LYCEE DU GRAND NOUMEA DU 04/11 AU 29/11 2013 PROFESSEUR EN SUIVIE DU STAGE : MR.ARGENTIERE OUVRARD VALENTIN RAPPORT DE STAGE BTS SERVICES INFORMATIQUES AUX ORGANISATIONS SOLUTIONS D'INFRASTRUCTURE, SYSTEMES ET RESEAUX «Assistance et Conseils en Informatique». Dans le cadre de ma formation option réseau (SISR), j ai réalisé ce stage en fin de première année. Mon projet de stage à était de réaliser un serveur Mail sécurisé sur une distribution Linux serveur CentOS. ASSISTANCES ET CONSEILS EN INFORMATIQUE 7 rue des frères Guépy Ducos 98800 Nouméa 27 24 22 1
SOMMAIRE I / INTRODUCTION ----------------------------------- 3 II / PRESENTATION DE L ENTREPRISE-- 4 III / MON PROJET DE STAGE-------------------- 5 -Comprendre le fonctionnement des e-mails.-------------------------------- 5 -Installation de Linux CentOS.--------------------------------------------------- 6 -Installation, configuration et sécurisation du service Mail---------------- 7 -Mis en place d une Webmail.---------------------------------------------------- 11 IV / DIVERS TÂCHES ANNEXES------------- 13 -Mis en place du réseau local et du VPN.------------------------------------- 13 -Installation de VMWare ESXi 5.1 sur serveur Asus.----------------------- 14 -Installation d une Box Wifi TV.------------------------------------------------ 15 -Installation de Windows Seven Pro + drivers + logiciels. ---------------- 15 -Diagnostic matériel sur 5 pc.--------------------------------------------------- 16 -Installation d un client VPN sur plusieurs machines en entreprise.----17 -Configuration d un Modem Wifi «TP-Link».-------------------------------17 V / REMERCIEMENTS----------------------------- 18 VI / CONCLUSION------------------------------------ 19 VII / ANNEXES------------------------------------------ 20 VIII / LIENS----------------------------------------------- 24 2
INTRODUCTION Notre bureau pendant ces 4 semaines Dans le cadre de ma formation en BTS Services Informatiques aux Organisations spécialité Solutions Infrastructure, Serveurs et Réseaux, j ai effectué un stage pour une entreprise nommé A.C.I (Assistance et Conseils en Informatique) durant 4 semaines aux cotés de mon camarade Gregory. A.C.I est une entreprise composé de 3 associés, Jack Thillier, Julien Hubert et Mathieu Patignier. Ils ont divers missions comme le conseil, l infogérance, l hébergement mail, la réparation et l installation de matériels informatiques. Cette entreprise nous a proposé diverse sujets de stage, étant notamment la virtualisation, la gestion de parcs informatique, les serveurs Web ou mails sous Linux. J ai donc choisis de m intéréssé à l installation et la configuration d un serveur Mail sous Linux et plus particulièrement Cent OS. Au travers ce rapport de stage, je vais vous présenter l entreprise qui m accueil, la mission de stage que j ai effectué, ainsi que les tâches annexes que j ai réalisé pour les gérants de A.C.I. 3
PRESENTATION DE L ENTREPRISE ASSISTANCES & CONSEILS EN INFORMATIQUES J ai connu cette entreprise grâce à mon père, situé en plein Ducos, une simple enseigne, pas de publicités, mais plus d une centaine de contrats d infogérances d entreprises réparties partout en Nouvelle-Calédonie. De l hébergement mail à l installation de serveur, en passant par la réparation informatique basique, ils font un peu tout. (Sauf pour l instant l hébergement web.) Zone industriel de Ducos L entreprise a été fondée par Jack Thillier, associé à Julien Hubert, puis ressèment à Mathieu Patignier (camarade de Julien lors de l I.U.T). A trois, ils gèrent l informatique de plusieurs entreprises plus ou moins