Gestion de parc informatique

Transcription

1 Gestion de parc informatique Guilhem BORGHESI IL 14 octobre 2008

2 INTRODUCTION Connaître les bases de l'admin. UNIX Système (Sécurité, Gestion utilisateurs, ) Réseaux (Architecture, Matériels) Recettes de cuisine, mais pas exhaustif G. BORGHESI - Octobre

3 SOMMAIRE Installation de serveurs Gestion des utilisateurs Outils logiciels d administration Travail en équipe Sauvegarde Sécurité des matériels Scripts Réseau Sécurité G. BORGHESI - Octobre

4 Installation de serveurs G. BORGHESI - Octobre

5 Attention danger! Plus d'utilisateurs simultanés Plus de contraintes Plus de risques Donc plus délicat! G. BORGHESI - Octobre

6 Matériels Evolutifs Connu et compatible avec l OS Bien dimensionnédonc il faut faire un Cahier des Charges! Sous garantie, longtemps G. BORGHESI - Octobre

7 OS Doit répondre au CDC Etre choisi pour sa qualité technique Etre sécurisé et maintenu G. BORGHESI - Octobre

8 Installation du serveur Choix de l'os Configuration BIOS Partitionnement optimal Optimisation du noyau Installation des logiciels minimaux G. BORGHESI - Octobre

9 Le noyau : détails Numérotation du noyau : 2.X.Y: X pair : version stable X impair : version de développement Y : Version de la branche G. BORGHESI - Octobre

10 Personnaliser le noyau Quel noyau dans distribution? uname -a Comment remplacer votre noyau? Récupérez la dernière version cd /usr/src/linux Lancement de l interface de configuration (make menuconfig) G. BORGHESI - Octobre

11 L'interface de configuration G. BORGHESI - Octobre

12 Choisir les options du noyau Deux modes : En Modules Inclus dans le noyau G. BORGHESI - Octobre

13 Après l'install Rechercher les mises à jour Mettre les softs requis pour les users Phase de tests, Phase de pré-exploitation, Enfin, phase d'exploitation! Ensuite, on a plus qu'à attendre la panne! G. BORGHESI - Octobre

14 Gestion des utilisateurs G. BORGHESI - Octobre

15 Qui sont les utilisateurs? Important de connaître son public Une seule méthode : allez au CONTACT! Meilleure perception des besoins Meilleure perception de l informaticien Donc meilleurs résultats! G. BORGHESI - Octobre

16 Le contact avec les utilisateurs Fournissez de la documentation Provoquez des réunions Organisez des formations Préférez le téléphone au mail N hésitez pas à allez voir les gens! Soyez disponible et COMMUNICANT! G. BORGHESI - Octobre

17 Pourquoi des comptes? Serveur de données Serveur de mails Serveur ftp Serveur d'application Serveur Web G. BORGHESI - Octobre

18 Création des comptes Avec la commande adduser Il faut répondre aux questions : Quel identité? Quel passwd? Quel groupe? Quels droits? G. BORGHESI - Octobre

19 Les utilisateurs Le root Tous les droits Gère le système Les autres Dans leur répertoire maison : /home/schmitt Droits restreints Nécessité de créer un autre compte pour le root G. BORGHESI - Octobre

20 root = gardien de la paix Problèmes courants : Espace disque dépassé : du Mot de passe faible : john Utilisation illicite de la machine : lsof, nessus Attention, zone dangereuse Vous n'avez pas tous les droits! G. BORGHESI - Octobre

21 Caractéristiques d'un compte Identification unique : id Authentification : login/passwd Fichier /etc/passwd et /etc/shadow Espace disque unique Personnages humains ou non Droit d'accès : ls al, chmod, chown, G. BORGHESI - Octobre

