LéaBook, Chapitre : Réseau
Contents
1. sche 117 oe 118 hacen 119 Bir sires Ion TREE UIE Mr take EE E ne dete de A T ANEA SRE lens 120 LE rte ET TT US On DOS DES baa tga PI ed N AEEA E VE A ne deatanete 120 LEE Le ET eben alg cn dad ead ps sb TP tide eb AS AE E N E 120 ASE AE AE E N AN OAN E AE E paige tite VEE dd E tna Gehan cece EU IREE nhac kak SAE EE E TP PP ta AS 120 EEEE E E E A EE A A O AA a TE TE AA N EE AE N AE AERE E VE AATE SIAO E E 122 EE EE A AS O OO A E A O lawl AA A EA I EEA S AEE AREE EAEE E E ATA EA A A T AS 122 AoA KE ch PALIN PEET N AIAI EAA titans A A ES AN A E TEETE TA AT TAE OT 123 AMLO ONELA le 2 A EA N E A AN O N T A A TANE NE A E E A ER AE AS E A O SE A ET T 123 EAEE cease TEE tes ac pg OA A A T A ET N E A E NE NE ie dwn R EE S EEEN AOE T A E T A T 123 E E UE E EATA O OEA IAEA O A A E A IA NO A T IA T AAE O T A TET 123 Mae PONDA sairst aaeeei Ea iA aAa a nl ste lacus ASen EAEAN A E AEAN SNEON 132 aiae E E EEEE E E EI O EA E E gt I N EA INE VEE N REE T S AE TE A O TAE 132 Ee MU SIN A EE NETE O AA AT NT TE A ATEAN AETA IVRE E E E O TATO TNT E 132 Ie E Sr AE EA A EA ON A AA NE AAE EA ET AE NEA kd acd E VA EEEE TAEA E VEA E 132 e A EAEE E A E A N E TAN N an AA N i pl al ANE T ENORET AAAA T NAA E ASO E N TS 134 TS MC E A A A A A AE A E VEE A E A TAN E teach EEE A I EA SAE T A E T A E 136 I TTA RV a AN it need dal ag ON I E T EN GETE EA ENEN oa hd pd AE A E T CI TS 136 ied MCN A E E OEN EE OA E A E T N ich S d2. bin bash Firewall rc Configurer les composants d un r seau 55 Mise en place du filtrage du masquerading routage LAN lt gt NET et r gles de base L a Script de d marrage des r gles du firewall chesmeli serge Version 0 2 Lea http www lea linux org echo D marrage FIREWALL echo Activation de l IP forwarding echo 1 gt proc sys net ipv4 ip_forward D abord on bloque tout echo n Arr t total des transmissions r seau if x sbin ipchains then sbin ipchains P forward DENY echo OK else echo Erreur echo Votre noyau n est pas configur pour permettre le filtrage veuillez le recompiler exit On charge les modules de masquerade echo n Chargement des modules de masquerade sbin modprobe ip_masq_ftp sbin modprobe ip_masq_raudio sbin modprobe ip_masq_irc echo OK Vous pouvez y inclure ou enlever les modules de votre choix Puis on applique les r gles echo n Chargement des r gles de filtrage ipchains P forward DENY ipchains A forward s 192 168 1 0 255 255 255 0 j MASQ echo OK vous de bien fixer les r gles suivant votre r seau echo Firewall pr t On peut alors appeler ce script depuis etc rc d rc local en y ajoutant une ligne source rc firewall 56 Configurer les composants d un r se z i i i gt NE L a Mise en place du filtrage du masquerading routage
3. Dans quels fichiers trouver la configuration IP e configuration de la ou les carte s r seau les principaux fichiers de configuration se situent dans etc sysconfig network scripts pour Redhat et Mandrake ou dans etc rc d pour slackware ou etc networks Les fichiers s appellent respectivement ifcfg ethx ou x est le num ro d instance de la carte r seau inet1 et interfaces e configuration du r seau et du routage un fichier connaitre etc sysconfig network pour Mandrake et Redhat rc inet1 pour slackware et interfaces pour Debian e une astuce pour r cup rer uniquement l IP ci dessous un exemple de script pour recup rer votre adresse IP merci FRED root pingu cat ifip bin bash if a i then IF cat else IF 1 fi ifconfig IF grep inet tr s cut 3 d cut f2 d L avantage de ce script il fonctionne soit avec un argument soit en r cup rant la sortie standard Exemple root pingu ifip ethl 192 169 0 3 root pingu echo ethl ifip 192 168 0 3 Les services r seaux configur s sur ma machine Service g r par le super d mon inetd ou xinetd selon la version de la distribution l un ou l autre est utilis xinetd tant le plus r cent inetd ou xinetd agit comme un standardiste D s qu un client fait appel a un service autoris il passe la ligne au dit service e inetd le fichier de configuration conna tre est etc inetd conf Quand vous ne pouvez pas
