Linux Administration système et exploitation des services réseau (2ième édition)

Transcription

1 Gestion du stockage 1. Gestion et configuration des systèmes de fichiers Gestion des systèmes de fichiers Les systèmes de fichiers courants Les systèmes de fichiers virtuels ou pseudo-filesystems Création des filesystems Vérification des filesystems Commandes spécialisées des filesystems ext Création de filesystem ext Affichage et modification des filesystems ext Dénomination des systèmes de fichiers Gestion du swap Pourquoi le swap et en quelle quantité? Optimisation du swap Montage des filesystems Montage et démontage Visualisation des filesystems montés Fichier fstab Automontage Protection des données stockées Protection au niveau fichier Protection au niveau disque ou partition Protection au niveau filesystem Gestion des disques durs Détermination des fichiers spéciaux Informations sur les périphériques de stockage Gestion des performances avec hdparm Gestion des défaillances matérielles Sauvegardes Les utilitaires d'archivage La commande tar La commande cpio 51 1/16

2 2.2 Les sauvegardes au niveau filesystem Sauvegardes de filesystems ext Sauvegardes de filesystems xfs Les logiciels de sauvegarde AMANDA Bacula BackupPC Les logiciels commerciaux Duplication et synchronisation de données Copie binaire avec dd Génération de fichier iso avec mkisofs Synchronisation de données avec rsync RAID Les principaux niveaux de RAID Le RAID Le RAID Le RAID Configuration du RAID Création du volume RAID Vérification d'un volume RAID Exploitation des volumes RAID Logical Volume Manager Architecture des volumes logiques Commandes LVM Création des éléments Diagnostics LVM Extension de volume logique Réduction de LV Exploitation des volumes logiques Données sur les volumes logiques Exploitation du snapshot LVM pour les sauvegardes 77 2/16

3 Démarrage du système 1. Le processus init et les niveaux d'exécution Les niveaux d'exécution Qu'est-ce qu'un niveau d'exécution? Les niveaux d'exécution possibles Qui décide de ce qu'on met dans les différents niveaux? Configuration du processus init Le premier processus démarré sur le système Le fichier inittab Rappels sur le lancement des services Liens entre les niveaux d'exécution et les services Gestion des niveaux d'exécution Commandes de gestions des liens de services Script indépendant du niveau d'exécution : rc.local Utilisation des niveaux d'exécution Démarrage et chargement du noyau Le gestionnaire de démarrage GRUB Configuration de GRUB Configuration de GRUB Le fonctionnement de GRUB Utilisation de GRUB 1 en mode interactif Édition des sections déjà présentes Chargement d'un noyau non listé Réinstallation de GRUB Réinstallation simple depuis un système actif Réinstallation depuis un système non démarrable Maintenance et mode single Passage en mode single planifié Ouverture d'un shell en cas d'échec au démarrage 99 Gestion du réseau local 3/16

4 1. Configuration du réseau Adressage IP Adressage IPv4 et notation CIDR Adressage IPv Configuration universelle du réseau Détermination de l'interface réseau Affectation de l'adresse IP : ifconfig Configuration du client DNS : fichier /etc/resolv.conf Configuration de la passerelle par défaut : route Configuration du nom d'hôte : hostname Spécificité des distributions Configuration réseau dans /etc/network Configuration réseau dans /etc/sysconfig/network-scripts Autres commandes et fichiers de gestion du réseau Gestion des adresses MAC avec arp TCP Wrappers Configuration Wi-Fi Détermination de l'interface Wi-Fi Visualisation des réseaux disponibles Connexion à un réseau non sécurisé Diagnostic réseau Outils de diagnostics en couche réseau Ping et ping Indicateurs de la commande route traceroute Outils de diagnostics en couches transport et application netstat nc Diagnostics et informations en couche application lsof Journaux sur /var/log/syslog & /var/log/messages Libpcap et les captures de paquets La bibliothèque libpcap 123 4/16

5 2.4.2 tcpdump Wireshark Configuration automatique avec DHCP Le protocole DHCP Fonctionnement Le service DHCP sur les systèmes Linux Configuration du serveur Le fonctionnement général du serveur Les paramètres transmis aux clients Déclaration de plages d'adresses Paramètres spécifiques à une machine Serveur à plusieurs interfaces Visualisation des baux dhcp Configuration du client Agent relais DHCP Principe du relais DHCP Configuration de l'agent de relais 134 Authentification des utilisateurs 1. Évolution de l'authentification Les premiers systèmes Unix et le fichier passwd Mots de passe dans le fichier /etc/passwd Mots de passe dans le fichier /etc/shadow D'autres bases d'informations NSS Modules d'authentification PAM Le principe Les modules PAM Les principaux modules PAM Fonctionnement en piles de modules 142 5/16

