répertoire /usr/src/linux. Pour savoir comment appliquer les correctifs et compiler le noyau, lisez le Kernel-HOWTO ( Kernel-HOWTO.html). Pour savoir comment configurer les modules du noyau, lisez le Modules-mini-HOWTO. 173

188 Chapitre 12. Le réseau sous GNU/Linux Enfin, le fichier README qui se trouve dans les sources du noyau ainsi que le répertoire Documentation fournissent d amples renseignements au lecteur courageux. Sauf indication contraire, il est recommandé de s en tenir à une version stable du noyau (celle qui comporte un chiffre pair en seconde place dans le numéro de version). Il est possible que les versions de développement (chiffre impair en seconde place du numéro de version) posent certains problèmes avec les logiciels de votre système (problèmes de structure ou autre). Si vous ne pensez pouvoir résoudre ce type de problèmes particulier ou ceux qui risqueraient également de se présenter sur d autres logiciels, il vaut mieux ne pas les utiliser Adresses IP : explication Les adresses de protocole Internet (IP) sont composées de quatre octets. 1. La convention d écriture est appelée «notation décimale pointée». Sous cette forme chaque octet est converti en un nombre décimal (0-255), les zéros de tête (à moins que ce nombre ne soit lui-même un zéro) étant omis et chaque octet séparé par le caractère «.». Par convention, chaque interface d un hôte ou routeur possède une adresse IP. Il est permis, dans certaines circonstances, d utiliser la même adresse IP sur différentes interfaces d une même machine, mais, en général, chaque interface possède sa propre adresse. Les réseaux IP (protocole Internet) sont des séquences contiguës d adresses IP. Toutes les adresses d un même réseau ont des chiffres en commun. La partie de l adresse commune à toutes les adresses d un réseau s appelle la «partie réseau» de l adresse. Les chiffres restants s appellent «partie hôte». Le nombre de bits partagé par toutes les adresses d un même réseau est appelé «masque de réseau» (netmask) et c est le rôle du masque de réseau de déterminer quelles adresses appartiennent ou non à «son» réseau. Par exemple : Adresse hôte (host address) Masque de réseau (network mask) Partie réseau (network portion) Partie hôte (host portion).23 Adresse réseau (network address) Adresse de diffusion (broadcast address) Si on effectue un ET logique sur une adresse avec son masque de réseau, on obtient l adresse du réseau auquel elle appartient. L adresse du réseau, par conséquent, sera l adresse de plus petit nombre dans l ensemble des adresses de la plage du réseau et aura toujours la partie hôte codée avec des zéros. L adresse de diffusion est une adresse spéciale que chaque hôte du réseau écoute en même temps que son adresse personnelle. Cette adresse est celle à laquelle les datagrammes sont envoyés si tous les hôtes du réseau sont en mesure de les recevoir. Certains types de données telles que les informations de routage et les messages d alerte sont transmis vers l adresse de diffusion de telle sorte que tous les hôtes du réseau peuvent les recevoir en même temps. Il y a deux standards utilisés de manière courante pour définir ce que doit être l adresse de diffusion. Ce qui est le plus courant est de prendre l adresse la plus haute possible du réseau comme adresse de diffusion. Dans l exemple ci-dessus ce serait Pour d autres raisons, certains sites ont adopté la convention suivante: utiliser l adresse de réseau comme adresse de diffusion. En pratique cela n a guère d importance. Cependant, il faudra s assurer que tous les hôtes du réseau possèdent la même adresse de diffusion dans leur configuration. Pour faciliter la gestion, il a été décidé, il y a quelque temps, lors du développement du protocole IP, que les ensembles d adresses seraient organisés en réseaux et ces réseaux regroupés en "classes" qui fournissent un certain nombre de réseaux de tailles standards auxquels on peut assigner des adresses. Ces classes sont les suivantes : Classe de réseau Masque de réseau Adresses de réseau A B C Pour la version 4 de IP i.e. IPv4 174

189 Chapitre 12. Le réseau sous GNU/Linux Classe de réseau Masque de réseau Adresses de réseau Multicast Le type d adresse que vous devez utiliser dépend de ce que vous voulez faire exactement. On pourra combiner les actions suivantes pour obtenir l ensemble des adresses dont on aura besoin: Installer une machine Linux sur un réseau IP existant. Il faudra alors contacter un des administrateurs du réseau pour lui demander les informations suivantes : Adresse hôte ; Adresse réseau ; Adresse de diffusion ; Masque de réseau ; Adresse de routage ; Adresse du serveur de noms de domaine (DNS). Il vous faudra alors configurer votre réseau Linux à l aide de ces données, qu il est donc impossible d inventer soi-même en espérant que la configuration fonctionnera. Construire un réseau tout neuf non connecté à Internet. Par contre, lors de la construction d un réseau privé qui ne sera pas connecté à Internet, il est tout à fait possible de choisir son adresse. Cependant, pour des raisons de sécurité et de fiabilité, il existe quelques adresses de réseau IP réservées à cet usage. Elles sont spécifiées dans la RFC 1597 et sont les suivantes : Classe réseau Masque de réseau Adresses de réseau A B C Tableau Allocations pour réseaux privés Il faudra dans un premier temps décider de la dimension du réseau requis avant de choisir les adresses nécessaires Routage La question du routage pourrait faire couler beaucoup d encre. Mais il est fort probable que la plupart des lecteurs ne nécessitera qu un routage simple, et les autres aucun! Il ne sera donc question ici que des principes même du routage. Pour plus amples informations, il est suggéré de se référer au début du présent document. Commençons par proposer une définition du routage. Par exemple : «Le routage IP est le processus par lequel un hôte, ayant des connexions réseau multiples, décide du chemin par lequel délivrer les datagrammes IP qu il a reçus.» Donnons une petite illustration. Imaginons un routeur dans un bureau :il peut avoir un lien PPP sur Internet, un certain nombre de segments Ethernet alimentant les stations de travail et un second lien PPP vers un autre bureau. Lors de la réception par le routeur d un datagramme de l une de ses connexions, le routage est le mécanisme utilisé pour déterminer vers quelle interface, ce datagramme devra être renvoyé. De simples hôtes ont besoin aussi de routage, tous les hôtes Internet ayant deux périphériques réseau, l un étant l interface loopback décrite auparavant, et l autre celui qui est utilisé pour parler avec le reste du monde, soit un lien Ethernet, soit une interface série PPP ou SLIP. 175

190 Chapitre 12. Le réseau sous GNU/Linux Comment fonctionne le routage? Chaque hôte possède une liste spéciale de règles de routage, appelée une table de routage. Cette table est composée de colonnes qui contiennent au moins trois champs : le premier étant une adresse de destination, le deuxième le nom de l interface vers lequel le datagramme doit être routé et le troisième, qui est optionnel, l adresse IP d une autre machine qui transportera le datagramme vers sa prochaine destination sur le réseau passerelle. Sur Linux, cette table apparaît à la commande suivante : user% cat /proc/net/route ou avec l une des commandes suivantes : user% /sbin/route -n user% /sbin/netstat -r Le processus de routage est plutôt simple : un datagramme entrant est reçu, l adresse de destination est examinée et comparée avec chaque entrée de la table. L entrée qui correspond le mieux à cette adresse est choisie, et le datagramme est renvoyé vers l interface spécifiée. Si le champ passerelle est rempli, alors le datagramme est renvoyé vers cet hôte via l interface spécifiée, sinon l adresse de destination est présupposée comme étant sur le réseau supporté par l interface Que fait le programme routé (routed program)? La configuration de routage décrite ci-dessus est bien adaptée aux réseaux simples où il n existe que des chemins uniques pour parvenir à chaque destination. Plus le réseau est complexe, plus le reste se complique. Mais heureusement, cela ne concernera pas la plupart d entre vous. Le problème majeur est le suivant :dans le cas d un «routage manuel» ou «routage statique», tel que décrit ci-dessus, si une machine ou un lien tombe en panne dans le réseau, la seule façon de diriger les datagrammes vers un autre chemin, s il existe, sera d intervenir manuellement en exécutant une série de commandes adéquates. Ceci est peu pratique et risqué, impliquant une lourdeur certaine et une certaine lenteur. Dans le cas d incidents sur un réseau où plusieurs routes coexistent, diverses techniques ont été mises au point pour que se règlent automatiquement les tables de routage ces techniques étant regroupées sous le nom de «protocoles de routage dynamique». Les plus courants sont peut-être déjà connus du lecteur : RIP (Routing Information Protocol) et OSPF (Open Shortest Path First Protocol). RIP est très souvent utilisé sur réseaux d entreprise petits et moyens. L OPSF est plus moderne, plus apte à gérer de grands réseaux et mieux adapté lorsqu un grand nombre de chemins sont possibles à travers le réseau. Les implémentations usuelles de ces protocoles sont : routed RIP, et gated RIP, OSPF et autres. Le programme routé est normalement fourni avec la distribution Linux ou se trouve inclus dans le paquetage «NetKit» décrit ci-dessus. Un exemple d utilisation d un protocole de routage dynamique ressemblerait à la figure

191 Chapitre 12. Le réseau sous GNU/Linux eth A ppp0 ppp0 B eth ppp1 ppp1 ppp0 C ppp1 eth Figure Un exemple de routage dynamique Nous avons trois routeurs A, B et C. Chacun supporte un segment Ethernet avec un réseau IP de classe C (masque de réseau ). Chaque routeur a également une liaison PPP vers chacun des autres routeurs. Ce réseau forme un triangle. La table de routage sur le routeur A ressemblera évidemment à ceci : root# route add -net netmask eth0 root# route add -net netmask ppp0 root# route add -net netmask ppp1 Tout fonctionnera à merveille jusqu à ce que le lien entre A et B tombe en panne. Si cette liaison défaille, alors l entrée de routage montre que, sur le segment A, les hôtes ne peuvent en atteindre d autres sur le segment B car leurs datagrammes seront dirigés sur le lien ppp0 du routeur A qui est rompu. Ils pourront continuer à communiquer avec les hôtes du segment C, et ces derniers avec ceux du segment B car la liaison restera intacte. Mais, si A peut parler à C et si C peut toujours parler à B, pourquoi A ne routerait-il pas ses datagrammes pour B via C, et laisserait ensuite C les envoyer à B? C est exactement le type de problèmes que les protocoles de routage dynamique comme RIP sont en mesure de résoudre. Si chacun des routeurs A, B et C utilisent un Démon de routage (NdT7nbsp;: «démon» est la francisation courante du vocable informatique anglais daemon, sigle du Disk And Extension MONitor, ce qui signifie «qui n est pas invoqué manuellement mais attend en tâche de fond que quelque chose se passe, qu un quelconque prérequis soit rempli». Ce terme fut introduit au départ sous CTSS (Compatible Time Sharing System), un ancêtre du système MULTICS, lui-même parent de UNIX voir la traduction de René Cougnenc de Le système Linux de M. Welsh et L. Kaufman chez O Reilly International Thomson), alors leurs tables de routage seront automatiquement réglées pour refléter le nouvel état du réseau même si l une des liaisons est défectueuse. Configurer un tel réseau est simple, il s agira d accomplir deux choses sur chaque routeur. Pour le routeur A : root# route add -net netmask eth0 root# /usr/sbin/routed Le démon de routage routed trouve automatiquement tous les ports actifs vers le réseau quand il démarre et écoute tous les messages sur chacun des périphériques réseau. Ceci lui permet de déterminer et de mettre à jour sa table de routage. Ce qui précède explique brièvement ce qu est le routage dynamique et la façon de s en servir. Pour de plus amples explications, on se reportera à la liste de références du début du présent document. Récapitulons les points importants relatifs au routage dynamique : 177

