p. 1 Plan p. 2 Linux Intranet Guillaume Allègre Guillaume.Allegre@silecs.info Grenoble INP Formation Continue INP-FC 2012 1. Infrastructure : DHCP, DNS, NTP 2. Partages Unix : NFS, NIS, CUPS 3. Sauvegardes réseau 4. Supervision réseau p. 3 Le réseau : un peu de recul... p. 4 Un peu de recul... 1. Le réseau pour les ingénieurs réseau conguration de l'infrastructure prise de contrôle à distance (ssh) sauvegardes, réplication supervision et sécurité 2. Le réseau pour les utilisateurs serveur d'applications (X11, ssh -X) des ressources partagées : stockage, périphériques le web / intranet : des applications client léger le Web / Internet
Partages de ressources p. 5 p. 6 1. d'unix à Unix Network File System : système de chiers distribué adossé à NIS : gestion centralisée de l'authentication imprimantes : CUPS / IPP 2. Samba : interconnexion Unix-Windows partage de ressources (chiers, imprimantes) authentication couplé à LDAP (trad.) ou Samba 4 (exp.) DHCP : conguration réseau automatique 3. Et encore... LAMP et applications web WebDAV (sur http) Subversion, Mercurial, Git : gestion des révisions... Dynamic Host Conguration Protocol p. 7 Négociation DHCP p. 8 Idée : permettre la conguration automatique du réseau Adresse IP et masque (au minimum) Route et passerelle Serveurs DNS Serveur WINS (Windows) Proxy web... Trois méthodes d'allocation IP (compatibles) dynamique : adresse tirée d'un réservoir indiérencié automatique : idem + table des aectations (pérennité) statique : IP liée à l'adresse MAC Bail DHCP (lease) : 1 heure à 7 jours... Technique RFC 1531 (1993) puis 2131-2132 (1997) + extensions protocole client/serveur ; UDP ports 67-68 successeur de BOOTP Phase initiale 1. DHCP Discovery : client -> serveur (broadcast IP/eth) 2. DHCP Oer : serveurs -> client (unicast) ore l'ip et le masque 3. DHCP Request : client -> serveur (broadcast IP/eth) 4. DHCP Acknowledgment : serveur -> client conrme l'ip, le masque et le complément (bail, DNS...) Compléments (unicast) DCHP Information : client -> serveur (bail initial) DHCP Releasing : optionnel...
En pratique p. 9 p. 10 Implémentation de référence : ISC (Internet Software Consortium) Client : dhclient (dhcp3-client) DNS : serveur de noms Serveur : dhcpd (dhcp3-server) Utilitaires complémentaires dhcping -s serveur : diagnostic dhcp-probe : surveillance (démon) DNS : les serveurs de noms de domaine p. 11 DNS : les implémentations p. 12 Un besoin global transformer 64.233.183.147 en www.google.com RFC : depuis 1983... passage à l'échelle Les principes 13 serveurs root dans le monde Principaux TLD (Top Level Domains) : historiques :.edu,.com,.org,.net,.gov,.mil +.arpa nationaux :.us,.uk,.fr,....to,.tv puis :.int,.eu,.asia,.aero,.museum,.info,.name... un système pyramidal (ou arborescent) un système de cache global un standard de longue date RFC 881-883 (1983) : les prémisses (Jon Postel, Paul Mockapetris) RFC 1033-1035 (1987) : le standard de base... 114 RFC concernant le DNS : http://www.dns.net/dnsrd/rfc/ RFC 5155 (fév. 2008) DNS Security (DNSSEC) Hashed Authenticated Denial of Existence Les implémentations Le serveur dominant ISC : bind (paquets bind et bind9) Alternatives : dnsmasq (DHCP+DNS), djbdns Côté client : libc6 + /etc/nsswitch.conf