6 2.3 Configuration de PAM Structure des fichiers de configuration Les types d'action de PAM Les comportements des modules LDAP Généralités Les annuaires Structure et terminologie Schéma Le protocole LDAP Désignation des objets Authentification auprès d'un annuaire LDAP Le format LDIF Le serveur OpenLDAP Gestion du service Configuration Les outils clients LDAP Recherche d'informations avec ldapsearch Ajout d'objets dans un annuaire avec ldapadd Modification d'objet existant avec ldapmodify Suppression d'objet avec ldapdelete Modification de mot de passe avec ldappasswd Allègement des syntaxes pour les utilitaires clients LDAP Clients graphiques Authentification par LDAP des systèmes Linux Configuration NSS Configuration de la bibliothèque NSS pour LDAP Renseignement des sources de nom Vérification des sources de noms Configuration PAM Identification des services nécessaires Configuration des fichiers pam 162 6/16

7 Partage de fichiers 1. Partage de données avec NFS Partage de répertoires Observation des partages actifs Partage ponctuel Service NFS et partage permanent Options de partage Configuration des clients Affichage des partages distants Montage d'un répertoire distant Gestion des identités Les droits du client Le cas particulier du superutilisateur Partage de données avec SAMBA Configuration générale Les démons samba Les fichiers de configuration Configuration globale Partage de répertoire Gestion des identités Algorithmes de hachage et stockage des mots de passe Authentification auprès des serveurs Samba Génération des mots de passe MD Synchronisation avec les mots de passe Linux Suppression ou désactivation d'un compte samba Le client Samba Exploitation ponctuelle de ressources avec smbclient Montage d'un partage smb avec smbmount Montage d'un partage CIFS Partage de fichiers avec FTP Le protocole FTP Historique 181 7/16

8 3.1.2 Paramètres techniques Mode FTP actif et FTP passif Les clients FTP Les clients FTP graphiques Le client FTP en lignes de commande Le serveur Pure-FTPd Fonctionnement pour accès des utilisateurs à leurs répertoires personnels Fonctionnement en accès anonyme Options de fonctionnement Le serveur vsftpd 185 Résolution de noms DNS 1. Généralités Les débuts de la résolution de noms et l'apparition du DNS Concept de zones DNS Mécanisme de la résolution de noms Les enregistrements Enregistrement de type A Enregistrement de type AAAA Enregistrement de type PTR Enregistrement de type CNAME Enregistrement de type MX Enregistrement de type SOA Enregistrement de type NS DNS sur Linux Le serveur DNS Le client DNS Configuration de base du serveur Fonctionnement du serveur BIND Structure du fichier named.conf et principaux éléments de configuration Les fichiers de définition de zone pré-installés Serveur de cache 198 8/16

9 2.2.1 Configuration du serveur de cache Redirection Commande de pilotage rndc Gestion de zones DNS Gestion de zones locales Création d'un fichier de zone directe Création d'un fichier de zone inverse Création d'enregistrements dans les fichiers de zone Déclaration de zone principale dans le fichier named.conf Prise en compte de la nouvelle configuration Gestion de zones secondaires Déclaration de la zone secondaire dans named.conf Prise en compte de la nouvelle configuration Délégation de zone Outils de test ping nslookup dig host Mesure des performances Sécurisation du DNS Limitation des clients Utilisation d'un compte de service Pourquoi un compte de service? Lancement de named avec un compte de service Bind en mode chroot Pourquoi enfermer le processus? Création de l'environnement nécessaire Lancement du programme en mode chroot Échange sécurisé entre serveurs Génération du secret partagé Déclaration du secret dans named.conf Les deux serveurs doivent utiliser la clé 218 9/16

10 4.4.4 Tout service est refusé en l'absence de signature 219 Serveur web Apache 1. Configuration de base d'un serveur Apache Apache et les serveurs web Fichier de configuration Format du fichier de configuration Les directives de conteneur Validation de la syntaxe Démarrage et arrêt du serveur Les modules Apache Chargement des modules Visualisation des modules Choix des modules Gestion des ressources Hôtes virtuels Configuration globale Gestion des contenus Organisation des sites virtuels Configuration des hôtes virtuels Hôtes virtuels sur adresse IP Hôtes virtuels sur nom d'hôte Restriction de l'accès utilisateur Restriction de l'accès aux pages web Déclaration du répertoire à protéger Directives d'authentification Authentification locale Création d'une base de compte locale Chargement des modules d'authentification Configuration de l'authentification locale Authentification par annuaire LDAP /16

