Linux : Réseaux ADMINISTRATION DES RESEAUX LINUX OLIVIER D.

Transcription

1 2013 Linux : Réseaux ADMINISTRATION DES RESEAUX LINUX OLIVIER D.

2 Table des matières 1 Construire le réseau Installer les services d infrastructure réseau Samba : le service de partage Microsoft Le service DHCP Le service DNS NIS : Centraliser l authentification Linux Centraliser l authentification Windows avec SAMBA Sécuriser les accès : NETFILTER NTP : Le service de temps LAMP : Linux, Apache, MySQL, PHP D. Olivier 2

3 1 Construire le réseau Les commandes sont dynamiques (volatiles), les fichiers restent après le redémarrage (mais demandent le redémarrage du service pour être pris en compte). 1.1 Configurer le réseau ndiswrapper : outil qui permet d utiliser les pilotes Windows XP pour les cartes réseau sur Linux. Service réseau : /etc/init.d/networking restart start stop Configuration des interfaces réseau : ifconfig route affiche les interfaces actives -a affiche toutes les interfaces eth0 down up (des)active eth0 eth1: netmask ajoute une adresse IP aliasée $ ifconfig eth netmask broadcast modifier la passerelle route add default gw modif default GW route del net netmask supprimer route netstat $ route add -net netmask gw informations sur le paramétrage réseau -r affiche la table de routage (=route) -a affiche les connexions réseau -n affiche les connexions réseau sans la résolution de nom Interrogation de serveurs DNS dig renvoie du serveur DNS dig renvoie de dig nic.fr MX SOA renvoie des serveurs de messagerie (ou les SOA) dig -x renvoie le nom d hôte de interroge ns1.nic.fr pour de host arp renvoie de host renvoie le nom d hôte pour host -t NS nic.fr renvoie les enregistrements NS pour nic.fr affiche le cache arp entrée manuelle dynamique volatile traceroute tcpdump >/dev/tty5 idem que tracert moniteur réseau en ligne de commande ( wireshark) Nota : sur Solaris : on utilise snoop au lieu de tcpdump nmap (network mapper) scanne les réseaux : Nota : en mode graphique, il est possible d utiliser le logiciel zenmap. nmap -sp ou nmap -sp /16 cibler l écoute nmap -O système d exploitation nmap -v scan détaillé D. Olivier 3

4 1.2 Le client DHCP dhclient client DHCP dhclient eth0 activer DHCP sur eth0 (dynamique, volatile) dhclient -r eth0 release de eth0 Attention : si on enlève eth0, exécute la commande pour toutes les interfaces /etc/network/interfaces fichier de configuration statique des interfaces réseau Attention : l utilisateur ne peut pas modifier la config dynamique si /etc/network/interfaces n est pas vide. auto eth0 iface eth0 inet dhcp[ static] /etc/dhcp3/dhclient[-eth0].conf démarre l interface eth0 automatiquement configure eth0 en DHCP [ en statique] fichier de configuration de dhclient send host-name "poste1" ; /var/lib/dhcp3/dhclient.leases le serveur DHCP reçoit le nom pour enregistrer DNS fichier de log des baux obtenus 1.3 Configurer le réseau sur un serveur /etc/init.d/networking restart ou invoke-rc.d networking restart redémarre le service réseau. /etc/hostname nom de machine /etc/hosts nom de machine à renseigner aussi /etc/network/interfaces fichier de configuration IP statique auto lo iface lo net loopback auto eth0 iface eth0 inet static adress netmask gateway Nota : l utilisateur ne peut plus intervenir sur la configuration de eth Résolution de noms Résolution des noms de machines : /etc/hosts : localhost contdomain dc001.stagiaires.local Nota : le fichier est lu séquentiellement : la première occurrence gagne Résolution des noms de réseaux : /etc/networks : Salle eni-ecole /etc/nsswitch.conf méthodes de résolution de noms (dans l ordre) hosts: files dns [nis] [ldap] [] files=résolution locale / dns=résolution DNS D. Olivier 4