Bind : conguration des logs p. 13 Bind : conguration des logs - avec SYSLOG p. 14 1. Paquets bind9, bind9-doc, dnsutils conguration : /etc/bind/* démon : named (port 53...) 2. congurer le chier de log et observer... dans /etc/bind/named.conf http://www.zytrax.com/books/dns/ch7/logging.html Vérication : named-checkconf Mise en pratique... logging{ channel mes_logs { syslog local2; severity warning; print-time no; print-severity yes; print-category yes; }; category default{ mes_logs; }; }; Bind : serveur cache (proxy) p. 15 Bind : serveur de zone locale p. 16 1. installer un forwarder dans named.conf.options 2. Examiner le cache... rndc dumpdb = /var/cache/bind/named.dump.db Résolution directe www.debian.org/doc/manuals/network-administrator/ ch-bind.html Principaux enregistrements à renseigner (RR = Resource Records) SOA : début de zone (Start Of Authority) A : adresse IPv4 (résolution directe) AAAA : adresse IPv6 CNAME : nom canonique (pour un alias) NS : serveur de nom primaire (pour une zone) MX : serveur de mail (Mail exchanger) HINFO, SPF,... (cf RFC 1035) Vérication : named-checkzone Résolution inverse PTR : nom canonique (pour une adresse IPv4)
DNS : pour aller plus loin p. 17 p. 18 allow-update (synchronisation DHCP) délégation de zone des RR nouveaux ou exotiques : LOC, SRV... NTP : serveur de temps DNSSEC, TSIG : DNS Security Extension (RFC 2535, 2845) alternatives à BIND PowerDNS (Bert Hebert, PowerDNS.COM BV) Unbound (NLnet Labs) dnsmasq : serveur léger DHCP + DNS dual-dhcp-dns : serveur très léger djbdns (Daniel J. Bernstein) : démon + suite d'outils Network Time Protocol p. 19 NTP en pratique p. 20 Idée : une référence de temps distribuée horloge précise (p/r temps universel) : 10 ms horloge uniforme sur le réseau local : 0.2 ms Implémentation Protocole UDP, port 123 Démon en espace utilisateur (ntpd) + Fonctionnalité noyau : PLL 3 paquets : ntpdate, ntp, ntp-doc ntpdate <serveur> : synchronisation isolée ntp client : synchronisation continue sur un serveur de temps /etc/ntp.conf (+ /etc/default/ntp) ntp serveur : 2 modes push : broadcast des mises à jour pull : autorisation d'accès
p. 21 NFS : un système de chiers distribué p. 22 NFS et réseaux Unix 1. Les origines NFS : Network FileSystem protocole initié par Sun Microsystems en 1984, puis IBM repris par tous les constructeurs Unix devenu un standard Unix 2. Les principes architecture client-serveur utilisation du principe de montage des systèmes de chiers Unix serveur : service nfs-kernel-server noyau + esp. util. client : noyau Linux (un des systèmes de chiers) 3. Alternative nfs-user-server : plus lent, considéré obsolète NFS : évolution du protocole 1. v1. expérimentale, interne à Sun 2. v2. RFC 1094, 1989 (UDP seulement) 3. v3. RFC 1813, 1995 support des gros chiers (+2 Go) support des écritures asynchrones support de TCP... 4. v4. RFC 3530, 2003 normalisation reprise par l'ietf sécurité : intégration Kerberos support de l'internationalisation v4.1 (2006-) : pnfs (parallel NFS) pour le NAS/SAN p. 23 NFS : l'architecture serveur Modules noyau nfs : le module principal nfsd = plusieurs threads noyau lockd + modules annexes Trois démons à l'écoute en espace utilisateur 1. portmapper : p. 24 base de tous les services RPC (Remote Procedure Call) port 111 (TCP et UDP) économise les ports <1024 2. rpc.mountd : gestion des montages 3. rpc.statd : surveillance NSM (Network Status Monitor) Des démons optionnels rpc.gssd (client) + rpc.svcgssd (serveur) : gestion uniée de sécurité (Kerberos, Radius...) rpc.idmapd(client) : gestion des correspondances utilisateurs...