4. delete de remplacer la cha ne sp cifi e Exemple iptables R INPUT 5 192 168 0 1 J DROP I insert Permet d ajouter une cha ne dans un endroit sp cifi de la cha ne Exemple iptables I INPUT dport 80 J ACCEPT L list Permet d afficher les r gles Exemples iptables L Affiche toutes les r gles des cha nes de FILTER iptables L INPUT Affiche toutes les r gles de INPUT FILTER F flush Permet de vider toutes les r gles d une cha ne Exemple iptables F INPUT N new chain Permet de cr er une nouvelle cha ne Exemple iptables N LOG _DROP X delete chain Permet d effacer une cha ne Exemple iptables X LOG _DROP P policy Permet de sp cifier au kernel la target par d faut d une cha ne DENY ACCEPT REJECT DROP Exemple iptables P INPUT DROP 2 2 2 Commandes pour matcher Remarques Le peut tre utilis pour certaines commandes afin de sp cifier le contraire on peut le traduire par sauf Par exemple une commande qui doit refuser tout trafic TCP sauf ce qui provient de l adresse IP 10 42 42 42 sera traduite par la commande suivante Exemple iptables A INPUT p tcp source 10 42 42 42 j DENY Les adresses IP peuvent optionnellement tre sp cifi es avec le masque associ sous la forme adresse ip masque p protocol Sp cifier un protocole tcp udp icmp all tous Exemple
5. puis make make install Voil le serveur FTP est install A partir des RPMS L op ration est simple avec urpmi Attention vous ne pourrez pas installer pure ftpd si vous disposez d j d un serveur ftp celui ci sera alors d sinstall urpmi pure ftpd Pr paration HAHAHA HHH HHHHE HHH HEHEHE ATE EAE 1 pure ftpd HARAS 136 Configurer les composants d un r se L a Configuration Vous disposez galement d un package compl mentaire qui permet d ajouter les l ments de l arborescence n cessaires pour r aliser un ftp anonyme urpmi pure ftpd anonymous r paration 4 HEHEHE EA EAE HH EH HH 1 pure ftpd anonymous HAMMAM RER RER Configuration PureFTPd dispose aussi d options encore plus nombreuses au moment de son d marrage Leur liste est disponible de la mani re suivante pure ftpd help Voici une description de quelques options de d marrage Attention Pure FTPd est sensible la casse A chroot tout les utilisateurs sauf root b ignore certains standards pour permettre certains clients Internet Explorer de fonctionner malgr leurs bogues B Ordonne au serveur de d marrer en arri re plan c 5 limitation du nombre de client simultan sur votre serveur 5 d faut 50 C 2 limite le nombre de connexion simultan es de chaque utilisateur provenant de la m me adresse IP 2 E autorise seulement la connection d utilisateurs enregistr s pas d anon
6. dire les programmes pour configurer le pont lui m me que vous t l chargez ici bridge utils 0 9 6 tar gz Comme avec n importe quelle source de programmes vous d tarballez et compilez le tout tar zxvf bridge utils 0 9 6 tar gz cd bridge utils configure make make install Configuration du pont lui m me Comme nous l avons dit plus haut le pont en lui m me n a pas besoin d adresse IP ni m me d adresse MAC pour fonctionner Donc dans un premier temps nous enlevons toute adresse IP des deux cartes r seaux qui constituent notre pont et les passons en mode promisc pour qu elles puissent couter tout le r seau et donc transf rer les trames r seaux d un r seau a l autre ATTENTION Si vous etes en telnet ou ssh sur cette machine la connexion va tre coup e faites donc ces manipulations en console sur la machine elle m me Configurer les composants d un r seau 79 Mise en place du Filtrage L a ifconfig eth0 0 0 0 0 promisc ifconfig ethl 0 0 0 0 promisc Maitenant nous mettons en place le pont lui m me c est dire nous donnons un nom au bridge lui m me mon pont et d clarons les interface r seaux qui vont servir au pont eth0 et eth1 brctl addbr mon pont brctl addif mon pont eth0 brctl addif mon pont ethl Pour certains quipement actifs switch routeur etc le pont doit se d clarer pour que tout fonctionne bien Si la connexion entre les deux r seaux ne fonctionne pas essayez ces comman
7. etc ppp chat auto etc ppp peers auto etc ppp pap secrets etc resolv conf Sh SR SR SR SR OR cnx Sipup ARGV open PPPCONF etc ppp conf modeminit resolv Ssearch org Sautodns 0 while lt PPPCONF gt if p cnx login login p if p global login login p if p cnx Sassword Spassword p if p global password Spassword Sp if p cnx smtp smtp Sp if p global smtp A smtp p if p cnx telephone Stelephone p if p global telephone Stelephone p if p cnx modeminit push modeminit p if p global mode minit push modeminit p if p cnx dns push resolv p if p global dns push resolv p if p cnx search search p if p global search search p 44 Configurer les composants d un r se L a cnx autodns Sautodns 1 global autodns autodns 1 if p if p if autodns resolv if ENV DNS1 ne push resolv ENV DNS1 if ENV DNS2 ne push resolv ENV DNS2 open CHAT gt etc ppp chat auto print CHAT ABORT BUSY ABORT ERROR ABORT NO CARR