5 En cas de service DNS : /etc/resolv.conf : nameserver nameserver search eni-ecole.local stagiaires.local domain betelgeuse.local serveurs DNS suffixes DNS suffixe DNS principal (facultatif) 1.4 Les ports réseaux TCP : toujours un client, toujours un serveur Port source et port de destination 0 à 1023 : ports bien connus, listés dans /etc/services cat /etc/services grep telnet trouver le port utilisé par telnet Nota : liste des ports connus : Le super serveur xinetd xinetd sert à la gestion des services réseaux à la demande Fonctionnement global de xinetd /etc/xinetd.conf /etc/xinetd.d/vsftp configuration globale de xinetd configuration du service ftp 1.6 Les services RPC : Appel de Procédures Distantes Avec RPC, les programmes sont indépendants de la couche IP, RPC fait le lien rpcbind associe les numéro de programmes RPC à des numéro de ports. Cette table est générée lors du boot par rpcbind et est du type : programme#, port#, service Exemple : /1 udp sprayd rpcinfo -p relève les mappages faits par rpcbind /etc/rpc liste de programmes rpc numéros de programmes Nota : pour lancer un service RPC, il doit être défini dans le fichier /etc/rpc + avoir un n de port via rpcbind D. Olivier 5

6 Fonctionnement de rpcbind Nota : rpcinfo -p affiche rpcinfo -p depuis tcp-wrapper : Filtre d accès La syntaxe des fichiers /etc/hosts.allow et /etc/hosts.deny est du type : daemon1 daemon2 : client1 client2 [ : spawn <commande>] On peut remplacer client par hotsname ou adresseip On peut remplacer daemon et client par des mots spéciaux Mots spéciaux : ALL : tous les daemons tous les clients LOCAL (côté client) : nom d hôte local (pas DNS) KNOWN (côté client) : nom dont on peut résoudre l adresseip UNKNOWN (côté client) : nom dont on ne peut pas résoudre l adresseip PARANOID (côté client) : machines dont le nom et l adresseip ne correspondent pas (par rapport à la résolution) En plus de ça, on peut rajouter une variable EXCEPT : sauf EXCEPT UNKNOWN) Deux approches pour le filtrage tcp-wrapper : sur un pare-feu : restrictif : o ajouter une règle de refus général dans hosts.deny o on utilisera hosts.allow pour filtrer plus précisément dans un LAN : permissif (par défaut pour tcp-wrapper) : o on utilisera hosts.allow pour filtrer plus précisément Exemple de filtrage restrictif : 1. vi /etc/hosts.deny ALL : ALL 2. vi /etc/hosts.allow vsftpd :.stagiaires.local vsftpd accepte donc tous les clients qui finissent par.stagiaires.local telnetd : telnetd accepte tous les clients commençant par popd,smtpd,imapd : EXCEPT gssftpd : / réseau/masque D. Olivier 6

7 1.8 Activer le routage statique Rappel : netstat r afficher la table de routage Activer le routage (dynamique et volatile) : Fonctionnement du filtrage restrictif de tcp-wrapper echo 1 > /proc/sys/net/ipv4/ip_forward Attention : Penser à l espace avant > 0 = pas de routage (par défaut) 1 = routage activé Activer le routage statiquement : vi /etc/sysctl.conf net.ipv4.ip_forward = 1 Il faut donc enlever le # qui est présent par défaut (décommenter) Ajouter des routes (dynamique et volatile) : route add -net netmask gw Ajouter des routes statiquement (debian : Ubuntu) $ vi /etc/network/interfaces Ajouter une ligne à la fin du fichier : up route add net netmask gw Attention : sous RedHat, /etc/sysconfig/network-scripts/route-eth0 (pour les routes attachées à eth0) se configure ainsi : /16 via D. Olivier 7