192 Chapitre 12. Le réseau sous GNU/Linux 1. Un démon de routage dynamique n est nécessaire que lorsque votre machine Linux est capable, de choisir entre plusieurs routes, pour une destination donnée, par exemple lorsque vous envisagez d utiliser la mascarade IP. 2. Le démon de routage dynamique modifiera automatiquement votre table de routage pour tenir compte des changements survenus dans votre réseau. 3. RIP est adapté aux réseaux de petite et moyenne taille Informations sur IP et Ethernet Cette section donnera des informations détaillées au sujet d Ethernet et de la configuration des cartes Ethernet Cartes Ethernet prises en charge Com 3Com 3c501 - à éviter comme la peste (pilote 3c501) ; 3Com 3c503 (3c503 driver), 3c505 (3c505 driver), 3c507 (3c507 driver), 3c509/3c509B (ISA) / 3c579 (EISA) ; 3Com Etherlink III Vortex Ethercards (3c590, 3c592, 3c595, 3c597) (PCI), 3Com Etherlink XL Boomerang (3c900, 3c905) (PCI) et Cyclone (3c905B, 3c980) Ethercards (pilote 3c59x) et 3Com Fast EtherLink Ethercard (3c515) (ISA) (pilote 3c515) ; 3Com 3ccfe575 Cyclone Cardbus (pilote 3c59x) ; 3Com 3c575 series Cardbus (pilote 3c59x) (la plupart des cartes PCMCIA devraient être reconnues) AMD, ATT, Allied Telesis, Ansel, Apricot AMD LANCE (79C960) / PCnet-ISA/PCI (AT1500, HP J2405A, NE1500/NE2100) ; ATT GIS WaveLAN ; Allied Telesis AT1700 ; Allied Telesis LA100PCI-T ; Allied Telesyn AT2400T/BT (module «ne») ; Ansel Communications AC3200 (EISA) ; Apricot Xen-II / Cabletron, Cogent, Crystal Lan Cabletron E21xx ; Cogent EM110 ; Crystal Lan CS8920, Cs

193 Chapitre 12. Le réseau sous GNU/Linux Danpex, DEC, Digi, DLink Danpex EN-9400 ; DEC DE425 (EISA) / DE434/DE435 (PCI) / DE450/DE500 (pilote DE4x5) ; DEC DE450/DE500-XA (dc21x4x) (pilote Tulip) ; DEC DEPCA et EtherWORKS ; DEC EtherWORKS 3 (DE203, DE204, DE205) ; DECchip DC21x4x «Tulip» ; DEC QSilver (pilote Tulip) ; Digi International RightSwitch ; DLink DE-220P, DE-528CT, DE-530+, DFE-500TX, DFE-530TX Fujitsu, HP, ICL, Intel Fujitsu FMV-181/182/183/184 ; HP PCLAN (séries et 27xxx) ; HP PCLAN PLUS (27247B et 27252A) ; HP 10/100VG PCLAN (J2577, J2573, 27248B, J2585) (ISA/EISA/PCI) ; ICL EtherTeam 16i / 32 (EISA) ; Intel EtherExpress ; Intel EtherExpress Pro KTI, Macromate, NCR NE2000/1000, Netgear, New Media KTI ET16/P-D2, ET16/P-DC ISA (fonctionne sans jumpers et avec les options de configuration hardware) ; Macromate MN-220P (mode PnP ou NE2000) ; NCR WaveLAN ; NE2000/NE1000 (se méfier des clones) ; Netgear FA-310TX (puce Tulip) ; New Media Ethernet PureData, SEEQ, SMC PureData PDUC8028, PDI8023 ; SEEQ 8005 ; SMC Ultra / EtherEZ (ISA) ; SMC 9000 series ; SMC PCI EtherPower 10/100 (pilote DEC Tulip) ; SMC EtherPower II (pilote epic100.c). 179

194 Chapitre 12. Le réseau sous GNU/Linux Sun Lance, Sun Intel, Schneider, WD, Zenith, IBM, Enyx Adaptateurs Sun LANCE (noyau 2.2 et après) ; Adapteurs Sun Intel (noyau 2.2 et après) ; Schneider et Koch G16 ; Western Digital WD80x3 ; Zenith Z-Note / IBM ThinkPad 300 avec adaptateur intégré ; Znyx 312 etherarray (pilote Tulip) Information générales sur Ethernet Les noms de périphériques Ethernet sont eth0, eth1, eth2 etc. La première carte détectée par le noyau devient eth0 et le reste est nommé selon l ordre de détection. Une fois votre noyau compilé de façon adéquate pour reconnaître les cartes Ethernet, la configuration des cartes est aisée. En général, on fera ceci (ce que la plupart des distributions feront automatiquement pour vous, si vous les avez configurées pour reconnaître votre carte Ethernet) : root# ifconfig eth netmask up root# route add -net netmask eth0 La plupart des pilotes Ethernet ont été mis au point par Donald Becker (mailto:[email protected]. gov) Utiliser 2 cartes Ethernet ou plus dans la même machine Le module gestionnaire va généralement détecter toutes les cartes installées. L information issue de la détection est stockée dans le fichier /etc/conf.modules. Si vous avez 3 cartes NE2000, une à 0x300, une à 0x240 et une à 0x220, il faudra ajouter les lignes suivantes à votre fichier /etc/conf.modules :: alias eth0 ne alias eth1 ne alias eth2 ne options ne io = 0x220,0x240,0x300 Le programme modprobe est appelé à rechercher trois cartes du type NE aux adresses en question. Les périphériques auxquels elles devraient être assignées sont également indiqués. La plupart des modules ISA peuvent prendre de multiples arguments I/O séparés par des virgules. Par exemple : alias eth0 3c501 alias eth1 3c501 options eth0 -o 3c501-0 io = 0x280 irq = 5 options eth1 -o 3c501-1 io = 0x300 irq = 7 L option -o permet à un nom unique d être assigné à chaque module. La raison en est qu il est impossible de charger deux copies d un même module. L option irq= est utilisée pour indiquer l IRQ matériel et le io= pour les différents ports io. Par défaut, le noyau GNU/Linux ne teste qu un seul périphérique Ethernet. Il faudra donc passer des arguments au noyau pour le forcer à détecter les autres cartes. Pour apprendre à faire fonctionner votre carte réseau sous GNU/Linux référez vous au HOWTO HOWTO ( 180

195 Chapitre 12. Le réseau sous GNU/Linux Informations relative à IP Cette section contient des informations sur IP DNS DNS signifie Domain Name System, système responsable de la production du nom d une machine, tel que avec l adresse IP de cet ordinateur, c est-à-dire ici : (à l heure où nous mettons sous presse). Avec DNS, la production est disponible dans les deux sens, du nom vers le IP et vice-versa. Le DNS est constitué d un grand nombre d ordinateurs dans tout le réseau Internet ayant la charge d un certain nombre de noms. A chaque machine correspond un serveur DNS auquel il peut se référer pour produire un nom en particulier avec son adresse. Si ce serveur ne possède pas la réponse, il en fait la demande à un autre, et ainsi de suite. Il est possible également d avoir un DNS local qui aurait la charge de produire les adresses sur votre LAN. Il est possible de diviser les DNS en deux grandes catégories: DNS antémémoire (caching DNS) et le serveur DNS maître (master server). Le premier se contente de «se souvenir» de requêtes précédentes auxquelles il pourra répondre sans reposer la question au serveur DNS maître. Ce dernier est un serveur à utiliser en dernier recours pour produire une adresse avec un nom - ou pour vérifier qu un nom produit bien telle ou telle adresse DHCP et DHCPD DHCP est l acronyme de Dynamic Host Configuration Protocol. Sa création aura beaucoup simplifié la configuration d un réseau à hôtes multiples. Nul besoin désormais de configurer chaque hôte séparément, il suffit d assigner tous les paramètres utilisés couramment par les hôtes qui partagent un serveur DHCP. Chaque fois qu un hôte se connecte, un paquet sera émis au réseau. Ce paquet représente une demande de configuration par l hôte à tout serveur DHCP localisé sur le même segment. DHCP est d une grande utilité lorsqu il s agit d assigner à chaque hôte une adresse IP, un Netmask, ou un portail (gateway) Utilisation du matériel courant pour PC RNIS Le Réseau Numérique à Intégration de Service (RNIS) (en anglais ISDN : Integrated Services Digital Network) est une série de normes attribuant les caractéristiques particulières d un réseau de données numériques à usage général. Un «appel» RNIS permet de synchroniser des données point par point vers la destination. RNIS est généralement distribué sur une ligne à haut débit, divisée en un certain nombre de canaux discrets. Il existe deux types de canaux, les «canaux B» qui transportent de fait les données utilisateurs, et un canal unique appelé «canal D», utilisé pour envoyer les informations de contrôle pendant l échange RNIS afin d établir appels et autres fonctions. En Australie, par exemple, RNIS peut être fourni sur une liaison 2 Mps qui est divisée en 30 canaux B discrets de 64 kps et un canal D de 64 kps. Le nombre de canaux utilisé en même temps importe peu, et ceci avec toutes les combinaisons possibles. Vous pouvez par exemple établir 30 appels différents de 64 kps vers 30 destinations différentes, ou bien 15 appels de 128 kps chacun vers 15 destinations différentes (2 canaux utilisés par appel), ou seulement un petit nombre d appels, le reste restant inactif. Un canal peut être utilisé pour des appels entrants ou sortants. Le but initial de RNIS était de permettre aux sociétés de Télécommunications de fournir un seul service de données pouvant distribuer soit le téléphone (avec voix numérisée) ou bien des services de données vers le domicile ou le bureau sans que cela nécessite des modifications pour obtenir une configuration spéciale. On pourra connecter son ordinateur à un service RNIS de différentes façons : en utilisant un dispositif appelé «adaptateur de terminal» qui se branche sur l unité de terminal réseau que votre opérateur de télécommunications a installé au moment de l obtention de votre service RNIS, et qui présente des interfaces séries - une de ces interfaces est utilisée pour entrer les commandes et établir les appels et la configuration; les autres sont reliées aux périphériques réseau qui utiliseront les circuits de données quand la connexion sera faite. Linux peut travailler avec ce type de configuration sans modification. Il suffira de traiter le port de l adaptateur de 181

