Projet Evolution. Oumar M CHINDA, Soliman HAMMAN, Yaël ROSEN GMSI 2010 Cesi Aix-en-Provence

Transcription

1 GMSI 2010 Cesi Aix-en-Provence 2010

2 WINDOWS SERVER 2003 : 4 I. INSTALLATION : 4 II. ACTIVE DIRECTORY : INSTALLATION ET MISE EN SERVICE 4 III. ACTIVE DIRECTORY : CONFIGURATION 5 1. CONFIGURATION DU SERVEUR DNS : 5 2. CREATION DES UTILISATEURS ET GROUPES DE SECURITE : 6 3. CREATION DES RESTRICTIONS D ACCES : 7 4. CREATION DES STRATEGIES DE GROUPE : 8 5. CREATION DU SERVEUR D IMPRESSION : 9 6. CREATION ET PARTAGE DES DOSSIERS : 9 7. APPLICATION DE QUOTAS : 10 CREATION D UNE BASE DE DONNEES BASE DE DONNEES CREATION DE TABLES CREATION DE FORMULAIRES REQUETES FORMULAIRE DE RECHERCHE 16 SERVEURS LINUX 18 I. PREPARATION DES SERVEURS LINUX : 18 II. INSTALLATION DE UBUNTU ETAPE 1 : CHOIX DE LA LANGUE ETAPE 2 : EMPLACEMENT GEOGRAPHIQUE ETAPE 3 : PARTITIONNEMENT ÉTAPE 4 : L IDENTITE 22 PREPARATION DU HYROMS-SRV1 22 III. INSTALLATION EST PARAMETRAGE DE SAMBA INSTALLATION DE SSH 23 IV. INSTALLER LE SERVEUR SAMBA CREATION DES UTILISATEURS ET DES GROUPES CREATION DES DOSSIERS POUR SAMBA ET ATTRIBUTION DES DROITS : CONFIGURATION DE SMB.CONF ; 26

3 V. INSTALLATION DU SERVEUR DHCP CONFIGURATION DES INTERFACES DU SERVEUR DHCP CONFIGURATION DU FICHIER DHCPD.CONF 28 VI. INSTALLATION DU NFS : INSTALLATION NFS SUR LE SERVEUR CONFIGURATION DU 2EME SERVEUR SAUVEGARDE DES REPERTOIRES / ARCHIVAGE DES SAUVEGARDES 34 CONFIGURATION DU SERVEUR 2 35 VII. INSTALLATION DE PROFTPD : INSTALLATION ET CONFIGURATION DE PROFTPD CREATION UTILISATEUR VIRTUEL CREATION DES DOSSIERS DU FTP ET ATTRIBUTION DES DROITS ; 37 VIII. SERVEUR HTTP OU SERVEUR WEB INSTALLATION APACHE2 38 IX. CONCLUSION LINUX 40 CONCLUSION 41 ANNEXES : 41 ANNEXE 1 : 42 X. ANNEXE 2 : 52 XI. ANNEXE PLANNING 53 XII. ANNEXE 4 54

4 Windows Server 2003 : Le cahier des charges exige que nous mettions en place un certain nombre de services et de stratégies qui permettrons de sécuriser notre réseau. I. Installation : Nous commençons par réaliser l installation du système d exploitation Microsoft Windows Server 2003 sur le premier serveur : Une fois l installation terminée, nous adaptons la configuration des deux cartes réseau et créons une connexion de pont entre ces deux dernières, ce qui permet que la deuxième carte prenne instantanément le relais en cas de panne de la première. II. Active directory : Installation et mise en service Nous allons maintenant procéder à l installation du service d annuaire Active Direcotry.

5 Ce service d annuaire a de multiples avantages puisque il permet la gestion centralisée des comptes d utilisateurs et des stratégies de sécurité appliquées à ces derniers. Pour cela nous exécutons la commande DCPROMO. Ce serveur sera contrôleur de domaine pour le domaine HYROMS.LOCAL. Nous installons ensuite le service DNS (Domain Name System) qui permettra la conversion d une adresse IP en nom d hôte (et inversement). Ce service sert principalement à faciliter la navigation sur le réseau et la communication entre les différentes machines. III. Active directory : Configuration 1. Configuration du serveur DNS : Pour que le serveur DNS puisse convertir une adresse IP en nom d hôte, nous devons configurer : - une zone de recherche directe (adresse IP en nom d hôte). - une zone de recherche inversée (nom d hôte en adresse IP).

