Document sous licence Creative commons «by-nc-sa»

Transcription

1

2 Document sous licence Creative commons «by-nc-sa»

3 Sommaire Configuration réseau Ethernet TCP/IP Routage IP Utilitaires réseau DNS Gestion de service TCP/IP inetd et xinetd NFS SAMBA

4 Protocole réseau ethernet : CSMA/CD (Carrier Sense Multiple Access / Collision Detection) Carrier sense : écoute de la porteuse Multiple access : émission simultanée de plusieurs stations possible ( donc possibilité de collision) Colission detection : détection de collision et envoi d'un jamming Protocole probabiliste Adresse ethernet (@ mac) 6 octets sous forme hexadécimale xx:yy:zz:ww:tt:ss xx:yy:zz -> partie constructeur ww:tt:ss -> identifiant unique de l'équipement chez le constructeur Protocole associé : ARP (Address Resolution Protocol) Requête ethernet d'un équipement sur un brin en connaissant IP Commande arp : gestion du cache arp

5 ~]# ping PING ( ) 56(84) bytes of data. 64 bytes from : icmp_seq=1 ttl=64 time=3.27 ms 64 bytes from : icmp_seq=2 ttl=64 time=1.37 ms 64 bytes from : icmp_seq=3 ttl=64 time=1.29 ms ping statistics packets transmitted, 3 received, 0% packet loss, time 2000ms rtt min/avg/max/mdev = 1.298/1.982/3.273/0.913 ms [root@localhost ~]# arp -a? ( ) at 00:16:38:FD:C5:92 [ether] on eth1 [root@localhost ~]# cat /proc/net/arp IP address HW type Flags HW address Mask Device x1 0x2 00:16:38:FD:C5:92 * eth1 Intérêt de l'option -s Permet de forcer une mac IP Utilisation : se connecter à une interface ethernet d'une imprimante pour la première configuration arp -s :23:13:87:54:78 Il suffit de se connecter à l'@ IP pour configurer l'interface

6 Comment répondre à la question inverse : «je suis mac 00:23:13:87:54:78, qui peut me donner IP?» RARP (Reverse Address Resolution Protocol) Daemon rarpd Fichier de conf : /etc/ethers BOOTP Daemon bootpd Fournit des informations de boot Fichier de conf : /etc/bootptab DHCP (Dynamic Host Configuration Protocol) Architecture client-serveur Un serveur DHCP écoute (port tcp 67) les requêtes d'@ IP émisent par les clients. Il répond aux requêtes sur le port tcp 68 et distribue des baux IP ainsi que des informations supplémentaires (nom serveur Dns,...) Un client envoie une requête de découverte (broadcast) d'un serveur DHCP et de demande d'@ IP Daemon dhcpd pour la partie serveur et dhclient pour la partie cliente Fichier de conf client : /etc/dhclient.conf

7 DHCP (Dynamic Host Configuration Protocol) suite Configuration DHCP d'une interface réseau (RH Fedora) : option du fichier de configuration de l'interface /etc/sysconfig/network-scripts/ifcfg-eth0 $ cat /etc/sysconfig/network-scripts/ifcfg-eth0 # Broadcom Corporation NetXtreme BCM5751 Gigabit Ethernet PCI Express DEVICE=eth0 BOOTPROTO=dhcp HWADDR=00:1A:2B:3C:4D:5E ONBOOT=yes TYPE=Ethernet Rappel adressage IP Protocole IP version 4 Remplacement à terme par IP sur 4 octects : «X.Y.Z.T» où X, Y, Z, T compris et 255 Classes d'adresses A, B, C, D, E A : à B : à C : à D : à E : à

8 Rappel adressage IP Source : Rappel adressage IP Classes d'adresses privées La rfc1918 définit 3 classes d'@ privées qui ne seront pas routées donc jamais véhiculées sur Internet Elles permettent de disposer en interne d'autant d'@ IP que l'on souhaite et d'utiliser qu'un nombre réduit d'@ publiques Associer cette notion à celle du NAT (vue en cours sécurité) Classes d'adresses privées A, B, C A : à (masque ) B : à (masque ) C : à (masque de bouclage (loopback) :

9 Rappel routage IP Les trames ethernet : Sont envoyées sur le media physique Contiennent l'@ ethernet (mac adress) de l'expéditeur et du destinataire Encapsulent les datagrammes IP Rappel routage IP Comment l'expéditeur détermine-t-il l'@ ethernet du destinataire quelque soit IP? : masque de réseau + arp Masque de réseau (netmask) : permet de savoir si l'hôte de destination appartient ou non au réseau de l'expéditeur Adresse Masque ET logique entre Adresse et Masque de réseau soit