8. printers comment All Printers browseable no path tmp printable yes public no writable no create mode 0700 sample share for sharing your CD ROM with others cdrom comment Samba server s CD ROM writable no locking no path cdrom public yes The next two parameters show how to auto mount a CD ROM when the cdrom share is accesed For this to work etc fstab must contain an entry like this dev scd0 cdrom iso9660 defaults noauto ro user 0 0 The CD ROM gets unmounted automatically after the connexion to the If you don t want to use auto mounting unmounting make sure the CD is mounted on cdrom preexec bin mount cdrom postexec bin umount cdrom 14 Configurer les composants d un r se L a Utilisation d ipchains et de ipma tmp on debian for temporary transfers tmp comment tmp on debian erased at each reboot writable yes path tmp public yes configuration files etc comment configuration files writable no path etc public yes whole system all comment whole system writable no path public yes Utilisation d ipchains et de ipmasqadm ipchains Le r le principal d ipchains dans notre cas est de distribuer l internet sur le r seau local Il peut galement faire office d un puissant firewall La configuration d ipchains peut se faire manuellement mais en gardant l esprit de monter
9. root localhost 901 Votre browser va vous demander un mot de passe le login sera d ja rempli tapez votre mot de passe root habituel SWAT est maintenant lanc Ce que vous voyez est la page d accueil de SWAT elle s appelle Home c est une page d aide en fait ce sont des renvois aux manpages relatives a SAMBA Note Il peut etre astucieux de cr er un utilisateur genre smbadmin qui aura les droits du root concernant la configuration de SAMBA Nous voulons autoriser certains utiliateurs se connecter a notre serveur SAMBA C est assez simple puisqu il suffit de cliquer sur l ic ne lt Password Management gt Seule la partie lt Server Password Management gt nous int resse Supposons que vous souhaitiez que machin puisse se connecter sur votre serveur Zone de saisie Valeur Commentaires n importe quel nom valide sur votre syst me Un mot de passe est imp ratif pour l instant Re type New Password EE m me mot de passe videmment Quand vous avez renseign tous les champs de cette partie ne touchez pas ce qui concerne lt Client Server Password Management gt qui ne nous concerne pas encore cliquez sur lt Add New User gt V rifiez que SAMBA accepte votre nouvel utilisateur Si ce n est pas le cas cela peut tre pour trois raisons au moins e l utilisateur que vous souhaitez ajouter n existe pas sur votre syst me e vous n avez pas tapez deux fois le m me mot de passe e vous avez tapez
10. root 192 168 0 1 s password Last login Thu Dec 26 03 37 03 2002 from centaur Je me connecte au port 222 sur une machine de mon r seau local demandant de m identifier comme root La machine n est pas connue dans mon fichier known_hosts Ce fichier contient les cl s h te DSA des serveurs SSH auxquels l utilisateur s est connect Cette m thode de connexion est int ressante mais minimise les capacit s que vous avez avec ssh Pour des connexions telles que vers un serveur CVS un tunnel pour votre courrier il serait fastidieux de s authentifier chaque fois par ce moyen Connexion par paires de clef Puisque nous utilisons des algorithmes paire de clefs rsa dsa c est dire compos e d une clef secr te et d une clef publique il faut bien que cela nous serve quelque chose Nous allons donc automatiser la connexion Pour ce faire votre h te contient un fichier authorized_ keys dans le r pertoire ssh o vous vous connectez en g n ral un home directory Il suffit de copier l identifiant ou les identifiants de vos clefs publiques pour que vous soyez reconnu du serveur Attention il faut que PubkeyAuthentication soit positionn yes dans vos fichiers de configuration Pour ins rer ma clef j ai plusieurs m thodes ma disposition Je peux employer des moyens conventionnels tels que le ftp ou le mail l administrateur par exemple ou je peux le faire au moyen d outil s curis Puisque c est notre sujet profito
