SOS Dépannage Linux B. Ward Éditions Eyrolles ISBN :

Transcription

1 SOS Dépannage Linux B. Ward Éditions Eyrolles ISBN :

2

3 3 NFS, NIS et rdist Dans de nombreux d ouvrages, NFS (Network File System) et NIS (Network Information Service) vont de pair. Pourtant, ils ne se ressemblent guère : ils remplissent des tâches différentes et fonctionnent le plus souvent indépendamment l un de l autre. Vous pouvez certes recourir aux maps NIS pour configurer NFS, mais ces maps sont utilisables presque partout. Elles ont en outre la capacité de s échanger des informations. NFS permet d exporter le système de fichiers d une machine vers une autre. NIS exécute une multitude de tâches dont la plupart concernent les utilisateurs. Son rôle principal est la gestion centralisée des comptes utilisateurs (fichiers passwd et group). NFS et NIS ne sont pas infaillibles. NFS présente diverses imperfections conceptuelles et n offre que des performances passables. Les deux outils ont la fâcheuse habitude de ne pas crypter les informations qu ils émettent au soin du réseau. En outre, s ils sont mal configurés, ils auront un effet néfaste voire désastreux sur la stabilité du système. Malgré tous ces défauts, ils sont largement utilisés du fait de leur disponibilité et de leur gratuité. Dans certains cas, NFS peut être avantageusement remplacé par rdist. Au départ, NFS était mis à contribution pour tous les systèmes de fichiers imposants, notamment ceux impliqués dans l installation du système. L espace disque était en effet beaucoup trop cher pour stocker une copie locale complète du système sur chaque machine du réseau. La capacité des disques durs ayant considérablement augmenté, il est plus logique de décharger le réseau de cette tâche et d installer le plus de logiciels possible sur des disques locaux. C est à ce niveau que rdist, outil servant à copier des arborescences de répertoires sur des machines distantes, entre en jeu.

4 4 SOS Dépannage Linux Clients NFS La configuration du client avec NFS est très simple. Tout d abord, le noyau doit supporter le système de fichiers NFS (ou présenter un module qui supporte ce système). Naturellement, la machine doit avoir reçu l autorisation du serveur lui permettant de monter ses systèmes de fichiers. Montage d un système de fichiers Pour monter un système de fichiers manuellement, saisissez : # mount nfs serveur:/système de fichiers distant /point de montage L argument serveur est le nom du serveur distant, /système_de_fichiers_distant est la localisation du système de fichiers sur le serveur et /point_de_montage est l emplacement souhaité du système de fichiers sur votre machine. Pour que ce montage soit disponible au démarrage du système, ajoutez la ligne ci-dessous au fichier /etc/fstab : serveur:/système_de_fichiers distant / point de montage nfs defaults 0 0 INFO Les deux derniers champs sont à zéro parce qu ils ne sont pas utilisés par les clients NFS. Lorsque le système démarre, ceux-ci sont parmi les derniers systèmes de fichiers à être montés. Problème n 15 Symptôme : Dans des conditions normales de fonctionnement, le serveur NFS tombe en panne relativement souvent. Les processus des utilisateurs se trouvent gelés pendant chaque période d arrêt. Problème : Le serveur n est pas fiable. Solution : Utilisez l option intr de la commande mount. Lorsque le noyau d un client NFS ne peut plus communiquer avec un serveur, chaque programme qui essaie d accéder à ce serveur sera gelé et il sera impossible de le tuer tant que le serveur ne répond pas. Voici un exemple de fichier /etc/fstab : serveur:/système_de_fichiers_distant /point de montage nfs intr 0 0 Grâce à l option intr, vous pourrez interrompre le processus par Ctrl+ C ou par la commande kill.

5 NFS, NIS et rdist CHAPITRE 3 5 Points de montage fixes Les points de montage de NFS dans le fichier /etc/fstab sont parfois appelés points de montage fixes. Un attachement de ce type restera en place jusqu à ce qu un utilisateur le détache manuellement ou que le système s arrête. Dans la majorité des cas, ces points de montage fixes sont toutefois gênants dans la mesure où ils rendent le système instable au démarrage. Problème n 16 Symptôme : Une machine qui joue à la fois le rôle de client et de serveur NFS redémarre et le reste du réseau se bloque. Lorsqu elle redémarre, elle «bloque» à son tour. Problème : Les points de montage fixes NFS tendent à créer une dépendance mutuelle et à rendre le système instable. Solution : Utilisez l automonteur. Si la machine 1 accède à des fichiers de la machine 2 et que la machine 2 accède à des fichiers de la machine 1, le problème est le suivant : si les deux machines se bloquent à un moment donné, la première qui redémarrera dépassera le temps imparti en essayant de se connecter à la seconde. Si la seconde machine finit par démarrer, elle n aura pas accès aux systèmes de fichiers de l autre serveur. Les administrateurs novices, encore inexpérimentés, tombent souvent dans ce piège de la dépendance mutuelle Problème n 17 Symptôme : L ordinateur se bloque au démarrage. Problème : Les fichiers nécessaires au démarrage du système se trouvent dans des systèmes de fichiers NFS. Solution : Essayez de supprimer les dépendances réseau au démarrage en plaçant les principaux fichiers de configuration sur le disque dur local. Sachez que l automonteur ne vous sera d aucun secours si l un des scripts de configuration d un des répertoires rc*.d fait appel à l un des fichiers de configuration d un des répertoires de l automonteur. Pour être certain qu une machine démarrera correctement, débranchez le câble réseau pour voir si la machine se bloque toujours au démarrage ; dans le cas contraire, le blocage provient sûrement d un problème de dépendance réseau.