8 2 Installer les services d infrastructure réseau 2.1 Proxy Principe de fonctionnement d un proxy Le but d un proxy est de mettre en cache les sites http/ftp à mesure que les clients font des demandes. Le proxy doit donc pointer vers des serveurs DNS, la passerelle vers l extérieur et doit disposer d un service proxy. On utilise SQUID comme service de serveur proxy, mais il en existe d autres. Attention à l ordre des règles dans squid.conf! La première règle qui convient gagne! Configuration du proxy côté serveur : 1. Editer le fichier /etc/squid/squid.conf : visible_hostname proxy # hostname du proxy http_port 3128 # port d écoute par défaut avec squid cache_mem 20 MB # taille du cache cache_log /var/log/squid/cache.log # emplacement du journal acl sirius src[ dest] / /24 # on définit sirius comme étant le nom des sources /24 et /24 acl localhost src # même chose : localhost est http_access allow sirius # sirius est autorisé pour le http http_access allow localhost # localhost est autorisé pour le http nameserver # le proxy doit pointer vers un NS gateway # le proxy doit avoir une GW Le NS (serveur de résolution de nom) est défini dans le fichier /etc/resolv.conf La GW (passerelle) est définie dans le fichier /etc/network/interfaces 2. Test de la configuration: squid si ça démarre c est super, sinon on résout les erreurs! Configuration du proxy côté client : Le client ne fait pas la résolution des URL, donc pas besoin de DNS, ni même de GW Après le login, les scripts (*.sh) contenus dans /etc/profile.d/ sont exécutés. 1. vi /etc/profile.d/proxy.sh export http_proxy export ftp_proxy ftp:// :3128/ adresseip du proxy = port d écoute 2. Pour prendre en compte les modifs : sudo i (passer root) chmod u+x proxy.sh./proxy.sh 3. Savoir si les modifs ont été prises en compte : env grep proxy doit renvoyer les 2 lignes Nota : en interface graphique, on configure le proxy d internet explorer / firefox D. Olivier 8

9 2.2 La gestion des paquets avec Ubuntu Red-Hat : *.rpm rpm yum Debian (Ubuntu) : *.deb dpkg apt-get (depots configures dans /etc/apt/sources.list) vi /etc/apt/sources.list : deb xxxxxxxxxxxxxxxxxxxxxxx deb-src xxxxxxxxxxxxxxxxxxx (dépots d autoinstall) (dépots d autoinstall des sources) Il n y a pas besoin des dépots d autoinstall des sources, donc, dans vi on exécute la commande :g/^deb-src/s/^/#/ commandes utilisées avec aptitude (oublier apt-get, on est des pros, on utilise aptitude) aptitude update Mise à jour de la base de connaissance des paquets/dépots aptitude full-upgrade Mise à jour de tous les paquets du système aptitude search flash Recherche par mots clés (ici flash ) aptitude show flashplugin_nonfree Infos sur le paquet flashplugin_nonfree aptitude install flashplugin_nonfree Installe le paquet flashplugin_nonfree aptitude remove purge flashplugin_nonfree Désinstalle dpkg L <non du paquet> liste des fichiers installés avec ce paquet 2.3 Administrer les machines à distance On utilise SSH, ainsi les mots de passe ne circulent pas en clair. On peut encapsuler n importe quel protocole dans un tunnel SSH. 1. Côté serveur : installer openssh-server (par défaut, écoute sur le port tcp22) 2. Côté client : openssh-client (préinstallé) Pour se connecter : $ ssh nota : l utilisateur doit avoir un compte à son nom sur la machine distance ssh l administrateur ou ssh administrateur@ Explorateurs de fichiers distants : Gnome : nautilus ssh:// Kde : konqueror fish:// Xfce : thunar Pour windows : putty Connexion graphique : Vnc (fonctionne sur tous les OS) existe de base sur Unix/Linux. Il faut juste le paramétrer Rdesktop : rdesktop k fr Le service serveur nécessite un logiciel client adapté pour communiquer Nota : Webmin est une interface d administration du serveur (fonctionne sur le port en https) mais le produit est buggé D. Olivier 9