22 Les fichiers essentiels /etc/passwd <nom>:x:<uid>:<gid>:<gecos>:<home>:<shell> marcel:x:340:1000:marcel david:/users/marcel:/bin/bash /etc/shadow marcel:zffzqfeesgez:12456: /etc/group root:*:0: bin:*:1:root,daemon users:*:1000: G. BORGHESI - Octobre

23 Droits et devoirs Etablissement d une charte Utilisateur PEUT : Utiliser les ressources pleinement DOIT : Respecter la propriété intellectuelle DOIT : Etre identifié clairement Administrateur PEUT : Etablir des procédures de surveillance DOIT : Confidentialité des informations DOIT : Fournir les outils aux utilisateurs G. BORGHESI - Octobre

24 Gestion des programmes G. BORGHESI - Octobre

25 Les démons Services en tâche de fond Attend un signal pour se réveiller Exemples : Réseau : NFS, NIS, Apache Système : Cron, Syslogd 2 méthodes de lancement : inetd vs init.d G. BORGHESI - Octobre

26 Fichiers de démarrage ou runlevels 6 niveaux de démarrage = 6 états Etats : 0 : Arrêt de la machine 1 : Démarrage mono utilisateur 2-5 : Niveaux personnalisables 6 : Redémarrage de la machine Par défaut, Debian = 2 et Fedora = 3 G. BORGHESI - Octobre

27 Démarrage de démons : init.d Scripts shell dans /etc/init.d (debian) Lancent des processus de /usr/ Avec des arguments : start, stop, reload Pour le boot, tout est dans /etc/rcx.d Commence par S pour lancer Commence par K pour arrêter G. BORGHESI - Octobre

28 Démarrage des démons : inetd Inetd : Super-démon Réservé aux services réseaux Lance un démon à la demande Exemple : /etc/inetd.conf ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l Limite la consommation des ressources G. BORGHESI - Octobre

29 Configuration Dans /etc/ Edition du fichier de configuration Exemple : /etc/apache/httpd.conf User www-data Group www-data ServerRoot /users/www DocumentRoot /users/www/htdocs G. BORGHESI - Octobre

30 Redémarrage Indispensable après un changement Plusieurs méthodes : kill HUP pid kill -9 pid /etc/init.d/daemon restart (ou reload) Mais surtout pas de REBOOT!! G. BORGHESI - Octobre

31 Installation par sources Récupération des sources Rangement dans /usr/local Compilation./configure [options] make make install G. BORGHESI - Octobre

32 Installation par le réseau Binaires avec Debian apt-cache search package apt-get update apt-get install nedit D autres : Gentoo,FreeBSD, Fedora, Mandriva,... G. BORGHESI - Octobre

33 Outils logiciels d'administration G. BORGHESI - Octobre

34 DHCP Configuration auto d'interface réseaux Adresse IP Passerelle Masque de sous-réseau Serveur DNS Nom de domaine Bail limité Sécurité : distribution par adresse MAC Serveur : PC, routeur ou switch/routeur G. BORGHESI - Octobre

35 Synchronisation Tout le monde à la même heure! Pourquoi? Datation des fichiers Comparaison des logs Tâches programmées Très simple à configurer G. BORGHESI - Octobre

36 NTP Juste une ligne dans ntp.conf : server ntp.u-strasbg.fr Jusqu'à 15 niveaux de serveurs Chaque niveau fait "serveur" pour la couche inférieure Attention, il ne faut pas se synchroniser sur la couche 1! G. BORGHESI - Octobre

37 Logs Traces des événements système Démon syslogd Inscrit : Origine du message Niveau de gravité (info, debug, avertissement) Sont dans /var/log mais peuvent être délocalisés Obligation légale G. BORGHESI - Octobre

38 La planification Cron : Planification de tâches Exemple : /etc/crontab #mrtg 0-55/5 * * * * root /usr/bin/mrtg /etc/mrtg/mrtg.cfg Minutes, heures, jours, mois, num de jour, proprio, programme et argument G. BORGHESI - Octobre