6 6 SOS Dépannage Linux Le démon automonteur Le démon automonteur (ou automonteur) suit le principe des systèmes de fichiers à la demande et fournit un moyen de contrôler les dépendances des fichiers qui sont à l origine des problèmes au démarrage. Ce démon surveille un répertoire, gelant toute tentative d accès jusqu à ce qu il lui ait attaché un système de fichiers. L accès au répertoire redevient ensuite autorisé. Comme l automonteur attache le système de fichiers seulement en cas de besoin, les machines qui partagent des données sur un réseau peuvent «s arrêter». Tant que rien, dans le processus de démarrage de la machine, n amène à considérer un système de fichiers monté NFS, la machine démarrera aussi vite qu une machine autonome. INFO L automonteur n évitera pas les retards en cas de panne d un serveur de fichiers. Si le serveur X plante et que vous essayez de consulter le fichier /foo/bar, situé sur ce serveur, l automonteur gèlera votre tentative d accès. En s efforçant d établir un point de montage, il finira probablement par dépasser le temps imparti et par retourner un message d erreur d entrée-sortie. Toutefois, il n affectera pas les processus en phase d exécution tant qu ils ne tenteront pas d accéder à un système de fichiers indisponible. Les démons de montage automatique couramment utilisés sont au nombre de deux : le démon Linux natif (automount) et amd, qui tourne sur de nombreuses plates-formes. Nous allons étudier le premier, le plus facile à mettre en œuvre. automount automount prend un répertoire (de préférence vide) comme «quartier général» et y attache les répertoires distants. Le répertoire le plus couramment utilisé est /home. Le répertoire principal d un utilisateur est habituellement appelé /home/nom_d_'utilisateur, car les utilisateurs préfèrent généralement que leur répertoire principal soit centralisé en un seul emplacement du réseau. Le fichier d automontage Pour configurer l automonteur, vous allez utiliser un fichier pour déterminer les répertoires qu automount gérera et l endroit où il les trouvera le moment venu. Placez ce fichier sur une machine du réseau et faites en sorte qu il soit accessible par NIS, par NIS+, via l appel à un programme ou en tant que fichier texte. Quelle que soit la méthode choisie, le format du fichier sera plus ou moins le même. Voici un exemple de fichier pour le répertoire /home : Sue Bob mikado.example.com:/u25/sue atlantic.example.com:/u1/bob Cette table se situe par exemple dans un fichier appelé /etc/auto.home. Pour lancer le démon, saisissez la commande : # automount /home file /etc/auto.home

7 NFS, NIS et rdist CHAPITRE 3 7 Maintenant, la commande cd /home/bob vous mènera directement au répertoire principal de bob. INFO Pour qu automount fonctionne, vous devez configurer le système de fichiers autofs du noyau soit directement, soit en tant que module. En revanche, amd n a pas expressément besoin d un système de fichiers autofs. Il est toutefois préférable d utiliser un système de fichiers de ce type afin de conserver les noms de chemins d accès quelque peu étranges, comme /a/mikado.example.com/u25/sue, car s il en existe, vos utilisateurs les découvriront et vous interrogeront à leur sujet En résumé, amd ne monte pas forcément un répertoire donné à l emplacement correspondant à son nom ; il le place dans une autre partie du système en établissant un lien symbolique entre la «bonne» localisation et l emplacement réel du répertoire. Le format du fichier d automount est, comme l illustre l exemple ci-dessus, compatible avec celui de l automonteur de Sun Microsystems, ce qui le rend portable sur les réseaux Sun. Linux peut en outre partager avec Sun le fichier /etc/auto.auto.master, qui recense tous les points de montage automatiques (tels que le répertoire /home spécifié plus haut) et l emplacement des fichiers d automontage. autofs Linux est fourni avec un script appelé autofs auquel il doit manquer les répertoires rc*.d. autofs lit le fichier /etc/auto.master, puis lance un processus de montage automatique pour chaque entrée. Voici un exemple de fichier auto.master : /home auto.home -rw,intr,noquota /scratch /etc/auto.scratch La première ligne ordonne à automount de chercher les données concernant le répertoire /home dans le fichier NIS auto.home. La seconde commence par une barre oblique ; automount consulte donc le fichier /etc/auto.scratch. En d autres termes, les commandes de l exemple ci-dessus sont équivalentes à celles-ci : # automount /home/ nis auto.home # automount /scratch file /etc/auto.scratch Les options de mount sont placées dans un champ facultatif situé au milieu des lignes. Modifions le fichier /home ci-dessous : Sue -r mikado.example.com:/u25/sue Bob -nolock atlantic.example.com ::u1/bob Cdrom -ro,fstype=iso9660 /dev/hdb Ce code octroie un accès en lecture seule à l utilisateur du répertoire /home/sue et ne bloque pas les points de montage d atlantic.exemple.com (probablement parce que le verrouillage ne fonctionne pas très bien sur ce serveur). La dernière ligne ne concerne pas les systèmes de fichiers NFS ; nous l avons insérée pour vous montrer la manière dont l automonteur gère les médias amovibles.

8 8 SOS Dépannage Linux Problème n 18 Symptôme : Un gros fichier NFS génère des erreurs. Erreurs d entrées-sorties. Répertoires vides. Problème : Processus lents, un répertoire déplacé ou un fichier trop lourd à manipuler. Solution : Lorsque vous déplacez un répertoire ou que vous modifiez la source d un point de montage, il existe toujours un risque qu un utilisateur travaille sur un fichier ou sur un répertoire dépendant de ce point au moment de la manipulation. Vous résoudrez le problème par tâtonnements. Tout d abord, assurez-vous que l automonteur n est pas en service sur ce point de montage. Puis essayez de détacher le répertoire manuellement. Si vous obtenez une réponse du type «répertoire occupé», vous devrez probablement tuer le processus (en général un processus utilisateur) qui y accède. Il est habituellement plus facile de recenser ces processus en les listant, mais, dans certains cas, vous devrez recourir à lsofs. Souvent, l automonteur refuse de commencer la sauvegarde parce que le point de montage est encore occupé. Vous pouvez aussi essayer de le détacher (dans le répertoire /home, par exemple, vous lancerez la commande umount /home). En de rares occasions, redémarrer la machine sera le seul moyen de résoudre le problème. Options d attachement de NFS Le montage NFS comporte quelques options utiles. Vous les spécifierez avec l option -o, en plaçant une virgule entre chaque option : # mount obg,soft foo.example.com:/scratch /mnt rsize=n, wsize=n intr soft bg Fixe la taille des tampons de lecture et d écriture à n octets. Avant la version 2.2 du noyau de Linux, la taille du tampon de NFS était par défaut de octets. N ayez toutefois aucune inquiétude si vous utilisez cette version ou une version plus récente : il est généralement possible de monter jusqu à de octets. Pour les volumes montés en dur, autorise les signaux à interrompre un appel NFS. Cette option est utile lorsque le serveur ne répond pas. Affiche une erreur d entrée-sortie pour tous les programmes bloqués par un accès parce que le serveur ne répond pas. Si la première tentative de montage dépasse le temps imparti, la tâche continue en arrière-plan. Consultez le manuel de référence : nfs (5), mount (8).