influentes à Nouméa et en brousse (Tontouta, Koné ), allant du «Pavillon des Vins» à l Anse Vata à «Chronopost» ou «Amatransit», des transitaires en Douane. Ils diffusent également l Internet à trois entreprises voisines. Chacun des associés ont plus ou moins leurs spécialités dans divers domaines allant de Linux à la configuration d appareils propriétaires (Fortigate, Cisco ) C est la première fois qu ils prennent des jeunes en stages, mais cela s est bien passé, nous avions à notre disposition tout le matériel que l on souhaitait pour mettre en place notre mission de stage. 4
MON PROJET DE STAGE J ai choisis de «mettre en place un serveur Mail sous Linux». Pour cela, je dois déjà bien comprendre comment fonctionne un serveur de mail, de l envoie à la réception, en passant par la sécurité et le filtrage. Wikipédia La personne envoie son mail au serveur de domaine 1 (via le Protocol SMTP), ensuite ce dernier le transmet au serveur du domaine de réception. Le destinataire vérifie ses mails sur le serveur du domaine 2 (via le Protocol Pop3 ou IMAP) Sous Linux, le Protocol SMTP est géré par Postfix et le Protocol Imap/Pop3 par Dovecot. 5
INSTALLATION DE LINUX CENTOS Gregory dois configurer un serveur de gestion de parcs informatiques sous Linux CentOS également. Pour réaliser nos projets respectifs, l entreprise met à notre disposition un serveur IBM xseries 225 : Il dispose d un processeur Intel Xeon 2 GHz, de 4go de DDRSdRAM, de 200gb de disque dur en RAID1 et de deux cartes réseaux Ethernets. Nous devons installer nos serveurs Linux virtuellement, pour cela, nous réalisons l installation de VMware EsXi 3.5. Une fois la partie «Network» de EsXI configurer, Nous pouvons installer nous machines virtuelles respectives : «serv-web» pour Gregory et «serv-mail» pour moi. Je récupère l iso de centos 6.4 32bits en version netinstall (recuperation des paquets sur le web). L installation se fais en mode «semi-graphique», elle me demande de partitionner mon disque, de configurer l utilisateur Root (administrateur), et configurer l interface réseau (dans ce cas, IP statique 192.168.21.1). Je me retrouve ensuite sur mon serveur : 6
INSTALLATION DU SERVICE MAIL Tout d abord, je dois configurer un accès SSH pour mon serveur, J ai donc accès à mon serveur sans passé par le logiciel fournis par VMWare : Infrastructure Client. Je mets les paquets de mon serveur à jours [root] ~ # yum update y Ma distribution est donc prête à accueillir les services nécessaires au fonctionnement de mon serveur de Mail. INSTALLATION DE POSTFIX : [root] ~ # yum install postfix Sa configuration se fait dans deux fichiers : /etc/postfix/main.cf /etc/postfix/master.cf (visibles en annexe) 7
INSTALLATION DE DOVECOT : [root] ~ # yum install dovecot Sa configuration se fait dans le fichier /etc/dovecot/dovecot.conf (visible en annexe). Une fois la configuration terminé, je lance mes services: [root] ~ # service dovecot start [root] ~ # service postfix start Si ils démarrent sans erreur, cela prouve aucune faute de syntaxe. Cependant, il ne seront pas forcément configurer comme on le souhaite. Notre serveur mail est configurer avec le domaine lab.aci.nc. Je créer les utilisateurs de notre serveur grâce à ces commandes : [root] ~ # useradd <nom de l utilisateur> (créer l utilisateur ) [root] ~ # passwd <nom de l utilisateur> (créer le mot de passe pour l utilisateur) Je créer quelques utilisateurs : webadmin ; glpi ; valentin ; gregory. Il est temps de tester le bon fonctionnement lors de l envoie et la réception de mails : 8