6 2. Création des utilisateurs et groupes de sécurité : Pour l organisation des utilisateurs et des groupes de sécurité, nous avons décidé de créer une unité d organisation principale nommée «utilisateurs» qui contiendra des sous-uo qui auront les noms des différents services de l entreprise. Cela permettra une gestion simplifiée de la création et la modification des utilisateurs. Pour pouvoir appliquer les droits sur les différents services, nous allons créer des groupes de sécurité (à l effigie de chaque service) dans lesquels nous ajouterons respectivement les utilisateurs. Cela permettra d ajouter ou de retirer simplement les utilisateurs des groupes et donc de leur donner ou non les droits sur les différents dossiers de partage.

7 3. Création des restrictions d accès : Il nous a été demandé de restreindre les horaires d accès pour certaines personnes du service produit 1, et d interdire la connexion entre 20 heures et 7h. Pour répondre à cette demande nous avons utilisé l outil de configuration des comptes utilisateurs intégré dans Active Directory.

8 4. Création des stratégies de groupe : Pour faciliter la création et la modification des stratégies de groupe (GPO), nous avons installé l outil GPMC, qui est une console de gestion avancée des GPO. Nous avons choisit d utiliser 3 objets de stratégie : - Default Domain Policy, sur laquelle nous allons activer tous les paramètres que nous voulons appliquer à tous les utilisateurs et tous les ordinateurs du domaine (ex : Exigence de complexité de mot de passe, activation du bureau à distance ). - Désactivation disquette/cd, qui ne sera appliquée que sur les services produit 1 et 2. - Modification heure / installation logiciel, qui sera appliquée sur tous les services excepté la direction et l informatique. Toutes ces stratégies nous permettent de bloquer un certain nombre de possibilités à des utilisateurs ou groupes différents pour les empêcher de changer des paramètres qui pourraient altérer le bon fonctionnement de leur machine ou du réseau, ou par exemple pour forcer la déconnexion d une session qui aurait dépassé ses horaires d accès autorisés. Le détail de toutes les stratégies appliquées est en annexe 1.

9 5. Création du serveur d impression : Nous avons 7 imprimantes réseau qui seront partagées entre les différents services. (devis en annexe 2) Pour les copieurs nous allons devoir créer plusieurs fois la même imprimante avec la même IP afin de définir la priorité du groupe Direction ainsi que les heures d'accessibilité pour les services produits. 6. Création et partage des dossiers : Chaque utilisateur doit avoir un dossier qui lui est propre dans un dossier CommunService, nous mettrons en place un lecteur réseau dans la session de l'utilisateur grâce au dossier de base du profil utilisateur. Avant ça nous devons créer des dossiers partagés puis y définir les droits, les membres de la direction et le Service Informatique peuvent y avoir accès (lecture seule pour la direction). Nous nommons les partages en CommunService puis définissons l'accès total dans les droits de partages, nous allons définir la sécurité avec les droits NTFS. Nous y définissons les droits de la manière suivante : Ainsi grâce à l'héritage les membres du Service Informatique et de la direction auront accès aux dossiers de base mais pas les autres utilisateurs. Nous devons tout de même laisser les autorisations de lectures sur l'ensemble des utilisateurs mais sur ce dossier uniquement que cette autorisation ne soit pas héritée. Le dossier sera immédiatement créé avec les autorisations héritées ainsi qu'un accès total de l'utilisateur sur son dossier. Nous mettons également à disposition un dossier de travail collaboratif qui sera accessible à l'intégralité des utilisateurs ce qui permet des échanges interservices.

10 7. Application de quotas : Nous allons mettre en place des quotas sur le disque de donnée, chaque utilisateur aura droit à 5 Go sur cette partition comprenant son dossier de base et le dossier collaboratif. Les alertes de dépassement sont configurées à 4.5 Go.

