Master 2 TIIR IAGL. Systèmes UNIX TP Administration Linux. Septembre 2011

Transcription

1 Master 2 TIIR IAGL Systèmes UNIX Septembre 2011 Sommaire 1 Paramètres réseau Salles TIIR (B03) et IAGL (B10) Préambule Installation L installation pas à pas Administration locale Connexion administrateur Configuration des logiciels Création de comptes utilisateurs Administration réseau Connexion à distance Partage de fichiers Authentification distante Sécurité/Pare-feu Virtualisation KVM Restauration-Configuration d un client Restauration par CloneZilla Configurer une installation personnelle Préparation d un clone (pour les admins seulement) /35

2 Chapitre 1 Paramètres réseau 1.1. Salles TIIR (B03) et IAGL (B10) Les machines du master sont dans le réseau privé * derrière un pare-feu. Le numéro de machine est donné durant le TP. adresse IP de vos machines : Salle TIIR : <50+N o machine > Salle IAGL : <90+N o machine > passerelle : masque de sous-réseau : serveur DNS : et nom DNS de votre machine : Salle TIIR : pcmt<n o machine > (FQDN :pcmt<n o machine >.m2fil.univ-lille1.fr.) Salle IAGL : pcmi<n o machine > (FQDN :pcmi<n o machine >.m2fil.univ-lille1.fr.) domaine DNS : m2fil.univ-lille1.fr Les informations concernant les différents serveurs sont les suivantes : serveur LDAP : ldap.m2fil.univ-lille1.fr (l uri est ldap:// ) base : dc=mastergi utilisé pour l authentification et l automontage serveur NFS : nfs.m2fil.univ-lille1.fr ( ) répertoire exporté /home (par automontage) utilisé pour vos répertoires personnels /home/mastertiir et /home/masteriagl imprimante : l imprimante est sur le réseau et s appelle lanson proxy HTTP : cache-etu.univ-lille1.fr, port 3128 serveur NTP : ntp.univ-lille1.fr serveur de messagerie : le master n a pas de messagerie propre, utilisez celle de l université. serveur web des Master 2 : le serveur web est maintenant sur le site du fil. Connexions distantes (Telnet, SSH...) : elles sont permises à l intérieur de l université mais interdites vers ou depuis l extérieur. 2/35

3 Figure 1.1 Numéros de la salle IAGL Figure 1.2 Numéros de la salle TIIR 3/35

4 Démarrage réseau Un serveur CloneZilla (sur la machine virtuelle mercier) propose le menu suivant lorsque vous démarrez votre machine par le réseau. Clonezilla : restauration de partitions (clonage). Local Operating Systems : démarrage classique sur le disque dur. Debian wheezy amd64 : l installateur Debian (ne pas utiliser) Ubuntu natty amd64 : l installateur Ubuntu. La salle serveur ne contient qu un serveur DELL faisant tourner plusieurs machines virtuelles sous Xen. La machine Hôte est lafitte ( ). Voici la liste des services et des machines virtuelles (entre parenthèses). ipmi : (krug) dom0+dhcp+ntp : (lafitte) dns+ldap+nfs : (bollinger) clonezilla : (mercier) Figure 1.3 Organisation des serveurs 4/35

5 1.2. Préambule Ce TP consiste à réaliser l installation d une machine sous GNU/Linux, puis à aborder quelques aspects de son administration. L objectif essentiel est que vous soyez capable de comprendre comment sont configurés les services les plus couramment utilisés, que vous connaissiez les commandes permettant de connaître la configuration courante d un service, et que vous puissiez identifier l origine d un problème quand une machine/un service ne fonctionne pas correctemment. Vous ne serez pas à priori administrateur de votre machine pendant votre vie active, et avoir abordé quelques-uns de ces aspects vous permettra de savoir comment réagir quand «ça marche pas». Tout au moins pourrez-vous présenter le problème aux administrateurs en indiquant ce qui vous semble (sachez rester humble) en être la source. Le travail sera découpé en 3 parties distinctes : l installation et l administration purement locale de votre machine : création de comptes locaux, compilation du noyau 1 et configuration de divers logiciels ; l installation et l administration de certains services réseau : il s agit de permettre à d autres utilisateurs de se connecter sur votre machine (et réciproquement). Dans cette phase, vous travaillerez avec le binôme de la machine voisine ; la mise en œuvre de la virtualisation : il s agit d installer Windows dans une machine virtuelle sous Linux en utilisant KVM. Une dernière partie décrit comment restaurer ou configurer votre machine pour que vous puissiez l utiliser tout au long de l année. Les manipulations présentées dans ce document ne sont qu un petit échantillon des possibilités proposées par les outils que vous utiliserez. Pour effectuer la plupart du travail demandé, il existe déjà d autres outils de configurations à priori plus simples (adduser, netconf...) et même des méta-outils comme linuxconf. De plus, la plupart des distributions proposent des outils graphiques de configuration du système. Le but de ce TP n est pas de savoir utiliser ces outils mais de comprendre les processus et les fichiers mis en jeu. Tous les outils que vous trouverez ne sont en fait que des interfaces qui modifient ces fichiers et lancent un certain nombre de démons/services. C est pourquoi il vous est demandé d effectuer manuellement les procédures de configuration. Pendant le TP, vous pouvez vous reporter à la documentation en ligne disponible avec les commandes info et man. Enfin n hésitez pas à aller plus avant dans l expérimentation des logiciels que vous allez utiliser : en effet, il vous faudra disposer dans l année d une machine opérationnelle, et vous n aurez alors plus le loisir de réaliser de tels essais. 1. pour les plus courageux, nous l avons pour le moment supprimé du sujet. 5/35

6 Conventions Vous rencontrerez durant la lecture du sujet différentes conventions typographiques. 1. Le signe : qui vous signale un point important. 2. Toute section délimitée par les deux lignes suivantes : Manipulation : représente une séquence de commandes à exécuter pour mener à bien le TP. Les commandes décrites dans les manipulations ne sont pas garanties exemptes d erreurs! Utilisez la complétion automatique offerte par bash (touche Tab). Avant de modifier un fichier, faites une copie de l original : cp fichier fichier.orig 6/35

7 Chapitre 2 Installation Vous allez installer une distribution GNU/Linux, en l occurrence une Ubuntu (natty) version Desktop, pour une architecture amd64. Les TIIR et IAGL vont être mélangés dans les deux salles. Vous devez être en binôme mixte par machine, un étudiant de TIIR et un étudiant d IAGL. Lors du TP, vous serez amenés à faire des manipulations entre deux binômes. Vous pouvez être seul plutôt qu en binôme ; cependant, vous ne devez pas vous retrouver à travailler avec un autre étudiant seul de votre promotion L installation pas à pas Booter la machine par le réseau L installation s effectue totalement à partir du réseau : il faut donc vérifier que le démarrage par le réseau est possible. Cela se configure dans le BIOS (appuyez sur F10 dès que la machine démarre, sans attendre d affichage) de la manière suivante : A chaque changement dans un menu, tapez bien sur F10 pour accepter les changements passez à Enabled le : Menu «Advanced»-> «Power-On Options»-> POST Messages passez à 10 secondes le délai dans : Menu «Advanced»-> «Power-On Options»-> POST Delay passez à Disabled le : Menu «Advanced»-> «Device Options»-> Internal Speaker vérifiez que le boot sur la carte réseau est activé : Menu «Security» -> «Network Boot» -> «Enabled» activez la virtualisation matérielle : Menu «Security» -> «System Security» -> «Virtualization Technology (VTx)» -> Enabled Menu «Security» -> «System Security» -> «Virtualization Technology Directed (I/O) (VTd)» -> Enabled reportez sur la feuille qui circule votre numéro de machine et le numéro de l adresse MAC de la carte réseau : Menu «File»-> «System Information»-> «Integrated Mac» dans le menu «File», sauvez et quittez la configuration du BIOS pour rebooter ; 7/35

