Gestion de parc informatique

Gestion de parc informatique Guilhem BORGHESI IL 14 octobre 2008

INTRODUCTION Connaître les bases de l'admin. UNIX Système (Sécurité, Gestion utilisateurs, ) Réseaux (Architecture, Matériels) Recettes de cuisine, mais pas exhaustif G. BORGHESI - Octobre 2008 2

SOMMAIRE Installation de serveurs Gestion des utilisateurs Outils logiciels d administration Travail en équipe Sauvegarde Sécurité des matériels Scripts Réseau Sécurité G. BORGHESI - Octobre 2008 3

Installation de serveurs G. BORGHESI - Octobre 2008 4

Attention danger! Plus d'utilisateurs simultanés Plus de contraintes Plus de risques Donc plus délicat! G. BORGHESI - Octobre 2008 5

Matériels Evolutifs Connu et compatible avec l OS Bien dimensionnédonc il faut faire un Cahier des Charges! Sous garantie, longtemps G. BORGHESI - Octobre 2008 6

OS Doit répondre au CDC Etre choisi pour sa qualité technique Etre sécurisé et maintenu G. BORGHESI - Octobre 2008 7

Installation du serveur Choix de l'os Configuration BIOS Partitionnement optimal Optimisation du noyau Installation des logiciels minimaux G. BORGHESI - Octobre 2008 8

Le noyau : détails www.kernel.org Numérotation du noyau : 2.X.Y: X pair : version stable X impair : version de développement Y : Version de la branche G. BORGHESI - Octobre 2008 9

Personnaliser le noyau Quel noyau dans distribution? uname -a Comment remplacer votre noyau? Récupérez la dernière version cd /usr/src/linux Lancement de l interface de configuration (make menuconfig) G. BORGHESI - Octobre 2008 10

L'interface de configuration G. BORGHESI - Octobre 2008 11

Choisir les options du noyau Deux modes : En Modules Inclus dans le noyau G. BORGHESI - Octobre 2008 12

Après l'install Rechercher les mises à jour Mettre les softs requis pour les users Phase de tests, Phase de pré-exploitation, Enfin, phase d'exploitation! Ensuite, on a plus qu'à attendre la panne! G. BORGHESI - Octobre 2008 13

Gestion des utilisateurs G. BORGHESI - Octobre 2008 14

Qui sont les utilisateurs? Important de connaître son public Une seule méthode : allez au CONTACT! Meilleure perception des besoins Meilleure perception de l informaticien Donc meilleurs résultats! G. BORGHESI - Octobre 2008 15

Le contact avec les utilisateurs Fournissez de la documentation Provoquez des réunions Organisez des formations Préférez le téléphone au mail N hésitez pas à allez voir les gens! Soyez disponible et COMMUNICANT! G. BORGHESI - Octobre 2008 16

Pourquoi des comptes? Serveur de données Serveur de mails Serveur ftp Serveur d'application Serveur Web G. BORGHESI - Octobre 2008 17

Création des comptes Avec la commande adduser Il faut répondre aux questions : Quel identité? Quel passwd? Quel groupe? Quels droits? G. BORGHESI - Octobre 2008 18

Les utilisateurs Le root Tous les droits Gère le système Les autres Dans leur répertoire maison : /home/schmitt Droits restreints Nécessité de créer un autre compte pour le root G. BORGHESI - Octobre 2008 19

root = gardien de la paix Problèmes courants : Espace disque dépassé : du Mot de passe faible : john Utilisation illicite de la machine : lsof, nessus Attention, zone dangereuse Vous n'avez pas tous les droits! G. BORGHESI - Octobre 2008 20

Caractéristiques d'un compte Identification unique : id Authentification : login/passwd Fichier /etc/passwd et /etc/shadow Espace disque unique Personnages humains ou non Droit d'accès : ls al, chmod, chown, G. BORGHESI - Octobre 2008 21

Les fichiers essentiels /etc/passwd <nom>:x:<uid>:<gid>:<gecos>:<home>:<shell> marcel:x:340:1000:marcel david:/users/marcel:/bin/bash /etc/shadow marcel:zffzqfeesgez:12456: /etc/group root:*:0: bin:*:1:root,daemon users:*:1000: G. BORGHESI - Octobre 2008 22