10 Rappel routage IP Si IP du destinataire appartient au réseau de l'expéditeur : Requête arp pour connaître l'@ ethernet liée à IP Envoi de la trame sur le média physique Si l'@ IP du destinataire appartient au réseau de l'expéditeur : Requête arp pour connaître l'@ ethernet liée à l'@ IP de la passerelle (gateway) Envoi de la trame sur le média physique Internet Routeur/Commutateur Communication standard avec les machines d'un même réseau

11 Internet Routeur/Commutateur Si une machine veut communiquer avec une machine située hors de son réseau : elle envoie son flux de données vers une machine qui connaît (une partie de) la route vers le destinataire Protocoles IP Sans connection Datagrammes IP Schéma d'adressage (@ IP) Routage des datagrammes inter-réseaux IP fournit un service d'acheminement de datagrammes Connexion IP source N port IP destination N port destination

12 Protocoles... TCP Couche transport Orienté connexion Retransmission des paquets TCP perdus Respect de l'ordre UDP Couche transport Orienté «performance» Pas de contrôle des paquets Protocoles... ICMP (Internet Control Message Protocol) Orienté «sans connexion» Utilisé pour le contrôle d'ip, informations sur les erreurs Contrôle de flux Détection des réseaux injoignables Changement de routes Contrôle des hôtes (ping) PPP (Point to Point Protocol) Protocole de connexion internet via une ligne série

13 3 catégories de port Well Known ports : de 0 à 1023 Registred ports : de 1024 à Dynamic and/or Private ports : de à La liste des ports (association nom <-> n port <-> protocole) est maintenue dans le fichier /etc/services ftp 21/tcp ftp 21/udp fsp fspd ssh 22/tcp # SSH Remote Login Protocol ssh 22/udp # SSH Remote Login Protocol telnet 23/tcp telnet 23/udp lmtp 24/tcp # LMTP Mail Delivery lmtp 24/udp # LMTP Mail Delivery smtp 25/tcp mail smtp 25/udp mail Quelques numéros de ports 20 : ftp-data 21 : ftp 22 : ssh 23 : telnet 25 : smtp 53 : serveur dns 67 : serveur BOOTP/DHCP 68 : client BOOTP/DHCP 80 : http 110 : pop3 119 : serveur nntp (serveurs de news)

14 : netbios 143 : IMAP 161 : SNMP 465 : SMTPS 993 : IMAPS 995 : POPS /etc/services est utilisé pour traduire à l'utilisateur un n de port avec un nom «humainement» lisible Les associations sont maintenues par l'iana

15 Configurer le réseau sur un poste Linux c'est définir : une adresse IP + un masque de réseau + une adresse de diffusion la route par défaut la méthode de résolution de noms (serveur DNS) un nom de machine Nommage des cartes réseau sous Linux eth0, eth1, eth2,... Commande dmesg renseigne entre autres sur les interfaces présentes et leur alias (ethx) Fichiers de configuration /etc/sysconfig/network-scripts/ifcfg-eth0 /sbin/ifconfig Utilitaire de configuration des interfaces réseau ifconfig -a : affiche l'état de la configuration de toutes les interfaces # ifconfig -a eth0 Lien encap:ethernet HWaddr 00:A0:C9:DD:F2:B3 (1) inet adr: Bcast: Masque: (2) adr inet6: fe80::2a0:c9ff:fedd:f2b3/64 Scope:Lien (3)UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 (4)RX packets:2282 errors:0 dropped:0 overruns:0 frame:0 TX packets:67 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:1000 RX bytes: (193.1 Kb) TX bytes:6357 (6.2 Kb)

16 (1) Infos couche liaison encap:ethernet : format des trames Hwaddr : adresse matérielle de l'interface (2) Infos couche réseau Inet adr : adresse IP Bcast : adresse de diffusion (broadcast) Masque : masque de réseau (3) Etat de l'interface UP... : Interface active (4) Statistiques sur le traffic de l'interface Modifier dynamiquement sa configuration Commande ifconfig $ /sbin/ifconfig eth netmask broadcast up (1) eth0 : nom de l'interface (2) : adresse IP de l'hôte (3) netmask : masque de réseau (4) broadcast : adresse de diffusion du réseau (5) up : active l'interface