8 Configuration DHCP Afin de lancer l installation par le réseau, nous devons ajouter votre adresse MAC au serveur DHCP. Si cela n est pas fait correctement, vous pourrez quand même lancer l installation, mais votre configuration réseau sera fausse. Attendez le feu vert de l enseignant avant de lancer l installation. Vous pouvez toutefois prendre de l avance en lisant le sujet Installation Une fois que l on vous le dira, redémarrez l ordinateur en appuyant sur F12 pour démarrer par le réseau. Choisissez d installer l Ubuntu Choix de la langue/installation Français, zone géographique (France/France). Répondez Non à la question «Détection automatique du clavier»/«detect Keyboard Layout», et choisissez France/France comme clavier Configuration réseau La configuration réseau se fait par DHCP, et le nom de votre machine et son IP doivent être déterminées automatiquement. Reportez-vous à la section Paramètres réseau pour vérifier le nom de votre machine. Le nom de votre machine doit être déterminé automatiquement (pcmixx ou pcmtxx). Si le nom de votre machine n est pas correct, avertissez votre professeur. Cela signifie qu il y a un problème avec le serveur DHCP, et vous allez perturber le réseau. Pour information, le nom de domaine et les serveurs DNS sont également fournis par le serveur DHCP Choix du miroir Version 64 bits Choisissez le miroir (France) et spécifiez comme mandataire celui de l université. Miroir : fr.archive.ubuntu.com Mandataire : Vous pouvez aussi utiliser d autres miroirs officiels Ubuntu. Dans ce cas, privilégiez les sites universitaires (ftp.u-picardie.fr, ftp.lip6.fr ou ftp.uvsq.fr) qui sont sur le réseau RE- NATER L horloge Acceptez la zone (Europe/Paris) qui vous est proposée. L installateur réseau récupère alors les paquets nécessaires à la suite. 8/35

9 Partitionnement du disque Le disque dur fait normalement 250 Goctets sur toutes les machines. Nous allons partitionner le disque afin de faire coexister Windows XP, une installation Ubuntu clonée (maintenue par les administrateurs), et une ou plusieurs installations locales (l Ubuntu Desktop de ce TP et éventuellement Ubuntu Server, Debian ou votre distribution préférée). La version clonée permettra d assurer un fonctionnement fiable de vos machines pendant l année, en vous laissant disposer par ailleurs d installations locales si vous voulez réaliser des tests. Choisissez le partitionnement manuel et supprimez toutes les partitions. Créez ensuite dans l ordre (choisir emplacement au «Début») les partitions suivantes : No Type Taille Système Point de Commentaires de fichier montage sda1 Primaire 60Go Ne pas utiliser Ne pas utiliser Windows XP natif sda2 Primaire 8Go Swap swap Partition d échange (commune) sda5 Logique 35Go Ext3 Ne pas utiliser Clone Ubuntu Desktop sda6 Logique 10Go Ext3 Ne pas utiliser Clone Ubuntu 32bits (pour TP Réseau) sda7 Logique 60Go Ext3 Ne pas utiliser Machines virtuelles Il est important que la table des partitions ait la structure ci-dessus pour assurer un fonctionnement correct du clonage automatique. Il nous reste environ 80Go pour réaliser les installations locales : pour pouvoir assurer leur amorçage par chaînage depuis la partition d amorçage clonée (sda5 que vous clonerez plus tard), il nous faut créer une seconde partition d amorçage sda8 sur laquelle sera également installé grub. C est la seule obligation qui est faite pour disposer d installations locales sans avoir à réinstaller grub à chaque fois. Nous suggérons donc pour la suite du TP le partitionnement suivant : sda8 Logique 25G Ext3 / TP Ubuntu Desktop (racine) sda9 Logique 1G Ext3 /export TP Ubuntu Desktop (partition NFS) Laisser le reste libre Les partitions sont alors crées, et le système de base est installé Mot de passe root-création d utilisateurs Sous Ubuntu, le mot de passe du compte root de la machine n est pas demandé à l installation. Il n est donc pas possible de se connecter via le compte administrateur de la machine que ce soit depuis un environnement graphique ou depuis une console texte. L installation crée donc un compte local qui peut prendre les droits administrateur en utilisant la commande sudo. Cette commande sudo permet non, seulement de lancer des commandes en tant que l utilisateur root, mais aussi en tant que n importe quel utilisateur de la machine. La syntaxe est la suivante : sudo -u <utilisateur> <commande> (quand l utilisateur n est pas précisé par l option -u, par défaut ce sont les identifiants de root qui sont utilisés). Enfin, sudo permet une configuration fine des droits d accès à des commandes pour certains utilisateurs ou groupes d utilisateur (par exemple pour permettre à des utilisateurs précis d utiliser une et une seule commande en tant qu administrateur, et non toutes). Créez donc un utilisateur d identifiant localuser avec un mot de passe non trivial, puisque cet utilisateur peut prendre les droits administrateur On rappelle que vous êtes responsables de tout ce qui provient de vos machines 9/35

10 Ne pas chiffrez pas le dossier personnel. A ce stade l installateur télécharge et installe de nouveaux composants Configuration de discover Choisissez «Installer les mises à jours de sécurité automatiquement» Sélection des logiciels Choisissez uniquement Ubuntu desktop en utilisant la touche espace (et pas Entrée). Ne rajoutez rien d autre ici (nous ferons les installations au fur et à mesure). A ce stade l installateur télécharge et installe les paquets restants, ce qui prend quelques minutes (à ce stade, le proxy de l université devrait «chauffer» un peu!). Confirmez enfin l installation de grub sur le secteur d amorçage du disque dur 2. Répondez Non à la question «L horloge système est-elle à l heure universelle (UTC)». En effet, Windows XP gère par défaut l heure locale. La machine reboote alors. Si vous avez oublié de sélectionner Ubuntu Desktop, vous pourrez lancer la commande tasksel une fois l ordinateur redémarré Connectez-vous ensuite en tant que localuser, en faisant attention à changer le nom de votre session de Ubuntu en Ubuntu Classique (en bas de l écran). 2. Par défaut, au démarrage, un ordinateur choisit de booter sur la partition «active». Ce comportement est déterminé par un programme appelé bootloader, écrit au tout début du disque dur (dans le MBR, Master Boot Record, du disque). grub remplace ce bootloader par défaut quand on l installe sur le MBR 10/35

11 Chapitre 3 Administration locale 3.1. Connexion administrateur Sous Ubuntu, il n est pas possible de se connecter directement sous le compte root que ce soit depuis un environnement graphique ou depuis une console texte. Les commandes nécessitant les droits administrateur doivent être exécutées par l intermédiaire de la commande sudo. Seuls les utilisateurs listés dans le fichier /etc/sudoers ont le droit d utiliser la commande sudo et donc d exécuter des commandes d administration sous le compte root. L utilisation de sudo permet de fixer exactement les utilisateurs ayant des privilèges d administrateur (les réglages dans le fichier /etc/sudoers peuvent être affinés), évite de distribuer le mot de passe de root et facilite également la traçabilité des connexions en tant qu administrateur. Pour exécuter une commande nécessitant les droits administrateur, il suffit donc de la faire précéder de sudo : > more /etc/sudoers /etc/sudoers: Permission denied > sudo more /etc/sudoers Password: La commande sudo demande le mot de passe de l utilisateur courant (et non pas celui de root), pour éviter qu une personne mal intentionnée agisse physiquement depuis une console ou un terminal qu il n a pas ouvert. Pour éviter d avoir à taper un mot de passe à chaque commande, l option -s de sudo permet de lancer un shell et donc d obtenir un terminal dans lequel vous êtes connecté sous root. Pour obtenir un terminal avec les droits administateur, utilisez la commande sudo -i dans un terminal ordinaire Configuration des logiciels Configuration des logiciels : 1. Obtenir les mises à jour : Normalement, le mandataire (proxy) pour apt est configuré pour utiliser celui de l université. Vérifiez que le fichier /etc/apt/apt.conf contient bien 11/35