11 1. BASE DE DONNEES CREATION D UNE BASE DE DONNEES Sur proposition du D.A.F et en corrélation avec notre cahier des charges, il nous a été demandé de répondre aux précédents problèmes de gestion de parc de l ancienne équipe informatique qui courrait partout et se trompait souvent de lieu pour dépanner les utilisateurs. Et qui de plus ne disposait d aucune information stockée quelque part concernant ce parc (Nom d hôtes, type de machines ). Pour répondre à ce besoin, nous avons mis en place une nouvelle gestion des postes informatiques à l aide de Microsoft Access. Avant toute initiative, nous avons procédés à la création d un modèle conceptuel de données et d un modèle physique de données pour mettre en place notre base Access. Cette étape est indispensable elle permet de mettre en relation toutes les tables entre elles et de se mettre à jour automatiquement. Notre modèle relationnel se présente comme ci-dessous : 2. CREATION DE TABLES Pour la création de notre table, nous avons procédés comme suit : - Dans un premier temps nous avons créé les tables suivantes qui sont nécessaires au fonctionnement de notre base de données : - Ecrans ; Imprimantes ; postes de travail ; unité centrale et localisation. - Pour la création de table : Après avoir démarré Access, cliqué sur l'onglet «CREATION DE TABLES» pour lancer une table en mode création. La fenêtre suivante apparaît:

12 Il faut affecter une clé primaire pour le premier champ pour le définir en tant qu identifiant de table qui permettra de mettre en relation avec les autres bases, ensuite il faut définir le type de données que comportera le champ en question mis à part l identifiant représenté par une clé dont le type de données est un NuméroAuto, les autres champs peuvent être de différent type (texte, numérique, date etc. ). - Après création de nos tables, nous créons les relations entre les différentes tables pour pouvoir mettre en place nos formulaires qui nous permettent de mieux gérer l ensemble de notre base. 3. CREATION DE FORMULAIRES Pour cela nous pouvions procéder de deux manières différentes, la première étant de sélectionner la table concernée et de faire appel à l assistant de formulaire, cette dernière se créer automatiquement sur la base du contenue de notre table. La seconde permet de faire de plus ample modification, il suffit de créer un formulaire puis d y intégrer les éléments souhaités, cette dernière est beaucoup plus délicate et nécessite des ajustements dans le menu des propriétés.

13 4. REQUETES - Certain formulaire ont nécessités des requêtes, ces dernières se référent aux tables et permettent de mettre en relation les formulaires. Pour cela nous procédons comme suit : Dans la fenêtre Base de données nous cliquons sur Requêtes dans la zone Objets Ensuite sur Créer une requête en mode Création La fenêtre Ajouter une table s'ouvre Sélectionnons 2 tables normalement liées dans votre schéma relationnel La liaison apparaît en même temps que les tables, dans le cas contraire sélectionnons des tables possédant une liaison valide Ensuite nous faisons un glisser/poser du premier item de la liste des 2 tables, l'item est représenté par une étoile (*).

14 Pour pouvoir gérer le parc informatique depuis Access, Nous avons eu besoin d un utilitaire. Dans un souci de sécurité nous avons donc créés deux modes d accès à la base de données pour les utilisateurs lambda et pour les administrateurs du réseau. Pour répondre à ce besoin nous utilisons l application «AccessRuntime.exe», cette dernière permet donc la consultation de base pour dédier aux utilisateurs de l entreprise et d autre part un mode gestion qui permet aux administrateurs d ajouter ou de modifier des éléments dans la base de données.

15 En mode consultation, les utilisateurs pourront voir l ensemble des utilisateurs ainsi que le matériel qui leurs est affecté, c'est-à-dire l imprimante, le poste de travail, l unité centrale, leurs écrans ainsi que leurs emplacement. Dans chaque fenêtre se trouve donc les caractéristiques de ces différents éléments.

16 Il en est de même pour les administrateurs mis appart que ses derniers peuvent modifier, ajouter ou supprimer les données de la base. Pour avoir accès à ces fonctionnalités, nous avons mis en place un petit script permettant l identification avant l accès au mode gestion. 5. FORMULAIRE DE RECHERCHE Nous avons mis en place plusieurs types de recherche selon des critères spécifiques :

17 - Dans un premier temps, nous avons créé des formulaires de recherche par table. - Ensuite nous avons créé un formulaire à l aide d une requête englobant tous les formulaires de recherche. Notre second mode de recherche est celui de Microsoft Access que nous avons inclut a chacun de nos formulaire : - Dans un premier temps, il faut appeler l assistant «création de bouton de commande» pour faire apparaitre les différentes options. - Ensuite il faut choisir la catégorie déplacement entre enregistrement et définir l action «rechercher un enregistrement» - Faire suivant, choisir l icône et le nom du bouton et enfin terminer. Enfin pour sécurisé notre base de données, nous l avons dupliqué et divisé en deux fichiers, l un contenant les tables et l autre contenant les requêtes et formulaires.