17 Rendre la configuration permanente 3 fichiers à modifier /etc/sysconfig/network : contient le nom de la machine et la passerelle par défaut /etc/sysconfig/network-scripts/ifcfg-eth0 : contient les paramètres de l'interface eth0. Autant de fichier que d'interfaces actives (eth0, eth1, lo, ppp,...) /etc/resolv.conf : contient la liste des serveurs DNS qui seront contactés pour la résolution de nom (correspondance entre un nom de machine FQDN et une adresse IP. Le fichier /etc/hosts contient des associations statiques utilisables localement Redémarrer le réseau avec les nouveaux paramètres $ /etc/init.d/network restart /etc/sysconfig/network NETWORKING=yes (1) HOSTNAME=nom-machine (2) GATEWAY= (3) (1) Activation de l'interface réseau (2) Nom de la machine (3) Adresse IP de la passerelle par défaut

18 /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=eth0 (1) BOOTPROTO=static IPADDR= (2) NETMASK= (3) NETWORK= (4) BROADCAST= (5) ONBOOT=yes (6) (1) Alias de l'interface réseau eth0 si une seule carte (2) Adresse IP de la machine (3) Masque de réseau (4) Adresse de réseau (5) Adresse de diffusion (6)Activation de l'interface réseau au démarrage de la machine /etc/resolv.conf search domain.com (1) nameserver (2) (1) Liste de recherche pour les noms de machine (2) Adresse IP du serveur de nom (DNS) Plusieurs possibles (3) Adresse IP de la passerelle par défaut /etc/hosts (1) localhost.localdomain (2) localhost (3) web.formation.jussieu.fr web (1) Adresse IP de la machine (2) Nom FQDN de la machine (3) Alias remplaçant court du nom FQDN

19 Après avoir modifié les trois fichiers de configuration, il faut réactiver l'interface avec les nouveaux paramètres Utiliser le script /etc/init.d/network ou la commande # service network restart # /etc/init.d/network restart Arrêt de l'interface eth0 : [ OK ] Arrêt de l'interface loopback : [ OK ] Désactivation de la retransmission de paquets IPv4 : [ OK ] Application des paramètres réseau [ OK ] Démarrage de l'interface loopback : [ OK ] Activation de l'interface eth0 : [ OK ] La commande ping permet de tester l'interface Ping s'appuie sur le protocole ICMP destiné à contrôler les communication au niveau réseau Etapes pour valider une configuration correcte de l'interface : Adresse IP de l'interface locale : lo (loopback) Adresse IP de l'interface : eth0, ppp0 Adresse IP de la passerelle par défaut Adresse IP extérieure au réseau local Paramètre -c 2 : envoi de 2 paquets ICMP Sans paramètre : envoi de paquets en continu. Arrêt par [Ctrl] +[C]

20 Validation de la boucle locale Vérifie que la partie logicielle du noyau liée aux communications entre les différentes couches de la pile IP fonctionne correctement Adresse de la boucle locale : $ ping -c PING ( ) 56(84) bytes of data. 64 bytes from : icmp_seq=1 ttl=64 time=0.132 ms 64 bytes from : icmp_seq=2 ttl=64 time=0.079 ms ping statistics packets transmitted, 2 received, 0% packet loss, time 999ms rtt min/avg/max/mdev = 0.079/0.105/0.132/0.028 ms Validation de l'interface Vérifie que l'interface est configurée correctement et est activée Utiliser l'adresse IP de la machine $ ping -c PING ( ) 56(84) bytes of data. 64 bytes from : icmp_seq=1 ttl=64 time=0.099 ms 64 bytes from : icmp_seq=2 ttl=64 time=0.085 ms ping statistics packets transmitted, 2 received, 0% packet loss, time 999ms rtt min/avg/max/mdev = 0.085/0.092/0.099/0.007 ms

21 Validation de la communication au niveau réseau local Vérifie que les communications circulent sur le réseau local Utiliser l'adresse IP de la passerelle par défaut Validation de la communication au niveau réseau extérieur Vérifie que les communications hors réseau local sont bien routées par la passerelle par défaut Utiliser l'adresse IP quelconque Si on ne connaît pas d'adresse particulière extérieure utiliser un nom de machine FQDN (ex : ping Quand cela marche... $ ping -c PING ( ) 56(84) bytes of data. 64 bytes from : icmp_seq=1 ttl=64 time=0.099 ms 64 bytes from : icmp_seq=2 ttl=64 time=0.085 ms ping statistics packets transmitted, 2 received, 0% packet loss, time 999ms rtt min/avg/max/mdev = 0.085/0.092/0.099/0.007 ms Quand cela ne marche pas... $ ping -c PING ( ) 56(84) bytes of data. 64 bytes from : icmp_seq=1 ttl=64 time=0.099 ms 64 bytes from : icmp_seq=2 ttl=64 time=0.085 ms ping statistics packets transmitted, 0 received, 100% packet loss, time 999ms