12 Acquire:: " Lancez ensuite apt-get update 1 et consultez les mises à jour proposées avec apt-get -s upgrade 2. Si aucun paquetage ne semble poser de problèmes, lancez apt-get upgrade pour effectuer réellement la mise à jour. Rebootez si l upgrade vous le demande. 2. Configuration de NTP (Network Time Protocol) : Supposons que machine1 indique 10h40 et machine2 10h50 : lorsque l on accède par nfs sur machine1 aux fichiers exportés par machine2, on peut obtenir des fichiers créés dans le futur. Ceci ne va pas sans poser problème à un certain nombre d outils, tel make, qui ne savent plus comment réagir. La solution consiste à synchroniser les horloges à une horloge commune grâce à NTP. Installez le paquetage openntpd (si ce n est déjà fait) et modifiez le fichier /etc/openntpd/ntpd.conf pour qu il se serve uniquement de ntp.univ-lille1.fr comme serveur. Relancez le démon openntpd avec /etc/init.d/openntpd restart. Ainsi votre machine sera mise à l heure automatiquement. Réglez la date et l heure depuis le bureau (faites-le d abord manuellement si la différence est supérieure à 15 minutes). Ainsi votre machine sera mise à l heure automatiquement. Regardez le fichier /var/log/syslog avec la commande tail -f /var/log/syslog et attendez quelques minutes que ntpd indique des informations sur la remise à l heure. 3. Proxy (mandataire) : Configurez le mandataire système depuis le menu Système -> Préférences -> Serveur mandataire (configuration manuelle, et cocher utiliser le même mandataire pour tous les protocoles). Cliquez sur «Appliquer à l ensemble du système». Vérifiez que ça fonctionne en lançant Firefox. Testez également que wget fonctionne en tapant la commande wget qui doit sauvegarder un fichier index.html. Pour information, wget est un utilitaire permettant de charger les pages en utilisant le protocole http Création de comptes utilisateurs Bien que vous ayez créé un utilisateur durant la procédure d installation, vous allez ensuite créer vos comptes. Un utilisateur est caractérisé par un numéro d utilisateur (user_id). De plus, chaque utilisateur possède un nom de login, un numéro de groupe (group_id), un répertoire, un shell utilisé lors de la connexion et un nom complet. Votre user_id ne doit pas rentrer en conflit avec celui de vos voisins. De plus, pour être sûr de ne pas avoir de user_id déjà utilisé par le système, il faut prendre un entier supérieur à Enfin le serveur LDAP attribue actuellement des user_id compris entre 6000 et Une solution est de commencer par 60 concaténé au numéro de votre machine (de 01 à 24) concaténé à 0 pour le premier utilisateur et à 1 pour le second 3. Pour votre login, commencez par un petit l (attention, c est la lettre l minuscule, pour local), ajoutez la première lettre de votre prénom et terminez par votre nom de famille. 1. Mise à jour du cache des paquets : à faire après toute modification des sources de paquets 2. L option -s permet d effectuer une simulation de la mise à jour. Notez que Synaptic, le gestionnaire de paquets Debian, a éventuellement déjà dû vous prévenir de ces mises à jour quand vous vous êtes connecté. 3. Ce qui donne et pour les utilisateurs de la machine 4, et pour ceux de la machine /35

13 En ce qui concerne les groupes d utilisateurs, vous utiliserez deux groupes unix : lmasteriagl et lmastertiir. Comme précédemment, c est bien un l minuscule pour les deux noms de groupe. Le group_id de ces groupes sera respectivement et Comme shell, bash semble être un bon choix. Enfin le nom complet est une chaîne de caractères du type : Prénom Nom Structure et création des comptes La structure des répertoires de travail est décrite par la Figure 3.1. Vous devez donc créer votre répertoire de travail dans le répertoire correspondant à votre groupe. Le nom de ce répertoire doit correspondre à votre nom de login. Normalement, lors du partitionnement, vous n avez pas créé de partition spécifique pour les utilisateurs, mais seulement une partition d exportation /export. Vous allez créer l arborescence des répertoires utilisateurs dans cette partition (pour l exporter par la suite), puis ajouter un lien symbolique /home depuis la racine vers la racine de cette arborescence /export/home. / export home home lmastertiir lmasteriagl lusertiir luseriagl Figure 3.1 Répertoire utilisateurs Création des comptes : 1. Créez les groupes lmasteriagl et lmastertiir dans /etc/group. Ajoutez les deux lignes suivantes : lmasteriagl::60000: lmastertiir::61000: 2. Créez des utilisateurs dans /etc/passwd. Ajoutez des lignes de la forme : nom_de_login:mot_de_passe:user_id:group_id:nom_complet:répertoire:shell Le champ mot_de_passe devrait contenir le mot de passe crypté mais, pour des raisons de sécurité, ceux-ci sont désormais dans le fichier /etc/shadow (ce fichier n étant pas lisible par les utilisateurs ordinaires). Le champ des mot_de_passe dans /etc/passwd doit contenir juste la lettre x. 3. Création des mots de passe dans /etc/shadow. Ajoutez des lignes de la forme : nom_de_login:mot_de_passe:last_change:min_change:max_change:\ warn_change:defer_change:expire:reserved 13/35

14 Le mot de passe étant crypté, vous ne pouvez le créer directement : il faut utiliser la commande passwd. Laissez donc ce champ vide pour l instant. Les autres champs, à partir de last_change, contrôlent la validité du mot de passe et du compte dans le temps. Si vous ne voulez pas vous en occuper, laissez tous ces champs vides (pas de contrôle). 4. Mettez à jour les mots de passe pour chaque nouvel utilisateur par la commande passwd. 5. Terminez votre session gnome en tant que localuser, connectez-vous sur une console (Ctrl+Alt+F1) et renommez le répertoire /home actuel en /localhome. Modifiez /etc/passwd pour que localuser se logue dans le répertoire /localhome/localuser. Le répertoire /home n existe plus à ce stade. 6. Créez les répertoires des utilisateurs et mettez à jour les droits d accès à ces répertoires (à savoir : changez le propriétaire et son groupe par la commande chown et changez les droits par la commande chmod). On prend ici l exemple d un utilisateur user appartenant au groupe lmastertiir. > mkdir -p /export/home/lmastertiir/user > chown user:lmastertiir /export/home/lmastertiir/user > chmod 755 /export/home/lmastertiir/user 7. Il reste à créer le lien symbolique /home vers /export/home : > ln -s /export/home /home Remarques : dans /etc/skel/, vous trouverez normalement des exemples génériques de scripts de login. même s il est possible de gérer les utilisateurs et les groupes à la main dans un système Linux, il est mieux d utiliser les commandes du système pour faire cette gestion. Les commandes pour les utilisateurs sont : useradd, userdel, usermod et pour les groupes : groupadd, groupmod, groupdel À ce stade, chacun d entre vous peut se connecter avec un compte personnel sur la machine qu il a installée et dispose également d un espace personnel sur cette machine dans le répertoire /home. 14/35

15 Chapitre 4 Administration réseau La configuration «réseau» va mettre en jeu deux machines. Organisez-vous pour trouver une machine voisine (car vous aurez besoin de discuter) avec qui travailler. Ainsi, dans toute la suite, machine1 et machine2 désignent les noms de vos deux machines sans le nom du domaine. En salle 015, ce serait par exemple pcmi9 et pcmi10. En salle 117, ce serait par exemple pcmt1 et pcmt2. Ces deux machines (machine1 et machine2) sont respectivement les machines des binômes constitués de tiir1 et iagl1, et de tiir2 et iagl2. Il s agit ici de faire en sorte que les quatre utilisateurs puissent se connecter indifféremment sur les deux machines en trouvant leurs environnements de travail habituels. Il faudra donc arriver à ce que la structure des répertoires utilisateurs soit celle de la Figure 4.1 sur les deux machines. / home lmastertiir lmasteriagl lusertiir1 lusertiir2 luseriagl1 luseriagl2 Figure 4.1 Répertoires utilisateurs unifiés 4.1. Connexion à distance Comme il n est pas toujours possible d être devant sa machine, il est agréable de pouvoir s y connecter à distance. Pour cela, nous allons installer différents types de serveurs et nous verrons alors les problèmes de sécurité sous-jacents Les connexions «textes» Dans un premier temps, vous allez utiliser une simple connexion par telnet. telnet n est pas un protocole sécurisé et les mots de passe circulent «en clair» sur le réseau. Pour vous en convaincre vous «snifferez» les mots de passe avec le logiciel ettercap. Vous passerez ensuite à 15/35