18 Serveurs Linux I. Préparation des serveurs linux : L installation du serveur linux s est fait en plusieurs étapes : le choix de la distribution, l installation des packages nécessaires pour l utilisation dans l entreprise du serveur, ainsi que les tests de fonctionnements des packages et de leurs paramétrages. Nous avons choisie la distribution linux Ubuntu 9.10 car celle-ci offre des avantages pour nous administrateur et pour notre entreprise : Hautement personnalisable: tout est paramétrable avec plus ou moins d'efforts. Cycle régulier de sortie des paquets d installation et de support donc beaucoup plus facile à tenir à jour, vu que tous les programmes sont des dépôts et ils sont mis à jour automatiquement Importante documentation disponible (de source officielle ou provenant de la communauté et des utilisateurs) Facilité d'accès à tous les logiciels (avec Synaptic donc choix du programme, on clique, il est téléchargé et s'installe tout seul). Support plus important sur la sortie d une nouvelle distribution Ubuntu et dès que vous avez une question/problème, la doc Ubuntu saura vous guider et les forums sont très réactifs pour vous aider. Il y deux serveurs Linux a installer le premier (principal) sera nommé Hyroms-srv 1 et il aura pour rôle : - Partage de ressource Windows via Samba serveur - Serveur NFS (Network File System) système de fichiers en réseau qui permet de partager des données - Option : serveur DHCP Le deuxième serveur quand à lui, sera nommé Hyroms-srv2 et il aura pour rôle : - Service FTP (sécurisé et anonyme) - Option : Service http (intranet Php-mysql) avec visualisation des caractéristiques techniques et logiciel des autres machines du parc informatique - Client NFS avec sauvegarde automatique des ressources de l autre serveur II. Installation de ubuntu Nous allons abordé dans cette partie l installation du système Linux «Ubuntu 9.10»

19 Il est possible sur Ubuntu d installer le système directement ou de l essayer sans rien installer.

20 1. Etape 1 : Choix de la Langue 2. Etape 2 : Emplacement Géographique

21 3. Etape 3 : Partitionnement.

22 Projet 4. Étape 4 : l identité Créez votre compte utilisateur. Ce compte sera aussi paramétré comme étant administrateur de votre système Ubuntu. Saisissez votre nom complet (il sera utilisé à quelques endroits, comme le client de courrier électronique), puis un identifiant dans notre (cas sa sera hyroms et le mdp hyroms) Étape 5 : Confirmer l'installation et options avancées Il est possible a l installation du système d installer un grand choix de paquet et de logiciel Et la l installation est lancée Préparation du Hyroms-srv1 Nous allons dans cette partie concernant le serveur 1 (Hyroms-srv1) l installation et le paramétrage de samba, du serveur NFS et le DHCP (désactivé)

23 III. Installation est paramétrage de Samba Mais avant l installation de service sur chacun des postes Linux on installera «SSH» pour pouvoir prendre la main à distance et configurer les services Ensuite avant chaque installation nous seront déjà en mode «super utilisateur» en tapant : sudo su Puis taper le nom d utilisateur et le mot de passe (hyroms et hyroms) Point important nous commençons toujour une installation en «root» et avec une mise à jour effectuer pour cela on tape : apt-get upgrade ou apt-get update 1. Installation de SSH Pour l installation du SSH nous devons taper : Apt-get install openssh-server Nous vérifions que SSH est prêt : /etc/init.d/ssh status Nous configurons le server SSH : nano /etc/ssh/sshd_config Nous modifions le port de connexion car le port 22 configuré par défaut constitue une faille de sécurité. Port 1234 (choisit arbitrairement). Nous vérifions les paramètres : PermitRootLogin no X11forwarding yes Pour se connecter en x11 sur le serveur d une machine cliente il faut taper la commande : Ssh X user@ip p port Le X est l option qui autorise le forwarding X11 sur le client.