22 ping avec un nom FQDN de machine # ping PING s8.ipsl.jussieu.fr ( ) 56(84) bytes of data. --- s8.ipsl.jussieu.fr ping statistics packets transmitted, 0 received, 100% packet loss, time 7017ms La table de routage locale indique le chemin que doit emprunter le trafic hors réseau local L'utilitaire route permet de contrôler et de modifier les routes locales #route add default gw <@ de la passerelle> #route ou #netstat -rn pour afficher les routes définies # netstat -rn Table de routage IP du noyau Destination Passerelle Genmask Indic MSS Fenêtre irtt Iface U eth U eth UG eth0

23 La commande traceroute liste les différents routeurs traversés pour atteindre une machine distante # traceroute traceroute to s8.ipsl.jussieu.fr ( ), 30 hops max, 38 byte packets 1 d cust.tele2.fr ( ) ms ms ms 2 lim1-core.pos9-2.swip.net ( ) ms ms ms 3 par2-core.gigabiteth3-0.swip.net ( ) ms ms ms 4 renater.sfinx.tm.fr ( ) ms ms ms 5 jussieu-pos4-0.cssi.renater.fr ( ) ms ms ms 6 rap-jussieu.cssi.renater.fr ( ) ms ms ms 7 cr-jussieu.rap.prd.fr ( ) ms ms ms 8 jussieu-rap.rap.prd.fr ( ) ms ms ms 9 r-intercon.reseau.jussieu.fr ( ) ms ms ms 10 * * Outils graphiques de configuration réseau Ex pour Redhat : #system-config-network

24 host -l : liste tout un domaine -v : verbose Cf nslookup et dig hostname Affiche ou définit un nom d'hôte hostname - affiche ou définit le nom d hôte du système domainname - affiche le nom de domaine NIS/YP du système dnsdomainname - affiche le nom de domaine du système nisdomainname - affiche ou définit le nom de domaine NIS/YP du système ypdomainname - affiche ou définit le nom de domaine NIS/YP du système Sommaire Configuration réseau Ethernet TCP/IP Routage IP Utilitaires réseau DNS Gestion de service TCP/IP inetd et xinetd NFS SAMBA

25 Commande netstat netstat -a : liste les connexions réseaux actives et affiche le nom du service traduit depuis /etc/services Connexions Internet actives (serveurs et établies) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 localhost.localdomain:irdmi *:* LISTEN tcp 0 0 *:nfs *:* LISTEN tcp 0 0 *:36139 *:* LISTEN tcp 0 0 *:58444 *:* LISTEN tcp 0 0 *:47276 *:* LISTEN tcp 0 0 *:sunrpc *:* LISTEN tcp 0 0 *:1013 *:* LISTEN tcp 0 0 localhost.localdomain:ipp *:* LISTEN tcp 0 0 localhost.localdomain:smtp *:* LISTEN tcp 0 0 localhost.lo:x11-ssh-offset *:* LISTEN tcp 0 0 *:rsync *:* LISTEN netstat -an : liste les connexions réseaux actives sans traduction depuis /etc/services Connexions Internet actives (serveurs et établies) Proto Recv-Q Send-Q Local Address Foreign Address State tcp : :* LISTEN tcp : :* LISTEN tcp : :* LISTEN tcp : :* LISTEN tcp : :* LISTEN tcp : :* LISTEN tcp : :* LISTEN tcp : :* LISTEN tcp : :* LISTEN tcp : :* LISTEN tcp 0 0 :::873 :::* LISTEN

26 lsof : liste les fichiers ouverts des processus et également des connexions réseaux. Exemple : quel processus est lié à la connexion rsync (port tcp 873) # lsof -i tcp:873 COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME xinetd 2507 root 5u IPv TCP *:rsync (LISTEN) telnet : connexion à un équipement (machine, imprimante, routeur,...) via TCP/IP Attention : telnet est une connexion non sécurisée (transfert des logins et mot de passe en clair). Lui préférer dans tous les cas possibles ssh Syntaxe : telnet host Permet d'ouvrir une session distante sur une machine Moyen classique d'entrer sur l'interface de configuration textuelle des équipement réseau Syntaxe : telnet host port Permet de se connecter sur des services qu'il n'est pas possible d'accéder via ssh POP, IMAP, SMTP, HTTP,...