NFS : installation et conguration p. 25 NFS : Exploitation p. 26 1. Installation Debian Paquets nfs-kernel-server et nfs-common. 2. Conguration Exo Côté serveur : chier /etc/exports : man exports Côté client : chier /etc/fstab : man mount, nfs, fstab 1. Créer un répertoire partagé public sur chaque machine et y copier quelques chiers 2. Monter sur chaque machine son propre partage 3. Monter des partages croisés par paire de machines. 1. Côté client /sbin/showmount --all <hote> : acher les montages NFS en cours pour un serveur /sbin/showmount --exports <hote> : acher les exports oerts 2. Côté serveur /usr/sbin/exportfs <...> : lister ou régler les partages ouverts dmesg : les messages du noyau au chargement des modules /var/log/daemon.log : les messages de mountd /proc/fs/nfsd/ : interface noyau NFS : le modèle de sécurité p. 27 p. 28 NFS : mise en pratique d'un modèle plus sécurisé Modèle initial rudimentaire : basé sur les UID numériques, supposés identiques sur tout le réseau Applique les permissions standard (ugo, rwx...) de la machine serveur Plusieurs alternatives pour traiter la question 1. Utiliser uniquement des accès anonymes (all_squash) 2. Gérer à la main les utilisateurs pour garantir des UID identiques 3. Maintenir des tables de correspondance des utilisateurs sur le serveur (map_static) 4. Utiliser le service centralisé NIS Exo 1. reprendre la conguration précédente pour des accès réservés en écriture (permissions) 2. utiliser une table de correspondance pour renvoyer l'utilisateur 1000 sur le 501 man exports ; map_static 3. de même : les utilisateurs distants 1001-1050 provenant d'une machine précise sont transformés en nobody.
p. 29 NIS : l'authentication Unix centralisée p. 30 NIS Network Information System Principe un serveur central pour les chiers de base (/etc/passwd, /etc/shadow, /etc/hosts...) un domaine NIS rassemblant plusieurs machines (ypdomainname) concaténation de la base locale et de la base réseau + ordre de résolution Des démons : ypserv : le serveur (principal) de domaine NIS éventuellement, des serveurs secondaires (esclaves) ypbind : un démon sur chaque machine cliente Le paquet Debian : nis La documentation The Linux NIS/NYS/NIS+ HOWTO Debian NIS HOWTO NIS - conguration serveur p. 31 NIS - conguration client p. 32 Deux alternatives : partager les chiers de conguration du serveur gérer des bases séparées : plus rigoureux Fichiers de conguration /etc/default/nis : commun aux 4 démons /etc/defaultdomain : domaine NIS Création de la base de données chiers de base dans /var/yp/ypfiles conguration de /var/yp/makefile Fichiers de conguration /etc/nsswitch.conf : shadow: compat nis files /etc/passwd : +:::::: (ou réglages +/-) Commandes de test ypcat passwd group shadow.byname Service : /etc/init.d/nis start = ypserv yppasswdd ypxfrd ypbind
La solution LDAP? p. 33 p. 34 Problème récurrent de l'authentication LDAP : une base neutre par rapport aux plate-formes Des structures de données très normalisées (schema) Impression réseau sous Unix Un annuaire ; pas un système d'authentication Linux : module pam-ldap Samba : samba-ldap... L'impression sous Unix p. 35 Conguration de l'impression p. 36 Matériel : 3 types de connexions imprimantes locales (// ou USB) imprimantes réseau (interface ethernet) imprimantes locales sur un serveur d'impression (réseau) Services et protocoles applicatif : prépondérance de PostScript puis PDF (Adobe) lpd/lpr : historique, RFC1179, 1990 lpd BSD : implémentation historique LPRng : réécriture du précédent (RH) CUPS : Common Unix Printing System RFC 2565-2569, 1999 (Novell - Xerox) Easy Software Products (1997-2007), puis Apple protocole IPP, surcouche à HTTP conguration service inspirée d'apache LPD / LPRng un démon : lpd (TCP port 515) un chier de conguration : /etc/printcap des commandes : (BSD) lpr, lpq, lprm, lpc ou (SystemV) lp, lpstat, cancel, lpadmin CUPS un démon : cupsd (TCP ports 515 et 631) interface web : http://localhost:631 un répertoire de conguration : /etc/cups/* paquets Debian : cupsys, cupsys-bsd... surcouches graphiques : GNOME : gnome-cups-manager KDE : kdeprint (uniformise l'accès aux 3 systèmes)