39 L impression CUPS Connaît tous les pilotes standards Interface de configuration sur port 631 Simple Complète Documentée G. BORGHESI - Octobre

40 Les outils de partage G. BORGHESI - Octobre

41 LDAP : annuaire centralisé 1/2 Permet d'éviter une authentification locale Données stockées sous la forme d arbre Nécessite un serveur primaire LDAP Possibilité de doubler le serveur primaire Réplication d annuaire G. BORGHESI - Octobre

42 LDAP 2/2 Prend le relais si le compte n'existe pas Hiérarchisation faites avec /etc/nsswitch.conf Plusieurs questions en terme de sécurité : Accès au serveur LDAP Mise en place de SSL Mise à jour des données G. BORGHESI - Octobre

43 NFS : partage de données (1/2) Le serveur exporte des répertoires Le client monte des répertoires distants Transparent pour l'utilisateur Se base sur les RPC (Remote Procedure Call) Sur le serveur : /etc/exports /users ro,access= G. BORGHESI - Octobre

44 NFS : Partage de données (2/2) Sur le client : /etc/fstab turing:/users /users nfs defaults 0 1 Accès aux fichiers se fait par l'uid! Quels répertoires partager? Homes des utilisateurs Exécutables rajoutés Documentation G. BORGHESI - Octobre

45 Les postes de travail G. BORGHESI - Octobre

46 Stations de travail - Administration complexe - Installation longue - Fragilité des composants - Coût élevé - Volumineux et bruyant + Confort utilisateur plus important + Puissance de calcul local conservée + Charge réseau minimale G. BORGHESI - Octobre

47 Portables - Administration complexe - Installation longue - Fragilité des composants - Coût très élevé - Nomadisme pose des problèmes de sécurité + Confort utilisateur plus important + Puissance de calcul local conservée + Charge réseau minimale G. BORGHESI - Octobre

48 Terminaux X - Faible puissance de calcul local - Charge réseau plus importante - Pb de périphériques (CDROM, son, USB) + Besoins d'administration = /dev/null + Configuration rapide + Robustesse élevée + Moins cher mais il faut un serveur + Silence total G. BORGHESI - Octobre

49 Travail en équipe

50 Inventaire Fichier contenant : Marque et type # série Emplacement physique # facture et livraison Garantie (date et numéro) Mise à jour indispensable! G. BORGHESI - Octobre

51 Les outils logiciels d inventaire Tableur PHP / MySQL (GLPI) FileMaker Softs sur Internet G. BORGHESI - Octobre

52 La gestion des tickets (1/2) Permet de gérer le temps des admins Pour régler les problèmes en équipe Permet une meilleure efficacité Créé une base de connaissance Fait des statistiques sur les travaux G. BORGHESI - Octobre

53 La gestion des tickets (2/2) Les outils : Mantis GLPI Développement maison Un autre helpdesk G. BORGHESI - Octobre

54 Agendas partagés Meilleure collaboration de travail Accès rapide aux RV des autres Plusieurs outils : Sunbird Google calendar Développement web perso Microsoft Outlook Softs de sondage : doodle, studs, G. BORGHESI - Octobre

55 Plan de reprise d activité (PRA) Dans les grandes structures Procédures à suivre en cas de problème Évite les mauvaises manipulations Permet une pérennité de l information Impose une documentation à jour Impose également un parc homogène G. BORGHESI - Octobre

56 Les scripts

57 Pourquoi? Automatiser des taches répétitives Permettre la planification Rassembler plusieurs fonctionnalités Au final gagner du temps! G. BORGHESI - Octobre

58 Comment? Avec le shell : bash, csh, #!/bin/bash du sk /users/* >> /users/occupation_dd Avec du PERL #!/usr/bin/perl open (FILE, "/users/occupation_dd"); while <FILE> {print $_;} close FILE; Avec d'autres langages G. BORGHESI - Octobre