16 une connexion de type ssh. ssh repose sur la technologie des clés publiques / clés privées. La clé publique sert à chiffrer des messages que seule la clé privée peut déchiffrer. Pour authentifier une personne, il suffit de chiffrer une phrase avec sa clé publique, car on sait que seule la personne ayant la clé privée pourra le déchiffrer. Connexions «textes» : 1. Connexion telnet Installez un serveur telnet sur machine1, puis vérifiez que vous pouvez vous connecter en tant que simple utilisateur à partir de machine2. 2. Installez le logiciel ettercap sur une des 2 machines, et faites la manipulation suivante : > ettercap -C Sniff Unified Sniffing Start Start Sniffing 3. Reconnectez-vous, votre mot de passe apparaîtra alors dans ettercap. 4. Connexion ssh Installez ssh si ce n est déjà fait (apt-get install openssh-server) sur machine1 et machine2, lancez le démon ssh (/etc/init.d/ssh start) sur une machine, connectez-vous depuis l autre machine. Vous ne verrez alors plus le mot de passe en clair dans ettercap. NB Notez que le mot de passe utilisé lors de connexions ftp apparaît aussi dans ettercap. ftp n est pas un protocole sécurisé. Il faut utiliser sftp Les connexions «graphiques» Il n est pas toujours agréable d utiliser une connexion «texte». Heureusement il existe plusieurs manières simples d obtenir des applications X depuis une machine distante. Connexion directe à un serveur X Localement, sur votre machine, vous exécutez un serveur X. Il est possible de dire à une application, même tournant sur une machine distante, de se connecter à votre serveur X (c est la motivation même de la création du protocole XWindow). Les manipulations décrites ici concernent un étudiant connecté sur machine1, souhaitant exécuter une application (xeyes) sur machine2, et dont le résultat s affichera sur machine1. Connexion directe à un serveur X : 1. Sur machine1, configurez le Gnome Display Manager gdm : > gdmsetup Dans «Sécurité» décochez : «Refuser les connexions TCP au serveur X». Puis relancez le serveur X. 2. Nous autorisons ensuite (sur machine1) les connexions au serveur X depuis machine2. Puis on se connecte sur machine2. > xhost machine2 > ssh machine2 16/35

17 XSERVER pcmi1:0 port 6000 xeyes Terminal pcmi1 telnet, ssh, rlogin, etc... Shell pcmi2 Figure 4.2 Connexion à un serveur X distant 3. DISPLAY est une variable d environnement spécifiant l écran (au sens XWindow) et la machine sur lequel afficher les applications XWindow. Cette variable est utilisée par défaut par toute (bonne) application XWindow. Sur machine2 : > export DISPLAY=machine1:0 > xeyes & Le résultat (une paire d yeux) doit s afficher sur machine1. Connexion à un serveur X via un tunnel ssh Lors de votre connexion distante sur machine2, ssh va simuler un serveur X local qui sera en réalité l entrée d un tunnel vers votre serveur X sur machine1. XSERVER :0.0 XSERVER localhost:10 ssh sshd xeyes Terminal Shell pcmi1 pcmi2 Figure 4.3 Connexion à un serveur X à travers un tunnel ssh Connexion à travers un tunnel ssh à un serveur X : 1. Sur machine2 : vérifiez le fichier /etc/ssh/sshd_config que le serveur ssh accepte dans le X11Forwarding. Si ce n est pas le cas remplacez «ForwardX11 no» par «ForwardX11 yes», et relancez ce démon (/etc/init.d/ssh restart). 2. Sur machine1, connectez-vous à machine2 par ssh avec un tunnel pour X 17/35

18 > ssh -X machine2 3. Vous pouvez observer dans votre shell ssh de connexion la valeur de la variable DISPLAY qui a été positionnée par ssh. > echo $DISPLAY > xeyes & La valeur de DISPLAY vous montre que le serveur X est local à machine2. Mais l affichage se fait bien sur machine1 par le tunnel X ssh. Question : Ces deux manipulations semblent similaires, pourtant l une est beaucoup plus avantageuse que l autre. Laquelle? et pourquoi? NB : Linux dispose par défaut de 6 consoles textes virtuelles auquel on accède par Ctrl+Alt+Fn (avec n variant de 1 à 6). Sur la 7 e console, vous trouverez votre connexion X locale. Sur les consoles suivantes (jusque 12), vous pouvez trouver d autres connexions X : vous pouvez par exemple lancer plusieurs serveurs X sur une même machine, ce qui est notamment pratique si une personne a verrouillé sa session X en partant. startx -- :2 lance un serveur sur la console 9. Il est également possible de lancer un serveur X à distance par le protocole XDMCP. Dans tous les cas, pour terminer une connexion X, appuyez sur Ctrl+Alt+Backspace (qui constitue en fait un moyen de tuer un serveur X). Remarquez que cette combinaison de touche tend à disparaître dans les nouvelles versions de X Partage de fichiers Nous allons dans cette partie partager des données entre machines, et entre systèmes d exploitation Montages NFS Le partage de fichiers entre postes Linux et plus particulièrement le partage de répertoires utilisateurs peut se faire en utilisant les montages NFS. Une machine devra : rendre visibles les répertoires des utilisateurs locaux. La machine se comporte comme un serveur de fichiers et devra donc exporter ses disques pour les machines clientes ; accéder aux disques des machines distantes pour accéder aux répertoires des autres utilisateurs. La machine se comporte alors comme un client et devra monter les disques des machines serveurs. Pour satisfaire ces deux aspects (une machine est à la fois client et serveur NFS), on se propose d utiliser la structure de système de fichiers de la Figure 4.4. On efface le lien de /home vers /export/home et on crée un vrai répertoire à la place. Le répertoire /home des machines doit contenir deux répertoires lmastertiir et lmasteriagl. Chacun de ces répertoires ne contiendra alors que des liens symboliques (en traits pointillés sur la figure) vers les comptes locaux (montés physiquement sous le répertoire /export/) ou un montage NFS (en traits pleins sur la figure) vers les comptes distants. Exemple de configuration de la machine machine1. De /home à /export/home : 1. Recréez /home : 18/35

19 PCMI 1 PCMI 2 / export / export home home home home lmastertiir lmasteriagl lmastertiir lmasteriagl lmastertiir lmasteriagl lmastertiir lmasteriagl lusertiir1 lusertiir2 luseriagl1 luseriagl2 lusertiir1 luseriagl1 lusertiir1 lusertiir2 luseriagl1 luseriagl2 lusertiir2 luseriagl2 Figure 4.4 Structure globale du système de fichiers des répertoires utilisateurs > rmdir /home > mkdir /home > mkdir /home/lmastertiir > mkdir /home/lmasteriagl 2. Créez les liens vers les comptes locaux > cd /home/lmastertiir > ln -s /export/home/lmastertiir/lusertiir1 lusertiir1 > cd /home/masteriagl > ln -s /export/home/lmasteriagl/luseriagl1 On va ensuite configurer la machine machine1 comme étant un serveur de fichiers NFS (pour que machine2 puisse accéder aux comptes de lusertiir1 et luseriagl1). Pour cela, il faut modifier le fichier /etc/exports qui contient la liste des systèmes de fichier dont on autorise l accès par NFS. Pour prendre en compte les modifications de /etc/exports, il faut relancer les démons NFS qui sont respectivement chargés de répondre aux requêtes de montages NFS et aux requêtes d accès aux fichiers via NFS. Aspect serveur (machine1) : 1. Installez le paquetage nfs-kernel-server. 2. Modifiez le fichier de configuration /etc/exports. #Volume Machines autorisées à monter(options) /export/home machine2.fil.univ-lille1.fr(rw,sync, no_subtree_check) 3. Vérifiez les droits sur le fichier /etc/exports. > chmod 644 /etc/exports 4. Tuez puis relancer le démon nfs > /etc/init.d/nfs-kernel-server stop > /etc/init.d/nfs-kernel-server start 5. Vérifiez l exportation en utilisant la commande showmount. 19/35