En pratique : CUPS p. 37 p. 38 Installation (paquets) (deb) cups, cups-common, cups-client, cups-bsd (RH) cups Fichiers Conguration /etc/cups/... cupsd.conf conguration du service printers.conf conguration des imprimantes ppd/* Postscript Printer Description Travaux /var/spool/cups, /var/cache/cups/* Logs /var/log/cups (cupsd) Samba Références Linux Foundation - OpenPrinting Wikipedia, article CUPS Le projet Samba p. 39 Samba : ressources p. 40 Samba : interconnexion Unix-Windows 1. partage de chiers 2. partage d'imprimantes 3. authentication et gestion de domaine NT 4. exploration réseau Historique 1992 : projet démarré par A. Tridgell, thésard australien au départ : simple client SMB (chiers partagés) pour une machine Unix besoins d'interopérabilité : le projet grossit septembre 2009 : 3.4.1 -> 3.4.8 mars 2010 : 3.5.0 -> 3.5.11 août 2011 : 3.6.0 sous peu? Samba 4.0 (alpha-17 sept. 2011) Disponible sur http://www.samba.org Des paquets pour toutes les distributions (dont Debian) Documentation Using Samba, 3rd Ed., O'Reilly (2nd Ed. libre) The Ocial Samba-3.2.x HOWTO and Reference Guide http://samba.org/samba/docs/ En français : nombreux tutoriels, mais pas de doc de référence libre Samba, installation et mise en oeuvre, O'Reilly (2e éd.)
Samba : aperçu de l'architecture p. 41 La pile réseau Samba p. 42 Un protocole client-serveur Côté serveur Linux : 3 démons 1. nmbd : serveur de nommage NetBIOS 2. smbd : partage de chiers (SMB / CIFS) 3. winbindd : lien vers un serveur de domaine NetBIOS : Network Basic Input Output System (IBM...) NBT : NetBIOS over TCP SMB : Server Message Block (IBM...) CIFS : Common Internet File System (successeur de SMB) Des clients diversiés Windows : toutes les machines congurées Réseau Microsoft Unix : smbclient, mount.cifs... Protocole NetBIOS p. 43 Noms NetBIOS - 1 p. 44 1. Principes initialement un protocole réseau local, non routable multiples avatars : Ethernet, Token Ring, IPX, puis TCP/IP chaque machine a un nom NetBIOS gestion des noms de groupes (workgroup...) 2. Pris en charge par le démon nmbd netbios-ns (udp 137) : name service netbios-dgm (udp 138) : communication non connectée netbios-ssn (tcp 139) : session connectée Opérations sur les noms NetBIOS 1. réservation / enregistrement de nom 2. résolution de nom Deux modes possible 1. Broadcast 2. serveur WINS (point-to-point) : recommandé Quatre types de noeuds (ordinateurs) 1. b-node : broadcast 2. p-node : point-to-point 3. m-node (mixed) : broadcast par défaut ; serveur en secours 4. h-node (hybrid) : serveur par défaut ; broadcast en secours
Noms NetBIOS - 2 p. 45 Exploration NetBIOS (browsing) - 1 p. 46 Nom : 15 caractères + 1 octet de type 1. noeuds 2. groupes (workgroups Windows) Principaux types - noeud groupe 00 poste standard groupe standard 1D Master Browser - 1E - nom de groupe normal 20 serveur de chiers nom de groupe internet......... un LMB : Local Master Browser indiéremment sur workgroup ou domaine présent sur chaque brin du réseau maintient une browse list des machines présentes (pas de centralisation des ressources exportées) élu par les machines présentes, toutes les 15 minutes LBB : Local Backup Browser (nb illimité) un DMB Domain Master Browser pour tout le domaine/groupe élu, comme le LMB Le DMB est nécessairement LMB sur son brin un serveur WINS est souvent LMB et DMB ; sans obligation Samba peut assurer tous ces rôles Exploration NetBIOS p. 47 Protocole SMB / CIFS p. 48 Partie visible : sous Windows, machines disponibles sous Favoris réseau achage transparent des ressources partagées (répertoires, imprimantes) La face cachée : toutes les machines Windows se déclarent sur le réseau (nom NetBIOS et adresse IP) une ou plusieurs machines