24 Le serveur vous demande le mot de passe de l utilisateur puis votre session est connecté. Nous tapons la commande «exit» pour se déconnecter. Sinon avec un utilitaire comme Putty la connexion SSH est possible IV. Installer le serveur samba Samba est un logiciel qui fournit des fichiers et services d'impression pour divers clients Windows et peut s'intégrer à un domaine Windows Server

25 Installer le serveur samba avec la commande suivante : apt-get install samba 1. Création des utilisateurs et des groupes Pour des raisons de sécurité, nous avons restreins l'accès à certains utilisateurs ou certains groupes. Nous avons créé deux groupes, group1 et group2. Pour chacun de ses groupes on crée un utilisateur (user). Donc pour le groupe on tape : groupadd group1 (création du groupe) Puis pour l'utilisateur : useradd -m -g group1 user1 L'option -m permet de créer directement le répertoire home du nouvel utilisateur. Ce répertoire se situe dans /home/. L'option -g permet à l'utilisateur de rejoindre le groupe spécifié en paramètre. Puis a nouveaux : groupadd group2 Et : useradd -m -g group2 user2 Ensuite one les ajoute a samba en tapant smbpasswd -a user1 smbpasswd -a user2 L'option -a permet simplement de spécifier le nom de l'utilisateur à ajouter. Il sera alors demandé de créer un mot de passe passwd="hyroms" 2. Création des dossiers pour samba et attribution des droits : Se rendre dans le dossier home en tapant: cd /home/ Une fois dans le dossier home on créer trois sous-dossiers (partage1; partage2, public) : Public : Il sera accessible par tous. Partage1 : Sera accessible uniquement au groupe (group1) Partage2 : Sera accessible uniquement au groupe (group2) On tape : mkdir partage1

26 mkdir partage2 mkdir public Une fois les dossiers créé on modifie les permissions ainsi que le groupe propriétaire du dossier. Donc on tape : chgrp group1 /home/partage1 (change le groupe propriétaire du dossier partage1) Chmod 770 /home/partage1 (on donne tout les droits au créateur et au groupe sur ce dossier) chgrp group2 /home/partage2 Chmod 770 /home/partage2 chmod 777 R /home/public (tout les droit pour tous le monde pour public) 3. Configuration de smb.conf ; Les groupes et utilisateurs sont créés, nous pouvons configurer notre serveur. On éditer le fichier de configuration de samba : smb.conf. Il décrit les ressources que l'on désire partager. On tape alors : nano /etc/samba/smb.conf Voici les principaux paramètres à modifier : workgroup : Définit le nom du groupe de travail ou du domaine (HYROMS.LOCAL). server string : Description du serveur (serveur samba hyroms) Nous configurons le partage de notre dossier public. Il se situe à l'emplacement /home/public, il est accessible à tous les utilisateurs On inscrit dans la section " ============== Share Definition ==========" aprés " [profiles]» [public] comment = Partage public (commentaire) path = /home/public (emplacement du dossier) writable = yes (Droit d'écriture) browseable = yes (Droit de consultation) public = yes (est il public) [partage 1] comment = Répertoire partager 1 path = /home/partage1 writable = yes browseable = yes create mask = 0770 (droit sur le fichier) valid users = user1 (utilisateur valide)

27 [partage 2] comment = Répertoire partager 2 path = /home/partage2 writable = yes browseable = yes create mask = 0770 valid users = user2 Nous allons tester le fichier édité avec la commande "testparm". Cette dernière vérifie la syntaxe de notre fichier mais ne garantie pas le fonctionnement du serveur. Si un message du type "Unknow parameter encountered" apparais, alors il y a un problème au niveau du fichier smb.conf et il faut modifier fichier de configuration jusqu'à ce que le test soit positif. Il faut pour terminer ouvrir les ports correspondant on tape : ufw allow from to any port 137 ufw allow from to any port 138 ufw allow from to any port 139 Et on fait ufw status pour vérifier que nos règle sont bien affiché. Maintenant que notre serveur est correctement configuré, nous allons redémarrer le serveur samba avec la commande : sudo /etc/init.d/samba restart V. Installation du serveur DHCP DHCP signifie Dynamic Host Configuration Protocol. Il s'agit d'un protocole qui permet à un ordinateur qui se connecte sur un réseau d'obtenir une adresse IP dynamiquement. Pour installer le service DHCP, nous aurons besoin d'installer le paquet «DHCP3-server» avec la commande : apt-get install dhcp3-server 1. Configuration des interfaces du serveur DHCP Il faut attribuer une adresse IP statique au serveur DHCP. Pour cela on utilise la commande : nano /etc/network/interfaces Puis, inscrire les informations suivantes :