27 $ telnet localhost 25 Trying Connected to localhost. Escape character is '^]'. 220 localhost.localdomain ESMTP Sendmail /8.14.2; Sun, 25 May :32: Ctrl-] : (Touche Ctrl + AltGr + crochet fermant) Interrompt la connexion telnet puis quit pour la fermer $ telnet localhost 25 Trying Connected to localhost. Escape character is '^]'. 220 localhost.localdomain ESMTP Sendmail /8.14.2; Sun, 25 May :32: ^] telnet> quit Connection closed. ftp Transfert de fichier ftp [-pinegvd] [hôte] Entre dans un mode interactif Options -i : désactive l'option interactive dans les transferts multiples -n : desactive l'autoconnexion (infos récupérées de.netrc) -v : mode verbeux -d : mode debug

28 ftp... Commandes! : shell interactif sur machine locale ou prefixe pour comandes locales ascii : mode de transfert ascii binary : mode de transfert binaire bye (quit) : quitte la session ftp et quitte ftp close : quitte la session ftp et reste dans l'interpréteur de commandes ftp get fichier-distant [fichier-local] : récupération d'un fichier mget fichiers-distants : récupération de fichiers multiples mput fichiers-locaux : soumissions de fichiers multiples ftp... Commandes... open : ouverture d'une connexion ftp prompt : (dés)activation du mode interactif put fichier-local [fichier-distant] : soumission d'un fichier pwd : print working directory user : identification utilisateur cd; ls; dir? : help Connexions anonymes Login : anonymous Mot de passe mail (ex : toto@)

29 whois Recherche d'information générales sur un domaine Base de données au format RFC-812 Enregistrement des infos auprès d'un serveur whois whois Cible : nom de domaine IP Possibilité de spécifier un serveur whois particulier Sinon détermination automatique whois.internic.net ou un whois.nic.xx (xx = fr par exemple) whois.arin.net pour Ipv4 whois.6bone.net IPv6 $ whois jussieu.fr [Requête en cours whois.nic.fr] [whois.nic.fr] %% <snip> domain: jussieu.fr identified: O ref-id: holder: UNIVERSITE PARIS 6 PIERRE ET MARIE CURIE address: centre de Calcul Recherche, Tour 55/65, address: 4, place Jussieu address: Paris Cedex 5 country: FR <snip> registrar: RENATER anniversary: 01/01 created: 01/01/1995 last-update: 11/03/2009 ident-date: 13/06/2005 status: ACTIVE

30 DNS Configuration résolution DNS via le fichier /etc/resolv.conf domain : nom de domaine local de recherche search : Lise de recherche des noms d'hôtes nameserver : adresses des serveurs DNS (3 max) # cat /etc/resolv.conf domain formation.jussieu.fr search formation.jussieu.fr jussieu.fr nameserver nameserver

31 Utilitaires de requête DNS nslookup (obsolète) dig host host Interrogation dns host [-l] [-v] [-w] [-r] [-d] [-t types] [-a] machine [serveur] Machine ou nom FQDN ou nom + domaine local (extrait via hostname) si pas terminé par un point Serveur : nom d'un serveur DNS spécifique -v : mode verbeux -r : supprime la recherche récursive -l : liste d'un domaine complet -t : précise un type d'enregistrement (filtre sur recherche sur l'ensemble d'un domaine) -t mx

32 ~]$ host has address ~]$ host in-addr.arpa domain name pointer ~]$ host is an alias for weberie.ipsl.jussieu.fr. weberie.ipsl.jussieu.fr has address weberie.ipsl.jussieu.fr mail is handled by 100 shiva.jussieu.fr. ~]$ host -v Trying " ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ; IN A ;; ANSWER SECTION: IN A Received 58 bytes from #53 in 34 ms <snip> ;; ANSWER SECTION: IN MX 200 soleil.uvsq.fr IN MX 100 shiva.jussieu.fr. Received 92 bytes from #53 in 32 ms

33 dig Interrogation dns Idem commande host mais avec plus d'options possibles # dig ;; Got SERVFAIL reply from , trying next server ; <<>> DiG 9.2.3rc2 <<>> ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ; IN A ;; ANSWER SECTION: IN CNAME s8.ipsl.jussieu.fr. s8.ipsl.jussieu.fr IN A ;; Query time: 90 msec ;; SERVER: #53( ) ;; WHEN: Fri Sep 3 21:59: ;; MSG SIZE rcvd: 70 Le fichier /etc/nsswitch.conf permet de spécifier quelles méthodes de résolution de nom utiliser et dans quel ordre... # Example: #passwd: db files nisplus nis #shadow: db files nisplus nis #group: db files nisplus nis passwd: files shadow: files group: files #hosts: db files nisplus nis dns hosts: files dns...