Droits et devoirs Etablissement d une charte http://turing.u-strasbg.fr/activation/charte.php Utilisateur PEUT : Utiliser les ressources pleinement DOIT : Respecter la propriété intellectuelle DOIT : Etre identifié clairement Administrateur PEUT : Etablir des procédures de surveillance DOIT : Confidentialité des informations DOIT : Fournir les outils aux utilisateurs G. BORGHESI - Octobre 2008 23

Gestion des programmes G. BORGHESI - Octobre 2008 24

Les démons Services en tâche de fond Attend un signal pour se réveiller Exemples : Réseau : NFS, NIS, Apache Système : Cron, Syslogd 2 méthodes de lancement : inetd vs init.d G. BORGHESI - Octobre 2008 25

Fichiers de démarrage ou runlevels 6 niveaux de démarrage = 6 états Etats : 0 : Arrêt de la machine 1 : Démarrage mono utilisateur 2-5 : Niveaux personnalisables 6 : Redémarrage de la machine Par défaut, Debian = 2 et Fedora = 3 G. BORGHESI - Octobre 2008 26

Démarrage de démons : init.d Scripts shell dans /etc/init.d (debian) Lancent des processus de /usr/ Avec des arguments : start, stop, reload Pour le boot, tout est dans /etc/rcx.d Commence par S pour lancer Commence par K pour arrêter G. BORGHESI - Octobre 2008 27

Démarrage des démons : inetd Inetd : Super-démon Réservé aux services réseaux Lance un démon à la demande Exemple : /etc/inetd.conf ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l Limite la consommation des ressources G. BORGHESI - Octobre 2008 28

Configuration Dans /etc/ Edition du fichier de configuration Exemple : /etc/apache/httpd.conf User www-data Group www-data ServerRoot /users/www DocumentRoot /users/www/htdocs G. BORGHESI - Octobre 2008 29

Redémarrage Indispensable après un changement Plusieurs méthodes : kill HUP pid kill -9 pid /etc/init.d/daemon restart (ou reload) Mais surtout pas de REBOOT!! G. BORGHESI - Octobre 2008 30

Installation par sources Récupération des sources Rangement dans /usr/local Compilation./configure [options] make make install G. BORGHESI - Octobre 2008 31

Installation par le réseau Binaires avec Debian apt-cache search package apt-get update apt-get install nedit D autres : Gentoo,FreeBSD, Fedora, Mandriva,... G. BORGHESI - Octobre 2008 32

Outils logiciels d'administration G. BORGHESI - Octobre 2008 33

DHCP Configuration auto d'interface réseaux Adresse IP Passerelle Masque de sous-réseau Serveur DNS Nom de domaine Bail limité Sécurité : distribution par adresse MAC Serveur : PC, routeur ou switch/routeur G. BORGHESI - Octobre 2008 34

Synchronisation Tout le monde à la même heure! Pourquoi? Datation des fichiers Comparaison des logs Tâches programmées Très simple à configurer G. BORGHESI - Octobre 2008 35

NTP Juste une ligne dans ntp.conf : server ntp.u-strasbg.fr Jusqu'à 15 niveaux de serveurs Chaque niveau fait "serveur" pour la couche inférieure Attention, il ne faut pas se synchroniser sur la couche 1! G. BORGHESI - Octobre 2008 36

Logs Traces des événements système Démon syslogd Inscrit : Origine du message Niveau de gravité (info, debug, avertissement) Sont dans /var/log mais peuvent être délocalisés Obligation légale G. BORGHESI - Octobre 2008 37

La planification Cron : Planification de tâches Exemple : /etc/crontab #mrtg 0-55/5 * * * * root /usr/bin/mrtg /etc/mrtg/mrtg.cfg Minutes, heures, jours, mois, num de jour, proprio, programme et argument G. BORGHESI - Octobre 2008 38

L impression CUPS Connaît tous les pilotes standards Interface de configuration sur port 631 Simple Complète Documentée G. BORGHESI - Octobre 2008 39