9 NFS, NIS et rdist CHAPITRE 3 9 Serveurs NFS Un serveur NFS permet à un réseau de machines Unix de partager les fichiers d une machine Linux. Bien qu offrant des performances médiocres les serveurs NFS Linux sont moins performants que leurs homologues Unix les serveurs NFS sont très pratiques pour mettre en œuvre un partage de fichiers dans un réseau, surtout si les fichiers sont petits. Tous les types de fichiers peuvent être partagés : vous pouvez même exporter une disquette si vous le désirez. Programmes de base Les programmes indispensables aux serveurs NFS sont portmap, mountd et nfsd ; /etc/exports est le fichier de configuration principal. portmap configure les programmes RPC (Remote Procedure Call) pour réguler les ports réseaux. RPC est un système de communication utilisé par NFS, NIS et quelques autres services. mountd (ou rpc.mountd) gère les requêtes de montage ; il est le seul programme qui lit le fichier /etc/exports. Le programme qui effectue le transfert des fichiers actifs est nfsd (ou rpc.nfsd). Pour lancer un serveur NFS, vous avez besoin du fichier /etc/exports approprié. Si portmap n est pas encore actif, démarrez-le en tant qu administrateur (root), puis lancez mountd et nfsd. Si vous modifiez le fichier (/etc/exports), vous devrez tuer le processus mountd : # kill HUP cat /var/run/mountd.pid Voici, en guise d exemple, le fichier /etc/exports d une machine appelée mikado.example.com (qui faisait office de serveur dans la section «Clients NFS») : /u25 *.example.com /u40 /data2 pacific.example.com Nous supposerons qu example.com est le nom du domaine local. Lorsque mountd démarre, il autorise toutes les machines du domaine example.com à écrire et à lire /u25 et /u40 ; /data2 n est disponible que pour pacific.example.com, et uniquement en lecture. De plus, les machines du netgroup other_host ont accès à /u40 en lecture seulement (les netgroups sont un concept NIS sur lequel nous reviendrons dans la section «NIS»). Dans cet exemple, rw (accès en lecture et en écriture) et ro (accès en lecture seule) s appliquent à mountd et à nfsd. Il existe d autres options : noaccess Interdit l accès à un répertoire. Dans l exemple précédent, si nous voulons que personne ne puisse accéder à /data2/foo, nous ajouterons : /data2/foo (noaccess) à la fin du fichier exports.

10 10 SOS Dépannage Linux no_root_squash Par défaut, l identifiant du superutilisateur aura les mêmes droits qu un utilisateur normal. C est une mesure de sécurité ; l option no_root_squash rejette la requête. Problème n 19 Symptôme : Vous n arrivez pas à modifier le paramétrage du montage NFS, même en tant que superutilisateur. Problème : Le serveur NFS transforme l identifiant du superutilisateur en utilisateur normal. Solution : Vous pouvez ajouter l option no_root_sqash dans le fichier exports (comme dans l exemple précédent). Gardez à l esprit que la sécurité assurée par un tel fichier n est pas absolue. Par exemple, pour modifier un fichier dont l administrateur (root) n est pas propriétaire, vous devez vous connecter en tant qu utilisateur (vous y parviendrez en vous connectant en tant que root et en lançant la commande su). Seuls les systèmes comme Kerberos sont capables d empêcher ce problème de se produire. squash_uids=liste all_squash anon_uid=num Vous pouvez donner le fichier non permis à des utilisateurs normaux en spécifiant la liste des identifiants utilisateurs (par exemple 3-22,67,3235). Utilise squash_uids pour tous les identifiants utilisateurs. Utilise également ro pour l accès en lecture seule. Définit l identifiant des utilisateurs sans droits particuliers pour les options de squash en num. anon_gid=num Définit le groupe des utilisateurs sans droits particuliers pour les options de squash en num. À moins que vous n ayez explicitement interdit tout accès à un répertoire donné avec l option noaccess, toute machine ayant accès à ce répertoire donné pourra monter un sous-répertoire de celui-ci. Cette possibilité est particulièrement pratique avec l automonteur (nous n avons pas inclus /u25/sue dans le fichier /etc/exports de mikado ; seul u/25 est nécessaire). INFO Le démon nfsd de Linux n autorise pas, contrairement à celui des autres types de systèmes Unix, les copies multiples. Si vous essayez, les processus nfsd travailleront en mode lecture seule.

11 NFS, NIS et rdist CHAPITRE 3 11 Mesures de sécurité NFS n est pas le système le plus sûr du monde Il ne chiffre pas les données et l authentification des clients laisse à désirer. Si vous prévoyez de l utiliser, vous devrez exporter les systèmes de fichiers, surtout ceux pour lesquels vous attribuez des droits en écriture, vers le réseau de machines le plus petit possible. Ne négligez pas non plus portmap. Les versions livrées avec les distributions de Linux intègrent la prise en charge de Wrapper TCP et permettent d utiliser /etc/hosts.allow et hosts.deny (voir le Chapitre 2). Solutions de remplacement Les alternatives à NFS sont nombreuses. Vous pouvez par exemple recourir à AFS, DFS ou Coda, pour ne citer qu eux. Toutefois, la mise en œuvre d un de ces produits est assez coûteuse ou oblige à accepter les bogues des versions gratuites. Coda est un système de fichiers réseau gratuit prometteur, mais en attendant que son usage soit largement répandu, vous devrez continuer à employer NFS. NIS NIS permet de se procurer rapidement des informations sur un serveur sans connaître parfaitement son identité. Ce système est facile à mettre en œuvre dans les petits réseaux dans la mesure où il est livré en standard avec les distributions de Linux. Pour les réseaux plus étendus, il faut se tourner vers des produits tels que LDAP ou Hesoid. NIS est un des moyens les plus simples de diffuser les informations sur les utilisateurs, telles que les fichiers passwd ou group, au sein d un réseau. Il est largement utilisé sur la plupart des plates-formes réseau. Il est toutefois, comme NFS, peu sécurisé, essentiellement parce qu il ne chiffre pas les données qu il envoie. Définitions Les bases de données NIS se composent d une multitude d enregistrements, composés chacun d une clé et de données. Ces bases de données sont des fichiers dbm (ou gdbm, sous Linux), qui sont habituellement des fichiers texte non chiffrés. Un domaine NIS est un réseau de machines reliées au même groupe d informations. INFO Ne confondez pas le domaine NIS avec les domaines DNS. Le système DNS est principalement utilisé pour la résolution des noms et des numéros Internet, et des informations étroitement liées. Bien qu il soit possible de remplacer NIS par un DNS authentifié, il n est généralement pas réservé à ce type d usage.