59 Un exemple en PERL #!/usr/bin/perl opendir (USERS,"/users"); while ($nom= readdir(users)) { $flag=0; recherche_passwd(); if ($flag eq 0) {print "$nom doit etre efface!\n";} } sub recherche_passwd { open (PASSWD, "/etc/passwd"); while (<PASSWD>) { /^(\w+).*/; $nom_passwd=$1; if ($nom eq $nom_passwd){$flag=1;} if ($nom eq "."){$flag=1;} if ($nom eq ".."){$flag=1;} if ($nom eq "lost+found"){$flag=1;} } close PASSWD; } closedir USERS; G. BORGHESI - Octobre

60 Sauvegardes

61 Indispensable Récupérer des données détruites Une part de la politique de sécurité Plusieurs possibilités techniques G. BORGHESI - Octobre

62 Les types de sauvegarde Complète Incrémentale Combinée G. BORGHESI - Octobre

63 Les choix techniques Sur bande (DAT, DLT) Sur disque Sur robot Par le réseau G. BORGHESI - Octobre

64 Les logiciels dd ou tar.gz Bacula Amanda Time Navigator (payant) une multitude d'autres G. BORGHESI - Octobre

65 Sécurité des matériels

66 RAID Organisation pour protéger les données RAID 1 : Miroir RAID 5 : Dispatching G. BORGHESI - Octobre

67 Sauvegarde électrique Rien de tout cela ne marche sans la fée! Pour les serveurs stratégiques : Alimentation redondante Prises séparées Onduleurs (en KVa) G. BORGHESI - Octobre

68 Redondance de serveurs Par un système maître/esclave Partage d adresse IP Partage des données Par des serveurs virtuels Linux Virtual Server VMWare ESX G. BORGHESI - Octobre

69 Climatisation Devient indispensable à partir de quelques serveurs Coût élevé Très bruyant Va devenir incontournable à l avenir G. BORGHESI - Octobre

70 Réseau

71 Les interfaces Représentent plusieurs choses : interface physique (carte Ethernet, modem) interface virtuelle tunnel Nommage : eth0, eth1, Pour les connaître : ifconfig G. BORGHESI - Octobre

72 Configuration manuelle D'abord la carte : ifconfig eth netmask Ensuite le GW : route add default gw Et pour vérifier : ifconfig a netstat -nr G. BORGHESI - Octobre

73 Ifconfig eth0 lo Lien encap:ethernet HWaddr 00:01:02:F6:87:7D inet adr: Bcast: Masque: UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets: errors:0 dropped:0 overruns:1 frame:0 TX packets: errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:100 RX bytes: (2.1 GiB) TX bytes: (71.1 MiB) Interruption:5 Adresse de base:0xe800 Lien encap:boucle locale inet adr: Masque: UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets: errors:0 dropped:0 overruns:0 frame:0 TX packets: errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:0 RX bytes: (2.9 GiB) TX bytes: (2.9 GiB) G. BORGHESI - Octobre

74 Configuration permanente Dans un fichier : /etc/network/interfaces avec Debian /etc/sysconfig/network-scripts/ifcfg-eth0 avec Fedora, Mandriva Exemple avec Debian : auto eth0 iface eth0 inet static address netmask network broadcast gateway G. BORGHESI - Octobre

75 Les ports Chaque service réseau ouvre un port Certains sont réservés : /etc/services Exemples : http = 80 https = 443 ftp = 21 ssh = 22 G. BORGHESI - Octobre

76 Commandes de survie ifconfig : configuration de la carte réseau route : affichage des routes actives ping : test de connectivité traceroute : test de transit réseau netstat : affiche des infos réseaux tcpdump : sniffe le trafic sur le réseau G. BORGHESI - Octobre