28 auto eth 0 (Auto + «nom de l'interface»: permet de monter automatiquement l'interface) iface eth0 inet static (Iface eth0 inet static : permet de configurer l'interface en adressage IP statique "manuel") address (Address : adresse ip donner à l'interface ethernet de notre serveur) netmask (Netmask : le masque de sous-réseau) broadcast (Broadcast : correspond à l'adresse de diffusion) gateway (Gateway : adresse IP de la passerelle) dns-nameservers (Dns-nameservers : adresse IP du serveur DNS) Une fois les modifications apportées sauvegarder votre fichier de configuration et relancer vos interfaces réseaux avec la commande : /etc/init.d/networking start 2. Configuration du fichier dhcpd.conf Pour configurer le serveur DHCP, nous allons utiliser le fichier de configuration /etc/dhcp3/dhcpd.conf et l'éditer selon nos besoin. Ouvrir le fichier de config avec la commande : nano /etc/dhcp3/dhcpd.conf Maintenant que le fichier est ouvert, nous pouvons apporter nos modifications. ddns-update-style none (Indique le style de mise à jour DNS) log-facility local7; (Correspond au fichier de log du service DHCP) Après ces lignes nous entrons #config dhcp pour le reseau local subnet netmask { #config de l'adresse réseau et du masque de sous réseau range ; #Plage d'adresse Id machine option domain-name-servers #Adresse Ip du serveur dns # option domain-name "hyroms.fr"; #inscrire le nom de domaine # option routeurs ** #Adresse Ip du routeur option broadcast-address #Adresse de broadcast du reseau

29 Le fichier de configuration terminé et enfin enregistré, nous pouvons enfin lancer le serveur à l'aide la commande : /etc/init.d/dhcp3-server start VI. Installation du NFS : Network File System (ou NFS, système de fichiers en réseau) est un protocole qui permet à un ordinateur d'accéder à des fichiers via un réseau Pour la configuration : On situe le contexte on a la machine 1 ; Hyroms server1 ip : Client avec droits en écriture Puis on a le client avec droit en lecture : Hyroms server2 ip : Installation nfs sur le serveur1 apt-get install nfs-kernel-server config de portmap nano /etc/default/portmap voir dans le fichier à la derniere ligne si "#OPTION=" i ' (faire un screen) config de l'écoute pour 'mountd' nano /etc/default/nfs-kernel-server modifier la ligne : RPCMOUNTDOPTS=--manage-gids pour avoir : RPCMOUNTDOPTS="--manage-gids --port 4000" config de la machine autorisé 'hosts.allow' et sécurité de 'hosts.deny' nano /etc/hosts.allow a la fin mettre aprés le dernier # portmap: lockd: mountd: rquotad: statd: On autorise au réseau local d'accéder à la machine serveur, les lignes ne donnent aucun droit en lecture ou en écriture pour l'instant. Puis on enregistre et on ferme

30 Config de sécurité hosts.deny: nano /etc/hosts.deny À la fin aprés :#ALL: PARANOID portmap:all nsfd:all mountd:all On sauve et on quitte Config des ports à ouvrir (sur le réseau local) au niveau du par feu rpcinfo -p On voit les port à ouvrir nfs tc/udp : 2049 portmap : 111 mountd tcp/udp : variable on a pas encore relancé «portmap»

31 /etc/init.d/portmap restart [ok] [ok] Et on relance nfs-kernel-server en tapant : /etc/init.d/nfs-kernel-server restart [ok] [ok] Puis «mounts» doit avoir un port unique tcp/udp : 4000 Pour la config des ports du pare feu on utilise 'ufw' (ou gufw = interface graphique pour les ports du par feu) On peut l'activer en tapant ufw enable On tape donc alors : ufw status Pour vérifier les règles existantes, on ajout les ports pour cela on entre : ufw allow from to any port 111 (portmap serveur1) ufw allow from to any port 111 (portmap serveur2) ufw allow from to any port 2049 (nfs serveur1) ufw allow from to any port 2049 (nfs serveur2) ufw allow from to any port 4000 (mountd serveur1) ufw allow from to any port 4000 (mountd serveur2) On vérifie les règles : ufw status