12 12 SOS Dépannage Linux Les serveurs NIS qui communiquent des informations aux clients du domaine NIS sont de deux sortes : les serveurs maîtres et les serveurs esclaves. Les serveurs maîtres hébergent les informations relatives au réseau, et les serveurs esclaves, s il y en a, détiennent des copies de ces informations. NIS s exécute au-dessus de RPC ; vous n aurez donc pas à lancer le portmapper (rpc.portmap ou portmap tout court) si vous prévoyez d utiliser les serveurs et les clients NIS. Clients NIS Les principaux programmes associés aux clients NIS sont rpc.portmap, domainname, ypbind, ypmatch, ypcat et ypmatch. Les trois premiers définissent la communication avec le serveur, les autres sont des programmes de consultation. Installation d un client NIS 1. Définissez le nom de domaine NIS par la commande domainname (ici, le nom de domaine NIS est mondomaine) : # domainname mondomaine 2. Assurez-vous que portmap fonctionne et lancez ybind, qui part à la recherche d un serveur NIS approprié à travers le réseau. Si votre sous-réseau inclut un serveur NIS qui porte le nom de domaine NIS, le serveur répondra et la commande ybind attachera le client à ce serveur. 3. Contrôlez le serveur avec la commande ybindwhich. Si tout semble correct, videz le fichier à l aide d ypcat (par exemple, pour un fichier group, lancez la commande ypcat group). Si tout se passe bien, configurez vos fichiers pour qu ils aillent chercher les informations via ybind : pour /etc/passwd : la ligne +:::::: à la fin du fichier passwd autorise tous les utilisateurs recensés dans ce fichier à se connecter. Si vous voulez limiter les accès à un seul utilisateur du fichier NIS passwd, procédez comme suit : +user:::::: pour les netgroups : afin d autoriser l accès aux utilisateurs d une netgroup NIS, ajoutez la ligne : +@ng:::::: Le netgroup est particulièrement utile lorsque vous voulez interdire aux utilisateurs ordinaires d accéder aux serveurs :

13 NFS, NIS et rdist CHAPITRE 3 13 root:x:0:0:root:/root:/bin/bash daemon:*:1:1:daemon:/usr/sbin:/bin/sh bin:*:2:2:bin:/bin:/bin/sh.... (autres enregistrements du fichier).. +@sysadmins:::::: +::::::/usr/local/bin/noaccess Ici, sysadmins est un netgroup qui contient les noms d utilisateurs de tous les administrateurs système. La dernière ligne est une espèce de fourre-tout destiné à faire en sorte que les utilisateurs ne soit pas inconnus du serveur. L incapacité d employer des noms d utilisateurs corrects déroutera ou fera planter le démon de nombreux serveurs (celui des serveurs web, par exemple). Problème n 20 Symptôme : Vous pouvez employer ypcat netgroup, mais les enregistrements du fichier /etc/passwd relatifs au netgroup ne correspondent à rien. Problème : Le fichier /etc/nsswitch.conf est incorrect. Solution : Si vous souhaitez utiliser le netgroup, le fichier /etc/nsswitch.conf doit inclure la ligne suivante : netgroup: nis INFO Si vous configurez des clients Solaris NIS à côté de vos clients Linux, le netgroup du /etc/ nsswitch.conf n est valable qu avec nis. Problème n 21 Symptôme : Les utilisateurs peuvent se connecter alors que vous le leur avez interdit en insérant l instruction : +@ng::::::/bin/noaccess dans le fichier /etc/passwd. Problème : Le fichier /etc/nsswitch.conf est incorrect. Solution : Le fichier /etc/nsswitch.conf doit comporter cette ligne : passwd: compat

14 14 SOS Dépannage Linux Problème n 21 (suite) D autre part, la notation suivante est incompatible avec la convention +/+@ du fichier / etc/passwd : passwd : files nis Le moyen le plus rapide de contrôler le shell d un utilisateur est le programme finger ou une commande perl du type : $ perl -e 'print join(" ",getpwnam(username)). "\n"' Débogage avec ypcat, ypmatch et ypwhich Une partie du débogage des clients NIS consiste à vérifier que les données que vous récupérez sont les bonnes. Les programmes ypcat et ypmatch peuvent vous y aider. ypcat effectue le vidage des maps NIS au format de sortie standard : $ ypcat group L option -k d ypcat sert à afficher les clés du fichier en plus des valeurs. INFO NIS étant basé sur des fichiers dbm, le résultat que vous obtiendrez s affiche sans ordre précis. Si vous connaissez la clé que vous cherchez et le fichier dans lequel elle se trouve, utilisez ypmatch : $ ypmatch clé map Cette commande fournira la valeur de clé. Si vous ne savez pas à quel serveur NIS votre machine est reliée, utilisez ypwhich : $ ypwhich Serveurs NIS Le côté serveur de NIS consiste en une collection de fichiers prototypes, de fichiers dbm générés à partir de ces fichiers (ces fichiers dbm deviennent, sur le réseau, les maps NIS), des programmes de conversion et du serveur NIS proprement dit (ypserv). Le serveur maître NIS possède tous ces composants, qui sont fournis avec la plupart des distributions de Linux. Les serveurs esclaves ont seulement besoin d ypserv, qui consulte les fichiers dbm, généralement placés dans /var/yp. À l intérieur de ce répertoire, un Makefile permet de comprendre la manière dont tous les fichiers concordent.