10 2.4 NFS : Service de partage de fichiers Unix Sur Windows : A: C: D: Z: système de fichiers (bien différencié avec les lettres de lecteurs) Sur Unix, le FS distant est rattaché à la racine, on ne le différencie pas (exemple : /data) BInstallation et paramétrage du serveur NFS 1. Editer /etc/exports : /export/public /export/admin *(sync,ro) (rw) Dossier à partager machines_autorisées(options) machines_autorisées(options) 2. Recharger le service NFSserveur : En général : nfs-kernel-server reload En dynamique : exportfs o ro *:/home/dergand/public partage un répertoire Client NFS : NFS ne fonctionne pas sous Windows (par défaut) sudo showmount -e affiche les partages de sudo showmount affiche les partages utilisés localement Montage dynamique et volatile : Montage statique : $ mount -t nfs serveur:/chemin/partage /point_de_montage/local Editer le fichier /etc/fstab : serveur:/chemin/partage /repertoire/local nfs defaults 0 0 Nota : le chemin local doit avoir été créé avec mkdir -p puis mount -a D. Olivier 10

11 3 Samba : le service de partage Microsoft Samba permet le partage de fichiers et d imprimantes ainsi que l intégration à un domaine (NT/AD) existant, intégration à un annuaire LDAP. Rappel NetBios : Problématique liée à Samba Différences NetBIOS Unix et Microsoft Rappel : les fichiers hosts et lmhosts permettent la résolution de noms NetBIOS 3.1 Installer le serveur Samba smbd et nmbd sont les daemons indispensables au service Samba winbind est à utiliser dans le cas d un serveur Samba utilisant une authentification distante Commandes côté client : nmblookup interroger un serveur wins smbpasswd gestion comptes et mots de passe findsmb check du traffic netbios testparm check la configuration de /etc/samba/smb.conf testparm -v affiche les valeurs par défaut de /etc/samba/smb.conf smbd et nmbd sont géré par upstart. Il est faut donc utiliser status stop start smbd nmbd 3.2 Configurer Samba Le fichier /etc/samba/smb.conf doit être sauvegardé en.orig pour ensuite créer un nouveau fichier smb.conf vide Nota : après toute modification de smb.conf, il faut relancer les services smbd et nmbd [nom_du_partage] path = /export/distrib [global] [netlogon] [homes] [printers] pour mettre les paramètres généraux (ex. : writable = no) partage créé pour l utilisation des scripts d ouverture de session créé un répertoire d accueil pour les utilisateurs authentifiés partage toutes les imprimantes Unix Attention au nom des partages répertoires / imprimantes : il ne faut pas de nom en commun D. Olivier 11

12 Exemple : [global] Workgroup = GROUP1 Netbios name = SRV1 Security = user (par défaut) Encrypt password = yes (par défaut) Win95sr2 : non crypté Noyau NT : chiffré NTLM [distrib] Path = /samba/distrib Writeable = yes Valid users admin 3.3 Gestion des comptes : groupe autorisé à se connecter &Group1 : groupnis Ajouter guest nobody (même compte qui sert pour les utilisateurs anonymes) L utilisateur toto doit être déclaré sur le serveur dans /etc/passwd ainsi que dans samba pdbedit pdbedit -L gérer les utilisateurs Samba lister les utilisateurs Samba 1. useradd epursan (pas obligé de faire passwd epursan) 2. pdbedit -a epursan (ou smbpasswd pour les vieilles versions de Samba) pdbedit -Lv epursan 3.4 Le client Samba Sur linux Sur Windows informations de l utilisateur 1. Installer smbfs : smbfs ajoute les commandes mount.smb et mount.cifs» mount -t cifs -o user=dergand,domain=stagiaires,iocharset=utf8,uid=olivier //server1/public /mnt Nota : sur Nautilus et Dolphin on utilise smb://fic44-1/distrib 2. Installer smbclient : findsmb affiche les postes répondant aux requêtes smb nmblookup -M WORKGROUP trouve le master browser de WORKGROUP nmblookup -A trouve le nom NetBIOS net use G: \\PC1\partage * /user:pc1\administrateur se connecter à un partage net user /delete G: se déconnecter d un partage net use voir les partages D. Olivier 12