196 Chapitre 12. Le réseau sous GNU/Linux terminal comme tout périphérique série. L autre moyen, la raison d être du support RNIS dans le noyau, vous permet d installer une carte RNIS dans votre machine Linux et ce sera le logiciel Linux qui alors prendra en charge les protocoles et fera lui-même les appels. Options de compilation du noyau : ISDN subsystem ---> <*> ISDN support [ ] Support synchronous PPP [ ] Support audio via ISDN < > ICN 2B and 4B support < > PCBIT-D support < > Teles/NICCY1016PC/Creatix support L implémentation Linux de RNIS reconnaît différents types de cartes internes RNIS dont celles qui sont énumérées dans les options de configuration du noyau : ICN 2B et 4B ; Octal PCBIT-D ; Teles cartes RNIS et compatibles. Certaines de ces cartes exigent certains logiciels téléchargeables pour être opérationnelles. Il existe pour cela un utilitaire séparé. Tous les détails nécessaires à la configuration du support RNIS Linux se trouvent dans le répertoire /usr/src/ linux/documentation/isdn/ et un document FAQ consacré à isdn4linux est disponible sur lrz-muenchen.de ( (une version anglaise existe sous le drapeau de même nationalité). Au sujet de PPP. L ensemble des protocoles PPP fonctionne sur des lignes série synchrone ou asynchrone. Le démon PPP pppd couramment distribué pour Linux ne reconnaît que le mode asynchrone. Si vous désirez utiliser les protocoles PPP avec votre service RNIS, il vous faudra une version spéciale. Les détails pour la trouver se trouvent dans la documentation mentionnée ci-dessus PLIP Lors de la mise au point des versions 2.1 du noyau, le support des ports parallèles s est amélioré. Options de compilation du noyau : General setup ---> [*] Parallel port support Network device support ---> <*> PLIP (parallel port) support Le nouveau code pour PLIP fonctionne de la même façon (on utilise les mêmes commandes ifconfig et route comme dans le paragraphe précédent), mais l initialisation du système est différente en raison de l amélioration du support du port parallèle. Le «premier» périphérique PLIP est toujours appelé plip0 (premier signifiant ici «qui est détecté en premier par le système» comme pour les périphériques Ethernet). Le port parallèle utilisé de fait est l un de ceux qui sont disponibles, comme indiqué dans /proc/parport. Par exemple, si vous n avez qu un seul port parallèle, vous n aurez qu un seul répertoire appelé /proc/parport/0. Si votre noyau ne détecte pas l IRQ utilisée par votre port parallèle, insmod plip échouera. Dans ce cas, il vous suffit d écrire le chiffre qui convient dans /proc/parport/0/irq, ce qui invoque de nouveau insmod. Une information complète sur la gestion des ports parallèles est disponible dans le fichier Documentation/parport.txt, qui se trouve dans les sources du noyau. 182

197 Chapitre 12. Le réseau sous GNU/Linux PPP De par la nature, la taille, la complexité et la flexibilité de PPP, il possède maintenant son propre HOWTO. Le PPP-HOWTO est toujours un document du Linux Documentation Project ( dont la page officielle se situe sur le site Web thelinuxreview.com ( dans la section PPP ( Autres technologies de réseau On traitera, dans ce qui suit et par ordre alphabétique, de certaines technologies de réseau. Précisons, cependant, que ces informations ne s appliquent pas nécessairement telles quelles à d autres types de technologies de réseau ARCNet Les noms du système ARCNet sont arc0e, arc1e, arc2e etc., ou arc0s, arc1s, arc2s etc. À la première carte détectée par le noyau, est assigné arc0e ou arc0s, le reste sera assigné de façon séquentielle selon leur ordre de détection. La lettre finale indique votre choix :le format de paquet par encapsulation Ethernet ou le format de paquet RFC1051. Options de compilation du noyau. : Network device support ---> [*] Network device support <*> ARCnet support [ ] Enable arc0e (ARCnet "Ether-Encap" packet format) [ ] Enable arc0s (ARCnet RFC1051 packet format) Une fois votre noyau construit pour reconnaître votre carte Ethernet, la configuration de celle-ci est très aisée. On utilisera quelque chose comme ceci : root# ifconfig arc0e netmask up root# route add -net netmask arc0e Se référer à la documentation /usr/src/linux/documentation/networking/arcnet.txt et à /usr/src/ linux/documentation/networking/arcnet-hardware.txt pour plus ample information. Le support pour ARCNet a été mis au point par Avery Pennarun, [email protected] Appletalk (AF_APPLETALK) Le support Appletalk n a pas de nom de système spécifique puisqu il se sert des systèmes réseau existants. Options de compilation du noyau. : Options de réseau ---> <*> Appletalk DDP Le support Appletalk permet à votre machine Linux d interagir avec les réseaux Apple. Il sera d une grande utilité pour partager imprimantes ou disquettes, etc..., entre les deux systèmes. Un matériel logiciel supplémentaire sera requis appelé netatalk. [email protected] de Wesley Craig est le représentant d une équipe, appelée le «Research Systems Unix Group» basé à l Université du Michigan, qui a produit le paquetage netatalk qui permet d implémenter le protocole Appletalk ainsi que d autres utilitaires... utiles. Le paquetage netatalk vous aura été fourni avec votre distribution Linux. Sinon vous pourrez la télécharger à partir de University of Michigan (ftp://terminator.rs.itd.umich.edu/unix/netatalk/) Pour construire et installer le paquetage, on accomplira ceci : 183

198 Chapitre 12. Le réseau sous GNU/Linux user% tar xvfz.../netatalk-1.4b2.tar.z user% make root# make install Il est sans doute recommandé d éditer Makefile avant d appeler make pour enclencher la compilation du matériel. En particulier, on pourra changer la variable DESTDIR qui définit le lieu d installation ultérieure des fichiers. L assignation par défaut, /usr/local/atalk, est assez sécuritaire La configuration du matériel Appletalk La première chose à faire pour que tout fonctionne bien est de s assurer que les entrées adéquates dans le dossier /etc/services sont présentes. Les entrées nécessaires sont les suivantes : rtmp 1/ddp # Routing Table Maintenance Protocol nbp 2/ddp # Name Binding Protocol echo 4/ddp # AppleTalk Echo Protocol zip 6/ddp # Zone Information Protocol La prochaine étape est de créer des dossiers de configuration Appletalk dans le répertoire /usr/local/atalk/ etc (ou l endroit où vous avez installé le paquetage). Le premier fichier qu il faudra créer est le /usr/local/atalk/etc/atalkd.conf. Pour commencer, ce fichier ne nécessite qu une seule ligne pour indiquer le nom du système réseau qui reconnaît le réseau où sont installées vos machines Apple : eth0 Le programme démon Appletalk ajoutera des détails supplémentaires après son lancement L exportation de systèmes de fichiers Linux via Appletalk Vous pourrez exporter des systèmes de dossiers de votre machine Linux vers le réseau afin que les ordinateurs Apple présents sur ce réseau puissent y accéder. Pour accomplir cela, il vous faudra configurer le fichier /usr/local/atalk/etc/applevolumes.system. Un autre fichier de configuration existe appelé /usr/local/atalk/etc/applevolumes.default. Il comporte exactement le même format et permet de savoir quels systèmes de fichiers seront reçus par les utilisateurs qui se connectent avec un statut d invité. De plus amples détails sur les modes de configuration de ces fichiers et leurs options sont disponibles à la page principale page de man afpd: afpd. Donnons ici un exemple simple : /tmp Scratch /home/ftp/pub "Zone publique" Ceci exportera votre système de fichiers /tmp comme volume AppleShare «Scratch» et votre répertoire public ftp en tant que volume AppleShare «Zone publique». Les noms de volume ne sont nullement obligatoires, le démon en choisira pour vous. Mais cela ne coûte rien d essayer de le faire soi-même. 184

199 Chapitre 12. Le réseau sous GNU/Linux Partager son imprimante Linux avec Appletalk Il est possible de partager son imprimante Linux avec des ordinateurs Apple grâce à quelques gestes simples. Commençons par démarrer le programme papd, le démon du Protocole d Accès à l imprimante, Appletalk. Lors du démarrage de ce programme, celui-ci acceptera toute requête de vos machines Apple et enverra la tâche d impression vers le démon de l imprimante branchée sur votre ligne locale. Il faudra éditer le fichier /usr/local/atalk/etc/papd.conf pour reconfigurer le démon. La syntaxe de ce fichier est la même que celle de votre fichier habituel /etc/printcap. Le nom que vous avez donné à la définition est enregistré par le protocole de nomination Appletalk, NBP. Un exemple de configuration pourrait ressembler à ceci : TricWriter:\ :pr = lp:op = cg: Ce qui rendrait disponible pour votre réseau Appletalk une imprimante appelée «TricWriter». Toutes les tâches acceptées seraient alors imprimées par l imprimante Linux lp (telles que définies par le fichier /etc/ printcap) en utilisant CUPS. La commande op=cg indique que l utilisateur cg est l opérateur de l imprimante Démarrer le logiciel Appletalk Vous êtes donc fin prêt pour tester la configuration de base. Un fichier rc.atalk est fourni avec le paquetage netatalk qui fera le boulot pour vous. Ce qui reste à faire, se résume à ce qui suit : root# /usr/local/atalk/etc/rc.atalk et le reste démarrera et fonctionnera sans problème. Il ne devrait pas y avoir de message d erreur et le logiciel enverra des messages vers la console indiquant le déroulement de chaque étape Tester Appletalk Afin de tester le fonctionnement du matériel logiciel Appletalk, allez vers une de vos machines Apple, sortez le menu Apple, ouvrez le Sélecteur, cliquez sur AppleShare. La machine Linux devrait apparaître Conflits avec Appletalk 1. Il faudra peut-être lancer le support Appletalk avant de configurer votre réseau IP. En cas de problèmes de démarrage des programmes Appletalk, ou de problèmes avec votre réseau IP, essayez de lancer le logiciel Appletalk avant votre fichier /etc/rc.d/rc.inet1. 2. Le démon du Protocole de Classement de Fichiers Apple, afpd (Apple Filing Protocol Daemon) crée de sérieux dérangements dans votre disque dur. Au dessous du point de montage, il crée deux répertoires appelés.appledesktop et NetworkTrashFolder. Ensuite, pour chaque répertoire auquel vous avez accédé, il créera un.appledouble en dessous pour pouvoir emmagasiner des embranchements ressource, etc. Il faudra donc réfléchir à deux fois avant d exporter / sinon le nettoyage subséquent vous mettra dans la joie! 3. Le programme afpd s attend à recevoir des mots de passe en texte clair de la part des Mac. La sécurisation pourrait donc vous causer des soucis. Soyez alors vigilant lorsque, comme son nom l indique, vous démarrez le démon sur votre machine connectée à Internet. Vous serez le seul responsable en cas d une manoeuvre malveillante de la part d un méchant! 4. Les outils de diagnostic existants, tels que netstat et ifconfig ne reconnaissent pas Appletalk. En cas de besoin, l information brute est disponible dans le répertoire /proc/net/. 185