15 NFS, NIS et rdist CHAPITRE 3 15 Avant d entrer dans le détail de l installation des serveurs NIS, étudions la conversion des fichiers en maps NIS via /var/yp/makefile. Nous nous intéresserons au fichier passwd car il permet de créer plusieurs maps NIS. Cherchez la cible all: dans le fichier /var/yp/makefile (elle se trouve à la 98 e ligne dans plusieurs distributions) : passwd est mentionné à cet endroit. Ignorez le mot passwd.adjunct pour le moment. Cherchez maintenant la cible passwd: (aux environs de la 123 e ligne) ; vous constatez que ce mot fait référence à deux cibles : passwd.byname et passwd.byuid, que vous trouverez un peu plus loin (à la 257 e ligne). Sautez les lignes MERGE_PASSWD pour arriver aux lignes suivantes : passwd.byname: $(PASSWD) "Updating \ $(AWK) -F:!/^[-+#]/ { if ($$1!= "" && $$3 >= $(MINUID) ) \ print $$1"\t"$$0 }' $(PASSWD) $(DBLOAD) -i $(PASSWD) \ -o $(YPMAPDIR)/$@ - $@ -@$(NOPUSH) $(YPPUSH) -d $(DOMAIN) $@ Ces lignes contiennent une multitude de commandes awk qui produisent des commentaires et des lignes blanches. Nous pouvons dire que le fichier $(PASSWD) est traité par un script awk. La première partie de ce script est -F: ; elle affiche le marqueur des champs sous forme de deuxpoints (:), qui dit à son tour à awk que les deux-points séparent les champs. La partie suivante,!/^[-+#]/, supprime les lignes de commentaire (bien qu il soit assez improbable de trouver des commentaires dans un fichier de mots de passe). La déclaration cherche ensuite ce qu elle considère comme des enregistrements passwd valides : ici, ce sont les enregistrements dont l identifiant utilisateur est supérieur ou égal à $(MINUID). Si tout se passe bien, le script imprime le champ 1 (le nom d utilisateur), qui est suivi d une étiquette, puis la ligne entière. Ainsi, si vous disposez du fichier ci-dessous et que $(MINUID) est égal à 500 (la valeur par défaut dans beaucoup de distributions), voici ce qui s affiche : root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin: daemon:x:2:2:daemon:/sbin: adm:x:3:4:adm:/var/adm: bri:.asf.p//o83ck:500:50:brian Ward:/home/bri:/bin/bash dave:fdsaf.dsafdmm:501:50:david Beazley:/home/dave:/bin/bash jjohnson:kgfsd7rnn./4t:502:50:john Johnson:/home/jjohnson:/bin/bash Le résultat d awk dans la cible du Makefile est : bri bri:.asf.p//o83ck:500:50:brian Ward:/home/bri:/bin/bash dave dave:fdsaf.dsafdmm:501:50:david Beazley:/home/dave:/bin/bash jjohnson jjohnson:kgfsd7rnn./4t:502:50:john Johnson:/home/jjohnson:/bin/bash

16 16 SOS Dépannage Linux Tout ceci nous amène aux lignes suivantes : $(DBLOAD) -i $(PASSWD) -o $(YPMAPDIR)/$@ - $@ La commande $(DBLOAD) est habituellement connue sous la syntaxe /usr/lib/yp/makedbm, enrichie d une paire d arguments (la définition se trouve aux environs de la 107 e ligne de /var/yp/makefile). Le pipeline entier produit les fichiers binaires dans $(YPMAPDIR) (normalement /var/yp/domain) et ypserv consulte ces fichiers. La dernière étape de la règle du Makefile relative à la cible passwd.byname consiste à envoyer le fichier aux serveurs esclaves. Installation d un serveur NIS maître Heureusement, vous n aurez pas à écrire le Makefile /var/yp/ vous-même. Pour initialiser le serveur maître NIS, commencez par vous assurer que portmap (ou rpc.portmap) fonctionne. Définissez ensuite le nom de domaine NIS à l aide de la commande domainname, comme décrit dans la section «Clients NIS», puis écrivez les lignes suivantes : # ypserv # cat >> /etc/netgroup foo bar bar baz ^D # /usr/lib/yp/ypinit -m La session interactive qui commence alors vous demande d indiquer l hôte à ajouter à la liste de serveurs NIS ; elle attend de vous que vous spécifiiez un serveur esclave quelconque. Ne vous préoccupez pas des serveurs esclaves pour le moment. Appuyez sur Ctrl+ D et confirmez que les informations sont exactes. Après vérification, ypinit définit le domaine /var/yp/domaine (où domaine est le nom de domaine NIS), et tente de lancer la commande make sur le Makefile récemment créé (/var/yp). Notez qu ypinit ne se trouve dans aucun des répertoires sbin. Ne vous inquiétez pas si make échoue et produit les messages suivants : gmake[1]: *** No rule to make target `/etc/netgroup', needed by `netgroup'. Stop. gmake[1]: Leaving directory `/var/yp/domaine' Ces lignes signifient seulement que le Makefile veut construire un fichier à partir de /etc/ netgroup mais qu il n y trouve aucun fichier. Dans l exemple ci-dessus, nous avons pris cat >> /etc/netgroup parce que ce fichier est le seul de la configuration NIS par défaut à ne pas être fourni avec la plupart des distributions. La solution la plus radicale consiste à supprimer les cibles inutiles de Makefile. La liste des cibles réside dans la cible all:, située, sur de nombreux systèmes, aux environs de la 98 e ligne : all: passwd group hosts rpc services netid protocols netgrp mail \ #shadow publickey # à franciser? networks ethers bootparams amd.home \ auto.master auto.home passwd.adjunct

17 NFS, NIS et rdist CHAPITRE 3 17 Ici, netgrp est la cible des fichiers netgroup. Remarquez le commentaire de la deuxième ligne : il signifie que la cible all n utilise que la première ligne. INFO Si vous supprimez une cible et si vous faites un make dans /var/yp, le make ne supprimera pas les fichiers maps de cette cible s il en existe. Vous devrez soit les supprimer manuellement, soit lancer la commande ypinit -m. Le serveur maître NIS devra fonctionner correctement lorsque vous installerez les premiers serveurs esclaves NIS (nous abordons les serveurs esclaves un peu plus loin). Mise à jour des fichiers Si vous modifiez, sur le serveur maître, un fichier que NIS a diffusé sur l ensemble du réseau, vous devrez lancer la commande cd /var/yp sur le serveur maître, puis la commande make pour construire de nouvelles maps et les installer sur un des serveurs esclaves. Certains programmes effectuent ces tâches automatiquement : yppasswdd, par exemple, autorise les utilisateurs à changer leur mot de passe NIS. Selon la manière dont le Makefile est écrit, make regénère toutes les maps ou se contente de travailler sur des fichiers modifiés depuis le dernier make. Cette seconde possibilité était précieuse à l époque où les machines mettaient beaucoup de temps à élaborer les maps et à les diffuser sur le réseau ; aujourd hui, la méthode importe peu. Serveurs esclaves Si vous possédez plusieurs sous-réseaux de clients NIS, vous devez doter chacun d eux d au moins un serveur ; autrement dit, vous avez besoin d un serveur esclave au minimum. L installation d un serveur esclave est facile. Sur la machine à transformer en esclave, assurezvous d abord que portmap est lancé et le nom de domaine est défini. Saisissez ensuite : # /usr/lib/yp/ypinit -s serveur_maître où serveur_maître est le nom du serveur maître. Le programme ypinit crée le répertoire /var/ yp/domain et y transfère toutes les informations provenant du maître. Vous n avez pas encore tout à fait terminé ; retournez sur le serveur maître NIS et saisissez de nouveau : # /usr/lib/yp/ypinit -m Lorsque le programme demande d indiquer le nouveau serveur, saisissez cette fois le nom du nouveau serveur esclave.