20 > showmount -e Export list for machine1.fil.univ-lille1.fr: /export/home machine2.fil.univ-lille1.fr Il n y a pas de configuration spécifique pour qu une machine se comporte comme un client NFS (à part bien sûr le fait que le noyau ait été compilé pour). Il suffit simplement d effectuer le montage par la commande mount. Aspect client (machine1) : 1. Créez les points de montage : > mkdir /home/lmastertiir/lusertiir2 > mkdir /home/lmasteriagl/luseriagl2 2. Vérifiez que machine2 exporte correctement sa partition /export en utilisant la commande showmount : > showmount -e machine2.fil.univ-lille1.fr Export list for machine2.fil.univ-lille1.fr: /export/home machine1.fil.univ-lille1.fr 3. Réalisez le montage avec la commande mount : > mount -t nfs machine2:/export/home/lmasteriagl/iagl2 /home/lmasteriagl/iagl2 > mount -t nfs machine2:/export/home/lmastertiir/tiir2 /home/lmastertiir/tiir2 4. Vérifiez l exportation en utilisant la commande showmount sans option. > showmount machine2.fil.univ-lille1.fr machine1.fil.univ-lille1.fr Partage de fichier avec Samba (optionnel) Samba est un serveur de fichiers pour Linux (en licence GNU GPL, donc libre) compatible avec les réseaux Microsoft Windows. C est-à-dire qu il permet de partager les fichiers et les imprimantes d un serveur linux avec les ordinateurs d un réseau Microsoft Windows, et ceci de manière totalement transparente. Configuration d un serveur samba : 1. Installez samba sur une des deux machines. Vous choisirez de lancer samba comme un démon autonome et non comme une part du super démon inetd ; 2. Éditez le fichier /etc/samba/smb.conf et configurez le partage de votre répertoire /export de manière à ce qu il soit accessible à tous et sans mot de passe. Pour cela vous prendrez soin entre autres choses de vérifier les points suivants : (a) le niveau de sécurité qui doit être «share», nous n utiliserons pas d authentification au cours de cette rapide présentation de samba 1 ; (b) le workgroup qui doit être identique à celui du poste Windows ; (c) l encodage des caractères : 1. Mais rien ne vous empêche d essayer. Faites-nous signe. 20/35

21 Conclusion dos charset = 850 unix charset = ISO Relancez le démon samba. 4. Redémarrez l autre machine sous Windows ; 5. Vérifiez que vous avez accès à votre partage Samba depuis votre poste Windows. Soit en regardant le «voisinage réseau», soit en vous connectant directement à un lecteur réseau. Le partage de fichiers est très pratique et facile à mettre en œuvre, mais il pose un problème de sécurité évident : le respect des droits Unix. Avec Samba et un partage de fichiers sans authentification, il est facile pour n importe qui d effacer vos données. Pour NFS, le problème est légèrement différent puisque les fichiers appartiennent à la personne ayant un «uid» correspondant au propriétaire initial. La solution pour Samba passe par l authentification, mais nous n étudierons pas cette possibilité. Pour NFS, nous allons voir comment résoudre le problème dans la section suivante Authentification distante Authentification globale Pour l instant, les différents utilisateurs sont déclarés localement sur chaque machine. Une opération de connexion à distance ssh est impossible : si lusertiir1 exécute ssh lusertiir1@machine2 il ne pourra pas se connecter. En effet la table des mots de passe de chaque machine ne contient que les utilisateurs locaux à la machine, les utilisateurs de l autre machine sont inconnus. Ce problème est résolu en créant des tables globales de mots de passe contenant, entre autres, les quatre utilisateurs des deux machines. Pour cela, il faut isoler la partie concernant les utilisateurs locaux dans les tables des mots de passe (recopier ces lignes dans des fichiers passxx et shadxx où XX est le numéro de la machine concernée). L échange de ces fragments de table se fera en utilisant les répertoires partagés par NFS. Donnez-leur les noms nom_machine.passwd et nom_machine.shadow. Ceci étant fait, il suffit d aller chercher les fragments de l autre machine et de concaténer ceux-ci à la fin des tables des mots de passe de votre machine. Échange des tables de mots de passe : 1. Commencez sur machine1 : Isolez les lignes contenant les utilisateurs tiir1, et iagl1 dans les fichiers /tmp/machine1.passwd et /tmp/machine1.shadow. 2. Copiez-les sur /export/home/ (temporairement). 3. Récupérez les extraits de tables machine2.passwd et machine2.shadow (placés par le binôme machine2). 4. Concaténez les extraits machine2.passwd et machine2.shadow aux fichiers locaux /etc/passwd et /etc/shadow. > cat /tmp/machine2.passwd >> /etc/passwd > cat /tmp/machine2.shadow >> /etc/shadow 5. Un peu de ménage. 21/35

22 > rm /tmp/machine2.passwd /tmp/machine2.shadow 6. Il faut faire la manipulation en parallèle sur machine2. Une fois que vous avez fait cette manipulation sur les deux machines, il est possible aux quatres utilisateurs de se connecter sur n importe laquelle des deux machines. Cependant l espace utilisateur de machine1 n est pas toujours disponible sur machine2 (et inversement). Par exemple si tiir1 exécute ssh tiir1@machine2, il obtient le message suivant (dès lors que le montage nfs n est plus actif) : No directory /home/lmastertiir/lusertiir1! Logging in with home = "/" Montages automatiques La configuration de nfs fonctionne donc bien, cependant ces montages n ont pas été ajoutés dans /etc/fstab : ils ne seront donc pas fait automatiquement lors d un prochain redémarrage de la machine. Une solution serait donc de rajouter la ligne idoine dans /etc/fstab ; les montages deviennent alors fixes. L inconvénient de cette méthode est que si l on veut généraliser ce mécanisme aux montages de tous les répertoires utilisateurs (48 + les enseignants) des vingtquatre machines, on multiplie alors sérieusement le nombre de montages fixes, la plupart du temps inutiles. La solution que nous allons utiliser consiste à employer un démon automonteur. Ce démon ne réalise les montages que lorsqu ils deviennent nécessaires (par utilisation du répertoire) et démonte ensuite automatiquement les montages inutilisés depuis un certain temps. Installation d autofs : 1. Vérifiez que vous avez bien activé le support d autofs 4 lors de la compilation de votre noyau (si vous l avez recompilé) ; 2. Installez le paquetage autofs. Pour configurer autofs, les fichiers suivants sont nécessaires : /etc/init.d/autofs : ce fichier sert à lancer l automonteur au démarrage du système et à l arrêter à l arrêt du système ; /etc/auto.master : fichier de configuration des points de montage /etc/auto.net : programme de gestion des montages du type host /etc/auto.misc : autre exemple pour monter la disquette, le CDRom... Configuration de l automonteur : 1. Modifiez /etc/auto.master pour qu il contienne les lignes suivantes /home/masteriagl /etc/autofs/auto.homeiagl /home/mastertiir /etc/autofs/auto.hometiir Les lignes ajoutées à auto.master spécifient au démon automount que : les montages à réaliser pour mettre à jour le répertoire /home/lmasteriagl sont décrits dans le fichier /etc/autofs/auto.homeiagl les montages à réaliser pour mettre à jour le répertoire /home/lmastertiir sont décrits dans le fichier /etc/autofs/auto.hometiir 22/35

23 Chacun de ces fichiers s appelle une «map» et contient des lignes de la forme clé device à monter Par exemple, le fichier /etc/autofs/auto.homeiagl va contenir : luseriagl1 machine1:/export/home/lmasteriagl/luseriagl1 luseriagl2 machine2:/export/home/lmasteriagl/luseriagl2 luseriagl1 et luseriagl2 sont des clés, et la première ligne spécifie que lorsque l on traverse le répertoire désigné par la clé luseriagl1, il faut monter machine1:/export/home/lmasteriagl/luseriagl1. La clé fait référence au répertoire utilisé dans auto.master (/home/lmasteriagl) et y est simplement concaténée : le répertoire désigné par la clé est donc /home/lmasteriagl/luseriagl1. Le type des montages n est pas précisé car, par défaut, il est de type NFS quand le répertoire vient d une autre machine, et de type lien symbolique quand le répertoire vient de la même machine. Ce mécanisme permet de pouvoir avoir des maps identiques sur l ensemble des machines d un réseau (c est autofs qui testera si il est sur machine1 ou machine2 quand il montera machine1:/export/home/lmasteriagl/luseriagl1). Configuration de l automonteur-suite : 1. Créez le fichier /etc/autofs/auto.homeiagl qui va contenir : luseriagl1 machine1:/export/home/lmasteriagl/luseriagl1 luseriagl2 machine2:/export/home/lmasteriagl/luseriagl2 2. Créez de même le fichier /etc/autofs/auto.hometiir : lusertiir1 lusertiir2 machine1:/export/home/lmastertiir/lusertiir1 machine2:/export/home/lmastertiir/lusertiir2 Vous pouvez maintenant réinitialiser le système pour voir si cette étape fonctionne bien. À ce stade, les quatre utilisateurs doivent pouvoir se connecter sur n importe laquelle des deux machines, leurs répertoires de travail respectifs étant effectivement montés automatiquement Sécurité/Pare-feu Vous allez désormais configurer un pare-feu très simple pour sécuriser un peu votre installation. Le pare-feu de linux pour les noyaux des séries 2.4 et 2.6 s appelle netfilter, il est accessible via la commande iptables. Netfilter est le seul pare-feu sous linux mais il existe un grand nombre d outils pour le configurer ce qui lui donne de multiples aspects (shorewall par exemple). Nous nous contenterons de voir une manipulation basique du pare-feu à partir de la commande universelle iptables. La politique par défaut du pare-feu Manipulation : 1. Regardez tout d abord l état actuel de votre pare-feu : > iptables -L -v 23/35