13 3.5 AutoFS : service côté client Exemple : $ dd if=/dev/cdrom of=/import/dico.iso $ sudo mount -t iso9600 -o loop /import/dico.iso /dico Problème : il ne faut pas surcharger la fstab, et l utilisateur doit pouvoir se simplifier la vie ls /dico créé un automontage grace à autofs (le fait de lister monte le partage) Tables d automontage Nota : on met les options en fin de ligne Editer le fichier /etc/auto.master (table maître : indique le chemin des tables d automontage) : /toto /etc/auto.indirect --ghost ghost créé des répertoires virtuels, les rend visible /- /etc/auto.direct --timeout /- indique une table directe Tables directes Les points de montages sont entièrement définis dans le fichier de table directe. Editer le fichier /etc/auto.direct : /import/partage1 Point de montage :/export/partage FS à monter Tables indirectes Les points de montages sont relatifs au chemin défini dans auto.master Editer le fichier /etc/auto.indirect : partage2 /toto/partage2 partage3 /toto/partage :/export/compta FS à monter -fstype=nfs,rw :/export/compta Options et FS à monter Si on multiplie les partages à créer par le nombre d utilisateurs, ça peut vite devenir le bordel On utilise donc * et &, qui permettent de faire des raccourcis : Editer le fichier /etc/auto.master : /home /etc/auto.home Editer le fichier /etc/auto.home : toto /export/home/toto * /export/home/& Ainsi, /home/xyz pointe donc vers /export/home/xyz D. Olivier 13

14 4 Le service DHCP Paquet à installer : dhcp3-server Daemon : dhcpd3 Configuration : /etc/dhcp3/dhcpd.conf Baux accordés : /var/lib/dhcp3/dhcpd.leases /usr/sbin/dhcpd3 d tous les messages s affichent à l écran (mode debug) 4.1 Le fichier de configuration Editer le fichier /etc/dhcp3/dhcpd.conf : ddns-update-style none interim; default-lease-time ; max-lease-time ; option domain-name-server , ; option domain-name "eni.local betelgeuse.fr"; subnet netmask {} subnet netmask { range ; range ; option routers [,]; } host imp_01 { hardware ethernet 00:11:22:33:44:55; fixed-adress ; option routers ; } interim : DNS mis à jour par DCHP ; none : non DNS durée de bail = 1semaine durée max de bail = 1mois adresse des serveurs DNS attribués aux clients nom de domaines DNS (pour les clients) déclaré mais non configuré, autorise l interface étendue de réseau passerelles attribuées aux clients réservation d pour imp_ Le client dhcp dhclient Editer le fichier /etc/network/interfaces : auto eth0 iface eth0 inet dhcp On peut laisser toute la configuration réseau dessous, il n en tiendra plus compte Baux obtenus : /var/lib/dhcp3/dhclient[.eth0].leases Editer le fichier /etc/dhcp3/dhclient.conf : send hostname poste01 ; 4.3 Le relais DHCP dhcp3-relay Daemon : dhrelay3 dhrelay3 d i eth0 i eth1 d Editer le fichier /etc/default/dhcp3-relay : SERVERS = " " INTERFACES = "eth0 eth1" OPTION = "" serveurs DHCP interfaces à l écoute (côté clients + côté serveur) D. Olivier 14