Les outils de partage G. BORGHESI - Octobre 2008 40

LDAP : annuaire centralisé 1/2 Permet d'éviter une authentification locale Données stockées sous la forme d arbre Nécessite un serveur primaire LDAP Possibilité de doubler le serveur primaire Réplication d annuaire G. BORGHESI - Octobre 2008 41

LDAP 2/2 Prend le relais si le compte n'existe pas Hiérarchisation faites avec /etc/nsswitch.conf Plusieurs questions en terme de sécurité : Accès au serveur LDAP Mise en place de SSL Mise à jour des données G. BORGHESI - Octobre 2008 42

NFS : partage de données (1/2) Le serveur exporte des répertoires Le client monte des répertoires distants Transparent pour l'utilisateur Se base sur les RPC (Remote Procedure Call) Sur le serveur : /etc/exports /users ro,access=130.79.7.10 G. BORGHESI - Octobre 2008 43

NFS : Partage de données (2/2) Sur le client : /etc/fstab turing:/users /users nfs defaults 0 1 Accès aux fichiers se fait par l'uid! Quels répertoires partager? Homes des utilisateurs Exécutables rajoutés Documentation G. BORGHESI - Octobre 2008 44

Les postes de travail G. BORGHESI - Octobre 2008 45

Stations de travail - Administration complexe - Installation longue - Fragilité des composants - Coût élevé - Volumineux et bruyant + Confort utilisateur plus important + Puissance de calcul local conservée + Charge réseau minimale G. BORGHESI - Octobre 2008 46

Portables - Administration complexe - Installation longue - Fragilité des composants - Coût très élevé - Nomadisme pose des problèmes de sécurité + Confort utilisateur plus important + Puissance de calcul local conservée + Charge réseau minimale G. BORGHESI - Octobre 2008 47

Terminaux X - Faible puissance de calcul local - Charge réseau plus importante - Pb de périphériques (CDROM, son, USB) + Besoins d'administration = /dev/null + Configuration rapide + Robustesse élevée + Moins cher mais il faut un serveur + Silence total G. BORGHESI - Octobre 2008 48

Travail en équipe

Inventaire Fichier contenant : Marque et type # série Emplacement physique # facture et livraison Garantie (date et numéro) Mise à jour indispensable! G. BORGHESI - Octobre 2008 50

Les outils logiciels d inventaire Tableur PHP / MySQL (GLPI) FileMaker Softs sur Internet G. BORGHESI - Octobre 2008 51

La gestion des tickets (1/2) Permet de gérer le temps des admins Pour régler les problèmes en équipe Permet une meilleure efficacité Créé une base de connaissance Fait des statistiques sur les travaux G. BORGHESI - Octobre 2008 52

La gestion des tickets (2/2) Les outils : Mantis GLPI Développement maison Un autre helpdesk G. BORGHESI - Octobre 2008 53

Agendas partagés Meilleure collaboration de travail Accès rapide aux RV des autres Plusieurs outils : Sunbird Google calendar Développement web perso Microsoft Outlook Softs de sondage : doodle, studs, G. BORGHESI - Octobre 2008 54

Plan de reprise d activité (PRA) Dans les grandes structures Procédures à suivre en cas de problème Évite les mauvaises manipulations Permet une pérennité de l information Impose une documentation à jour Impose également un parc homogène G. BORGHESI - Octobre 2008 55

Les scripts

Pourquoi? Automatiser des taches répétitives Permettre la planification Rassembler plusieurs fonctionnalités Au final gagner du temps! G. BORGHESI - Octobre 2008 57

Comment? Avec le shell : bash, csh, #!/bin/bash du sk /users/* >> /users/occupation_dd Avec du PERL #!/usr/bin/perl open (FILE, "/users/occupation_dd"); while <FILE> {print $_;} close FILE; Avec d'autres langages G. BORGHESI - Octobre 2008 58