J installe un client de messagerie : Mozilla Thunderbird Je dois le configurer par rapport à l adresse IP de mon serveur (192.168.21.1). Je peux ensuite tester l envoie d un e-mail de «valentin» à «webadmin». On constate que l e-mail est bien reçu. Notre serveur mail est donc fonctionnel, cependant, il ne vérifie aucune identité lors de l envoie de l e-mail. Pour régler ceci, je dois mettre en place : L AUTHENTIFICATION SASL (COUCHE D AUTHENTIFICATION ET DE SECURITE SIMPLE). Quelques modifications mettront en place l authentification SASL : /etc/postfix/main.cf /etc/dovecot/dovecot.conf etc/postfix/master.cf 9
SECURISATION DES CONNEXIONS: SSL/TLS TRANSPORT LAYER SECURITY (TLS), ET SON PREDECESSEUR SECURE SOCKETS LAYER (SSL), SONT DES PROTOCOLES DE SECURISATION DES ECHANGES SUR INTERNET, IL FOURNIT LES OBJECTIFS DE SECURITE SUIVANTS : L'AUTHENTIFICATION DU SERVEUR ; LA CONFIDENTIALITE DES DONNEES ECHANGEES (OU SESSION CHIFFREE) ; L'INTEGRITE DES DONNEES ECHANGEES ; DE MANIERE OPTIONNELLE, L'AUTHENTIFICATION OU L'AUTHENTIFICATION FORTE DU CLIENT AVEC L'UTILISATION D'UN CERTIFICAT NUMERIQUE ; LA SPONTANEITE, C'EST-A-DIRE QU'UN CLIENT PEUT SE CONNECTER DE FAÇON TRANSPARENTE A UN SERVEUR AUQUEL IL SE CONNECTE POUR LA PREMIERE FOIS ; 10
MIS EN PLACE D UNE WEBMAIL J effectue un [root] ~ # chmod 770 -R sur l intégralité du dossier Roundcube pour laisser le droit de lecture et d écriture. Mon Webmail est désormais en ligne, je peux donc commencer sa configuration (via navigateur): Roundcube est un Webmail en navigateur, client IMAP, ayant une interface proche d un client mail, il permet de gérer les contacts, de manipuler les dossiers, de chercher des messages Pour procédé à son installation, je dois me connecter en SSH au serveur Web (sous CentOS), créé par Gregory. Je récupère les fichiers de Roundcube sur le site officiel, puis configure la base de données MySQL pour que Roundcube stocke ses mails dessus. La configuration de Roundcube se fait dans deux fichiers, «db.inc.php» quoi gère la liaison à la base de données mysql. «main.inc.php» qui gère la connexion IMAP / POP3 / SMTP, ainsi que la sécurité, l authentification Une fois configurer, à cette adresse: http://serveur-web/mail/ on obtient: 11
INSTALLATION D UN SYSTEME ANTI-SPAM: SPAMASSASSIN Pour utiliser SpamAssassin, j ai besoin de Procmail: PROCMAIL EST UN OUTIL PERMETTANT PRINCIPALEMENT DE FILTRER DES MESSAGES ELECTRONIQUES (IL NE FAUT PAS OUBLIER FORMAIL, LIVRE AVEC PROCMAIL, QUI EST UN ADJOINT APPRECIABLE A CE DERNIER). IL EST TRES PUISSANT ET SES CAPACITES DE FILTRAGE LUI PERMETTENT DE DELIVRER DES COURRIERS DANS DIFFERENTES BOITES AUX LETTRES, DE LES RENVOYER, VOIRE D'EFFECTUER N'IMPORTE QUELLE ACTION EN FONCTION DU FILTRE DESIGNE. J installe «procmail» et «spamassassin», Je rajoute mailbox_command = /usr/bin/procmail dans /etc/postfix/main.cf Je créer un fichier.procmailrc pour chaque utilisateurs. La configuration de Spamassassin se fait dans /home/user/.spamassassin/user_prefs Cela permet d ajouter **SPAM** dans l entête du Mail, ce qui permet à Procmail de le déplacer dans le dossier.spam Whitelist permet de ne pas marquer les mails provenant de lab.aci.nc comme spams. Mozilla Thunderbird détecte bien les Spams. Cependant comme j ai créé un serveur mail «local», aucun spams ne peut arriver pour le moment, J ai mis le required_score à -1 pour que chaque E-mail sois détecté comme Spam, pour vérifier si tout se passe comme voulu lors de la réception d un Spam. En le mettant à 6, il traite dans sa base de données la provenance des e-mails. (5 par défaut mais considéré comme trop restrictif). MON SERVEUR EST DONC MAINTENANT fonctionnel ET protégé. JE PEUX LOCALEMENT ENVOYER ET RECEVOIR DES E-MAILS DANS MON DOMAINE lab.aci.nc. J AI AINSI CONCLU MA MISSION DE STAGE AU BOUT DE LA DEUXIEME SEMAINE. 12