11 3.3.1 Vérification de disponibilité des informations de l'annuaire Chargement des modules nécessaires Configuration de l'authentification Authentification simple par fichier.htaccess Configuration d'apache avec SSL Cryptographie et certificats Concepts cryptographiques Les certificats numériques X Génération locale d'un certificat Configuration ssl Chargement du module SSL Configuration des clés de serveur Gestion du fonctionnement SSL Authentification des clients par certificat Serveur proxy Les serveurs proxy Protection des clients Serveurs de cache Filtrages Inconvénients Le serveur proxy squid Configuration de base Gestion des accès clients 250 Messagerie 1. Les MTA Le protocole SMTP Présentation de Sendmail Présentation d'exim Présentation de Postfix /16

12 2. Le serveur SMTP Postfix Configuration de Posfix Gestion des identités Gestion des alias La commande postfix Les fichiers de configuration Vérification de la configuration active Gestion de domaines virtuels Définition des domaines virtuels Gestion des identités pour les domaines virtuels Gestion de quotas Remise locale des messages La commande mail Envoi de courrier avec la commande mail Lecture de courrier avec la commande mail Formats mbox et maildir Le format mbox Le format maildir Utilisation du format maildir par postfix Procmail Demander à postfix d'utiliser procmail Configurer procmail Alternatives à la messagerie write et wall issue et issue.net motd Remise distante des messages Fonctionnement conjoint des MTA, MDA et des MUA Le protocole POP Le protocole IMAP Serveurs Courier-IMAP et Courier-POP Format de messages pour les services courrier /16

13 4.2.2 Configuration des services Validation de l'authentification Serveur Dovecot Configuration de Dovecot Visualisation de la configuration 272 Protection des réseaux 1. Routage et filtrage Configuration d'un serveur Linux en tant que routeur Activation du routage sur un serveur Linux Consultation de la table de routage Gestion des routes statiques Iptables Les tables Les chaînes Les actions Le traitement des règles Administration d'un pare-feu avec les iptables Politiques Principe des politiques de pare-feu Configuration d'une politique de base Filtrage de paquets Politique et règles Création de règle Gestion des règles Gestion des flux retours Gestion du NAT Rappel sur le principe du NAT Diagnostic de la configuration NAT d'un routeur Connexion d'un réseau privé à un réseau public Scripts de configuration des règles de filtrage Red Hat et les iptables /16

14 2.4.2 Création de service personnalisé de pare-feu avec les iptables Détection des intrusions et des vulnérabilités Les systèmes IDS Les limitations des pare-feu Techniques d'analyse Sources d'information SNORT Les composants Gestion des sources d'information Gestion des alertes OpenVAS Le serveur OpenVAS Les clients OpenVAS Récupération des vulnérabilités 296 Sécurisation du trafic 1. OpenSSH Utilisations de OpenSSH Gestion des authentifications Authentification par mot de passe Authentification par clés L'agent SSH Confidentialité des communications Session interactive avec SSH Copie de fichiers avec SSH Utilisation d'applications dans des tunnels SSH Renvoi de sessions X11 via SSH OpenVPN Les modes de fonctionnement OpenVPN Authentification Confidentialité /16

15 2.1.3 Fonctionnement réseau Création d'un tunnel point-à-point Gestion de l'authentification Fichiers de configuration Mise en œuvre du tunnel vpn 309 Compilation des applications et du noyau Linux 1. Compilation des applications Généralités Principe de la compilation Quand faut-il compiler? Rappels sur les utilitaires de décompression Procédure de compilation GNU Récupération des sources Configuration de la compilation Personnalisation des programmes compilés Compilation Les cibles de la commande make Installation des binaires Nettoyage des sources Désinstallation d'un programme Environnement des applications Les bibliothèques Visualisation des appels système Compilation du noyau Les composants du noyau Le cœur de noyau Les modules Autour du noyau Gestion des versions du noyau Procédure de compilation et d'exploitation Récupération des sources /16

16 2.2.2 Génération du fichier de réponse Compilation du noyau et des modules Installation des modules Installation du noyau Création du ramdisk des modules Configuration du gestionnaire de démarrage Patch du noyau Ajout de patch Retrait de patchs 335 Index /16