200 Chapitre 12. Le réseau sous GNU/Linux Encore un mot! Pour en savoir plus sur la configuration d Appletalk pour Linux, on pourra se référer à la page d Anders Brownworth Linux Netatalk-HOWTO sur le site thehamptons.com ( anders/netatalk/) ATM Werner Almesberger <[email protected]> gère un projet de support d un mode de transfert asynchrone pour Linux. Des informations mises à jour sur l état du projet peuvent être obtenues sur le site ATM on Linux ( AX25 (AF AX25) Les noms du système AX.25 sont sl0, sl1, etc., dans les noyaux 2.0.* ou ax0, ax1, etc. dans les noyaux 2.1.*. Options de compilation du noyau : Option de réseau ---> [*]Radio Amateur AX.25 Niveau 2 Les protocoles AX25, Netrom et Rose sont couverts par AX25-HOWTO ( AX25-HOWTO.html). Ces protocoles sont utilisés par les opérateurs radio amateurs dans le monde entier dans les paquetages d expérimentations radio. Le plus gros du travail d implémentation de ces protocoles a été accompli par Jonathon Naylor, [email protected], et le nouveau mainteneur du HOWTO est Jeff Tranter ([email protected]) DECNet Le support pour DECNet est maintenant inclus dans un noyau stable mis à jour. Mandrake Linux (2.4) l a également rendu disponible dans ses noyaux FDDI Les noms du système FDDI sont fddi0, fddi1, fddi2 etc. À la première carte détectée par le noyau sera assignée fddi0 et le reste, selon l ordre séquentiel de leur détection. Larry Stefani, [email protected], a mis au point un gestionnaire de périphériques pour la Digital Equipment Corporation FDDI EISA et les cartes PCI. Options de compilation du noyau : Support de système réseau ---> [*] support de gestionnaire de périphériques FDDI [*]DEFEA digital et support d adaptateur DEFPA La configuration de l interface FDDI étant quasiment identique à celle de l interface Ethernet, dans un noyau construit et installé pour reconnaître un gestionnaire de périphériques FDDI, il vous suffira de préciser le nom de l interface FDDI appropriée dans les commandes ifconfig et route. 186

201 Chapitre 12. Le réseau sous GNU/Linux Relais de trames (Frame Relay Les noms du système Frame Relay (Relais de trames) sont dlci00, dlci01 etc., pour les systèmes d encapsulation DLCI, et sdla0, sdla1 etc., pour le ou les FRAD(s). Frame Relay est une technologie réseau idéale lorsque l on a un trafic de nature chaotique ou sporadique. On se connecte à un réseau Frame Relay en utilisant un système d accès spécifique appelé Frame Relay Access Device ou FRAD. Le Frame Relay Linux reconnaît IP par dessus Frame Relay tel qu indiqué dans RFC Options de compilation du noyau : Network device support ---> <*> Frame relay DLCI support (EXPERIMENTAL) (24) Max open DLCI (8) Max DLCI per device <*> SDLA (Sangoma S502/S508) support Mike McLagan, [email protected], a mis au point le support de Frame Relay et des outils de configuration. En ce moment, et à notre connaissance, le seul FRAD à être supporté est Sangoma Technologies ( sangoma.com/) S502A, S502E et S508 et les Technologies Émergeantes (Emerging Technologies). Leur site Web est ici ( Pour configurer les systèmes FRAD et DLCI après avoir reconstruit votre noyau, il vous faudra les outils de configuration Frame Relay. Ils sont disponibles sur ftp.invlogic.com (ftp://ftp.invlogic.com/pub/linux/ fr/). La compilation et l installation des outils sont assez simples et directes, mais elles restent des opérations assez manuelles à cause du manque d un fichier Makefile de haut niveau : user% tar xvfz.../frad-0.15.tgz user% cd frad-0.15 user% for i in common dlci frad; make -C $i clean; make -C $i; done root# mkdir /etc/frad root# install -m 644 -o root -g root bin/*.sfm /etc/frad root# install -m 700 -o root -g root frad/fradcfg /sbin rppt# install -m 700 -o root -g root dlci/dlcicfg /sbin Notez que les commandes précédentes utilisent la syntaxe sh, lorsqu on utilise un soupçon de csh à la place (comme tcsh), la boucle for aura une toute autre allure. Après l installation des outils, il faudra créer un fichier /etc/frad/router.conf, on pourra utiliser ce modèle, qui est une version modifiée d un des fichiers exemple : # /etc/frad/router.conf # Configuration template pour Frame Relay. # Tous les tags sont inclus. Les valeurs par défaut sont basées sur le code. # fourni avec les gestionnaires de périphériques DOS de la carte Sangoma S502A. # # Un # n importe où dans une ligne constitue un commentaire. # Les blancs ne sont pas pris en compte (on peut également espacer avec des tabulations). # Entrées [] et touches inconnues ne sont pas prises en compte. # [Devices] Count = 1 # nombre de systèmes (devices) à configurer. Dev_1 = sdla0 # nom du système. #Dev_2 = sdla1 # nom du système. # Tels que spécifiés ici, ces paramètres sont applicables à tous les périphériques # et peuvent ^etre écrasés pour chaque carte. # Access = CPE Clock = Internal Kbaud = 64 Flags = TX # 187

202 Chapitre 12. Le réseau sous GNU/Linux # MTU = 1500 # Maximum transmit IFrame length, 4096 = valeur par défaut # T391 = 10 # T391 valeur 5-30, 10 = valeur par défaut # T392 = 15 # T392 valeur 5-30, 15 = valeur par défaut # N391 = 6 # N391 valeur 1-255, 6 = valeur par défaut # N392 = 3 # N392 valeur 1-10, 3 = valeur par défaut # N393 = 4 # N393 valeur 1-10, 4 = valeur par défaut # Tels que spécifiés ici, établissent les valeurs par défaut pour toutes les cartes # CIRfwd = 16 # CIR forward 1-64 # Bc_fwd = 16 # Bc forward # Be_fwd = 0 # Be forward # CIRbak = 16 # CIR backward 1-64 # Bc_bak = 16 # Bc backward # Be_bak = 0 # Be backward # # # configuration spécifique au système # # # # Le premier système est un Sangoma S502E # [sdla0] Type = Sangoma # Type de système à configurer, à ce jour seul # SANGOMA est reconnu # # Ces touches sont particulières au type Sangoma # # Le type de la carte Sangoma - S502A, S502E, S508 Board = S502E # # Le nom du matériel expérimental pour la carte Sangoma # Testware = /usr/src/frad-0.10/bin/sdla_tst.502 # # Le nom du matériel d usine FR # Firmware = /usr/src/frad-0.10/bin/frm_rel.502 # Port = 360 # Port pour cette carte précise Mem = C8 # Adresse de la fen^etre de mémoire, A0-EE, selon la carte IRQ = 5 # chiffre IRQ, indisponible pour S502A DLCIs = 1 # Nombre des DLCI attribué à ce périphérique DLCI_1 = 16 # DLCI #1 s number, # DLCI_2 = 17 # DLCI_3 = 18 # DLCI_4 = 19 # DLCI_5 = 20 # # Tels que spécifiés ici, s applique exclusivement à ce périphérique, # et annule les valeurs défaut ci-dessus # # Access = CPE # CPE or NODE, défaut is CPE # Flags = TXIgnore,RXIgnore,BufferFrames,DropAborted,Stats,MCI,AutoDLCI # Clock = Internal # External or Internal, défaut is Internal # Baud = 128 # Specified baud rate of attached CSU/DSU # MTU = 2048 # Maximum transmit IFrame length, défaut is 4096 # T391 = 10 # T391 valeur 5-30, 10 = valeur par défaut # T392 = 15 # T392 valeur 5-30, 15 = valeur par défaut # N391 = 6 # N391 valeur 1-255, 6 = valeur par défaut # N392 = 3 # N392 valeur 1-10, 3 = valeur par défaut # N393 = 4 # N393 valeur 1-10, 4 = valeur par défaut # # Le deuxième système provient d une autre carte # # [sdla1] # Type = FancyCard # Type de système à configurer. # Board = # Type de carte Sangoma # Key = Valeur # valeurs spécifiques à ce type de système # # DLCI Paramètres par défaut de cette configuration # Peuvent ^etre écrasés dans les configurations spécifiques dans le DLCI # 188

203 Chapitre 12. Le réseau sous GNU/Linux CIRfwd = 64 # CIR forward 1-64 # Bc_fwd = 16 # Bc forward # Be_fwd = 0 # Be forward # CIRbak = 16 # CIR backward 1-64 # Bc_bak = 16 # Bc backward # Be_bak = 0 # Be backward # # DLCI Configuration # Tous sont en option. La convention de nommage est # [DLCI_D<devicenum>_<DLCI_Num>] # [DLCI_D1_16] # IP = # Net = # Mask = # Flags defined by Sangoma: TXIgnore,RXIgnore,BufferFrames # DLCIFlags = TXIgnore,RXIgnore,BufferFrames # CIRfwd = 64 # Bc_fwd = 512 # Be_fwd = 0 # CIRbak = 64 # Bc_bak = 512 # Be_bak = 0 [DLCI_D2_16] # IP = # Net = # Mask = # Flags defined by Sangoma: TXIgnore,RXIgnore,BufferFrames # DLCIFlags = TXIgnore,RXIgnore,BufferFrames # CIRfwd = 16 # Bc_fwd = 16 # Be_fwd = 0 # CIRbak = 16 # Bc_bak = 16 # Be_bak = 0 Une fois construit votre fichier /etc/frad/router.conf, il reste une seule étape :la configuration des périphériques eux-mêmes. Le processus nécessite légèrement plus de doigté qu une configuration de système réseau normal. Il faudra se rappeler d ouvrir le système FRAD avant les systèmes d encapsulation DLCI. A cause de leur nombre, ces commandes doivent être écrites dans un script shell : #!/bin/sh # Configure le hardware FRAD et les paramètres DLCI /sbin/fradcfg /etc/frad/router.conf exit 1 /sbin/dlcicfg file /etc/frad/router.conf # # Ouvre le système FRAD ifconfig sdla0 up # # Configure les interfaces d encapsulation et le routage ifconfig dlci pointopoint up route add -net netmask dlci00 # ifconfig dlci pointopoint up route add -net netmask dlci00 # route add default dev dlci00 # 189