11. C est dire par exemple vous tes sous Windows vous avez un serveur Linux sur lequel vous avez un compte vous vous connectez au serveur Linux avec un client et c est comme si vous vous retrouviez sur le serveur avec votre environnement graphique pr f r Pour information il existe d autres solutions pour utiliser l interface graphique d une machine distante Note de Jic allez Jonesy dis le que c est similaire ce que fait PCAnywhere qui lui ne fonctionne qu avec des serveurs et des clients Windows Microsoft Le principe de fonctionnement En fait c est un syst me client serveur D un cot il vous faut installer un serveur VNC et de l autre un client VNC Le client va interroger le serveur qui va lui renvoyer une image de l environnement graphique du serveur Bien s r il existe des clients serveurs VNC pour diff rents syst mes d exploitation Windows 9x NT 2000 CE Linux Solaris Macintosh et DEC Dans notre exemple le serveur sera a installer sur Linux et le client sur Windows Bien entendu vous installez la version Linux du serveur sur Linux et la version Windows du client sur Windows Comme toutes les versions utilisent le m me protocole de communication cela ne pose aucun probl me Installation Les clients et les serveurs VNC sont sous licence_GPL mais vos coordonn es sont demand es pour vous laisser les t l charger Sachez que certaines distributions fournissent un ou plusieurs package VNC
12. Chiffrement des transferts Cette partie est totalement optionnelle et non n cessaire pour la plupart d entre nous Donc ici il va tre question de chiffrer les communications commandes transferts lors de la session FTP mais il ne s agit pas r ellement de crypter de bout en bout la connexion avec SSL car dans l exemple suivant il n y aura pas d changes de certificats cl s entre le client et le serveur mais seulement authentifier lister et transf rer le tout de mani re chiffr Premi re tape cr er les certificats pour cela je vous renvoi vers d autres articles que vous pourrez trouver en cherchant avec google ou alors directement en lisant le How TO SSL Certificates Une fois que vous avez cr er votre certificat le fichier pem nous pouvons configurer proftpd Tout d abord il faut indiquer dans le contexte de configuration Server Config le type du protocole TLS ainsi que le chemin vers le certificat et aussi ajouter la section concernant le module mod_t1s Voici en exemple le type de configuration que vous devez avoir TLSProtocol SSLv23 TLSRSACertificateFile home proftpd certs cert rsa duf pem TLSRSACertificateKeyFile home proftpd certs cert rsa duf pem TLSCACertificateFile home proftpd certs cert rsa duf pem lt lfModule mod_tls c gt TLSEngine on TLSLog var log proftpd tls log Are clients required to use FTP over TLS when talking to this server TLSRequired on lt IfModule gt Config
13. N est le num ro de runlevel Ces r pertoires sont constitu s de liens symboliques Si le lien commence par un 5 le service est d marr S il commence par un K il est arr t Le S ou K est ensuite suivi par un nombre deux chiffres Ce nombnre permet de d terminer l ordre de lancement des scripts ordre croissant La plupart des scripts est utilisable avec 3 arguments start pour le d marrer stop pour l arr ter et status pour connaitre son tat La plupart des scripts acceptent galement l argument restart pour red marrer le service stop puis start exemple mon serveur Apache ne fonctionne pas root pingu etc rc d init d httpd status httpd est arr t on d marre le serveur Apache root pingu etc rc d init d httpd start D marrage de httpd OK on v rifie l tat du serveur root pingu etc rc d init d httpd status httpd pid 14113 14112 14111 14110 14109 14106 en cours d ex cution Configurer le d marrage d un service cas g n ral applicable quelle que soit la distribution il suffit de cr er le script de gestion du service dans etc rc d init d puis les liens symboliques de d marrage et d arr t dans les r pertoires d tat de marche Exemple je veux que mon service bidule d marre aux niveaux 3 4 et 5 On va proc der en 2 tapes cr ation d un script de gestion des arguments start stop etc rc d init d bidule cr ation des liens symboliques suivants root pi