34 Gestion des services tcp/ip inetd et xinetd Une machine Linux peut proposer un certain nombre de service au monde extérieur accessible via le réseau un service = un démon (programme toujours actif) qui «écoute» un port particulier en attente d'une requête d'un client httpd : démon en attente d'une requête d'une page html sur le port TCP 80 Problème : chaque démon est consommateur de ressource (mémoire) Risque de saturation du système On souhaite activer les services à la demande uniquement. Solution : gestionnaire de services inetd ou xinetd

35 Inetd est un meta-serveur qui s'intercale entre le client et le service. Rôle de «chef-d'orchestre» En écoute constante sur certains ports, il active les démons correspondant aux services «à la demande» des clients exemple de configuration /etc/inetd.conf pour le service ftp # grep ^ftp /etc/inetd.conf ftp stream tcp^ nowait root /usr/local/sbin/ftpd la correspondance entre nom de service et numéro de port se trouve dans /etc/services # grep ^ftp /etc/services ftp-data 20/tcp ftp 21/tcp Champs du fichier /etc/inetd.conf service_name : nom du service définit dans /etc/services socket-type : type de communication du service ( stream pour protocole tcp ou dgram pour protocole udp habituellement) proto : tcp ou udp flags : wait/nowait.connmax. Généralement nowait pour les services tcp (multithreadé) et wait pour les services udp. connmax : nombre d'instances par minute user[.group] : user et éventuellement groupe sous lequel le service doit s'exécuter server_path : chemin de l'exécutable du service ou tcpd lorsqu'il est utilisé args : arguments du programme serveur si nécessaire

36 inetd lancé par un script au démarrage En cas de modification du fichier de configuration, il faut envoyer à inetd un signal de reconfiguration kill -HUP `cat /var/run/inetd.pid` killall -HUP inetd Il manque à inetd la sécurisation d'accès aux services (filtrage) TCP_Wrapper est un outil destiné à apporter cet élément à inetd Il s'installe entre inetd et les démons qui doivent être lancés Il permet de filtrer l'adresse IP source des clients Il permet d'enregistrer dans des journaux le traffic (accepté ou refusé) engendré par les services # grep ^ftp /etc/inetd.conf ftp stream tcp^ nowait root /usr/sbin/tcpd /usr/local/sbin/ftpd

37 La sécurisation d'accès est conditionnée par les fichiers /etc/hosts.allow et /etc/hosts.deny Accès autorisé si correspondance trouvée dans /etc/hosts.allow Accès refusée si correspondance trouvée dans /etc/hosts.deny Sinon: accès autorisé On trouve dans ces 2 fichiers des couples service: client ftp:.ipsl.jussieu.fr rsync: cvs: ALL cf. man hosts.allow pour les détails de configuration Le fichier /etc/hosts.deny est consulté après /etc/hosts.allow : possibilité de définir des exceptions même si la règle par défaut est de tout interdire

38 xinetd associe en un seul logiciel inetd et TCP_Wrapper avec des fonctionnalités supplémentaires Accès horaire Journalisation des accès Association d'un service avec IP particulière Installé en standard dans les distributions récentes Configuration : /etc/xinetd.conf : fichier de configuration global. Contient la configuration par défaut pour tous les services /etc/xinetd.d : répertoire contenant des fichiers de configuration spécifiques à chaque service détails : man xinetd.conf xinetd ne prend pas en compte les fichiers contenu dans xinetd.d qui contiennent un point (.) ou qui se terminent par le caractère tilde (~) But : éviter de prendre en compte les sauvegardes