77 Les services réseaux connus DNS smtp DHCP http ftp NFS ssh samba LDAP CUPS G. BORGHESI - Octobre

78 La sécurité

79 Piratage? Prendre le contrôle d'une machine Relais données (ftp warez, p2p) Préparer d'autres actions Détruire / Voler les données d'une machine Dégrader les performances d'une machine Deny Of Service Attack Spam? G. BORGHESI - Octobre

80 Comment? Attaque externe Script kid Attaque ciblée Attaque interne Récupération passwd (sniff, imprudence) Porte ouverte G. BORGHESI - Octobre

81 Qui sont-ils? Des plaisantins (pour voir) Des vandales (idéalistes et déterminés) Des compétiteurs (tableau de chasse) Des espions (pour l'argent) G. BORGHESI - Octobre

82 Comment faire de la sécurité Topologies Mise à jour Firewall Formation des utilisateurs Veille Choix applicatifs G. BORGHESI - Octobre

83 Topologies Base de la sécurité Multiples Elles peuvent être simple : Internet Firewall G. BORGHESI - Octobre

84 Topologies Ou plus complexe : IPv6 INTERNET IPv4 G. BORGHESI - Octobre

85 Topologies Attention aux contournements Attention aux aberrations : Internet Firewall G. BORGHESI - Octobre

86 La DMZ Sert à isoler les serveurs sensibles Protège mieux les machines faibles Exemple : DMZ Internet Firewall Sous-réseau utilisateurs G. BORGHESI - Octobre

87 Mises à jour Il y a des découvertes de failles régulières Différentes façons : Patches Apt-get update / upgrade Compilation Sans mise à jour pas de sécurité G. BORGHESI - Octobre

88 Des bases saines Faire de la sécurité physique Serveurs isolés Boîtiers cadenassés Etre vigilant Toujours fermer les consoles Mots de passe recherchés (BIOS, login) Ne pas répondre aux enquêtes Ne JAMAIS donner un passwd!! G. BORGHESI - Octobre

89 Un firewall Machine bastion Un point de passage filtrant Pour protéger : données ressources réputation G. BORGHESI - Octobre

90 Pour faire un firewall Trouver un emplacement physique Trouver un emplacement réseau Sécuriser de la machine Configurer les services Brancher la machine au réseau G. BORGHESI - Octobre

91 Filtrage de paquets Avec Iptables sous linux Par adresse IP Par adresse MAC Par service Et ne pas oublier le v6! G. BORGHESI - Octobre

92 Filtrage iptables Différentes chaînes : INPUT OUTPUT FORWARD Différentes politiques : DROP REJECT ACCEPT LOG G. BORGHESI - Octobre

93 Formation aux utilisateurs Des conseils à dispenser : Ne pas donner son mot de passe Ne pas tenter de contourner les barrières Connaître les applications douteuses Mettre en place des solutions sûres En résumé Ne pas prendre d'initiatives en cas de doute! G. BORGHESI - Octobre

94 Choix applicatif Eviter les softs connus pour leurs défauts ftp tftp RPC De nombreuses applis Win Souvent il y a un équivalent sécurisé! G. BORGHESI - Octobre

95 Veille S'informer : Magazines papier Sites Web (Clubic, Slashdot, Hoaxbuster ) Connaître parfaitement le domaine Environnement physique et logiciel! Il faut donc des outils pour faire cela! G. BORGHESI - Octobre

96 Outils de surveillance Environnement logiciel nmap nessus Surveillance réseau arpwatch ntop mrtg snort nagios G. BORGHESI - Octobre

97 CONCLUSION

98 Les pannes Logicielles : logs + newsgroup + MAJ Matérielles : contrat de garantie + sauvegardes Électriques : double alimentation + onduleur Humaines : Tickets + Procédures Tout est «sous contrôle»! G. BORGHESI - Octobre

99 Les amis de l'administrateur Le man La documentation en ligne Les newsgroups La documentation papier d'autres administrateurs sinon il reste la chance! G. BORGHESI - Octobre