14. Zone de saisie Valeur Commentaire Le beau iy j Comment tapez ce qu il vous plaira partage 114 Configurer les composants d un r se L a Configuration de SAMBA en tant que serveur c bath ce ce doit tre le chemin complet d un r pertoire accessible par l utilisateur smbuser et ou le groupe smbusers si vous souhaitez autotoriser les acc s aux invit s vous devez sp cifier ici un utilisateur ayant tr s peu de droit uest account ftp Vite z A comme l utilisateur gt sur un syst me Linux de base machin bidule i n r x entrez la liste s par e par des espaces des utilisateurs qui auront le droit de se connecter cette ressource ue entrez le nom sous lequel nous nous connectons au ressources partag par SAMBA vous pouvez ne rien mettre en ce cas l utilisateur qui se connectera le sera avec tous ses droits idem pr c demment Mettez Yes si vous voulez emp cher l acc s en criture Je vous conseille de cr er deux noms par ressource un premier interdisant les critures dont beaucoup d utilisateurs auront les droits d acc s ie par valid users et un second autorisant les critures mais un minimum d utilisateur ayant des mots de passe mo Mettez Yes si vous souhaitez autoriser des invit s acc der cette ressource ves Mettez No si vous souhaitez cacher cette ressource lors de l affichage par le voisinage r seau de Win Puis validez en cliquant sur lt Commit Changes
15. ce que les cartes soient support es par Linux cf Hardware HOWTO Pour les cartes r seau je vous conseille les cartes r seau 100 COMPATIBLE NE2000 PCI ou ISA NE2000 si vous ne pouvez pas prendre de PCI Dans le cas de carte ISA je vous conseille les PnP facile configurer alors que les non PnP passent souvent par un programme de configuration sous DOS si votre machine est 100 linux sans partition DOS vous allez tre emb t Remarque si vous utilisez xxxBSD en plus de Linux sachez que le driver de BSD pour les cartes NE2000 est pourri si vous avez besoin de mettre plusieurs interfaces dans la m me machine n utilisez pas de carte compatible NE2000 sinon chaque paquet va mettre dans les 1 seconde a passer si vous ne me croyez pas demandez BooK ce qu il en pense Pour les cartes plus exotiques regardez le Hardware HOWTO et ou demandez dans des listes de diffusion ou dans les news si quelqu un a d j r ussi faire marcher cette carte sous Linux Param trage de la carte Bon on va tudier les diff rents cas e Carte PCI normalement vous n avez rien faire juste pour test un modprobe module ou module est le nom du module pour votre carte modprobe ne2k pci pour les NE2000 PCI et a devrait passer sans le moindre probl me si a ne passe pas v rifiez que vous avez le support PCI dans votre kernel voir rubrique compilation kernel et que le module de votre carte est bien compil voir rub
16. mon serveur FTP je vais donc cr er des utilisateurs sp cifiquement pour l utilisation du FTP Ces utilisateurs que je vais cr er n auront pas de shell leur permettant de se connecter en telnet etc Pour cela j indique le shell suivant bin false Pour que ce shell soit valide il faut indiquer dans le fichier etc she11s la ligne bin false si cela n a pas d j t fait Car proftpd par d faut n accepte pas la connexion si le shell de l utilisateur n est pas valide donc indiqu dans etc she11s bien s r on se sera assur que le shell en question existe effectivement dans l arborescence Si le fichier etc shel1s n existe pas par contre il accordera la connexion personnellement j ai trouv a tonnant mais il doit y avoir des raisons cela il faut donc en tenir compte De plus vous pouvez sp cifiez lors dans la configuration de proftpd conf si vous souhaitez que proftpd v rifie que les utilisateurs aient oui ou non un shell valide Cela se fait par la directive RequireValidShel1 qui prend comme argument on ou off Sinon concernant la cr ation des utilisateurs pour cela je vous renvoie aux tutoriaux d j pr sents sur l a si je devais faire une recommandation c est de cr er un groupe unique qui servira placer tous les utilisateurs avec le shell bin false dedans cela peut s av rer utile par la suite et de toute fa on il n est pas utile de cr er un groupe pour chaque nouvel utilisateur Pour la cr at
17. partir du panneau de contr le Configuration Panneau de contr le Mandrake il faut choisir S curit DrakFirewall d cocher la case Tout et cocher uniquement les services que vous souhaitez autoriser Votre serveur ne peut alors plus communiquer avec l ext rieur Pour des raisons de s curit il est important de d sactiver l authentification par mot de passe en clair commentez la ligne lt mod_auth_plain gt lt mod_plain gt N oubliez pas de red marrer le serveur jabber chaque fois que vous effectuez une modification du fichier jabber xml service jabber restart Webmin Pour configurer facilement votre serveur ventuellement depuis un poste distant il est judicieux d utiliser webmin Si ce n est pas d j fait installer Webmin puis depuis un navigateur Internet rentrez l adresse https 198 168 0 1 10000 toujours en rempla ant 192 168 0 1 par l adresse de votre serveur et se connecter en tant que root NB Si vous acc der votre serveur depuis un poste distant Windows sans service DNS il sera n cessaire de rajouter la ligne suivante dans le fichier C WINNT SYSTEM32 DRIVERS ETC HOSTS 192 168 0 1 jabber masociete com Ceci est d ailleurs valable aussi pour vous connecter au serveur Jabber depuis un client install sur un poste Windows Il faut ensuite choisir l onglet serveurs et trouver l ic ne Jabber IM Server L interface graphique permet la d finition de nombreux param tres Configurer les composants