15 5 Le service DNS DNS est : dynamique : enregistrements ajoutés uniques + rapidement disponibles pour tous répliqué : les infos existent en plusieurs exemplaires hiérarchisé : arborescence racine TLD domaines hôtes distribué : plusieurs zones contenant chacune des enregistrements Rôles : Serveur cache : tout serveur DNS fait serveur cache diminue la bande passante Redirections : vers DNS FAI Serveur primaire sur une seule zone (celle de son réseau) autorité + RW Serveur secondaire sur plusieurs zones autorité + RO 5.1 Paramétrage du serveur DNS Paquet à installer : bind Daemon : named Editer le fichier /etc/bind/named.conf : Serveur de cache options { directory /var/named ; emplacement des fichiers de zone }; zone. { type hint; file root.cache ; emplacement des serveurs racine }; ftp://ftp.rc.internic.net/domain/named.root zone in-addr.arpa { type master; file inv ; zone inversée localhost OBLIGATOIRE }; Serveur de redirection Serveur primaire Serveur secondaire option { ; forward first; forwarders { ;[;] }; }; zone mondomaine.com { type master; file mondomaine.com ; }; zone 2.10.in-addr.arpa { type master; file 10.2.inv ; }; zone autredomaine.com { type slave; file mondomaine.com ; masters { ; }; }; zone 0.11.in-addr.arpa { type slave; file 11.0.inv ; masters { ; }; }; adresse IP des redirecteurs SOA ne pas créer le fichier (! bind = rw) emplacement du NS maitre D. Olivier 15

16 5.2 Les fichiers de zones $INCLUDE pour stocker une partie des autres fichiers de zones $ORIGIN eni.local pour attacher le suffixe aux enregistrements $TTL durée de vie des enregistrements. A mettre pour éviter les IN SOA ns1.mondomaine.com. admin.mondomaine.com. ( 1 ; n de série. Penser à l incrémenter à chaque modif ; fréquence de demande de MàJ des slaves 3600 ; temps d attente avant re-tentative de connexion ; temps d expiration ) ; temps de validité des informations négatives IN NS ns1.mondomaine.com. IN NS ns2.mondomaine.com. ns1 IN A ns2 IN A www IN CNAME ns1.mondomaine.com. IN MX 10 mail.mondomaine.com. priorité < préférée BFichiers de zones inverses IN SOA ns1.mondomaine.com. admin.mondomaine.com. ( ) IN NS ns1.mondomaine.com. IN NS ns2.mondomaine.com. 1.0 IN PTR ns1.mondomaine.com 1.0 hote x.y.0.1/ Créer une zone déléguée Editer le fichier /etc/bind/named.conf : zone "eni.fr" { type master; forwarders{ } ; }; ecole IN NS ns.ecole.fr délégation de la zone ecole.eni.fr ns.ecole IN A D. Olivier 16

17 6 NIS : Centraliser l authentification Linux 6.1 Introduction NIS centralise les fichiers Dans /etc, sur le serveur NIS, il y a passwd shadow group : cela permet l authentification distante Domaine NIS non hiérarchisé, pas de (.) dans le nom. Exemple : betelgeuse_nis Un client est sur un domaine et un seul! Le fichier nsswitch.conf définit le comportement du client NIS Les tables NIS se trouvent dans /var/yp/<domaine_nis> 50BConfigurer le serveur maître NIS Client NIS Serveur maitre NIS Serveur esclave NIS Service NIS Daemon ypbind ypserv rcp.yppasswdd (mot de passe) rpc.ypxfrd (transfers serveurs) ypserv domainname betelgeuse_nis 3. installer NIS 4. domainname renvoit le nom du domaine NIS 5. maitre NIS : /etc/default/nis : NISSERVER=master 6. client NIS : /etc/yp.conf : domain betelgeuse_nis server srv-lan 7. sécuriser 8. maitre NIS : /usr/lib/yp/ypinit m génère les tables NIS 9. maitre NIS : relancer de daemon ypserv 10. yptest ypcat ypmatch ypwhich D. Olivier 17