24 On voit que les chaînes INPUT, OUTPUT et FORWARD acceptent tout par défaut. 2. Refusons désormais par défaut toute connexion en entrée. > iptables -P INPUT DROP Regardez le résultat produit avec la commande ssh. 3. Recommencez mais en bloquant cette fois-ci la chaîne de sortie. Quelle est la différence pour ssh? Bloquer un port Revenez en configuration initiale et bloquez votre serveur telnet en bloquant le port 23. Manipulation : 1. Redonnez à vos chaînes la politique ACCEPT par défaut 2. Bloquer un port se fait en choisissant une chaîne (INPUT, OUTPUT,...), un protocole (TCP, UDP), le port lui même (la correspondance numéro de port / service se trouve dans le fichier /etc/services) > iptables -A INPUT --proto tcp --destination-port telnet -j DROP 3. En vérifiant vous verrez que personne, même pas vous, n a le droit de faire un simple telnet. Bloquer une interface Il est possible d interdire les connexions extérieures tout en s autorisant la connexion à son propre serveur telnet. Ceci est possible en interdisant les paquets provenant d une interface réseau particulière. Manipulation : 1. Vous obtiendrez la liste des interfaces de votre système en utilisant la commande ifconfig (ou la commande ip qui regroupe maintenant toutes les commandes de configuration réseau). > ifconfig À chaque interface est associé une adresse IP, l interface eth0 est votre interface de connexion à l extérieur (eth = ethernet), et l interface lo est l interface de connexion locale (lo = localhost). 2. Enlevez la règle précédente : > iptables -F > iptables -X 3. Interdisez les connexions sur votre port telnet en provenance de l interface eth0. > iptables -A INPUT -i eth0 --proto tcp --destination-port telnet -j DROP Vous êtes uniquement autorisé à faire un telnet à partir de la machine elle-même. Bloquer une adresse IP Question : A vous d autoriser uniquement la machine de votre binôme. Vous devrez pour cela utiliser son adresse IP, mais pourtant en quoi cela n est il pas fiable? 24/35

25 Chapitre 5 Virtualisation 5.1. KVM KVM (Kernel-based Virtual Machine) est une machine virtuelle libre pour Linux. Elle fonctionne sur les architectures x86 disposant des technologies Intel VT ou AMD SVM (AMD-V). Le but de cette section est de montrer qu on peut lancer et installer des machines virtuelles en tant que simple utilisateur local. Vous ferez donc toute cette section (à l exception de quelques commandes) sous votre compte créé en section 3.3, désigné par linvite dans la suite Préparation de KVM Il faut d abord vérifier que votre machine supporte KVM. Ces commandes de préparation doivent se faire en tant que localuser. Préparation de KVM : 1. Vérifiez que votre processeur dispose des flags vmx ou svm avec la commande egrep ^flags.*(vmx svm) /proc/cpuinfo. 2. Installez les paquetages kvm et kvm-pxe (sudo apt-get install kvm kvm-pxe). 3. Vérifiez que le module kvm_intel ou kvm_amd est bien chargé (utilisez sudo lsmod). C est ce module qui est chargé par défaut qui permet d utiliser KVM. 4. Ajoutez l utilisateur linvite au groupe kvm en utilisant la commande adduser (voir le man). 5. Déconnectez/reconnectez linvite pour mettre à jour vos groupes (tapez groups pour vérifier que linvite fait bien partie du groupe kvm). 6. Créez un répertoire /vservers appartenant au groupe kvm et donnez les droits d écriture au groupe kvm (vous utiliserez les commandes mkdir, chgrp et chown). Vérifiez que la commande ls -ld /vservers ressemble bien à drwxrwxr-x 3 root kvm :52 /vservers/ Dans toute la suite de ce chapitre, vous devez maintenant être connecté en linvite. 25/35

26 Création d une machine virtuelle Windows Nous allons maintenant installer un Windows XP depuis Ubuntu! Création de la machine virtuelle : 1. Créez un fichier /vservers/winxp1.raw qui contiendra le disque dur de la machine virtuelle Windows avec qemu-img create /vservers/winxp1.raw 4G 2. Comparez les résultats des commandes du /vservers/winxp1.raw et ls -l /vservers/winxp1.raw. Est-ce surprenant? 3. Récupérez l image ISO d un CD windows, qui devrait circuler dans la salle sur une clé USB. > mkdir /vservers/img > cp /media/.../winxp-install.iso /vservers/img Pour information, cette image ISO a été créée à partir d un cd, avec la commande > dd if=/dev/cdrom of=winxp-install.iso 4. Si vous êtes doué et partageur (!), exportez votre répertoire /vservers/img/ par NFS pour éviter à vos collègues d attendre la clé. 5. Lancez l installation de XP avec > kvm -m 512 -cdrom /vservers/img/winxp-install.iso -boot d /vservers/winxp1.raw et profitez de cet instant d installation pour comprendre les paramètres de la commande kvm que vous venez de lancer. 6. Choisissez formatage de tout le disque en ntfs rapide (la taille du disque dur était-elle prévisible?). 7. Une fois l installation terminée, arrêtez XP Lancement de XP Nous allons lancer XP et tester le réseau auquel il a accès. Lancement XP et réseau : 1. Lancez XP avec kvm -m 512 /vservers/winxp1.raw 2. Vérifiez que vous disposez d un réseau (avec les commandes ipconfig /all, ping,... ) 3. Que donne la commande nslookup Qu est-ce que cela implique? 4. Testez route PRINT? Analysez la sortie. 5. Testez ping Qui est ? 6. Configurez le proxy de Internet Explorer en utilisant le cache-etu. Vous devriez avoir accès au Web. 7. Par quel procédé technique XP a-t-il accès au Web? 8. Téléchargez et installez Firefox. 9. Arrivez-vous à ping-er XP depuis la machine hôte? 10. Désactivez le pare-feu de XP, et réessayez. Est-ce que ça fonctionne? 26/35

27 Mise en réseau - mode pont Nous allons maintenant intégrer la machine virtuelle XP au réseau local *. Afin de libérer une adresse IP, vous allez fonctionner par binôme de machine, et vous éteindrez l interface eth0 de machine1 pour réutiliser son IP. Commencez par installer les paquetages uml-utilities et dnsmasq-base. Mode pont (commandes à réaliser en localuser) : 1. Éteignez vos machines virtuelles XP. 2. Éteignez l interface eth0 de machine1 et récupérez son adresse MAC (notée <MAC> dans la suite). 3. Sur machine2, nous allons créer un pont qui va contenir à la fois l interface (physique) eth0 et l interface virtuelle de XP (attention, le réseau de votre machine va être coupé lors des commandes suivantes, à quel endroit?) > sudo ifconfig eth > sudo brctl addbr pont > sudo brctl addif pont eth0 > sudo ifconfig pont up > sudo dhclient pont > sudo tunctl -b -u linvite # tunctl vous affiche alors un nom d interface (du style tap0) # qu il faut utiliser dans les commandes ci-dessous à la place de <TAP> > sudo brctl addif pont <TAP> > sudo ifconfig <TAP> up 4. Expliquez chacune des commandes précédentes. 5. Faites un dessin récapitulant la nouvelle configuration du réseau et appelez-nous. Vous pouvez maintenant lancer XP et tester le réseau. XP et test du réseau : 1. Lancez XP avec > kvm -m 512 /vservers/winxp1.raw -net nic,macaddr=<mac> -net tap,ifname=<tap>,script=no Ignorez le message d erreur can t delete tap0 from eth0: Operation not supported lorsque vous quittez windows. 2. Vérifiez la configuration du réseau. Pourquoi XP a-t-il récupéré l adresse IP de la machine que vous aviez coupée? 3. Testez que vous pouvez bien accéder à la machine XP depuis la machine hôte Linux en installant un serveur Apache sous XP, et en y accédant depuis la machine Linux. Pour cela, vous changerez obligatoirement le fichier index.html par défaut de Apache pour y mettre un message plus personnalisé que It works! 4. Pouvez-vous maintenant faire un ping sur XP depuis la machine hôte? 5. Demandez à une autre machine dans la salle d accéder à votre serveur Apache en vérifiant qu il reçoit bien le bon message de bienvenue. 27/35