204 Chapitre 12. Le réseau sous GNU/Linux IPX (AF IPX) Le protocole IPX est le plus couramment utilisé dans des situations de réseau local Novell NetWare( tm ). Linux reconnaît ce protocole et peut être configuré pour agir comme destinataire du réseau ou comme routeur pour IPX. Options de compilation du noyau : Networking options ---> [*] The IPX protocol [ ] Full internal IPX network Le protocole IPX et le NCPFS sont explicités en profondeur sur IPX-HOWTO ( IPX-HOWTO.html) NetRom (AF NETROM) Les noms du système NetRom sont nr0, nr1, etc. Options de compilation du noyau : Networking options ---> [*] Amateur Radio AX.25 Level 2 [*] Amateur Radio NET/ROM Les protocoles AX25, Netrom et Rose sont couverts par AX25-HOWTO ( AX25-HOWTO.html). Ces protocoles sont utilisés par les opérateurs radio amateurs (Amateur Radio Operators) du monde entier dans des paquetages d expérimentation radio. La plus grande partie du travail d implémentation de ces protocoles a été accomplie par Jonathon Naylor, [email protected] Protocole Rose (AF ROSE) Les noms du système Rose sont rs0, rs1, etc. dans les noyaux 2.1.*. Rose est disponible dans les noyaux 2.1.*. Options de compilation du noyau: Option de réseau ---> [*] Radio Amateur AX.25 Level 2 <*> Radio Amateur X.25 PLP (Rose) Les protocoles AX25, Netrom et Rose sont couverts dans AX25-HOWTO ( AX25-HOWTO.html). Ces protocoles sont utilisés par les opérateurs radio amateurs (Amateur Radio Operators) du monde entier dans des paquetages d expérimentation radio. La plus grande partie du travail d implémentation de ces protocoles a été accomplie par Jonathon Naylor, [email protected] Support de SAMBA - NetBEUI, NetBios, CIFS SAMBA est une implémentation du protocole de Session Management Block (SMB). Samba permet à Windows et à d autres systèmes d installer et d utiliser vos disques et vos imprimantes. Samba et ses configurations sont couvertes en détails dans SMB-HOWTO ( SMB-HOWTO.html). 190

205 Chapitre 12. Le réseau sous GNU/Linux Support de STRIP (Starmode Radio IP) Les noms du système STRIP sont st0, st1, etc. Options de compilation du noyau: Support du système réseau ---> [*]Support du système réseau... [*] Interfaces du réseau radio < > STRIP (Metricom starmode radio IP) STRIP est un protocole construit spécifiquement pour une série de modems radio Metricom dans le cadre d un projet de recherche de l Université Stanford appelé ; MosquitoNet Project ( edu). La lecture en est très intéressante même si on n est pas directement impliqué par le projet. Les radios Metricom se connectent à un port série, s appuie sur la technologie Spread Spectrum et ont en général une capacité d environ 100kbps. De l information sur les radios Metricom est disponible sur le site Metricom Web Server ( Metricom a fait faillite, mais une autre société pourrait achetée la technologie et réactiver le site Web. Actuellement, les outils et utilitaires réseau standard ne reconnaissent pas le gestionnaire STRIP. Quelques outils taillés sur mesure devront donc être téléchargés à partir du serveur Web MosquitoNet. Des détails précis sur les logiciels nécessaires sont disponibles à :: MosquitoNet Software Page ( Stanford.EDU/software.html). Pour résumer la configuration, disons que l on utilise un programme slattach modifié pour établir le type de ligne d un périphérique tty série à STRIP, puis on configure le système qui en résulte, st[0-9], comme on le ferait pour Ethernet mais avec une exception de taille :pour des raisons techniques, STRIP ne reconnaît pas le protocole ARP, il faudra donc configurer manuellement les entrées ARP pour chacun des hôtes de votre sous-réseau. Ce qui n est pas, de prime abord, très coûteux Token Ring Les noms du système Token ring (tour de jeton) sont tr0, tr1 etc. Token Ring est un protocole IBM LAN standard qui évite les collisions grâce à un mécanisme qui ne permet qu à une seule station à la fois de transmettre sur le LAN. Un jeton (token) est dispensé à une station à la fois, et celle qui le détient est la seule qui puisse transmettre. Une fois ses données transmises, elle passe son jeton à la suivante. Le jeton circule d une station active à l autre, d où le nom de Token Ring. Options de compilation du noyau : Support du système réseau ---> [*] Support du système réseau... [*] Support du gestionnaire Token Ring < > support d adaptateur basé sur IBM Tropic chipset La configuration de Token Ring est semblable à celle d Ethernet à l exception du nom du système réseau qui est à configurer. 191

206 Chapitre 12. Le réseau sous GNU/Linux X.25 X.25 est un protocole matériel d échange de paquetages défini par le ITU-T (un ensemble de standards reconnus par les compagnies de télécommunications en vigueur dans la majeure partie du monde). Une implémentation de X.25 et de LAPB est en train d être mise à jour et les récents noyaux ( à partir de 2.1.*) incluent ces travaux en cours. Jonathon Naylor [email protected] est le chef de ce projet et il existe une liste mail de discussion sur Linux X.25. Pour vous enregistrer, envoyez un message à : [email protected] avec le texte subscribe linux-x25 dans le corps du message Carte WaveLan Les noms du système Wavelan sont eth0, eth1, etc. Options de compilation du noyau: Support du système réseau ---> [*]Support du système réseau... [*] Interface de réseau radio... <*> support WaveLAN La carte WaveLAN est une carte réseau sans-fil à large spectre. Pour ce qui est de son utilisation et de sa configuration, la carte ressemble beaucoup à une carte Ethernet. Des informations sont disponibles sur la carte Wavelan sur le site Web d ORINOCO ( orinocowireless.com/) Câbles et câblages Ceux qui sont habiles du fer à souder peuvent vouloir fabriquer leurs propres câbles pour relier deux machines Linux. Les schémas de câblage suivants pourront les y aider Câble série NULL Modem Tous les câbles NULL modem ne se ressemblent pas. Beaucoup se contentent de faire croire à votre ordinateur que tous les signaux appropriés sont présents et échangent les données de transmission et de réception. C est bien, mais cela signifie que vous devez utiliser le contrôle de flux logiciel (XON/XOFF) qui est moins efficace que le contrôle de flux matériel. Le câble suivant donne la meilleure transmission de signal entre les deux machines et vous permet d utiliser le contrôle de flux matériel (RTS/CTS). Pin Name Pin Pin Tx Data 2 3 Rx Data 3 2 RTS 4 5 CTS 5 4 Ground 7 7 DTR DSR RLSD/DCD Figure Le câblage «NULL-modem» 192

207 Chapitre 12. Le réseau sous GNU/Linux Câble port parallèle (câble PLIP) Si vous avez l intention d utiliser le protocole PLIP entre deux machines alors ce câble vous conviendra indépendamment du type de port parallèle installé. Pin Name pin pin STROBE 1* D0->ERROR D1->SLCT D2->PAPOUT D3->ACK D4->BUSY D5 7* D6 8* D7 9* ACK->D BUSY->D PAPOUT->D SLCT->D FEED 14* ERROR->D INIT 16* SLCTIN 17* GROUND Ne pas connecter les broches marquées avec un astérisque (*). Les masses supplémentaires sont 18,19,20,21,22,23 et 24. Si le câble que vous utilisez possède un blindage, il doit être connecté à une des prises DB-25 et une seule. un câble PLIP mal branché peut détruire votre carte contrôleur. Faites attention et vérifiez chaque connexion deux fois plutôt qu une pour éviter un travail inutile ou de gros ennuis. Bien que l on puisse utiliser des câbles PLIP sur des longues distances, évitez de le faire si possible. Les spécifications du câble permettent d avoir une longueur d environ 1 mètre. Faites attention si vous utilisez de grandes longueurs, car les sources de champs magnétiques élevées comme la foudre, les lignes à haute tension et les émetteurs radio peuvent interférer et parfois endommager votre carte contrôleur. Si vous voulez vraiment connecter deux de vos ordinateurs sur une grande distance, utilisez plutôt des cartes Ethernet et un câble coaxial Câblage Ethernet 10base2 (coaxial fin) 10base2 est un standard de câblage Ethernet spécifiant l utilisation d un câble coaxial 52 ohms avec un diamètre d environ 5 mm. Il faut se rappeler un nombre important de règles lorsqu il s agit de relier deux machines avec un câblage 10base2. La première :utilisez des terminaisons à chaque extrémité du câble. Un terminateur est une résistance de 52 ohms qui sert à s assurer que le signal est absorbé et non réfléchi à l extrémité du câble. Sans terminaison à chaque extrémité, vous pourriez trouver que l Ethernet n est pas fiable ou ne fonctionne pas du tout. Normalement vous utiliserez des T pour interconnecter les machines, de sorte que vous finirez avec quelque chose comme ceci : 193

208 Chapitre 12. Le réseau sous GNU/Linux T T T T Figure Câblage Ethernet 10base2 Les à chaque extrémité représentent une terminaison, les = = = = = = représentent une longueur de câble coaxial avec des prises BNC au bout et les T représentent un connecteur en T. Gardez la longueur de câble entre les connecteurs en T et les cartes Ethernet aussi courte que possible, l idéal étant que ces connecteurs soient branchés directement sur la carte Ethernet Câblage Ethernet à paires torsadées Si vous n avez que deux cartes Ethernet avec paires torsadées et que vous voulez les relier, vous n avez pas besoin de répartiteur (hub). Vous pouvez câbler les deux cartes directement ensemble. Un schéma montrant comment faire est inclus dans le document Ethernet-HOWTO ( html). 194

209 Annexe A. Où trouver de la documentation supplémentaire Nous avons décrit l interface de MandrakeSecurity et abordé quelques notions de sécurité et de réseaux. Toutefois, ce manuel peut s avérer insuffisant si vous ne maîtrisez pas les techniques associées à certaines des fonctionnalités proposées. C est pourquoi nous vous proposons dans cet appendice plusieurs liens vers des documents sur le Web qui vous aideront à comprendre les mécanismes sous-jacents à MandrakeSecurity. Bibliographie Documentation au sujet des fonctionnalités internes Documentation de Shorewall (http: // www. shorewall. net/ shorewall_ quickstart_ guide. htm ). L application Shorewall, sur laquelle MandrakeSecurity s appuie, est bien documentée. Sur le site susmentionné, vous trouverez des exemples supplémentaires, et des informations complètes au sujet des processus internes de MandrakeSecurity. Cache DNS : ISC Bind (http: // www. isc. org/ products/ BIND/ ). DHCP (http: // www. isc. org/ products/ DHCP/ ). Mandataire Web (proxy) (http: // www. squid-cache. org/ ). Filtrage d adresse Web SquidGuard (http: // www. squidguard. org/ ). Filtrage d adresse Web DansGuardian (http: // dansguardian. org/ ). Système de détection d intrusion SNORT (SNORT Intrusion Detection System) (http: // www. snort. org/ ). Système de détection d intrusion Prelude (http: // www. prelude-ids. org/ ). Renseignements divers au sujet des techniques utilisées dans MandrakeSecurity. Translation d adresses réseau IP (NAT: Network Address Translation) (http: // www. suse. de/ ~mha/ linux-ip-nat/ diplom/ ). Linux FreeS/WAN : implémentation de IPSEC & IKE pour Linux (http: // freeswan. org ). VPN Freeswan Windows 2000 / Windows XP (http: // vpn. ebootis. de/ ). 195