32 Et on doit avoir les ports avec les droit d'accès ouverts sur le pare feu Config de la machine autorisé à accéder au partage nfs On crée une un Dossier monté sur /media qu on appellera «Save» mdkir /media/save le propriaitaire est root ls -l /media On a besoin de l'uid/gid de l'utilisateur root la commande "id" nous permet de l'obtenir Dans notre cas en root c'est uid=0 et gid=0 On doit configurer les droits en écriture pour le poste On va sur : cd /etc/exports A la fin on entre la ligne : /media/save (rw,sync,all_squash,anonuid=0,anongid=0,subtree_check) On ferme et on sauvegardepuis on relance nfs :

33 /etc/init.d/nfs-kernel-restart Puis nous configurons le client en écriture 2. Configuration du 2eme serveur D abord installation des paquets nfs-common : apt-get install nfs common On crée un point de montage pour le partage mkdir /media/save2 Pour afficher si le dossier est bien crée ls -l /media/ On peut crée le partage mount -t nfs :/media/Save /media/save2 Vérification ; Test d'écriture en créant deux fichiers sur Save2 "test" et "save" : cd /media/save2 Puis : mkdir test save On vérifie sur le serveur 1 : ls -l /media/save Et la on doit avoir les fichiers "test" et "save" qui apparait, sur le serveur 2 on peut supprimer "test" et "save" donc on supprime les deux fichier : rm -rf test save Maintenant nous allons implémenter ce montage dans le 'fstab' pour qu'il soit toujours disponible nano /etc/fstab Et dans le fichier de config nous allons insérer le chemin du montage : :/media/Save /media/save2 nfs rw 0 0 Ensuite nous allons supprimer le volume pour que ce soit 'mount' via 'fstab' qui le gère Donc d'abord : cd.. Puis : umount /media/save2

34 Puis : mount a Maintenant à chaque boot du serveur1 (seulement si le serveur nfs est en route) le dossier partagé sera accessible 3. Sauvegarde des répertoires / Archivage des sauvegardes Pour effectuer la sauvegarde de tous les répertoires tous les soirs nous allons créer un script et l ajouter en tâches automatisées. Création des scripts de sauvegarde et d archivage On stockera notre script dans le dossier /var/scripts/ que l on va créer : mkdir /var/scripts Nous créons les fichiers de script "backup" et nous rendons le fichier exécutable : touch /var/scripts/backup chmod u+x backup Puis on édite le script : nano /var/scripts/backup #! /bin/sh # Script pour ne sauvegarder que mes fichiers personnels # Répertoire de sauvegarde echo " La sauvegarde est commencée " # copie tout a jour rsync -av --stats /home/test /media/save/backup.0 echo " la sauvegarde est terminée " # Répertoire de sauvegarde cd /media/save echo " " echo " Maintenant la sauvegarde va être compactée " echo " ce nouveau fichier de sauvegarde va être numéroté entre " echo " 001 et 365 (jour de l'année) comme ceci backupxxx.tgz " DATE=`date +%j` tar -cjf backup$date.tgz backup.0 echo " TERMINÉ... " exit Automatisation de la tâche à l aide de CRONTAB Nous éditons le fichier crontab se trouvant dans /etc/ :

35 Projet nano /etc/crontab On rajoute la ligne qui permet d exécuter le script de sauvegarde backup tous les jours a minuit : 0 0 * * * root /var/scripts/backup On relance le partage nfs en tapant : /etc/init.d/nfs-kernel-server restart Notre configuration nous permet maintenant d avoir deux machines Linux avec une sauvegarde automatisée pour des raisons de sécurité Configuration du serveur 2 Nous allons dans cette partie concernant le serveur 2 (hyroms-srv2) l installation et le paramétrage du serveur FTP (proftpd) et du serveur WEB (HTTP) pour la page intranet VII. Installation de proftpd : Le File Transfer Protocol est un protocole qui permet à des ordinateurs distants d'échanger des fichiers à travers un réseau. Les applications sont multiples : télécharger des fichiers depuis un serveur sauvegarde sur un autre ordinateur visualiser des fichiers a distance etc Installation et configuration de proftpd Apt-get install proftpd Nous choisissons l installation indépendante. Configuration de proftpd Nous éditons le fichier de configuration proftpd.conf : nano /etc/proftpd/proftpd.conf Modifications effectuées : ServerName «hyroms-srv2» (on indique le nom du server) Pour des raison de sécurité les utilisateurs pour accéder a des fichier spécifique et bien limité donc dans :# Use this to jail all users in their homes DefaultRoot /opt/ftp (ou on indique le fichier dans le quel les utilisateurs peuvent naviguer)