collectent les annonces (LMB, LBB) chaque machine cliente détecte la machine collectrice elle peut résoudre les noms NetBIOS en adresses IP elle peut alors se connecter à la machine serveur 1. Applications de SMB partage de ressources : chiers, imprimantes... IPC (Communication inter-processus) par DCE/RPC (MSRPC) 2. Implémentation à l'origine sur NetBIOS : local seulement Win2000 : peut fonctionner directement sur TCP (port 445) microsoft-ds, sans capacité d'exploration 1998 : Microsoft l'étend (liens unix...) et le renomme CIFS 2006 (Windows Vista) : SMB2 (brevets!) Gestion complète par nmbd
Samba : installation p. 49 Inventaire... p. 50 Les paquets serveur : samba samba-common Les optionnels : smbclient, smbfs swat winbind Bonus : smbc Samba Commander Exo 1. recenser les ressources installées : binaires, démons, documentation, chiers de conguration... Trois démons nmbd : nommage NetBIOS + WINS + exploration smbd : partages et authentication winbind : interaction avec le contrôleur de domaine swat : Samba Web Administration Tool Commandes net (1) nmblookup (1) smbpasswd (8) testparm (1) smbmount (8) smbclient (1) Fichiers de conguration /etc/samba/smb.conf (5) /etc/samba/lmhosts (noms NetBIOS) (5) /var/cache/samba/*.tdb + /var/lib/samba/*.tdb Conguration de Samba p. 51 /etc/smb.conf 1 p. 52 un chier principal : /etc/samba/smb.conf couvre toute la conguration de Samba modication par un éditeur classique... ou interfaces spécialisées : Webmin SWAT (http://localhost:901)... paramétrage des démons smbd et nmbd comportement des commandes d'administration net, smbpasswd... mode d'authentication partages de chiers partages d'imprimante testparm : un validateur de syntaxe Documenté par man smb.conf (5)
/etc/smb.conf 2 - structure p. 53 Un exemple miniature p. 54 des commentaires (délimités par ; et #) des sections introduites par [nom_section] correspondent généralement à un partage [nom_section$] : partage administratif [global] workgroup = cuefa18<n> netbios name = <nom> security = share log file = /var/log/samba/log.%m wins support = yes read only = yes des directives relatives à la section (sauf globale) syntaxe : un attribut = une valeur ex : log level = 1 [partage] comment = Repertoire partagé (security=share) path = /srv/samba/partage read only = No guest ok = Yes Mise en pratique p. 55 SWAT : Samba Web Administration Tool p. 56 Client Windows XP Redémarrage d'une machine sur deux sous XP Redénition du groupe de travail Favoris réseau Client Linux smbclient smbclient //serveur/partage : mode interactif smbclient //serveur/partage rien -c 'get fichier.txt' : mode script Client Linux mount.cifs mount -t cifs //serveur/partage /mnt/import/ Implémentation Serveur autonome : TCP, port 901 Lancé par inetd Avantages contrôle la validité des champs indique les valeurs par défaut liens directs vers la documentation Inconvénients sécurité : compte root nécessaire supprime les commentaires réordonne le chier smb.conf
/etc/smb.conf 3 - sections spéciales p. 57 Ajout : serveur d'impression Samba/CUPS p. 58 Trois sections spéciales, diérentes des partages standard [global] : conguration globale ; première section [homes] : répertoires perso des utilisateurs ; le nom est remplacé par le nom de l'utilisateur connecté [printers] : section étendue en autant de partages que d'imprimantes [global]... # Printing printcap name = cups disable spoolss = yes show add printer wizard = no printing = cups... [printers] comment = Toutes les imprimantes path = /var/spool/samba guest ok = Yes printable = Yes use client driver = Yes browseable = No /etc/smb.conf 4 - sections standard p. 59 /etc/smb.conf 5 - [global] p. 60 D'autres sections standard usuelles : [proles] : prols utilisateurs (applis Windows) [netlogon] : scripts de connexion utilisateurs [print$] : pilotes d'imprimantes Deux partages automatiques (optionnels dans smb.conf) [IPC$] : pour les appels RPC [ADMIN$] : idem Les directives globales les plus importantes : workgroup : groupe de travail (ou domaine NT) auquel appartient la machine samba netbios name : nom netbios de la machine security : méthode d'authentication utilisée pour les clients domain logons : gestion de l'authentication sur le domaine (selon security) passdb backend : base de noms à utiliser pour l'authentication (smbpasswd, tdbsam, ldapsam + guest)