18. pr sent v rifiez quand m me e Version 2 2 x ipchains s rement pr sent aussi e Version 2 3 x et 2 4 venir le format de firewall a encore chang il n est pas encore d crit dans ce document Pour ce document je d cris la mani re de mettre en place tout a pour un kernel de version 2 2 X car mon go t le Firewall est beaucoup plus s r avec ce kernel stack IP plus s re et ipchains bien plus puissant que ipwadm de plus il est facile de trouver une distribution base de kernel 2 2 X les 2 0 X deviennent rare Si vous voulez de plus faire un Proxy r cup rez l un de ces programmes e Squid e TIS Firewall toolkit FWTK e Socks Une recherche sur freshmeat vous trouvera a Mais bon pour l instant ce document ne traite que des Firewall filtrant j ajouterais une rubrique Proxy plus tard Bon il faut maintenant configurer le kernel pour activer ce filtrage Cochez les options suivantes lt y gt Enable experimental lt y gt Enable loadable module support lt gt Packet socket Kernel User netlink socket y Network firewalls Socket Filtering lt y gt Unix domain sockets y TCP IP networking IP multicasting y IP advanced router IP kernel level autoconfiguration y IP firewalling y IP always defragment required for masquerading y IP transparent proxy support M IP masquerading Configurer les composants d un r seau 53 Mise en place du filtrage du masquerading routa
19. 1 2 8 et dans le second exemple c est pour les versions sup rieures ou gales a la version proftpd 1 2 8 Donc RETR signifie Retrieve ce qui correspond au fait de r cup rer un fichier depuis le serveur donc c est le cas lorsqu un utilisateur download Pour APPE et STOR cela correspond a append et store ce qui correspond au fait de r sumer et enregistrer un fichier sur le serveur Vous remarquez aussi que maintenant la valeur est en KiloOctets et sachez que cette directive est valable dans tous les contextes de configuration Il faut noter que TransferRate ajoute d autres options tr s int ressantes comme le fait de d allouer un seuil d octets transf r s avant que le contr le du taux de transfert soit appliqu Cela permet pour les clients transf rant de petit fichier de ne pas tre touch mais ceux qui transf rent de gros fichiers d tre limit s pour donner la priorit ceux qui transf rent les petits fichiers En gros ceux qui vont transf rer des fichiers textes ne seront pas contr l s l inverse de ceux transf rant des fichiers de type iso par exemple N ayant pas test je ne peux vous dire concr tement si le transfert est stopp ou seulement limit Il est aussi possible de cr er des groupes d utilisateurs et de d finir des limites de transferts pour ces groupes seulement Cela permet de limite la BP pour certains mais pas par exemple l administrateur ce qui vite de faire plusieurs contextes de configuration
20. Configurer les composants d un r seau 155 Installation du gestionnaire de mailing list L a YOU HAVEN T DISABLED SET ID SCRIPTS IN THE KERNEL YET FIX YOUR KERNEL PUT A C WRAPPER AROUND THIS SCRIPT OR USE u AND UNDUMP KKKKKKK FATAL ERROR KKKKKKK Cette erreur est normale si votre distribution comporte une version de Perl qui interdit que des script Perl soient lanc s en SET ID pour des raisons de s curit cas de la slackware par exemple En effet lancer les scripts en SET ID signifie que le script est lanc avec les droits d un utilisateur sp cifique Certaines distributions interdisent cela pour emp cher de lancer des script Perl qui prendraient les droits root par exemple et pourraient faire des choses pas tr s gentilles Dans ce cas et que dans ce cas l c est dire que vous avez l erreur nonc e ci dessus vous devez cd contrib make make install Vous devez voir appara tre alors install o qmailq g qmail m4755 qmail scanner queue var qmail bin qmail scanner queue Revenez dans le r pertoire des sources de Qmail scanner ca et vous ditez le fichier gmail scanner queue pl1 et vous remplacez usr bin suidperl T par usr bin perl Copiez enfin ce fichier dans var qmail bin en placant les bons droits cp qmail scanner queue pl var qmail bin chown qmailq qmail var qmail bin qmail scanner queue Dans tout les cas il faut initialiser qmail scanner maitenant Si vous n avez pas eu l err