18 18 SOS Dépannage Linux Problème n 22 Symptôme : Les consultations des petites maps sont impossibles. Problème : ypserv est bogué. Solution : Les maps doivent contenir au moins deux enregistrements. Si vous essayez d accéder à une map qui possède zéro ou un enregistrement, ypserv lance sur le serveur un processus qui tournera jusqu à ce que vous l arrêtiez. Les maps de netgroup La notion de netgroup est une particularité du NIS. Elle regroupe des machines et des utilisateurs. Bien que ce système ne soit pas l un des plus élégants, il offre l avantage d être compatible avec la plupart des variantes d Unix. Voici un exemple de fichier netgroup destiné à générer une map de netgroup NIS : goodusers localmachines remoteservers allmachines (-,bri,) (-,jjohnson,) (-,dave,) (atlantic.example.com,-,) (pacific.example.com,-,) ( localnet remotestuff Chaque ligne est constituée d une clé et d une succession de groupes de trois champs. Chaque groupe de champs est placé entre parenthèses ; les champs sont séparés par des virgules. Si le champ représente un utilisateur, le nom d utilisateur est le deuxième champ, et le premier champ est un trait d union (-). La syntaxe inverse s applique aux hôtes (nom de l hôte et trait d union). Le troisième champ correspond au nom de domaine NIS. Il est conseillé de laisser ce champ à blanc pour améliorer la lisibilité du fichier. Vous pouvez créer des enregistrements netgroup en choisissant une nouvelle clé et en incluant d autres noms de clés comme les entrées, comme sur la dernière ligne de l exemple ci-dessus. Problème n 23 Symptôme : Certains utilisateurs ou machines sont exclus des maps de netgroup. Le générateur de maps échoue. Problème : Les enregistrements netgroup sont trop longs. Solution : Les enregistrements netgroup, surtout ceux qui représentent les utilisateurs, ont tendance à être trop longs pour le format dbm.

19 NFS, NIS et rdist CHAPITRE 3 19 Pour que tous les utilisateurs soient pris en compte, créez-les de la manière suivante : goodusers goodusers1 goodusers2 goodusers3 goodusers1 (...) (...) \... goodusers2 (...) (...) \... goodusers3 (...) (...) \... INFO Pour développer les enregistrements netgroup, vous pouvez utiliser le programme expnnetgroup, qui est inclus sur le CD-Rom, dans le répertoire support/nfsnirdist. Problème n 24 Symptôme : Les clients NIS Solaris sont absents de la map de netgroup ou contiennent des informations erronées, bien qu ypcat netgroup fonctionne correctement. Problème : Les machines Solaris gèrent deux maps de netgroup supplémentaires. Solution : Quand vous lancez make dans /var/yp, vous créez trois maps de netgroup : netgroup, netgroup.byuser et netgroup.byhost. Certains systèmes d exploitation, parmi lesquels Linux et FreeBSD, n utilisent que le fichier netgroup, mais les clients Solaris gèrent les deux autres ; vous devez donc vous assurer de leur présence (ce qui est généralement l option par défaut). rdist La mise à jour du parc logiciel d un groupe de machines revient à effectuer des copies de fichiers entre machines en effaçant les fichiers obsolètes. Avant la large diffusion des disques de grande capacité, la procédure suivante était couramment utilisée dans le monde Unix : il fallait placer la distribution centrale sur un gros serveur et faire en sorte que tous les clients montent ces fichiers via NFS. Cependant, cette stratégie est, en raison de deux inconvénients majeurs, inadaptée aux machines modernes. Premièrement, l accès aux fichiers est beaucoup plus lent via NFS que via un système de fichiers situé sur un disque local. Deuxièmement, cette méthode est beaucoup trop dépendante de la fiabilité du serveur. Les systèmes de fichiers en réseau tels que Coda résolvent les problèmes de vitesse et de fiabilité mais sont, comme indiqué précédemment, soit très chers, soit bogués.

20 20 SOS Dépannage Linux Le paquetage rdist (remote distribution) copie une multitude de fichiers sans poser trop de questions et ce, depuis des années. Il se compose de deux programmes, rdist et rdistd (le client et le serveur). Vous pouvez connecter rdistd à un serveur distant de différentes manières, mais le moyen le plus sûr est de connecter rdist par ssh ou rsh, et non par le mécanisme d authentification réseau de rdistd). rdist s appuie sur un fichier Distfile (semblable à un Makefile) pour la configuration. Nous supposerons que vous utilisez rdist6, qui est livré en standard avec la plupart des distributions de Linux. Le CD-Rom en fournit plusieurs versions dans support/nfsnisrdist, et vous pourrez en outre vous procurer la dernière version sur le site suivant : Commençons par un exemple de Distfile simple : STUFF = ( www src ) MACHINES = ( mikado atlantic ) ${STUFF} -> ${MACHINES} Ces lignes signifient que vous voulez reproduire les répertoires www et src sur les hôtes mikado et atlantic. Essayez de lancer cette commande en tant qu utilisateur normal avant de vous connecter en tant qu administrateur (root). Si vous saisissez : $ rdist la machine essaiera de se connecter à mikado et à atlantic via rsh pour déposer les répertoires www et src sur ces machines. Par défaut, rdist ne supprimer pas les fichiers et les répertoires des machines distantes. Pour faire fonctionner rdist correctement, vous devez impérativement pouvoir vous connecter à une machine distante sans mot de passe. Problème n 25 Symptôme : Vous ne pouvez pas lancer rsh sur les hôtes distants. Problème : Vous avez désactivé rsh. Solution : À présent, vous pouvez faire une ou deux choses pour vous habituer à rdist. Vous pouvez réactiver temporairement rsh en apportant les modifications appropriées au fichier /etc/inetd.conf (voir le Chapitre 2) et en ajoutant cette ligne au fichier /etc/ host.deny : in.rshd: ALL except nom_serveur où nom_serveur est le nom de la machine sur laquelle tourne rdist.