Authentication : pair-à-pair / domaine p. 61 Modes de sécurité - directive security p. 62 Workgroup authentication pair à pair chaque utilisateur a un compte local sur chaque machine où il se connecte Domaine NT : Workgroup + serveur d'authentication (Domain Controler) service SAM : Security Accounts Manager : auth. + permissions un PDC (Primary DC), base en RW plusieurs BDC (secours), base en RO des Domain Member Server : ressources + permissions ; pas d'authentication permissions par ACL / SID (utilisateur, groupe, PC) Domaine Active Directory tous les contrôleurs égaux (bases en RW, synchronisées) SMB/CIFS : deux niveaux de sécurité 1. utilisateur (user) 2. partage (share) : mot de passe sur la ressource Samba : cinq modes de sécurité 1. share 2. user : authentication user/password par Samba lui-même 3. domain : authentication déléguée à un contrôleur de domaine 4. ads : membre d'un domaine Active Directory Server 5. server : alertobsolète Des dossiers personnels 1/2 p. 63 Des dossiers personnels 2/2 p. 64 [global]... SECURITY = USER ; passdb backend = smbpasswd:/etc/samba/smbpasswd passdb backend = tdbsam... [homes] comment = Home sweet home valid users = %S read only = no browseable = no Guest : compte invité peut être autorisé pour certaines ressources (guest ok) peut être obligatoire (guest only) toujours renvoyé vers un compte unix (guest account) Compte utilisateur normal l'utilisateur Unix doit exister ; sinon : adduser <nom> smbpasswd -a <nom> base de référence : smbpasswd.tdb ou (ancien) /etc/samba/smbpasswd
Dualité des comptes : Linux et Samba p. 65 Authentication : 3 mécanismes supportés p. 66 Dans le cas de la sécurité utilisateur : Comptes unix obligatoires en local (/etc/passwd...) distants : nis, pam-ldap... Comptes Samba stockés dans un backend Directive [global] passdb backend =... chier smbpasswd chier tdb LDAP... Mots de passe en clair encrypt password = no déconseillé! seul à autoriser NIS ou /etc/passwd autonome NTLM : échanges dé/réponse (NT) encrypt password = yes NTLMv1 : faible : sans sel, majuscules, limité à 14 caractères NTLMv2 : lacunes corrigées tickets Kerberos (ADS) Le browsing et Samba p. 67 p. 68 Des directives spéciques pour les élections LMB/DMB : [global]... domain master = yes no local master = yes no preferred master = yes no os level = 65... Sauvegarde et archivage pour un Samba serveur WINS : wins support = yes pour un Samba client WINS : wins server = <adresse IP>
Sauvegarde et archivage Rappel : archives tar (archivage) + gzip / bzip2 (compression) Sauvegardes p. 69 Historiquement, sur bandes = accès longs, séquentiels images (disque ou partition) : dd, partimage, Clonezilla dump + restore : outil Unix historique de sauvegarde, orienté bandes cpio : alternative à tar rsync : commande orientée synchronisation (locale ou distante) Applications complètes Amanda : disques + bandes, ligne de commande BackupPC : disques seulement, interface web... Sauvegarde et archivage - Unix traditionnel dump + restore sauvegarde totale de /etc avec dump restauration interactive de fstab et modprobe.d dans /mnt/vol/etc p. 70 sauvegarde d'un système de chier au niveau 0 (complète) modication de quelques chiers sauvegarde incrémentale des diérences restauration complète rsync : synchronisation de répertoires p. 71 Surcouches à rsync / librsync p. 72 Modes de transfert push : le client envoie ses données pull : le serveur récupère les données ciblées Idée : snapshots (images du FS) sauvegardes incrémentales via rsync liens durs pour compléter Protocoles réseau utilisables local shell distant : rsh (obsolète), ssh rsync hote:/... rsyncd : démon et protocole spécique rsync hote::/... rsyncd + shell distant! Fondation : librsync calcul ecace des diérences entre binaires algorithme rolling checksum Solutions légères rdi-backup (python) : push+pull rsnapshot (perl) : pull dirvish (perl) : pull rlbackup (C) : push (vise la sécurité) Applications BackupPC (perl) : interface web