28 Remise en état du réseau : 1. quelles commandes faut-il taper pour remettre votre réseau en état? 2. appelez-nous pour vérifier. Au pire redémarrer l interface réseau devrait fonctionner Mise en réseau - mode NAT Dans cette partie, vous pouvez à nouveau fonctionner par binôme sur votre machine. Vous devez vérifier que vous avez récupéré une configuration normale et que les machines virtuelles XP sont bien éteintes. Utilisez pour cela les commandes brctl show, ifconfig, route -n,... Nous allons créer un réseau local à la machine dans lequel nous allons mettre deux machines virtuelles XP. Préparation du réseau (en localuser) : 1. En tant que linvite, créez d abord la deuxième machine XP avec la commande cp /vservers/winxp1.raw /vservers/winxp2.raw. Le clonage devient un jeu d enfant grâce à la virtualisation! 2. Les commandes qui suivent sont à faire en localuser. 3. Créez un pont dans un nouveau réseau local en * avec (à réaliser en localuser) > sudo brctl addbr virbr0 > sudo ifconfig virbr0 up > sudo ifconfig virbr netmask Lancez sudo brctl show et sudo route -n et essayez de faire le lien avec les trois commandes précédentes. 5. Lancez un serveur DHCP minimal qui fournira des IP à vos machines XP. Ce serveur ne fonctionne que sur notre réseau local (la commande fait une seule ligne) : > sudo dnsmasq --strict-order --bind-interfaces --conf-file= --listen-address except-interface lo --dhcp-range , dhcp-lease-max= Réservez deux interfaces de type tap, en vous servant de sudo tunctl -b -u linvite. Ces deux interfaces sont nommées <TAP1> et <TAP2> dans la suite (vous pouvez aussi réutiliser l interface <TAP> que vous aviez déjà créée). 7. Ajoutez ces interfaces au pont et activez les > sudo brctl addif virbr0 <TAP1> > sudo brctl addif virbr0 <TAP2> > sudo ifconfig <TAP1> up > sudo ifconfig <TAP2> up 8. Lancez sudo brctl show et sudo ifconfig pour contrôler ce qui se passe. Lancement des XP : 28/35

29 1. Lancez le premier XP avec la commande (<XX> désigne les deux derniers chiffres de votre numéro de machine) : > kvm -m 512 /vservers/winxp1.raw -net nic,macaddr=de:ad:be:ef:<xx>:40 -net tap,ifname=<tap1>,script=no 2. Vérifiez que dnsmasq a bien fourni une IP à XP en comparant l IP donnée par XP et celle dans /var/log/daemon.log. 3. Suivez une procédure identique pour créer la deuxième machine XP qui devrait maintenant vivre sur le même réseau local que la première (attention à bien changer l adresse MAC pour la deuxième machine en remplaçant par exemple le 40 par 42). Les XP vont certainement se plaindre d avoir le même nom : changez le nom d une des machines. Vérifiez que tout fonctionne par des pings, et en accédant aux serveurs Apache (chaque machine virtuelle doit disposer de son serveur Apache car il a été copié précédemment). 4. Avez-vous accès aux windows depuis la machine hôte? 5. Avez-vous accès au Web depuis XP? Pouvez-vous envoyer un ping sur (i.e. la passerelle qui est la machine hôte)? 6. Appelez-nous pour vérifier les réponses. Nous allons maintenant autoriser les XP à accéder à l interface eth0 de la machine hôte en utilisant la redirection de ports. Redirection des ports : 1. Autorisez la redirection avec : > sudo sh -c "echo 1 > /proc/sys/net/ipv4/ip_forward" 2. Activez la translation d adresses avec : > sudo iptables -t nat -A POSTROUTING -s /24! -d /24 -j MASQUERADE 3. En toute logique, vous ne devriez pas avoir besoin des commandes suivantes, qui sont nécessaires lorsque le pare-feu est en mode REJECT pour les chaînes INPUT ET FORWARD. > sudo iptables -A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT > sudo iptables -A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT > sudo iptables -A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT > sudo iptables -A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT > sudo iptables -A FORWARD -d /24 -o virbr0 -m state --state RELATED,ESTABLISHED -j ACCEPT > sudo iptables -A FORWARD -s /24 -i virbr0 -j ACCEPT > sudo iptables -A FORWARD -i virbr0 -o virbr0 -j ACCEPT Bravo, vous avez fini le TP, consultez le dernier chapitre. 29/35

30 Chapitre 6 Restauration-Configuration d un client Dans un premier temps, nous allons cloner les machines afin qu elles possédent toutes une installation fiable. Ce sera fait en fin de TP. La seconde partie présente les manipulations à effectuer si vous désirez utiliser une installation personnelle dans la salle TP Restauration par CloneZilla Nous avons réservé au début du TP les partitions sda5, sda6 et sda7 pour qu elles puissent être clonées à partir d un serveur CloneZilla. Cette restauration peut se faire à tout moment dans l année, elle est disponible dans le menu du netboot. Utilisez le mode Unicast pour restaurer votre machine pendant l année, la restauration en mode Multicast étant utilisée par les administrateurs. Le mot de passe du compte localuser de l installation clonée est Mode Unicast Dans ce mode, le serveur Clonezilla permet de restaurer les machines une par une de manière indépendante. Clonezilla permet de sauvegarder soit un disque entier, soit un ensemble de partitions. Nous avons choisi la seconde option pour que vous puissiez faire des installations personnelles. Le clonage permet de récupérer les partitions sda5, sda6 et sda7, contenant respectivement une installation standard pour réaliser les TP pendant l année, une installation 32bits pour certains TP de réseau, et des machines virtuelles. Clonezilla travaille au niveau du système de fichier, il faut donc que les partitions cible puissent contenir les systèmes de fichier source. La restauration réinstalle également grub sur le MBR du disque. Ce bootloader chargera le stage2 du grub installé sur sda5 (la première partition cible plus exactement), qui comprend une entrée pour Windows XP (sda1), une entrée pour chacun des sytèmes de sda5 et sda6. Pour l instant, aucun chaînage n est fait sur la partition sda8. Ainsi, lorsque votre PC démarre, il charge le fichier de configuration de grub qui est sur le système de sda5. Si vous voulez réutilisez vos installations sur les partitions sda8 et les suivantes, il suffit de créer un chaînage vers vos partitions en étudiant le fichier /etc/grub.d/40_custom et en regardant l aide de la commande mk-grubconfig. Mode Multicast Ce mode permet de restaurer toutes les machines en même temps en faisant une diffusion restreinte sur le réseau. Cette approche est beaucoup plus rapide car la diffusion se fait en parallèle. 30/35