21 NFS, NIS et rdist CHAPITRE 3 21 N oubliez pas que vous aurez besoin d un fichier.rhosts ou hosts.equiv sur la machine distante parce que le fichier.rhosts, en particulier, peut créer une faille de sécurité. Si vous pouvez toutefois lancer ssh sur l hôte distant sans saisir de mot de passe (il faut pour cela que le nom des machines qui ont l autorisation de se connecter soient recensés dans un script ou dans un fichier host.equiv), insérez les lignes suivantes dans un script que vous appellerez par exemple srsh : #!/bin/sh ssh -q $@ Vous pouvez ensuite utiliser rdist de la manière suivante (srsh étant le répertoire courant) : $ rdist -P./srsh Nous détaillons l emploi de ssh avec rdist un peu plus loin. Options Nous allons maintenant aborder une des options de rdist, l option -P. rdist possède deux sortes d options : les options normales et les options dist. Les premières sont les mêmes que celles des autres programmes : chemins d accès, fichiers de configuration, indicateurs, etc. Les options dist contrôlent quant à elles les diffusions distantes et sont annoncées par -o, comme dans l exemple suivant : $ rdist -oremove,younger,verify Cette ligne signifie que rdist va supprimer des fichiers présents sur un hôte distant mais absents du répertoire local. Rdist ne va pas traiter les fichiers de l hôte qui ont été modifiés plus récemment que leurs homologues locaux ; il va se contenter de les vérifier. Une option dist dans un fichier Distfile revêt l aspect suivant : ( www src ) -> ( mikado atlantic ) install -oremove,younger ; La seconde ligne est une commande. En plus de spécifier les options dist, les commandes permettent de mieux contrôler les diffusions en comparant certains paramètres de fichiers, tels que la date.

22 22 SOS Dépannage Linux Commandes except et except_pat Ces commandes ignorent les fichiers et les répertoires (ne les mettent pas à jour). except_pat reçoit en arguments des expressions rationnelles et ignore les fichiers et les répertoires qui correspondent à ces arguments. Exemple : except lib ; except_pat ^/usr/local/etc/.*\.conf$ ; Problème n 26 Symptôme : Certains fichiers ne sont mystérieusement pas mis à jour. Problème : Vous avez «surexploité» except_pat! Solution : Utilisez l option dist -overify et observez le résultat. Essayez de commencer toutes les expressions par un accent circonflexe (^) et de les terminer par un dollar ($). L expression rationnelle suivante : except_pat etc/.*\\.conf ; compare les arguments aux fichiers des répertoires /etc, /usr/etc et /usr/local/etc. install Cette commande spécifie les options des répertoires d installation principaux ou secondaires. Nous avons déjà vu les options dist dans des exemples tels que : install -oremove,ignlinks ; Pour les répertoires d installation secondaires, rdist se comporte différemment selon les sources. Pour le fichier Distfile ci-dessous : ( stuff ) -> ( atlantic pacific ) install -oremove newstuff ; le fichier ou le répertoire stuff est diffusé aux hôtes distants sous le nom newstuff. Le fichier Distfile suivant présente un scénario différent : ( morestuff/one morestuff/two morestuff/3/4 stuff ) -> ( atlantic pacific ) install -oremove newstuff ; Ici, rdist place morestuff/one et morestuff/two dans newstuff/one et newstuff/two sur les hôtes distants, mais morestuff/3/4 devient newstuff/4, et stuff va alimenter newstuff/stuff!

23 NFS, NIS et rdist CHAPITRE 3 23 Pourquoi rdist agit-il ainsi? Il tente d établir le plus de correspondances possible et de remplacer le plus de répertoires possible. Si rdist est sûr que la chemin d accès de la source correspond à un répertoire (dans le cas de morestuff et de morestuff/3), il remplace tous les chemins d accès par les arguments à installer (ici, newstuff). Toutefois, dans notre exemple rdist ne sait pas tout de suite si stuff est un répertoire ou non. Si stuff est un fichier, il ne sert à rien d essayer de transférer son contenu dans newstuff. Problème n 27 Symptôme : rdist se comporte différemment avec un seul argument. Problème : Lié à la structure de rdist. Solution : Si vos besoins sont relativement restreints, utilisez l option dist whole (décrite ci-dessous) pour forcer le fichier à apparaître dans le répertoire cible sans pour autant estropier le nom. Ne tentez pas d utiliser l option de répertoire d une commande rdist avec des arguments trop complexes, la structure du répertoire serait imprévisible Scindez les informations dans le Distfile si nécessaire. notify Cette commande envoie les résultats de rdist à un utilisateur : notify foo@example.com ; Cette option est très pratique pour avertir plusieurs personnes de changements à l intérieur d un même Distfile. Autrement, vous pouvez enregistrer les résultats de rdist dans un fichier et les envoyer aux utilisateurs par courrier électronique. cmdspecial et special L option special ordonne à rdist, au cours de certaines diffusions de fichiers, de lancer immédiatement un programme donné sur la machine cible. Voici un exemple d un syslogd et de son fichier de configuration : special /etc/syslog.conf "/bin/kill -HUP `cat /var/run/syslogd.pid`" La commande cmdspecial attend en revanche que la diffusion soit terminée pour exécuter le programme. Options dist Comme susmentionné, vous pouvez spécifier une option dist globale avec l argument -o, comme dans l exemple ci-dessous, qui met en œuvre l option compare : $ rdist -ocompare

24 24 SOS Dépannage Linux ou dans le Distfile avec la commande install : ( stuff ) -> ( machine ) install -ocompare ; Il existe une multitude d options dist ; toutes ne sont pas très utiles. Par exemple, l amélioration de la structure des systèmes de fichiers a avantageusement remplacé l emploi de l option noexec. Nous ne décrivons que les plus courantes et les plus pratiques ; vous en trouverez la liste complète dans le manuel de référence. compare Normalement, rdist détermine si la date et la taille du fichier ou du répertoire sont différents de ceux du fichier ou du répertoire de l hôte distant. L option dist compare ordonne à rdist d effectuer cette comparaison sur le fichier lui-même. Problème n 28 Symptôme : rdist est trop lent. Son exécution ralentit le fonctionnement des machines et du réseau. Problème : -ocompare est trop lent. Solution : Si vous utilisez l option -ocompare, tous vos fichiers vont circuler sur le réseau, car ils doivent se déplacer d une machine à une autre pour être comparés. Il est conseillé de l employer de temps en temps pour vérifier intégralement vos machines ; en revanche, dans le cadre de l usage quotidien de rdist, évitez d utiliser -ocompare. remove Cette option élimine tous les fichiers des hôtes distants qui n existent pas sur la machine locale. younger Si le fichier que vous diffusez a une date de modification récente sur l hôte distant, cette commande s assure que vous ne toucherez pas au fichier situé sur l hôte distant. Combinée avec l option dist verify, elle est très pratique en phase de débogage parce qu elle signale, sans les modifier, les fichiers de l hôte distant qui ont été personnalisés. nodescend Cette option indique qu il ne faut pas s introduire dans les sous-répertoires pour examiner leur contenu.