rsync simple p. 73 rsyncd - protocole de transfert p. 74 Protocole spécique : TCP/873 rsync en local rsync -av (-d) Source Destination Attention à la diérence : Source et Source/ distant - mode push rsync -av -z Source <(user@)host>:/destination distant - mode pull rsync -av -z <(user@)host>:/source Destination Démarrage : 2 méthodes, cf. etc/default/rsync Dénition de modules (partages à la Samba) man rsyncd.conf /usr/share/doc/rsync/examples/rsyncd.conf [home] comment = espace utilisateurs path = /home read only = no uid = 0 # auth users = backuppc # secrets file = /etc/rsyncd.secrets # hosts allow = 192.168.0.0/24 BackupPC - Conguration Debian p. 75 Compléments : suivi de version et réplication p. 76 Conguration : dans /etc/backuppc config.pl (Perl) hosts chaque client : <hote>.pl Méthodes de transfert possibles Unix : rsync, rsyncd, tar Windows : smb, rsyncd Exemple : conguration d'un client en rsyncd $Conf{XferMethod} = 'rsyncd'; $Conf{RsyncdUserName} = 'backuppc'; $Conf{RsyncdPasswd} = 'backuppc'; $Conf{RsyncdAuthRequired} = 1; $Conf{RsyncShareName} = ['home', 'www']; Suivi de version Pour les chiers sensibles, par exemple /etc/ Principe : stocker l'historique des versions successives Outils : CVS, Subversion, SVK... Réplication Pour la sécurité et l'intégrité des données, la redondance les chiers de log (via rsyslog, syslog-ng...) les bases de données (serveurs maître et esclaves) les annuaires (LDAP...)
p. 77 Introduction à la supervision réseau p. 78 Supervision réseau Pour quoi faire? Statistiques et suivi temporel : collecte, achage Alertes : mail, Instant Messenger, etc. Actions : relancer un service, couper un port Comment? les diérentes options collecte passive (à la ping) agent (client) serveur centralisateur Multiplicité des solutions cf Wikipedia, Network Monitoring Comparison Supervision légère - monit p. 79 TP Rsyslog - fonctionnalités avancées p. 80 Installer monit : un superviseur simple Surveillance des processus et ressources lancer / relancer un service l'arrêter s'il sature le système Surveillance des changements chiers : date, taille, checksum... Écriture des logs Interface web TP : surveillance du serveur DNS Adapter http://www.debian-administration.org/articles/269 1. envoyer les logs d'authentication sur un serveur de collecte 2. avec un horodatage précis (microseconde) 3. par protocole TCP (test du tampon) 4. séparer les logs sudo des autres sur le collecteur 5. passer par un protocole chiré!
Nagios - un aperçu p. 81 p. 82 SNMP : Simple (!) Network Monitoring Protocol Présentation Poids lourd des logiciels de supervision libres Conception très modulaire (plug-ins) Nombreuses interfaces, dont le web Installation (debian) nagios.cfg : conguration principale pour Apache : ajouter un chier htpasswd.users cgi.cfg : use_auth=0 TP : ajouter un hôte à superviser www.debian-administration.org/article/using_nagios_to_ Monitor_Networks Pour aller plus loin : Centreon MIB : base universelle des données supervisables structure hiérarchique (arbre), avec délégation (cf DNS, LDAP) matériels : routeurs, imprimantes, onduleurs... variables : uptime, le d'attente, température, autonomie... complexe : nombreuses normes, navigateurs MIB... http://www.debianadmin.com/ linux-snmp-oids-for-cpumemory-and-disk-statistics.html Implémentation de référence : Net-SNMP un agent (démon) de nombreux plugins (perl, python...) une suite de commandes : snmpwalk... http://www.debianhelp.co.uk/snmp.htm SNMP compatible avec de nombreux logiciels