18 6.2 Configurer le serveur maître NIS 1. Rajouter les utilisateurs : $ useradd m dergand 2. Modifier le fichier /etc/passwd : Changer /home/dergand en /users/dergand 3. Editer le fichier /etc/auto.master : /users /etc/auto.home 4. Editer le fichier /etc/auto.home : * ys:/home/& 5. Editer le fichier /etc/exports : /home *(rw,sync) 6. Editer le fichier /var/yp/makefile : ALL += auto.master auto.home 7. $ make C /var/yp met à jour les tables NIS 8. Relancer les services autofs et nis 6.3 Configurer les clients 6.4 Tester 1. Vérifier que les fichiers hosts sont renseignés, tester la résolution non d hôte en adresseip $ domainname betelgeuse-nis 2. Editer le fichier /etc/defaultdomain : betelgeuse-nis 3. Installer NIS 4. Editer le fichier /etc/nsswitch.conf : passwd: group: shadow: automount: nis hosts: compat nis compat nis compat nis files nis dns 5. Editer le fichier /etc/yp.conf : domain betelgeuse-nis server srv-lan $ su - <utilisateur_créé_seulement_sur_nis> 6.5 Interroger un serveur NIS yptest ypwhich ypcat x ypcat group yppasswd 1 test fail nom du serveur NIS nom des tables NIS affiche la table group modifier le mot de passe (rpc.yppasswdd fait les mises à jours serveurs) D. Olivier 18

19 6.6 Configurer un esclave NIS Sur le serveur maitre : /usr/lib/yp/ypinit m ajouter les noms des esclaves NIS Vérifier la résolution du nom d hôte esclave Editer le fichier /etc/yp.conf : domain betelgeuse-nis server srv-dmz (pour ajouter l esclave) Editer le fichier /var/yp/makefile : NOPUSH=false Sur le serveur esclave : Installer NIS Configurer domainname + /etc/defaultdomain Editer le fichier /etc/yp.conf : active la poussée des données vers slaves domain betelgeuse-nis server srv-lan domain betelgeuse-nis server srv-dmz Editer le fichier /etc/default/nis : NISSERVER=slave /usr/lib/yp/ypinit s <serveur maitre> récupère les tables NIS 6.7 Mises à jour des serveurs sudo make C /var/yp met à jour les tables NIS Mise à jour des esclaves NIS : via la crontab, ajouter la planification pour /usr/lib/yp/ypxfr_xxxx D. Olivier 19

20 7 Centraliser l authentification Windows avec SAMBA Editer le fichier /etc/samba/smb.conf : [global] Utilisation du service SAMBA domain logons = yes security = user workgroup = DOM1 time server = yes wins support = yes active l authentification centralisée obligatoire dans ce cas là nom du domaine pour Windows seulement active serveur WINS 7.1 Intégrer les postes de travail au domaine Sur le serveur : sudo useradd poste1$ ajouter l ordi client sudo pdbedit a m u poste1$ ajouter l ordi client dans la base Samba sudo pdbedit a root compte administrateur sur samba (pour intégrer) Sur le client Windows : Intégrer le poste au domaine BGérer les profils itinérants Activer [global] logon path = \\%N\%U\profile [homes] writable = yes browseable = no emplacement du profil itinérant Désactiver [global] logon path = 7.2 Utiliser les scripts d ouverture de session [global] Logon script = logon.cmd [netlogon] path = /toto/mes-scripts browseable = no writeable = yes D. Olivier 20

21 7.3 Création d un fichier de script $ vi logon.bat net use g: \\srv1\distrib net use lpt2 \\srv1\lexmark net time \\samba /set /yes Attention : les fichiers créés sous Unix/Linux ne sont pas compatibles avec MS-DOS donc :se ff=dos $ vi od.txt bonjour tout le monde $ od c od.txt b o n j o u r \ n t o u t l e m o n d e \ n vi od.txt puis exécuter :se ff=dos puis :wq $ od c od.txt b o n j o u r \ r \ n t o u t l e m o n d e \ r \ n D. Olivier 21