Un exemple en PERL #!/usr/bin/perl opendir (USERS,"/users"); while ($nom= readdir(users)) { $flag=0; recherche_passwd(); if ($flag eq 0) {print "$nom doit etre efface!\n";} } sub recherche_passwd { open (PASSWD, "/etc/passwd"); while (<PASSWD>) { /^(\w+).*/; $nom_passwd=$1; if ($nom eq $nom_passwd){$flag=1;} if ($nom eq "."){$flag=1;} if ($nom eq ".."){$flag=1;} if ($nom eq "lost+found"){$flag=1;} } close PASSWD; } closedir USERS; G. BORGHESI - Octobre 2008 59

Sauvegardes

Indispensable Récupérer des données détruites Une part de la politique de sécurité Plusieurs possibilités techniques G. BORGHESI - Octobre 2008 61

Les types de sauvegarde Complète Incrémentale Combinée G. BORGHESI - Octobre 2008 62

Les choix techniques Sur bande (DAT, DLT) Sur disque Sur robot Par le réseau G. BORGHESI - Octobre 2008 63

Les logiciels dd ou tar.gz Bacula Amanda Time Navigator (payant) une multitude d'autres G. BORGHESI - Octobre 2008 64

Sécurité des matériels

RAID Organisation pour protéger les données RAID 1 : Miroir RAID 5 : Dispatching G. BORGHESI - Octobre 2008 66

Sauvegarde électrique Rien de tout cela ne marche sans la fée! Pour les serveurs stratégiques : Alimentation redondante Prises séparées Onduleurs (en KVa) G. BORGHESI - Octobre 2008 67

Redondance de serveurs Par un système maître/esclave Partage d adresse IP Partage des données Par des serveurs virtuels Linux Virtual Server VMWare ESX G. BORGHESI - Octobre 2008 68

Climatisation Devient indispensable à partir de quelques serveurs Coût élevé Très bruyant Va devenir incontournable à l avenir G. BORGHESI - Octobre 2008 69

Réseau

Les interfaces Représentent plusieurs choses : interface physique (carte Ethernet, modem) interface virtuelle tunnel Nommage : eth0, eth1, Pour les connaître : ifconfig G. BORGHESI - Octobre 2008 71

Configuration manuelle D'abord la carte : ifconfig eth1 130.79.7.34 netmask 255.255.255.0 Ensuite le GW : route add default gw 130.79.7.254 Et pour vérifier : ifconfig a netstat -nr G. BORGHESI - Octobre 2008 72

Ifconfig eth0 lo Lien encap:ethernet HWaddr 00:01:02:F6:87:7D inet adr:130.79.44.197 Bcast:130.79.44.255 Masque:255.255.255.192 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1663192 errors:0 dropped:0 overruns:1 frame:0 TX packets:1090057 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:100 RX bytes:2287288057 (2.1 GiB) TX bytes:74559051 (71.1 MiB) Interruption:5 Adresse de base:0xe800 Lien encap:boucle locale inet adr:127.0.0.1 Masque:255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:723535 errors:0 dropped:0 overruns:0 frame:0 TX packets:723535 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:0 RX bytes:3201204888 (2.9 GiB) TX bytes:3201204888 (2.9 GiB) G. BORGHESI - Octobre 2008 73

Configuration permanente Dans un fichier : /etc/network/interfaces avec Debian /etc/sysconfig/network-scripts/ifcfg-eth0 avec Fedora, Mandriva Exemple avec Debian : auto eth0 iface eth0 inet static address 130.79.44.197 netmask 255.255.255.192 network 130.79.44.192 broadcast 130.79.44.255 gateway 130.79.44.254 G. BORGHESI - Octobre 2008 74

Les ports Chaque service réseau ouvre un port Certains sont réservés : /etc/services Exemples : http = 80 https = 443 ftp = 21 ssh = 22 G. BORGHESI - Octobre 2008 75

Commandes de survie ifconfig : configuration de la carte réseau route : affichage des routes actives ping : test de connectivité traceroute : test de transit réseau netstat : affiche des infos réseaux tcpdump : sniffe le trafic sur le réseau G. BORGHESI - Octobre 2008 76

Les services réseaux connus DNS smtp DHCP http ftp NFS ssh samba LDAP CUPS G. BORGHESI - Octobre 2008 77