25 NFS, NIS et rdist CHAPITRE 3 25 nochkowner, nochkgroup et nochkmode Ces options permettent d ignorer respectivement la non-concordance du propriétaire, du groupe et du mode (permission). follow Cette option résout les liens symboliques et les traite comme des fichiers ou des répertoires. Utilisation de ssh avec rdist Comme rsh n est pas très sécurisé, beaucoup d administrateurs système préfèrent le désactiver, et ceux qui l utilisent le privent généralement de l accès administrateur (root). Il est toutefois possible de configurer ssh pour qu il exécute les mêmes tâches que rsh à l aide de configuration ou de clés autorisées. Pour en savoir plus sur ssh, voir le Chapitre 2. Le processus est différent dans les versions 1 et 2 de ssh. Nous allons d abord étudier la version 1, puis nous aborderons la version 2. Problème n 29 Symptôme : Transfert accidentel d un nombre important de données. rdist effectue des boucles infinies, remplissant ainsi le disque. Problème : L option dist follow est dangereuse. Solution : Utilisez follow seulement lorsque vous êtes absolument sûr des données que vous avez l intention de copier (un seul répertoire, par exemple). Vous pouvez cependant combiner nodescend avec follow afin d obtenir un répertoire sans liens symboliques. Comme rdist installe seulement le premier niveau de répertoires qui se présente à lui lorsque l option dist nodescend est spécifiée, votre Distfile doit refléter tous les fichiers du répertoire (ici, le répertoire s appelle dir) : ( dir/* ) -> ( machines ) install -ofollow,nodescend ; ssh version 1 Pour que ssh accepte les connexions du superutilisateur (root), insérez cette ligne dans le fichier sshd_config : PermitRootLogin yes Il s agit de la valeur par défaut de sshd, mais elle doit être spécifiée dans tous les cas. Il faut que l hôte concerné figure dans le fichier.shosts (ou /etc/hosts.equiv) du superutilisateur, parce que rdist ne fonctionnera pas s il obtient un résultat différent de celui de rdistd.

26 26 SOS Dépannage Linux Pour employer des clés autorisées, assurez-vous au préalable que la ligne suivante est présente dans le fichier sshd_config sur l hôte distant : PermitRootLogin nopwd Insérez ensuite la ligne ci-dessous sur la machine qui exécutera rdist : # ssh-keygen -N '' -b 1024 Cette ligne crée deux fichiers de clés, identity et identity.pub, dans le répertoire.ssh du superutilisateur. Copiez ce fichier identity.pub sur la machine cible, dans le fichier.ssh/ authorized_keys du superutilisateur, en insérant au début de la ligne from="nom_hôte". nom_hôte est le nom de la machine qui lance rdist. Le fichier authorized_keys ressemble à la longue ligne ci-dessous : from="nom_hôte" 1024 NN <longue suite de nombres> root@nom_hôte Assurez-vous aussi que la clé de l hôte (pas celle que vous venez de créer) nom_hôte figure bien dans le fichier, hôtes_connus, de ssh. ssh version 2 Si vous utilisez la version 2 de ssh, insérez cette ligne : # ssh-keygen -P -b 1024 Vous obtenez les clés publiques et privées dans.ssh2 : fichiers id_dsa_1024_a et id_dsa_1024_a.pub (ou similaires). Sur le serveur, les deux fichiers doivent être présents dans le répertoire.ssh2 de la racine. Insérez en outre la ligne suivante dans un fichier appelé identification : IdKey id_dsa_1024_a Sur les hôtes distants, insérez seulement le fichier id_dsa_1024_a.pub dans le répertoire.ssh2 du superutilisateur. Ajoutez un fichier nommé authorization : Key id_dsa_1024_a.pub Vérifiez que vous pouvez maintenant lancer ssh à partir d un hôte distant en tant qu administrateur (root) : # ssh hôte_distant whoami La réponse doit être root. Pour les regrouper, créez un script en suivant les instructions ci-dessus. Son nom sera distssh et son contenu sera : #!/bin/sh ssh -q $@

27 NFS, NIS et rdist CHAPITRE 3 27 Vous souhaiterez peut-être citer le chemin d accès complet à ssh dans ce script et spécifier une ou deux options supplémentaires ; nous allons bientôt traiter ces thèmes. En attendant, pour invoquer rdist depuis ce script au lieu de rsh, employez l option -P : # rdist -P./distssh Symptôme : Message d erreur : Problème n 30 machine: LOCAL ERROR: Unexpected input from server:...apparaît. Problème : Interférences provenant des avertissements de diagnostic du programme ssh. Solution : Utilisez l option -q de ssh, qui désactive certains messages d avertissement. Par exemple, si vous utilisez -c arcfour et que ssh décide qu il veut utiliser blowfish à sa place, vous obtiendrez un message d avertissement (et rdist sera stoppé s il fonctionne en mode ssh). L option -q est tout de même utile pour les commandes xauth en échec et pour les avertissements non critiques. Problème n 31 Symptôme : rdist est beaucoup plus long avec ssh qu il ne l est avec rsh. Problème : Le chiffrement des données est susceptible de monopoliser le processeur. Solution : Dénombrez les erreurs d exécution de ssh (qui peuvent remonter à deux ou trois mois). Si les machines sont anciennes, choisissez une autre option de chiffrement. La plupart d entre elles exécutent blowfish plus rapidement que l option par défaut. Ajoutez c blowfish aux arguments du script distssh et observez l activité du serveur NIS. INFO Evitez de divulguer le fichier identity (ou id_dsa_1024_a). En cas d intrusion d un utilisateur externe sur le serveur, remplacez les clés immédiatement. Une absence de réaction serait lourde de conséquences. Pour bloquer les connexions aux serveurs rdist, installez des filtres IP. Diffusion à grande échelle Si votre réseau est étendu, il est important d assurer aux machines une certaine homogénéité. Toutes vos machines doivent être dotées du même lot de logiciels que, dans l idéal, vous devez être capables d installer rapidement. N hésitez pas à transformer une des machines en proto-