36 Les deux lignes ci-dessous doivent être ajoutées avant la partie Anonymous AuthUserFile /etc/proftpd/passwd AuthGroupFile /etc/proftpd/group Et on vérifie que ces ligne soit dé commenter # Set the user and group that the server normally runs at. User nobody Group nogroup Puis pour la configuration anonyme on dé commenter les lignes pour avoir : <Anonymous /var/www/public> User ftp Group nogroup # We want clients to be able to login with "anonymous" as well as "ftp" UserAlias anonymous ftp # Cosmetic changes, all files belongs to ftp user DirFakeUser on ftp DirFakeGroup on ftp RequireValidShell off # Limit the maximum number of anonymous logins MaxClients 90 # We want 'welcome.msg' displayed at login, and '.message' displayed # in each newly chdired directory. DisplayLogin welcome.msg DisplayChdir.message # Limit WRITE everywhere in the anonymous chroot <Directory /opt/ftp> <Limit WRITE> AllowAll </Limit> </Directory> # Uncomment this if you're brave. # <Directory incoming> # # Umask 022 is a good standard umask to prevent new files and dirs # # (second parm) from being group and world writable. # Umask # <Limit READ WRITE> # DenyAll # </Limit> # <Limit STOR> # AllowAll # </Limit> # </Directory>

37 </Anonymous> On enregistre les modifications et on quitte le fichier 2. Création utilisateur virtuel Celui-ci n'est pas défini dans le fichier /etc/passwd. Ajout d'un utilisateur virtuel Nous définissons un utilisateur "user1" appartenant groupe "user1". Pour créer l utilisateur virtuel on utilise deux commandes : ftpasswd --passwd --name=utilisateur1 --uid= file=/etc/proftpd/passwd --home=/var/www -- shell=/bin/false "On nous demande un password qui sera hyroms" Et pour le groupe vituel la commande ci-dessous : ftpasswd --group --name=utilisateur1 --gid= file=/etc/proftpd/group --member=utilisateur1 Donc lorsque le «user1» se connectera au serveur ftp, un mot de passe lui sera demandé. Saisir ce mot de passe et confirmez-le. Il sera crypté par ftpasswd Nous avons décidé d'attribuer le shell /bin/false à tous les utilisateurs virtuels. Il faut donc ci nécessaire modifier le fichier /etc/shells. Pour ce faire, nous allons utiliser la commande suivante : nano /etc/shells Et il faut rajouter a la fin : /bin/false 3. Création des dossiers du ftp et attribution des droits ; Création des dossiers du ftp avec des sous dossier (upload, ftp1 et ftp2) pour récupérer ou stocker des fichiers : Mkdir p /opt/ftp/upload Mkdir p /opt/ftp/ftp1 Mkdir p /opt/ftp/ftp2 Gestion des droits Nous attribuons les droits nécessaires aux deux dossiers: Chmod 777 /opt/ftp Chmod 770 /opt/ftp/upload Chmod 770 /opt/ftp/ftp1

38 Chmod 770 /opt/ftp/ftp2 Suite a cela sur le navigateur on entre : ftp:// ( en local) ou ftp:// (sur le réseau) et un mots de passe sera alors demandé : VIII. Serveur HTTP ou Serveur Web C est un Ordinateur sur lequel sont stockés un ou plusieurs sites Web ou simplement le logiciel assurant cette fonction. Son rôle est de distribuer des pages web sur la demande d'un internaute utilisant un navigateur web 1. Installation Apache2 Tapez la commande : apt-get install apache2

39 Puis pour le lancer on tape : /etc/init.d/apache2 start Une fois le paquet «apache2» installé, tapez l'adresse de son serveur « » dans le navigateur pour voir s'afficher : On trouve par défaut un fichier index.html à l'intérieur du dossier: /var/www En éditant ce fichier en tapant : nano /var/www/index.html Pour afficher notre message de bienvenu on à tapé : <html> <body> <h1>bienvenu sur l'intarnet de l'entreprise HYROMS!</h1>