La sécurité

Piratage? Prendre le contrôle d'une machine Relais données (ftp warez, p2p) Préparer d'autres actions Détruire / Voler les données d'une machine Dégrader les performances d'une machine Deny Of Service Attack Spam? G. BORGHESI - Octobre 2008 79

Comment? Attaque externe Script kid Attaque ciblée Attaque interne Récupération passwd (sniff, imprudence) Porte ouverte G. BORGHESI - Octobre 2008 80

Qui sont-ils? Des plaisantins (pour voir) Des vandales (idéalistes et déterminés) Des compétiteurs (tableau de chasse) Des espions (pour l'argent) G. BORGHESI - Octobre 2008 81

Comment faire de la sécurité Topologies Mise à jour Firewall Formation des utilisateurs Veille Choix applicatifs G. BORGHESI - Octobre 2008 82

Topologies Base de la sécurité Multiples Elles peuvent être simple : Internet Firewall G. BORGHESI - Octobre 2008 83

Topologies Ou plus complexe : IPv6 INTERNET IPv4 G. BORGHESI - Octobre 2008 84

Topologies Attention aux contournements Attention aux aberrations : Internet Firewall G. BORGHESI - Octobre 2008 85

La DMZ Sert à isoler les serveurs sensibles Protège mieux les machines faibles Exemple : DMZ Internet Firewall Sous-réseau utilisateurs G. BORGHESI - Octobre 2008 86

Mises à jour Il y a des découvertes de failles régulières Différentes façons : Patches Apt-get update / upgrade Compilation Sans mise à jour pas de sécurité G. BORGHESI - Octobre 2008 87

Des bases saines Faire de la sécurité physique Serveurs isolés Boîtiers cadenassés Etre vigilant Toujours fermer les consoles Mots de passe recherchés (BIOS, login) Ne pas répondre aux enquêtes Ne JAMAIS donner un passwd!! G. BORGHESI - Octobre 2008 88

Un firewall Machine bastion Un point de passage filtrant Pour protéger : données ressources réputation G. BORGHESI - Octobre 2008 89

Pour faire un firewall Trouver un emplacement physique Trouver un emplacement réseau Sécuriser de la machine Configurer les services Brancher la machine au réseau G. BORGHESI - Octobre 2008 90

Filtrage de paquets Avec Iptables sous linux Par adresse IP Par adresse MAC Par service Et ne pas oublier le v6! G. BORGHESI - Octobre 2008 91

Filtrage iptables Différentes chaînes : INPUT OUTPUT FORWARD Différentes politiques : DROP REJECT ACCEPT LOG G. BORGHESI - Octobre 2008 92

Formation aux utilisateurs Des conseils à dispenser : Ne pas donner son mot de passe Ne pas tenter de contourner les barrières Connaître les applications douteuses Mettre en place des solutions sûres En résumé Ne pas prendre d'initiatives en cas de doute! G. BORGHESI - Octobre 2008 93

Choix applicatif Eviter les softs connus pour leurs défauts ftp tftp RPC De nombreuses applis Win Souvent il y a un équivalent sécurisé! G. BORGHESI - Octobre 2008 94

Veille S'informer : Magazines papier Sites Web (Clubic, Slashdot, Hoaxbuster ) Connaître parfaitement le domaine Environnement physique et logiciel! Il faut donc des outils pour faire cela! G. BORGHESI - Octobre 2008 95

Outils de surveillance Environnement logiciel nmap nessus Surveillance réseau arpwatch ntop mrtg snort nagios G. BORGHESI - Octobre 2008 96

CONCLUSION

Les pannes Logicielles : logs + newsgroup + MAJ Matérielles : contrat de garantie + sauvegardes Électriques : double alimentation + onduleur Humaines : Tickets + Procédures Tout est «sous contrôle»! G. BORGHESI - Octobre 2008 98

Les amis de l'administrateur Le man La documentation en ligne Les newsgroups La documentation papier d'autres administrateurs sinon il reste la chance! G. BORGHESI - Octobre 2008 99