TACHES DIVERSES Nous devons maintenant mettre en place un réseau local, contenant nos serveurs respectifs et qui communique avec le réseau Internet: Nous devons donc disposer de deux sous-réseaux, l un en «192.168.21.0» et l autre en «192.168.25.0». Deux pare-feux physiques ont était mis à notre disposition : FORTIGATE 20C Interface d administration du pare-feu : Ces deux sous réseaux doivent pouvoir communiquer grâce à une connexion VPN (172.16.0.0) qui les relient. Le réseau privé virtuel (Virtual Private Network en anglais, abrégé en VPN) est vu comme une extension des réseaux locaux et préserve la sécurité logique que l'on peut avoir à l'intérieur d'un réseau local. Il correspond en fait à une interconnexion de réseaux locaux via une technique de «tunnel». 13
Notre installation : Les protocoles acceptés dans mes règles de filtrages : http / https = Serveur Web Internet icmp = Ping dns = Domain name system (résolution de nom) imap / imaps = Protocole de vérification de courrier smtp / stmps = Protocole d envoi de courrier Grâces aux règles de filtrages, tous les périphériques du réseau 192.168.21.0 et 192.168.25.0 ont accès à Internet et peuvent communiquer entre eux grâce au VPN IPSEC mis en place. Installation de VMWare ESXi 5.1 sur serveur Asus TS300-E7 (d un client). Premièrement, nous avons dû configurer le RAID 1 dans le BIOS de la carte RAID. Le RAID 1 a pour but de dupliquer l'information à stocker sur plusieurs disques, on parle donc de mirroring, ou shadowing pour désigner ce procédé. Ce serveur est équipé de deux disques durs de 500gb, Une fois en Raid1, le système détecte un disque unique de 500gb. Je peux donc «booter» sur L ISO de VMWare ESXi 5.1 (via le réseau) L installation se passe sans problème. Je ne configure pas la partie réseau, ce sera à faire lors de l installation sur le réseau du client. 14
Installation d une Box «Wifi to TV» : Nous devons installer un appareil permettant d afficher l écran de l ordinateur sur une télévision (dans une salle de réunion) via le réseau dans l entreprise E.M.I. Il permet de créer un nouveau réseau wifi, auquel les ordinateurs souhaitant «diffuser» à la télévision se connectent. Il se configure simplement via le navigateur (192.168.10.1) puis en installant le «pilote» par CD. Le nouveau réseau WiFi : (Appeler EIM VIDEO et sécurisé en WPA2) En se connectant à ce nouveau réseau Wifi, ils conservent leur accès Internet, comme nous avons relié cette Box au réseau de l entreprise (prise rj45). Le son de l ordinateur est gérer par la télévision (grâce à la prise HDMI). J ai également dû faire une «notice d utilisation» pour les employés souhaitant utiliser ce procédé. CPARTAGER» CE QUI S AFFICHE A L ECRAN DE N Installation de Windows Seven Pro + Drivers + Mises à jours sur Ordinateur neuf (sans OS) «Lenovo». RDINATEUR, SUR UNE TELEVISION. Je boot sur le CD de Windows Seven Professionnel, L installation se déroule sans problèmes, par contre, Windows ne reconnait pas la carte réseaux, Je cherche donc les pilotes sur Internet (driver Realtek), la carte est détecté sans problèmes après l installation. J installe le reste des pilotes grâce à «Mesdrivers.com» J installe ensuite les mises à jour Windows et redémarre. Le Pc est prêt à l emploi. J installe ensuite Adobe Reader et Adobe Flash Player (pour les PDF et les contenus flashs) 15