39 /etc/xinetd.conf # more /etc/xinetd.conf # # Simple configuration file for xinetd # # Some defaults, and include /etc/xinetd.d/ defaults { instances = 60 log_type = SYSLOG authpriv log_on_success = HOST PID log_on_failure = HOST cps = } includedir /etc/xinetd.d journalisation log_type : determine la sortie des journaux SYSLOG syslog_facility [syslog_level] : prise en charge par syslog FICHIER fichier [soft_limit [hard_limit]] : écriture dans un fichier spécifique (/var/log/xinetd.log par exemple)

40 /etc/xinetd.d/rsync # more /etc/xinetd.d/rsync # default: off # description: The rsync server is a good addition to an ftp server, as it \ # allows crc checksumming etc. service rsync { disable = yes socket_type = stream wait = no user = root server = /usr/bin/rsync server_args = --daemon log_on_failure += USERID only_from = /24 } Chaque section décrivant un service doit respecter la syntaxe suivante : service nom_du_service { } attribut opérateur valeur(s) opérateurs : «=» : fixe la valeur d'un attribut «+=» : ajoute un élément à la liste de valeurs «-=» : retire un élément à la liste de valeurs

41 attributs : disable : yes ou no pour autoriser ou interdire le service socket_type : stream pour TCP; dgram pour UDP wait : yes si le service n'accepte qu'un seule connexion simultanée; no sinon user : id de l'utilisateur qui exécute le service server : nom du programme correspondant au service server-args : arguments optionnels du service only_from : liste des adresses IP autorisées à se connecter au service log_on_success(failure) : niveau de détail des informations enregistrées dans le journal en cas de réussite (échec) attributs suite: bind : association avec une adresse IP particulière id : étiquette particulière présente dans les journaux format des adresses IP (clause only_from) une ou plusieurs adresses IP de machine séparées par un espace only_from = une ou plusieurs adresses de réseau en notation CIDR only_from = /24

42 Comment faire pour démarrer 1.Vérifier le chemin et le nom du service 2.Copier le fichier de configuration d'un service existant, l'enregistrer sous un autre nom et la modifier en fonction du service à ajouter 3.Relancer le démon xinetd afin qu'il prenne en compte votre nouveau service # kill -HUP `cat /var/run/xinetd.pid ` 4.Vérifier dans le journal que la reconfiguration de xinetd est correcte # tail /var/log/messages Sep 14 10:51:10 ephora xinetd[1841]: Reconfigured: new=0 old=1 dropped=0 (services) 5.Tester la connexion au service ATTENTION! L'utilisation de inetd+ tcpd ou xinetd ne protège pas complètement votre serveur Tous les services ne sont pas gérés par xinetd. Il faut donc une autre solution de filtrage dans ce cas (iptables sous Linux par exemple) Les service peuvent contenir des trous de sécurité. Il faut veiller dans ce cas à mettre à jour les exécutables si besoin Une configuration incorrecte de hosts.allow et hosts.deny peut devenir dangereuse

43 NFS NFS : gestion des systèmes de fichier distant Le système de fichiers réseau, ou NFS (Network File System), permet aux hôtes de monter des partitions sur un système distant et de les utiliser comme des systèmes de fichier locaux. Linux utilise une combinaison de support de niveau noyau et des processus de démons constamment actifs pour fournir le partage de fichier NFS NFS utilise les Appels de procédure distante, ou RPC, (de l'anglais 'Remote Procedure Calls') pour router des requêtes entre clients et serveurs protocole standard de partage réseau entre machines Unix

44 Une machine prend le rôle de serveur NFS lorsqu'elle exporte un système de fichier ou un répertoire Les répertoires exportés sont définis dans le fichier /etc/exports sur le format suivant : répertoire machines(options) Attention pas d'espace entre nomdemachine et options /export/data *.fp.jussieu.fr(sync,rw) Cette machine exporte le répertoire /export/data et le rend accessible uniquement aux machines du domaine fp.jussieu.fr en lecture/écriture /export/data *.fp.jussieu.fr (sync,rw) Avec un espace entre la définition des machines et les options -> tout l'internet peut accéder au répertoire! Du côté serveur : Démarrage des services NFS Table d export des partitions vers le client : /etc/exports Commande d autorisation d exports : exportfs ra (à faire après chaque modification du fichier exports)

45 Du côté client : Création d un point de montage mkdir /mnt/nfs/home On effectue le montage, sur le point de montage précédent, de la ressource /home mount -t nfs serveur:/home /mnt/nfs/home NFS : gestion des systèmes de fichier distant Côté serveur : system-confignfs Répertoire : Indiquez le répertoire à partager Hôte(s) : Indiquez le ou les hôtes qui partageront le répertoire Permissions de base : Indiquez le type de droit du répertoire