210 Annexe A. Où trouver de la documentation supplémentaire 196

211 Annexe B. La licence Publique Générale GNU (GPL) Le texte qui suit est celui de la licence GPL qui s applique à la plupart des programmes quise trouvent dans la distribution Mandrake Linux. B.1. Introduction This is an unofficial translation of the GNU General Public License into French. It was not published by the Free Software Foundation, and does not legally state the distribution terms for software that uses the GNU GPL--only the original English text of the GNU GPL does that. However, we hope that this translation will help French speakers understand the GNU GPL better. Voici ( une adaptation non officielle de la Licence Publique Générale du projet GNU. Elle n a pas été publiée par la Free Software Foundation et son contenu n a aucune portée légale car seule la version anglaise de ce document détaille le mode de distribution des logiciels sous GNU GPL. Nous espérons cependant qu elle permettra aux francophones de mieux comprendre la GPL. Licence Publique Générale GNU Version 2, Juin 1991 Copyright Free Software Foundation, Inc. 59 Temple Place, Suite 330, Boston, MA États-Unis, 1989, La copie et la distribution de copies exactes de ce document sont autorisées, mais aucune modification n est permise. B.2. Préambule Les licences d utilisation de la plupart des programmes sont définies pour limiter ou supprimer toute liberté à l utilisateur. À l inverse, la Licence Publique Générale (General Public License) est destinée à vous garantir la liberté de partager et de modifier les logiciels libres, et de s assurer que ces logiciels sont effectivement accessibles à tout utilisateur. Cette Licence Publique Générale s applique à la plupart des programmes de la Free Software Foundation, comme à tout autre programme dont l auteur l aura décidé (d autres logiciels de la FSF sont couverts pour leur part par la Licence Publique Générale pour Bibliothèques GNU (LGPL)). Vous pouvez aussi appliquer les termes de cette Licence à vos propres programmes, si vous le désirez. Liberté des logiciels ne signifie pas nécessairement gratuité. Notre Licence est conçue pour vous assurer la liberté de distribuer des copies des programmes, gratuitement ou non, de recevoir le code source ou de pouvoir l obtenir, de modifier les programmes ou d en utiliser des éléments dans de nouveaux programmes libres, en sachant que vous y êtes autorisé. Afin de garantir ces droits, nous avons dû introduire des restrictions interdisant à quiconque de vous les refuser ou de vous demander d y renoncer. Ces restrictions vous imposent en retour certaines obligations si vous distribuez ou modifiez des copies de programmes protégés par la Licence. En d autre termes, il vous incombera en ce cas de : transmettre aux destinataires tous les droits que vous possédez, expédier aux destinataires le code source ou bien tenir celui-ci à leur disposition, leur remettre cette Licence afin qu ils prennent connaissance de leurs droits. For example, if you distribute copies of such a program, whether gratis or for a fee, you must give the recipients all the rights that you have. You must make sure that they, too, receive or can get the source code. And you must show them these terms so they know their rights. Nous protégeons vos droits de deux façons : d abord par le copyright du logiciel, ensuite par la remise de cette Licence qui vous autorise légalement à copier, distribuer et/ou modifier le logiciel. 197

212 Annexe B. La licence Publique Générale GNU (GPL) En outre, pour protéger chaque auteur ainsi que la FSF, nous affirmons solennellement que le programme concerné ne fait l objet d aucune garantie. Si un tiers le modifie puis le redistribue, tous ceux qui en recevront une copie doivent savoir qu il ne s agit pas de l original afin qu une copie défectueuse n entache pas la réputation de l auteur du logiciel. Enfin, tout programme libre est sans cesse menacé par des dépôts de brevets. Nous souhaitons à tout prix éviter que des distributeurs puissent déposer des brevets sur les Logiciels Libres pour leur propre compte. Pour éviter cela, nous stipulons bien que tout dépôt éventuel de brevet doit accorder expressément à tout un chacun le libre usage du produit. Les dispositions précises et les conditions de copie, de distribution et de modification de nos logiciels sont les suivantes : B.3. Stipulations et conditions relatives à la copie, la distribution et la modification 1. La présente Licence s applique à tout Programme (ou autre travail) où figure une note, placée par le détenteur des droits, stipulant que ledit Programme ou travail peut être distribué selon les termes de la présente Licence. Le terme Programme désigne aussi bien le Programme lui-même que tout travail qui en est dérivé selon la loi, c est-à-dire tout ouvrage reproduisant le Programme ou une partie de celui-ci, à l identique ou bien modifié, et/ou traduit dans une autre langue (la traduction est considérée comme une modification). Chaque personne concernée par la Licence Publique Générale sera désignée par le terme Vous. Les activités autres que copie, distribution et modification ne sont pas couvertes par la présente Licence et sortent de son cadre. Rien ne restreint l utilisation du Programme et les données issues de celui-ci ne sont couvertes que si leur contenu constitue un travail basé sur le logiciel (indépendamment du fait d avoir été réalisé en lançant le Programme). Tout dépend de ce que le Programme est censé produire. 2. Vous pouvez copier et distribuer des copies conformes du code source du Programme, tel que Vous l avez reçu, sur n importe quel support, à condition de placer sur chaque copie un copyright approprié et une restriction de garantie, de ne pas modifier ou omettre toutes les stipulations se référant à la présente Licence et à la limitation de garantie, et de fournir avec toute copie du Programme un exemplaire de la Licence. Vous pouvez demander une rétribution financière pour la réalisation de la copie et demeurez libre de proposer une garantie assurée par vos soins, moyennant finances. 3. Vous pouvez modifier votre copie ou vos copies du Programme ou partie de celui-ci, ou d un travail basé sur ce Programme, et copier et distribuer ces modifications selon les termes de l article 1, à condition de Vous conformer également aux conditions suivantes : a. Ajouter aux fichiers modifiés l indication très claire des modifications effectuées, ainsi que la date de chaque changement. b. Distribuer sous les termes de la Licence Publique Générale l ensemble de toute réalisation contenant tout ou partie du Programme, avec ou sans modifications. c. Si le Programme modifié lit des commandes de manière interactive lors de son exécution, faire en sorte qu il affiche, lors d une invocation ordinaire, le copyright approprié en indiquant clairement la limitation de garantie (ou la garantie que Vous Vous engagez à fournir Vous-même), qu il stipule que tout utilisateur peut librement redistribuer le Programme selon les conditions de la Licence Publique Générale GNU, et qu il montre à tout utilisateur comment lire une copie de celle-ci (exception : si le Programme original est interactif mais n affiche pas un tel message en temps normal, tout travail dérivé de ce Programme ne sera pas non plus contraint de l afficher). Toutes ces conditions s appliquent à l ensemble des modifications. Si des éléments identifiables de ce travail ne sont pas dérivés du Programme et peuvent être raisonnablement considérés comme indépendants, la présente Licence ne s applique pas à ces éléments lorsque Vous les distribuez seuls. Mais, si Vous distribuez ces mêmes éléments comme partie d un ensemble cohérent dont le reste est basé sur un Programme 198

213 Annexe B. La licence Publique Générale GNU (GPL) soumis à la Licence, ils lui sont également soumis, et la Licence s étend ainsi à l ensemble du produit, quel qu en soit l auteur. Cet article n a pas pour but de s approprier ou de contester vos droits sur un travail entièrement réalisé par Vous, mais plutôt d ouvrir droit à un contrôle de la libre distribution de tout travail dérivé ou collectif basé sur le Programme. En outre, toute fusion d un autre travail, non basé sur le Programme, avec le Programme (ou avec un travail dérivé de ce dernier), effectuée sur un support de stockage ou de distribution, ne fait pas tomber cet autre travail sous le contrôle de la Licence. 4. Vous pouvez copier et distribuer le Programme (ou tout travail dérivé selon les conditions énoncées dans l article 1) sous forme de code objet ou exécutable, selon les termes des articles 0 et 1, à condition de respecter les clauses suivantes : a. Fournir le code source complet du Programme, sous une forme lisible par un ordinateur et selon les termes des articles 0 et 1, sur un support habituellement utilisé pour l échange de données ; ou, b. Faire une offre écrite, valable pendant au moins trois ans, prévoyant de donner à tout tiers qui en fera la demande une copie, sous forme lisible par un ordinateur, du code source correspondant, pour un tarif n excédant pas le coût de la copie, selon les termes des articles 0 et 1, sur un support couramment utilisé pour l échange de données informatiques ; ou, c. Informer le destinataire de l endroit où le code source peut être obtenu (cette solution n est recevable que dans le cas d une distribution non commerciale, et uniquement si Vous avez reçu le Programme sous forme de code objet ou exécutable avec l offre prévue à l alinéa b ci-dessus). Le code source d un travail désigne la forme de cet ouvrage sous laquelle les modifications sont les plus aisées. Sont ainsi désignés la totalité du code source de tous les modules composant un Programme exécutable, de même que tout fichier de définition associé, ainsi que les scripts utilisés pour effectuer la compilation et l installation du Programme exécutable. Toutefois, l environnement standard de développement du système d exploitation mis en oeuvre (source ou binaire) -- compilateurs, bibliothèques, noyau, etc. -- constitue une exception, sauf si ces éléments sont diffusés en même temps que le Programme exécutable. Si la distribution de l exécutable ou du code objet consiste à offrir un accès permettant de copier le Programme depuis un endroit particulier, l offre d un accès équivalent pour se procurer le code source au même endroit est considéré comme une distribution de ce code source, même si l utilisateur choisit de ne pas profiter de cette offre. 5. Vous ne pouvez pas copier, modifier, céder, déposer ou distribuer le Programme d une autre manière que l autorise la Licence Publique Générale. Toute tentative de ce type annule immédiatement vos droits d utilisation du Programme sous cette Licence. Toutefois, les tiers ayant reçu de Vous des copies du Programme ou le droit d utiliser ces copies continueront à bénéficier de leur droit d utilisation tant qu ils respecteront pleinement les conditions de la Licence. 6. Ne l ayant pas signée, Vous n êtes pas obligé d accepter cette Licence. Cependant, rien d autre ne Vous autorise à modifier ou distribuer le Programme ou quelque travaux dérivés : la loi l interdit tant que Vous n acceptez pas les termes de cette Licence. En conséquence, en modifiant ou en distribuant le Programme (ou tout travail basé sur lui), Vous acceptez implicitement tous les termes et conditions de cette Licence. 7. La diffusion d un Programme (ou de tout travail dérivé) suppose l envoi simultané d une licence autorisant la copie, la distribution ou la modification du Programme, aux termes et conditions de la Licence. Vous n avez pas le droit d imposer de restrictions supplémentaires aux droits transmis au destinataire. Vous n êtes pas responsable du respect de la Licence par un tiers. 8. Si, à la suite d une décision de Justice, d une plainte en contrefaçon ou pour toute autre raison (liée ou non à la contrefaçon), des conditions Vous sont imposées (que ce soit par ordonnance, accord amiable ou autre) qui se révèlent incompatibles avec les termes de la présente Licence, Vous n êtes pas pour autant dégagé des obligations liées à celle-ci : si Vous ne pouvez concilier vos obligations légales ou autres avec les conditions de cette Licence, Vous ne devez pas distribuer le Programme. Si une partie quelconque de cet article est invalidée ou inapplicable pour quelque raison que ce soit, le reste de l article continue de s appliquer et l intégralité de l article s appliquera en toute autre circonstance. Le présent article n a pas pour but de Vous pousser à enfreindre des droits ou des dispositions légales ni en contester la validité ; son seul objectif est de protéger l intégrité du système de distribution du 199