Diagnostic matériel sur 5 pc. L entreprise E.M.I nous a confié 5 pc qui selon eux ne fonctionnaient plus. Premièrement, nous les avons nettoyés au compresseur, avant de procéder aux tests. Premier PC -> L ordinateur ne démarré pas, après plusieurs essayes, l alimentation semble défectueuse. Avec une autre alimentation, le Pc démarre, s est un serveur sous Debian, il vérifié l intégralité des disques, et nous arrivons sur le «prompt» du serveur. En changeant l alimentation, il devrai donc être à nouveau fonctionnel. Second PC (de marque Fujitsu) -> A l ouverture, on se rend compte qu il ne possède pas de mémoire vive, après quelques recherches sur la carte mère, nous installons une barette DDR 400mhz. L ordinateur n affiche rien à l écran, nous changeons de carte graphique, et là, il démarre enfin sous Windows XP. Il est donc maintenant fonctionnel. Troisième PC -> Dès l ouverture, on se rend compte qu il ne possède pas de disque dur, donc on va juste atteindre le bios, pour vérifier qu il fonctionne. Au démarrage, rien ne s affiche, après des tests sur les barettes, on change la carte graphique, le Bios s affiche et nous informe qu aucun système n est installé (normal, sans disques durs). Quatrième et Cinquième PC -> Nous avons testé les barrettes, les cartes graphiques, tout semble en ordre, cependant rien ne s affiche. Pour poursuivre nos tests, on a vérifié les disques durs. Impossible de trouver la panne sur les deux PC, cependant les disques durs sont fonctionnels (surement la carte mère défectueuse). 16
Installation d une nouvelle version du client VPN pour plusieurs transitaires de Douane (Amatransit, Gondrand, Chronopost ) Ces transitaires utilisent tous un VPN mis en place par la DTSI (Direction territorial des systèmes d informations). La version du client de ce Vpn (Checkpoint) a était mis à jours du coté serveur, cependant il ne supporte plus la version des clients, nous avons dû désinstaller et réinstaller la nouvelle version sur une vingtaine de poste dans divers sites. (Ducos, Nouméa ) Sans cette mise à jour, les employés ne pouvaient plus réaliser leurs déclarations en douanes. Nous sommes également intervenus à distance sur des ordinateurs situés à Tontouta pour effectuer ses mis à jours. Le VPN inclus également un module de Firewall, et intègre un certificat différent pour chaque site qui établit une connexion sécurisé. Configuration d un Modem WiFi «TP-Link» J accède à la page d administration dans mon navigateur (192.168.1.1), Je rentre les identifiants de connexion par défaut (admin admin), Je paramètre les réglages présents sur la facture du Fai (MLS) pour le client. 17
REMERCIEMENTS Je remercie tout d abord, mon maître de stage Julien Hubert et ses deux associés Jack Thilier et Mathieu Patignier de nous avoir accueilli Gregory et moi dans leur entreprise pendant ses quatre semaines et de nous avoir permis de réaliser un projet de stage. Je remercie également tous l encadrement pédagogique du Lycée du Grand Nouméa, ainsi que nos professeurs d informatiques pour nous permettre de réaliser ce stage, plus qu enrichissant. 18
CONCLUSION J ai trouvé ce stage très enrichissant, j ai eu le choix entre plusieurs projets et j ai choisi de me plonger dans l univers de Linux, plus que ce que l on avait vu en cours. Cela m a permis d apprendre pleins de choses, dans pleins de domaines, que ce soit matériel ou logicielles, nous avons dû chercher, afin de trouver une solution aux multiples problèmes auxquelles nous avons était confrontés. Cependant, l équipe de l entreprise «A.C.I» à toujours était là en cas de problèmes non-résolu, heureusement car des fois, après une journée de recherche, nous étions perdus. Nous avons agrandis nos connaissances dans pleins de domaines, comme le DNS, la notion de sous réseau, le VPN, le SSH, la sécurisation SSL/TLS, le fonctionnement d un e-mail (POP/IMAP, SMTP), les pare-feu Fortigate, VMWare, Apache/MySQL/PHP, le DHCP. Merci A.C.I! 19