21. D commentez les lignes suivantes this gt registry auth login imp this gt registry auth logout imp Montrer l ic ne imp dans horde this gt applications imp array status gt active Configurer les fichiers de config d IMP cd var www html mail horde imp config Renommer tous les fichiers for fichier in dist do cp v fichier basename fichier dist done Modifier le fichier var www html mail horde imp config servers php Modifier ces lignes servers imap array name gt IMAP Server server gt localhost protocol gt imap noils port gt 143 folders gt mail namespace gt maildomain gt example com smtphost gt mail example com realm gt preferred gt Remaraue Il doit tre possible a ce niveau de configurer le service s curis d imap protocol imap ssl port 993 Modifier le fichier var www html mail horde imp config prefs php langage de l utilisateur regarder dans horde config lang php pour les alias de langue _prefs language array value gt fr_FR locked gt false 162 Configurer les composants d un r se L a Configurer IMP shared gt true type gt select desc gt _ Select your preferred language boite postale de l utilisateur par d f
22. EERE EEL E E E A T NE O A E E AN E E N AE A NOA T NEE A N E 48 OEE a EAE E E EI A and tg al tx ld a EEN A AE a pn E SAE EN TEENE N A 48 E UELLE ea EREE Ee E TA A T E O AI NAA TE OE A A A E 49 aitccre tl Lea ee N E e P E T V E IN EA E EEAS AEA S TAO N ONT IAEE E T E TT 49 Connex n ADSL Vae pros Oe PETE ineine iina eiie EAA Taa SEAE Aa EA iis eaea 49 Connexion ADSL va le rouge PPPOE seeiis iaai subs i NAE A BASE A SONA ESERE aA EAEE EATER LAAIE ENAREN 50 Modem ADSL USB Aate NON sstrasnrenes disant entendent asioida 51 Kace TADS MEN en ee a Roce los ln taped a aare due Jha email de ent es east dimean deeded ads ile in nt LA asian na 51 Moce m ADSL Baram E OA RES eae ea a nh aara dd 51 asi 52 ANN 52 nEn 52 sad 53 are 54 sed 58 A RPA TNR TP itd ed lt aad a iid banda ba od tate edie thas ea alten S OA EOE EN CIN 58 jae AO career een torre Men CORNET nen oe A E S E A NE NET ANOA NEAR A S tren Ten Mir I Toren Et tee nt nt 58 EA AEAEE ELA tee PRET E NE EAE A P D HORE OIC Cree AA ET EE TE mre STEVIE RF Dr TE ICTR T ts 59 J AD DUC ANON par We XOMIN GS cg eccinssnicdscnasiad sicanetentandunstndiusucetantandeasiiciustaedemtesdiadkadeas tnbde DR RAR bidan s R DER RES aa si EN D na Edi 63 Configurer les composants d un r seau amp L a Table des mati res Configurer les composants d un r seau pe TTL 9111140 ia Rene E E AAT EEA A A EITE OEA OIEA E Sel en A NAESER T ree Tone Pere mer 69 Introducti
23. Mais dans la plupart des distributions apache est configur de telle facon que l on peut y inclure des fonctionalit s facilement gr ce des modules DSO Configuration du fichier httpd conf Pour cela on va diter le fichier chemin_d install_apache conf httpd conf Si ce fichier n existe pas vous devez alors avoir un fichier appel httpd conf dist Copiez le en httpd conf et ditez le D taillons ce fichier en cherchant les lignes enonc es ci dessous si une ou plusieurs de ces options ne vous servent pas commentez les avec un devant la ligne ServerType standalone Cette ligne indique si apache se lance en autonome standalone ou via inetd Pour la plupart des configurations c est en standalone Si vous ne l avez pas r install qu apache tait d ja install ne modifiez pas cette ligne Ceux qui ont cr votre distrib ont bien configur cette ligne normalement Si vous n tes pas sur ditez le fichier etc inted conf si aucune ligne ne comporte httpd et que par contre vous avez un fichier du style rc httpd ou Sxxhttpd ou Sxxapchectl dans un sous r pertoire de etc rc d alors c est qu il se lance en autonome Inversement si une ligne httpd existe dans etc inetd conf alors il se lance en inetd ServerRoot var lib apache Vous indiquez ici le r pertoire d installation d apache Normalement les scripts d installation ont bien renseign cette ligne V rifiez quand m me LockFile var run httpd lock Laissez cet