214 Annexe B. La licence Publique Générale GNU (GPL) Logiciel Libre. De nombreuses personnes ont généreusement contribué à la large gamme de Programmes distribuée de cette façon en toute confiance ; il appartient à chaque auteur/donateur de décider de diffuser ses Programmes selon les critères de son choix. Cet article est censé clarifié une conséquence supposée du reste de cette licence. 9. Si la distribution et/ou l utilisation du Programme est limitée dans certains pays par des brevets ou des droits sur des interfaces, le détenteur original des droits qui place le Programme sous la Licence Publique Générale peut ajouter explicitement une clause de limitation géographique excluant ces pays. Dans ce cas, cette clause devient une partie intégrante de la Licence. 10. La Free Software Foundation se réserve le droit de publier périodiquement des mises à jour ou de nouvelles versions de la Licence. Rédigées dans le même esprit que la présente version, elles seront cependant susceptibles d en modifier certains détails à mesure que de nouveaux problèmes se font jour. Chaque version possède un numéro distinct. Si le Programme précise un numéro de version de cette Licence et «toute version ultérieure», Vous avez le choix de suivre les termes et conditions de cette version ou de toute autre version plus récente publiée par la Free Software Foundation. Si le Programme ne spécifie aucun numéro de version, Vous pouvez alors choisir l une quelconque des versions publiées par la Free Software Foundation. 11. Si Vous désirez incorporer des éléments du Programme dans d autres Programmes libres dont les conditions de distribution diffèrent, Vous devez écrire à l auteur pour lui en demander la permission. Pour ce qui est des Programmes directement déposés par la Free Software Foundation, écrivez-nous : une exception est toujours envisageable. Notre décision sera basée sur notre volonté de préserver la liberté de notre Programme ou de ses dérivés et celle de promouvoir le partage et la réutilisation du logiciel en général. LIMITATION DE GARANTIE 12. Parce que l utilisation de ce Programme est libre et gratuite, aucune garantie n est fournie, comme le permet la loi. Sauf mention écrite, les détenteurs du copyright et/ou les tiers fournissent le Programme en l état, sans aucune sorte de garantie explicite ou implicite, y compris les garanties de commercialisation ou d adaptation dans un but particulier. Vous assumez tous les risques quant à la qualité et aux effets du Programme. Si le Programme est défectueux, Vous assumez le coût de tous les services, corrections ou réparations nécessaires. 13. Sauf lorsqu explicitement prévu par la Loi ou accepté par écrit, ni le détenteur des droits, ni quiconque autorisé à modifier et/ou redistribuer le Programme comme il est permis ci-dessus ne pourra être tenu pour responsable de tout dommage direct, indirect, secondaire ou accessoire (pertes financières dues au manque à gagner, à l interruption d activités ou à la perte de données, etc., découlant de l utilisation du Programme ou de l impossibilité d utiliser celui-ci). FIN DES TERMES ET CONDITIONS 200

215 Annexe C. Licence de documentation libre GNU C.1. A propos de cette traduction française de la GFDL Ceci est une traduction française non officielle de la Licence de documentation libre GNU. Elle n a pas été publiée par la Free Software Foundation, et ne fixe pas légalement les conditions de redistribution des documents qui l utilisent seul le texte original en anglais le fait. Nous espérons toutefois que cette traduction aidera les francophones à mieux comprendre la FDL GNU. C.2. Licence de documentation libre GNU Traduction française non officielle de la GFDL Version 1.1 (Mars 2000) Copyright (C) 2000 Free Sofware Foundation, inc. 59 Temple Place, Suite 330, Boston, MA USA Traduction adaptée de la Version FR (Christian Casteyde et César Alexanian, mars 2001) Chacun est libre de copier et de distribuer des copies conformes de cette Licence, mais nul n est autorisé à la modifier. 0. PRÉAMBULE L objet de cette Licence est de rendre tout manuel, livre ou autre document écrit «libre» au sens de la liberté d utilisation, à savoir : assurer à chacun la liberté effective de le copier ou de le redistribuer, avec ou sans modifications, commercialement ou non. En outre, cette Licence garantit à l auteur et à l éditeur la reconnaissance de leur travail, sans qu ils soient pour autant considérés comme responsables des modifications réalisées par des tiers. Cette Licence est une sorte de «copyleft», ce qui signifie que les travaux dérivés du document d origine sont eux-mêmes «libres» selon les mêmes termes. Elle complète la Licence Publique Générale GNU, qui est également une Licence copyleft, conçue pour les logiciels libres. Nous avons conçu cette Licence pour la documentation des logiciels libres, car les logiciels libres ont besoin d une documentation elle-même libre : un logiciel libre doit être accompagné d un manuel garantissant les mêmes libertés que celles accordées par le logiciel lui-même. Mais cette Licence n est pas limitée aux seuls manuels des logiciels ; elle peut être utilisée pour tous les documents écrits, sans distinction particulière relative au sujet traité ou au mode de publication. Nous recommandons l usage de cette Licence principalement pour les travaux destinés à des fins d enseignement ou devant servir de document de référence. 1. APPLICABILITÉ ET DÉFINITIONS Cette Licence couvre tout manuel ou tout autre travail écrit contenant une notice de copyright autorisant la redistribution selon les termes de cette Licence. Le mot «Document» se réfère ci-après à un tel manuel ou travail. Toute personne en est par définition concessionnaire, et est référencée ci-après par le terme «Vous». Une «Version modifiée» du Document désigne tout travail en contenant la totalité ou seulement une portion de celui-ci, copiée mot pour mot, modifiée et/ou traduite dans une autre langue. Une «Section secondaire» désigne une annexe au Document, ou toute information indiquant les rapports entre l auteur ou l éditeur et le sujet (ou tout autre sujet connexe) du document, sans toutefois être en rapport direct avec le sujet lui-même (par exemple, si le Document est un manuel de mathématiques, une Section secondaire ne traitera d aucune notion mathématique). Cette section peut contenir des informations relatives à l historique du Document, des sources documentaires, des dispositions légales, commerciales, philosophiques, ou des positions éthiques ou politiques susceptibles de concerner le sujet traité. Les «Sections inaltérables» sont des sections secondaires considérées comme ne pouvant être modifiées et citées comme telles dans la notice légale qui place le Document sous cette Licence. Les «Textes de couverture» sont les textes courts situés sur les pages de couverture avant et arrière du Document, et cités comme tels dans la mention légale de ce Document. Le terme «Copie transparente» désigne une version numérique du Document représentée dans un format dont les spécifications sont publiquement disponibles et dont le contenu peut être visualisé et édité directement et immédiatement par un éditeur de texte quelconque, ou (pour les images composées de pixels) par un programme de traitement d images quelconque, ou (pour les dessins) par un éditeur de dessins courant. Ce 201

216 Annexe C. Licence de documentation libre GNU format doit être pouvoir être accepté directement ou être convertible facilement dans des formats utilisables directement par des logiciels de formatage de texte. Une copie publiée dans un quelconque format numérique ouvert mais dont la structure a été conçue dans le but exprès de prévenir les modifications ultérieures du Document ou dans le but d en décourager les lecteurs n est pas considérée comme une Copie Transparente. Une copie qui n est pas «Transparente» est considérée, par opposition, comme «Opaque». Le format de fichier texte codé en ASCII générique et n utilisant pas de balises, les formats de fichiers Texinfo ou LaTeX, les formats de fichiers SGML ou XML utilisant une DTD publiquement accessible, ainsi que les formats de fichiers HTML simple et standard, écrits de telle sorte qu ils sont modifiables sans outil spécifique, sont des exemples de formats acceptables pour la réalisation de Copies Transparentes. Les formats suivants sont opaques : PostScript, PDF, formats de fichiers propriétaires qui ne peuvent être visualisés ou édités que par des traitements de textes propriétaires, SGML et XML utilisant des DTD et/ou des outils de formatage qui ne sont pas disponibles publiquement, et du code HTML généré par une machine à l aide d un traitement de texte quelconque et dans le seul but de la génération d un format de sortie. La «Page de titre» désigne, pour les ouvrages imprimés, la page de titre elle-même, ainsi que les pages supplémentaires nécessaires pour fournir clairement les informations dont cette Licence impose la présence sur la page de titre. Pour les travaux n ayant pas de Page de titre comme décrit ci-dessus, la «Page de titre» désigne le texte qui s apparente le plus au titre du document et situé avant le texte principal. 2. COPIES CONFORMES Vous pouvez copier et distribuer le Document sur tout type de support, commercialement ou non, à condition que cette Licence, la notice de copyright et la notice de la Licence indiquant que cette Licence s applique à ce Document soient reproduits dans toutes les copies, et que vous n y ajoutiez aucune condition restrictive supplémentaire. Vous ne pouvez pas utiliser un quelconque moyen technique visant à empêcher ou à contrôler la lecture ou la reproduction ultérieure des copies que vous avez créées ou distribuées. Toutefois, vous pouvez solliciter une rétribution en échange des copies. Si vous distribuez une grande quantité de copies, référez-vous aux dispositions de la section 3. Vous pouvez également prêter des copies, sous les mêmes conditions que celles précitées, et vous pouvez afficher publiquement des copies de ce Document. 3. COPIES EN NOMBRE Si vous publiez des copies imprimées de ce Document à plus de 100 exemplaires, et que la Licence du Document indique la présence de Textes de couverture, vous devez fournir une couverture pour chaque copie, qui présente les Textes de couverture des première et dernière pages de couverture du Document. Les première et dernière pages de couverture doivent également vous identifier clairement et sans ambiguïté comme étant l éditeur de ces copies. La première page de couverture doit comporter le titre du Document en mots d importance et de visibilité égale. Vous pouvez ajouter des informations complémentaires sur les pages de couverture. Les copies du Document dont seules la couverture a été modifiée peuvent être considérées comme des copies conformes, à condition que le titre du Document soit préservé et que les conditions indiquées précédemment soient respectées. Si les textes devant se trouver sur la couverture sont trop importants pour y tenir de manière claire, vous pouvez ne placer que les premiers sur la première page et placer les suivantes sur les pages consécutives. Si vous publiez plus de 100 Copies opaques du Document, vous devez soit fournir une Copie transparente pour chaque Copie opaque, soit préciser ou fournir avec chaque Copie opaque une adresse réseau publiquement accessible d une Copie transparente et complète du Document, sans aucun ajout ou modification, et à laquelle tout le monde peut accéder en téléchargement anonyme et sans frais, selon des protocoles réseau communs et standards. Si vous choisissez cette dernière option, vous devez prendre les dispositions nécessaires, dans la limite du raisonnable, afin de garantir l accès non restrictif à la Copie transparente durant une année pleine après la diffusion publique de la dernière Copie opaque (directement ou via vos revendeurs). Nous recommandons, mais ce n est pas obligatoire, que vous contactiez l auteur du Document suffisamment tôt avant toute publication d un grand nombre de copies, afin de lui permettre de vous donner une version à jour du Document. 202