ANNEXES INDEX DES ANNEXES - NOTRE LIEU DE TRAVAIL (PHOTOGRAPHIES) ------------------ 21 - FICHIERS DE CONFIGURATION POSTFIX ---------------------------22 - GUIDE D UTILISATION «WIFI TO TV» ---------------------------------23 20
NOTRE LIEU DE TRAVAIL 21
FICHIER DE CONFIGURATION POSTFIX /main.cf (explication du fichier) DAEMON_DIRECTORY = /USR/LIBEXEC/POSTFIX #emplacement du service MYHOSTNAME = $MYDOMAIN MYDOMAIN = LAB.ACI.NC #nom d'hôte sur internet du serveur mail #mon nom de domaine INET_INTERFACES = ALL #autorise toute les interfaces actives de la machine INET_PROTOCOLS = IPV4 #activation seulement de l'ipv4 (ipv6 non disponible) MYDESTINATION = $MYHOSTNAME, LOCALHOST.$MYDOMAIN, LOCALHOST, $MYDOMAIN #indique les domaines pour lesquels cette machine délivrera le courrier localement MYNETWORKS = 127.0.0.0/8 192.168.24.0/24 192.168.19.0/24 #Les réseaux autorisés sont définis par le paramètre mynetworks. La valeur par défaut autorise tous les clients des sous-réseaux IP auxquels la machine est reliée. ALIAS_MAPS = HASH:/ETC/ALIASES ALIAS_DATABASE = HASH:/ETC/ALIASES #emplacement du fichier d'aliases HOME_MAILBOX = MAIL/ #emplacement de la boite mail (pour chaque utilisateurs) /home/user/mail/* SMTPD_BANNER = $MYHOSTNAME ESMTP SERVEUR MAIL DE VALENTIN #bannière SMTP, qui s'affiche lorsque qu'on communique avec le port 465 (ssl) SMTPD_SASL_TYPE = DOVECOT #Choix du serveur qui gère l'implantation SASL SMTPD_SASL_PATH = PRIVATE/AUTH #Mode d'authentification "privée" avec "authentification" SMTPD_SASL_AUTH_ENABLE = YES #Active l'authentification SASL. SMTPD_SECURITY_OPTIONS = NOANONYMOUS #Bloque les authentifications Anonyme SMTPD_LOCAL_DOMAIN = $MYHOSTNAME #Domaine local = myhostname SMTPD_RECIPIENT_RESTRICTIONS= PERMIT_MYNETWORKS,PERMIT_AUTH_DESTINATION,PERMIT_SASL_AUTHENTICATED,REJECT_UNAUTH_DESTINATION #autorise mynetworks, l'authentification simple, l'authentification sasl et bloque les connexions non authentifier SMTPD_SASL_AUTH_CLIENTS = YES #Le client dois s'authentifier SMTPD_USE_TLS = YES #Utiliser la certification TLS (SSL/TLS) SMTPD_TLS_CERT_FILE = /ETC/DOVECOT/SERVER.CSR SMTPD_TLS_KEY_FILE = /ETC/DOVECOT/SERVER.KEY #Emplacement du fichier de certification TLS #Emplacement du fichier de clé TLS SMTPD_TLS_SESSION_CACHE_DATABASE = BTREE:/ETC/POSTFIX/SMTPD_SCACHE #emplacement de la base de donnée des sessions TLS/SSL 22
GUIDE D UTILISATION DE «WIFI TO TV» 23
LIENS UTILES VMWARE ESXI : http://www.blogvirtualisation.com/installer-vmware-esxi-35-sur-cle-usb/ http://www.vmware.com/files/fr/pdf/support/vmware-esx-and-vcenter-server-installation-guide-pg-fr.pdf http://www.kanas.fr/306-installer-serveur-esxi-5-0 INSTALLATION DE CENTOS : http://www.prestaopen.com/virtualisation/installation-centos-6-4.html http://www.cyberciti.biz/faq/centos-ssh/ INSTALLATION DE POSTFIX / DOVECOT /SPAMASSASIN : http://maniatux.fr/?article305/serveur-mail-sur-centos https://www.digitalocean.com/community/articles/how-to-install-postfix-on-centos-6 http://www.adminreseau.fr/tuto-anti-spam-%e2%80%93-spamassassin/#more-555 http://wiki.hoa.ro/doku.php?id=admin-systeme:generer-certificat-ssl INSTALLATION DE LA WEBMAIL : http://blog.beneth.fr/post/2007/06/23/installer-roundcube http://lintut.com/install-roundcube-webmail-software-on-centos-rhel-fedora/ FORTIGATE (PARE-FEU) : http://www.ipspace.eu/fortinet/creating-a-fortigate-vpn/ http://www.firewallshop.fr/fr2/fortiwifi-20c.jsp 24