46 NFS : gestion des systèmes de fichier distant Côté client : usermount SAMBA

47 SAMBA ( : suite logicielle qui assure l'interopérabilité entre des clients Windows et des serveurs Linux/Unix SAMBA se compose d'un logiciel serveur (smbd) qui permet de créer des partages de fichiers et d'imprimantes accessibles depuis les clients Windows nmbd est le service qui fournit la résolution de noms netbios (mappage nom machine <-> adresses IP) via NMS (Netbios Name Service). La résolution de noms se réalise via diffusion soit en contactant un serveur WINS. SAMBA propose également une partie cliente (smbclient et smbmount) autorisant l'accès aux systèmes de fichiers de serveurs Windows depuis un poste Linux Aujourd'hui SAMBA permet de créer un serveur Windows complet qui s'intègre de façon transparente dans une architecture Windows smbd et nmbd sont configurés par le fichier commun /etc/samba/smb.conf (ou /etc/smb.conf dans certaines distributions) Options de configuration samba [global] : section concernant la configuration globale de samba : nom workgroup, méthode d'authentification;... [homes] : section de configuration du dossier contenant les répertoires perso [printers] : section contenant le partage des imprimantes [partage1] : possibilité d'ajouter des sections particulières pour chaque partage présentés par samba. Le nom du partage sera ici «partage1»

48 Configuration minimum Un nom de serveur ( serveur string = ) dans la section globale Un nom de workgroup ( workgroup = ) dans la section globale Un partage de définit : [monpartage] Utilisation des mots de passe cryptés avec Samba Dans la mode d'authentification de type «Utilisateurs» les utilisateurs samba sont définis dans deux fichiers : /etc/samba/smbpasswd : équivalent du fichier /etc/passwd mais spécifique à Samba /etc/samba/smbusers : correspondance entre id d'utilisateur unix et id d'utilisateur samba les users samba et unix ne correspondant pas obligatoirement, ni les mots de passe Il est possible de synchroniser les mot de passe unix et mots de passe samba

49 Outil graphique de configuration #system-config-samba Définition du groupe de travail et de la bannière

50 Onglet Sécurité Choix du type d'authentification : «Utilisateur» par défaut Menu Preferences -> Utilisateurs de samba

51 Clic bouton «Ajouter» Il faut avoir créer préalablement le répertoire de partage Il faut également accorder des droits en lecture seule ou lecture écriture aux utilisateurs qui accéderont au partage L'onglet «Accès» permet de spécifier les utilisateurs samba qui auront accès au partage

52 Deux possibilités d'accéder à un partage Windows depuis...une machine linux! smbclient : client smb type ftp smbmount : utilitaire de montage d'un partage windows distant dans une arborescence Linux Nom de la machine Nom du partage Utilisateur de connexion /usr/bin/smbclient //fpiatosx/datawin -U bfpx Nom de la machine Nom du partage Répertoire de montage smbmount //fpiatosx/datawin /mnt/datawin o rw,workgroup=fp,username=bfpx Options de montage : - rw : lecture/écriture - ro : lecture seule -workgroup :groupe de travail -username : utilisateur de connexion

53 swat Interface graphique de configuration de samba url Installation de swat sur une machine RHEL # yum install samba-swat.i386 Loading "installonlyn" plugin Setting up Install Process Setting up repositories Reading repository metadata in from local files... <snip>... Installed: samba-swat.i386 0: el5_2.1 Dependency Updated: samba.i386 0: el5_2.1 samba-client.i386 0: el5_2.1 samba-common.i386 0: el5_2.1 Complete! Activation du service swat via xinetd Fichier /etc/xinetd.d/swat crée automatiquement (ou le faire manuellement sinon Modifier disable = yes à disable = no ]# cat /etc/xinetd.d/swat # default: off # description: SWAT is the Samba Web Admin Tool. Use swat \ # to configure your Samba server. To use SWAT, \ # connect to port 901 with your favorite web browser. service swat { port = 901 socket_type = stream wait = no only_from = user = root server = /usr/sbin/swat log_on_failure += USERID disable = no }

54 Vérification que le port 901 est bien configuré dans /etc/services # grep 901 /etc/services swat 901/tcp # Samba Web Administration Tool Vérification du filtrage si nécessaire Swat répond sur le port tcp 901 par défaut Connexion sur Avec inetd swat stream tcp nowait root /usr/sbin/swat swat Killall -HUP inetd