22 8 Sécuriser les accès : NETFILTER Paquet : iptables Nota : certaines règles ont été conçues pour ipchains et fonctionnent différemment iptables permet : filtrage de paquets (IP) et de trames (MAC) routage NAT marquage de trames Configuration du noyau avec SYSCTL (logiciel de personnal firewall) : Editer le fichier /etc/sysctl.conf : Fonctionnement de sysctl pour filtrer les flux réseaux net.ipv4.ip_forward=1 net.ipv4.conf.all.rc_filter=1 net.ipv4.tcp.syncookies=1 net.ipv4.tcp_max_syn_backlog=1024 activer le routage protection spoofing protection syn-flood BPrincipe de fonctionnement (points d accroche / hook) : 3 tables : Vocabulaire des points d accroche filter (FORWARD / INPUT / OUTPUT) filtrage nat (PREROUTING / POSTROUTING / OUTPUT ) routage mangle ( FORWARD / INPUT / OUTPUT / PREROUTING / POSTROUTING ) marquage D. Olivier 22

23 8.1.2 La table NAT NAT source, pour aller vers l extérieur Nat dest, pour aller vers l intérieur : publication de services Nat source : on change l adresse source. Pour aller vers l extérieur. ( + Pat : on change le n de port) Nat Dest : on change l adresse de dest. pour aller vers l intérieur (publication de services) Penser à rajouter dans DNS : A Les cibles iptables t filter A INPUT -j DROP Filtrage table = filter pt d accrochage = INPUT cible = action= DROP ACCEPT : accepté DROP : refusé, pas d explication REJECT : refusé, explication pour l émetteur LOG : pour logger Nat MASQUERADE : pour du source Nat, plus simple à mettre en place (POSTROUTING) SNAT : pour du source Nat (POSTROUTING) DNAT : pour du dest. Nat (PREROUTING) D. Olivier 23

24 Comportement par défaut : Si une trame arrive et n est concernée par aucune règle, elle suit la «policy» (comportement par défaut). Nota : par défaut, les trames sont acceptées : POLICY ACCEPT. Nous on fait POLICY DROP : seuls les flux clairement autorisés passent 8.3 Comment utiliser iptables? Créer les scripts Exécuter les scripts jusqu à obtention de la configuration souhaitée service iptables save écrit dans le fichier /etc/sysconfig/iptables Vérifier chkconfig --list iptables /etc/network/if-pre-up.d/* emplacement des scripts de tables iptables Les tables sont lancées avant la config. réseau Attention : les fichiers ne doivent pas comporter de. Penser au droit x pour l exécution des scripts 8.4 Premières règles iptables A écrit la règle dans le(s) fichier(s). -A ajoute une règle Exemples de règles par défaut Vidage des règles : $ iptables F Création des POLICY : mode restrictif pour la table filter [-t filter] : $ iptables P OUTPUT DROP $ iptables P INPUT DROP $ iptables P FORWARD DROP Autoriser l interface de loopback (sinon besoin de doubler chaque règle pour lo) : $ iptables A INPUT i lo j ACCEPT $ iptables A OUTPUT o lo j ACCEPT Autoriser depuis eth0 les trames vers ssh : $ iptables A INPUT i eth0 p tcp --dport 22 j ACCEPT $ iptables A OUTPUT o eth0 p tcp --sport 22 j ACCEPT Autoriser depuis eth0 les trames icmp (ping) : $ iptables A INPUT i eth0 p icmp j ACCEPT $ iptables A OUTPUT o eth0 p icmp j ACCEPT Autoriser les trames en provenance d eth0 vers eth2 à destination de tcp:80 : $ iptables-a FORWARD i eth0 o eth2 p tcp --dport 80 j ACCEPT $ iptables-a FORWARD i eth2 o eth0 p tcp --sport 80 j ACCEPT Autoriser les trames en provenance de eth0 vers eth2 à destination de NetBIOS : $ iptables-a FORWARD i eth0 o eth2 p tcp m multiport --dport 137:139,445 j ACCEPT $ iptables-a FORWARD i eth2 o eth0 p tcp m multiport --sport 137:139,445 j ACCEPT Autoriser les trames en provenance de /24 vers à destination de SQL : $ iptables-a FORWARD s /24 d p tcp --dport 1433 j ACCEPT $ iptables-a FORWARD s d /24 p tcp --sport 1433 j ACCEPT D. Olivier 24