31 Pour ce TP, nous allons tenter d effectuer une restauration en mode multicast, c està-dire que le serveur va restaurer toutes les machines en même temps. Comme il faut les synchroniser avant que ne commence la restauration, cela nécessite 24 interventions humaines préalables : nous vous mettons donc à contribution pour démarrer toutes les machines et sélectionner dans le menu du netboot la restauration CloneZilla en mode Multicast Configurer une installation personnelle Cette section présente les manipulations à effectuer pour une installation personnelle Ubuntu/Debian. Adaptez-les si vous utilisez une autre distribution. Avant de poursuivre, vous êtes censé avoir suivi l installation jusqu à la section 3.2 incluse Arrêt des serveurs Si vous avez installé des serveurs sur votre installation personnelle, il faut stopper tous leurs démons (DNS, DHCP, LDAP... ). Pour empêcher qu ils ne se relancent au prochain démarrage, vous devez aussi soit les désactiver (exemple avec le paquetage du serveur DNS bind9) : > update-rc.d -f bind9 remove soit les désinstaller (totalement ici, purge détruit les éventuels fichiers de configuration) : > apt-get remove --purge bind9 Vous pouvez néanmoins conserver de tels serveurs si ils n interférent avec ceux de la salle TP (c est à vous de savoir ce que vous faites) Configuration LDAP/PAM Votre machine doit être configurée en tant que client LDAP pour l authentification de vos comptes personnels. Configuration LDAP/PAM : 1. Installez le méta-paquetage ldap-auth-client, si ce n est déjà fait. Cette installation va vous demander de configurer LDAP : Server URI : ldap://ldap.m2fil.univ-lille1.fr DN SearchBase : dc=mastergi LDAP Version : 3 Make Local Root Database Admin : No LDAP requires login : No 2. Installez le paquetage nscd qui est un cache ldap. Ce paquetage est indispensable pour soulager le serveur ldap (qui finit par ignorer les requètes quand elles sont trop nombreuses). 3. Modifiez le fichier nsswitch.conf. Pour éviter les mauvaises surprises, conservez un éditeur de texte ouvert sur nsswitch.conf jusqu à ce que tout fonctionne. En effet, si vous faites une erreur sur ce fichier, vous risquez de ne plus pouvoir vous connecter du tout. Il suffit d ajouter le mot ldap à la fin des lignes passwd, group et shadow sans toucher aux autres lignes : 31/35

32 passwd: group: shadow: compat ldap compat ldap compat ldap 4. Vérifiez que la configuration est correcte avec la commande getent passwd qui doit retourner la liste des comptes partagés (TIIR/IAGL/eServices entre autres) Configuration NFS/Autofs Votre machine doit être configurée en tant que client NFS et l automonteur doit utiliser le serveur LDAP pour les tables d automontage de vos répertoires personnels. Configuration NFS/Autofs : 1. Déconnectez-vous de toute session localuser puis utilisez une console texte pour vous reconnecter. Déplacez le répertoire /home vers le répertoire /localhome (si ce n est déjà fait) : > mv /home /localhome > vi /etc/passwd # et sous vi :1,$:s/home/localhome/g Déconnecter vous de la console texte et reconnectez-vous sous X. 2. Installer le paquetage autofs-ldap si ce n est déjà fait. 3. Modifier le fichier /etc/auto.master qui doit contenir la ligne : Machines virtuelles /home ldap://ldap.m2fil.univ-lille1.fr/ou=auto.home,ou=automount,dc=mastergi Si vous voulez utiliser les machines virtuelles de la partition sda7, il faut monter cette partition (grâce à /etc/fstab) dans le répertoire /virtualmachines, installer les paquetages kvm et kvm-pxe. Vous devez ajouter localuser au groupe kvm et lancer la machine virtuelle avec la commande kvm (des options du style -vga std -usb -usbdevice tablet -no-acpi seront utiles) Network Manager On peut retirer le network manager des machines fixes car leur configuration ne change pas. apt-get remove network-manager network-manager-gnome. Il faut ensuite décommenter la line iface eth0 inet dhcp dans /etc/network/interfaces Test de la configuration Redémarrez et testez que vous pouvez vous connecter avec les comptes que nous vous avons attribués, et que l automontage fonctionne correctement. 32/35

33 6.3. Préparation d un clone (pour les admins seulement) Avant de cloner la partition sda5, il faudra procéder à un peu de nettoyage, et se débrouiller pour que le clone régénère certains fichiers lorsqu il se lance pour la première fois. Des fichiers maison sont dans le répertoire /root/clonage de la version du clone du 25 Juillet Modifier /etc/fstab Pour éviter des ennuis lors du clonage, il vaut mieux modifier le fichier /etc/fstab et indiquer le nom des partitions directement. Il faut donc remplacer les UUID=.. par les /dev/sda.. adéquats Modifier AppArmor Cette section permet de faire fonctionner à nouveau certaines commandes de gnome, comme evince. Modifier le fichier /etc/apparmor.d/tunables/home en transformant la /localhome/. Faire /etc/init.d/apparmor restart WinXP Virtuel Ajouter localuser au groupe kvm, donner les droits kvm:kvm au répertoire /virtualmachines. Créer le fichier /virtualmachines/startwinxp (une seule ligne) : kvm -no-acpi -m usb -usbdevice tablet -vga std \ -rtc base=localtime /virtualmachines/winxp_masteri.img et le rendre exécutable. Pour finir, créer un lien symbolique de /usr/local/bin/startwinxp vers /virtualmachines/startwinxp Préparer le premier démarrage L astuce consiste à créer un fichier exécutable /root/clonage/post_clonage.sh : #!/bin/bash LOG=/var/log/syslog PATH="/sbin:/usr/sbin:/bin:/usr/bin" if [! -e /CLONE_TOUT_FRAIS ]; then echo "La machine ne vient pas d etre clonee, on ne fait rien" >> $LOG exit 0 fi echo "Recree l environnement necessaire" >> $LOG # On attend un peu que le reseau s active (le dhcp se fait plus tard) IP="" CPT=50 while [[ -z "$IP" && $CPT -gt 0 ]]; do 33/35

34 IP= ifconfig eth0 grep "inet ad" awk {print $2} awk -F : {print $2} CPT=$(($CPT-1)) echo "Adresse IP de la machine : $IP" >> $LOG sleep 2 done if [ -z "$IP" ]; then echo "Erreur : adresse IP incorrecte" >> $LOG exit 1 fi; LONGNAME= dig -x $IP +short NAME= echo $LONGNAME sed -e "s/\..*//" echo "Nom de la machine : $NAME" >> $LOG if [ -z "$NAME" ]; then echo "Erreur : nom de machine incorrect" >> $LOG exit 1 fi; echo "Mise a jour du fichier /etc/hostname" >> $LOG echo $NAME > /etc/hostname echo "Mise a jour du fichier /etc/hosts" >> $LOG sed -ie "s/ */ \t$name\t$longname/" /etc/hosts echo "On regenere de nouvelles cles ssh" >> $LOG dpkg-reconfigure openssh-server echo "Tout s est bien passé, on supprime /CLONE_TOUT_FRAIS" >> $LOG rm -f /CLONE_TOUT_FRAIS echo "On redemarre" >> $LOG shutdown -r now Ce script va regénèrer les bons fichiers, à condition que le fichier /CLONE_TOUT_FRAIS existe. Ce script sera lancé à chaque démarrage par le biais de /etc/rc.local modifié comme suit :... FILE=/root/CLONAGE/post_clonage.sh if [ -x $FILE ]; then /bin/bash $FILE else echo "Erreur, fichier $FILE manquant ou non executable" >> /var/log/sysl og exit 1 fi 34/35

35 exit Nettoyer avant de cloner il faut procéder à un peu de nettoyage, à l aide du script /root/clonage/prepare_clonage.sh. Il est préférable de lancer ce script dans une console texte (Ctrl-Alt-F1). #!/bin/bash #Il faut nettoyer un peu le système avant de cloner #A lancer en root : if [ $UID -ne 0 ]; then echo "Script a lancer en root" exit 1 fi rm /etc/udev/rules.d/70-persistent-net.rules rm -f ~localuser/.ssh/knownhosts rm -rf ~localuser/.gconf* rm -rf ~localuser/.gnome* rm -f ~root/.ssh/knownhosts rm -f /etc/ssh/*host*key* # copie de la clé publique de lafitte pour se # connecter sur la machine sans mot de passe cp ~lemaire/public/id_rsa.pub ~root/.ssh/authorized_keys # Création du fichier pour indiquer qu on vient de cloner # La présence de ce fichier obligera # à recréer les fichiers nécessaires au démarrage touch /CLONE_TOUT_FRAIS Le clonage Il suffit de nettoyer la partition sda5 à cloner avec le script précédent, arrêter la machine (en tout cas éviter qu elle ne rédemarre sur sda5 ce qui annulerait le nettoyage). Ensuite, on sauvegarde sda5 (voire sda6 et sda7) sur le serveur mercier. La machine nettoyée peut alors redémarrer normalement. 35/35