217 Annexe C. Licence de documentation libre GNU 4. MODIFICATIONS Vous pouvez copier et distribuer une Version modifiée du Document en respectant les conditions des sections 2 et 3 précédentes, à condition de placer cette Version modifiée sous la présente Licence, dans laquelle le terme «Document» doit être remplacé par les termes «Version modifiée», donnant ainsi l autorisation de redistribuer et de modifier cette Version modifiée à quiconque en possède une copie. De plus, vous devez effectuer les actions suivantes dans la Version modifiée : A. Utiliser sur la Page de titre (et sur les pages de couverture éventuellement présentes) un titre distinct de celui du Document d origine et de toutes ses versions antérieures (qui, si elles existent, doivent être mentionnées dans la section «Historique» du Document). Vous pouvez utiliser le même titre si l éditeur d origine vous en a donné expressément la permission. B. Mentionner sur la Page de titre en tant qu auteurs une ou plusieurs des personnes ou entités responsables des modifications de la Version modifiée, avec au moins les cinq principaux auteurs du Document (ou tous les auteurs si il y en a moins de cinq). C. Préciser sur la Page de titre le nom de l éditeur de la Version modifiée, en tant qu éditeur du Document. D. Préserver intégralement toutes les notices de copyright du Document. E. Ajouter une notice de copyright adjacente aux autres notices pour vos propres modifications. F. Inclure immédiatement après les notices de copyright une notice donnant à quiconque l autorisation d utiliser la Version modifiée selon les termes de cette Licence, sous la forme présentée dans l annexe indiqué ci-dessous. G. Préserver dans cette notice la liste complète des Sections inaltérables et les Textes de couverture donnés avec la notice de la Licence du Document. H. Inclure une copie non modifiée de cette Licence. I. Préserver la section nommée «Historique» et son titre, et y ajouter une nouvelle entrée décrivant le titre, l année, les nouveaux auteurs et l éditeur de la Version modifiée, tels que décrits sur la Page de titre, ainsi qu un descriptif des modifications apportées depuis la précédente version. J. Conserver l adresse réseau éventuellement indiquée dans le Document permettant à quiconque d accéder à une Copie transparente du Document, ainsi que les adresses réseau indiquées dans le Document pour les versions précédentes sur lesquelles le Document se base. Ces liens peuvent être placées dans la section «Historique». Vous pouvez ne pas conserver les liens pour un travail datant de plus de quatre ans avant la version courante, ou si l éditeur d origine vous en accorde la permission. K. Si une section «Dédicaces» ou une section «Remerciements» sont présentes, les informations et les appréciations concernant les contributeurs et les personnes auxquelles s adressent ces remerciements doivent être conservées, ainsi que le titre de ces sections. L. Conserver sans modification les Sections inaltérables du Document, ni dans leurs textes, ni dans leurs titres. Les numéros de sections ne sont pas considérés comme faisant partie du texte des sections. M. Effacer toute section intitulée «Approbations». Une telle section ne peut pas être incluse dans une Version modifiée. N. Ne pas renommer une section existante sous le titre «Approbations» ou sous un autre titre entrant en conflit avec le titre d une Section inaltérable. Si la Version modifiée contient de nouvelles sections préliminaires ou de nouvelles annexes considérées comme des Sections secondaires, et que celles-ci ne contiennent aucun élément copié depuis le Document, vous pouvez à votre convenance en désigner une ou plusieurs comme étant des Sections inaltérables. Pour ce faire, ajoutez leurs titres dans la liste des Sections inaltérables au sein de la notice de Licence de la Version modifiée. Ces titres doivent êtres distincts des titres des autres sections. Vous pouvez ajouter une section nommée «Approbations», à condition que ces approbations ne concernent que les modifications ayant donné naissance à la Version modifiée (par exemple, comptes-rendus de revue de document, ou acceptation du texte par une organisation le reconnaissant comme étant la définition d un standard). Vous pouvez ajouter un passage comprenant jusqu à cinq mots en première page de couverture, et jusqu à vingt-cinq mots en dernière page de couverture, à la liste des Textes de couverture de la Version modifiée. Il n est autorisé d ajouter qu un seul passage en première et en dernière page de couverture par personne ou groupe de personnes ou organisation ayant contribué à la modification du Document. Si le Document 203

218 Annexe C. Licence de documentation libre GNU comporte déjà un passage sur la même couverture, ajouté en votre nom ou au nom de l organisation au nom de laquelle vous agissez, vous ne pouvez pas ajouter de passage supplémentaire ; mais vous pouvez remplacer un ancien passage si vous avez expressément obtenu l autorisation de l éditeur de celui-ci. Cette Licence ne vous donne pas le droit d utiliser le nom des auteurs et des éditeurs de ce Document à des fins publicitaires ou pour prétendre à l approbation d une Version modifiée. 5. FUSION DE DOCUMENTS Vous pouvez fusionner le Document avec d autres documents soumis à cette Licence, suivant les spécifications de la section 4 pour les Versions modifiées, à condition d inclure dans le document résultant toutes les Sections inaltérables des documents originaux sans modification, et de toutes les lister dans la liste des Sections inaltérables de la notice de Licence du document résultant de la fusion. Le document résultant de la fusion n a besoin que d une seule copie de cette Licence, et les Sections inaltérables existant en multiples exemplaires peuvent être remplacées par une copie unique. S il existe plusieurs Sections inaltérables portant le même nom mais de contenu différent, rendez unique le titre de chaque section en ajoutant, à la fin de celui-ci, entre parenthèses, le nom de l auteur ou de l éditeur d origine, ou, à défaut, un numéro unique. Les mêmes modifications doivent être réalisées dans la liste des Sections inaltérables de la notice de Licence du document final. Dans le document résultant de la fusion, vous devez rassembler en une seule toutes les sections «Historique» des documents d origine. De même, vous devez rassembler les sections «Remerciements» et «Dédicaces». Vous devez supprimer toutes les sections «Approbations». 6. REGROUPEMENTS DE DOCUMENTS Vous pouvez créer un regroupement de documents comprenant le Document et d autres documents soumis à cette Licence, et remplacer les copies individuelles de cette Licence des différents documents par une unique copie incluse dans le regroupement de documents, à condition de respecter pour chacun de ces documents l ensemble des règles de cette Licence concernant les copies conformes. Vous pouvez extraire un document d un tel regroupement, et le distribuer individuellement sous couvert de cette Licence, à condition d y inclure une copie de cette Licence et d en l ensemble des règles concernant les copies conformes. 7. AGRÉGATION AVEC DES TRAVAUX INDÉPENDANTS La compilation du Document ou ses dérivés avec d autres documents ou travaux séparés et indépendants sur un support de stockage ou sur un média de distribution quelconque ne représente pas une Version modifiée du Document tant qu aucun copyright n est déposé pour cette compilation. Une telle compilation est appelée «agrégat», et cette Licence ne s applique pas aux autres travaux indépendants compilés avec le Document, s ils ne sont pas eux-mêmes des travaux dérivés du Document. Si les exigences de la section 3 concernant les Textes de couverture sont applicables à ces copies du Document, et si le Document représente un volume inférieur à un quart du volume total de l agrégat, les Textes de couverture du Document peuvent être placés sur des pages de couverture qui n encadrent que le Document au sein de l agrégat. Dans le cas contraire, ils doivent apparaître sur les pages de couverture de l agrégat complet. 8. TRADUCTION La traduction est considérée comme une forme de modification, vous pouvez donc distribuer les traductions du Document selon les termes de la section 4. Vous devez obtenir l autorisation spéciale des auteurs des Sections inaltérables pour les remplacer par des traductions, mais vous pouvez inclure les traductions des Sections inaltérables en plus des textes originaux. Vous pouvez inclure une traduction de cette Licence à condition d inclure également la version originale en anglais. En cas de contradiction entre la traduction et la version originale en anglais, c est cette dernière qui prévaut. 204

219 Annexe C. Licence de documentation libre GNU 9. CADUCITÉ Vous ne pouvez pas copier, modifier, sous-licencier ou distribuer le Document autrement que selon les termes de cette Licence. Toute autre acte de copie, modification, sous-licence ou distribution du Document est sans objet et vous prive automatiquement des droits que cette Licence vous accorde. En revanche, les personnes qui ont reçu de votre part des copies ou les droits sur le document sous couvert de cette Licence ne voient pas leurs droits caducs tant qu elles en respectent les principes. 10. RÉVISIONS FUTURES DE CETTE LICENCE La Free Software Foundation peut publier de temps en temps de nouvelles versions révisées de cette Licence. Ces nouvelles versions seront semblables à la présente version dans l esprit, mais pourront différer sur des points de détail en fonctions de nouvelles questions ou problèmes. Voyez ( pour plus de détails. Chaque version de cette Licence est dotée d un numéro de version distinct. Si un Document spécifie un numéro de version particulier de cette Licence, et porte la mention «ou toute autre version ultérieure», vous pouvez choisir de suivre les termes de la version spécifiée ou ceux de n importe quelle version ultérieure publiée par la Free Software Foundation. Si aucun numéro de version n est spécifié, vous pouvez choisir n importe quelle version officielle publiée par la Free Sofware Foundation. C.3. Comment utiliser cette Licence pour vos documents Pour utiliser cette Licence avec un document que vous avez écrit, incorporez une copie du texte de cette Licence en anglais et placez le texte ci-dessous juste après la page de titre : Copyright (c) ANNÉE VOTRE NOM Permission vous est donnée de copier, distribuer et/ou modifier ce document selon les termes de la Licence GNU Free Documentation License, Version 1.1 ou ultérieure publiée par la Free Software Foundation ; avec les sections inaltérables suivantes : LISTE DES TITRES DES SECTIONS INALTÉRABLES Avec le texte de première page de couverture suivant : TEXTE DE PREMIÈRE PAGE DE COUVERTURE Avec le texte de dernière page de couverture suivant : TEXTE DE DERNIÈRE PAGE DE COUVERTURE Une copie de cette Licence est incluse dans la section appelée GNU Free Documentation License de ce document. Si votre Document ne comporte pas de section inaltérable, de textes de première et dernière pages de couverture, veuillez insérer les mentions suivantes dans les sections adéquates : pas de section inaltérable pas de texte de première page de couverture pas de texte de dernière page de couverture Vous pouvez également fournir une traduction de la Licence GNU FDL dans votre document, mais celle-ci ne doit pas remplacer la version anglaise. La section intitulée GNU Free Documentation License doit contenir la version anglaise de la Licence GNU FDL, c est la seule qui fait foi. Si votre Document contient des exemples non triviaux de code programme, nous recommandons de distribuer ces exemples en parallèle sous Licence GNU General Public License, qui permet leur usage dans les logiciels libres. 205

220 Annexe C. Licence de documentation libre GNU 206

Montrer encore