24. Non Nom du driver CModemDriver Auteur Birdy57 Message inclus Vers 0 5 Linux Guid 1711 Le pilote fonctionne sur cette configuration Oui Il faut que CModemDriver et au moins un des CTunTapDriver CPppDriver soit oui pour que ca marche Si ce n est pas le cas v rifiez modprobe les modules charg s v rifiez que les devices requis existent dans dev et avec les bonnes permissions Ensuite tapez simplement pengaol User login Pass Mais il est conseill de stocker votre mot de passe une fois pour toute avec pengaol AddUser login Pass et de se connecter ensuite avec pengaol Connect login ceci vite de d voiler votre mot de passe dans les logs syst me et avec la commande top Une petite ligne genre xterm T AOL e pengaol Connect monlogin dans un menu de gnome kde wmaker et on y est 3 2 Message d erreur Load language fr serveur en attente signifie que vous n avez pas rentr une option valide pour la version en ligne de commande et cherche donc lancer la GUI qui dans notre cas n existe pas Lire la doc incluse dans le r pertoire doc des sources pour toutes les options 4 Conclusion Sous linux il y a plein de mani re d arriver au m me r sultat surtout concernant le chargement des modules du noyau et des permissions donc ne prenez ce qui est dit ici que comme un exemple essayez modifiez selon ce que vous souhaitez obtenir 32 Configurer les composants d un r se L a Connexion Inter
25. Vous pouvez trouver le client et le serveur fournis ensemble ici http www uk research att com vnc download html Ou allez voir sur vos CDs d installation ou ici pour le RPM http rpmfind net linux rpm2html search php query vnc amp submit Search et l pour le DEB http packages debian org stable x1 1 vneserver html Installez votre RPM DEB tarball ou l x cutable C est tout b te il n y a rien de particulier savoir je vous le jure Important Pour le serveur VNC sous Linux surtout ne l ajoutez pas dans les services d marrer automatiquement Cela bloquerait la machine au cours du d marrage et vous seriez oblig d aller le d sactiver d une facon ou d une autre Lorsque que cela m est arriv j ai mount la partition Linux concern e avec mon deuxi me syst me Linux Note de Jic j ai aussi eu ce probl me surtout quand j utilisais Aurora knterface graphique de boot II suffit en fait de d marrer sans Aurora depuis je l ai supprim en mettant textboot heu o boottext sur la ligne de commande du noyau ex Linux textboot l invite LILO Ensuite on voit qu o vient le probl me en g n ral c est VNC qui demande un mot de passe la premi re fois ce qui bloque Aurora Utilisation du serveur sous Linux ll faut que chaque utilisateur lance le serveur VNC Ou que l administrateur le fasse pour eux Un utilisateur peut tr s bien lancer VNC via une connexion telnet Lorsqu on
26. cessaires pour la compilation d autres programmes qmailadmin par exemple nous devons les copier dans un r pertoire d include Pour cela cp var vpopmail include usr include 154 Configurer les composants d un r se RL a R cup ration des sources et com Pour que vpopail trouve bien les fichiers de tcpserver il faut refaire le repertoire etc de vpopmail mv var vpopmail etc etc rmdir var vpopmail etc ln s etc var vpopmail etc Qmail scanner et F PROT Avant d installer Qmail scanner vous devez vous assurez d avoir Perl 5 005 03 ou sup rieur sur votre machine c est le cas avec toutes les distrib r centes et les modules Perl Time HiRes DB_ File Sys Syslog Pour vous en assurer installez les via CPAN Pour se faire vous devez tre connect internet et lancez alors la commande perl MCPAN e shell Remarque Si c est la premi re fois que vous lancez CPAN vous allez devoir le configurer Je ne vous explique pas ici comment configurer CPAN Toutefois la plupart du temps il suffit de valider les options propos es par d faut Une fois CPAN lanc demandez l installation des modules via install Time HiRes install DB_File install Sys Syslog exit pour sortir du CPAN Nous allons aussi d s pr sent installer F PROT Dgzippez D tarrez f prot dans le r pertoire usr local et installez le via cd usr local tar zxvf ou se trouve votre fp linux_sb tar gz ln fs fp linux_312 f prot
27. cifier un flag tcp matcher SYN ACK FIN RST URG PSH ALL NONE Exemple iptables A INPUT p tcp dport 42 tcp flags SYN ACK J ACCEPT icmp type Sp cifier un type de paquet icmp a matcher Exemple iptables A INPUT p icmp icmp type 8 J DROP mac source Sp cifier l adresse MAC a matcher Exemple iptables A INPUT mac source 42 42 AA 42 42 AA j DROP state Permet de sp cifier l tat du paquet matcher parmi les tats suivants ESTABLISHED paquet associ une connexion d j tablie NEW paquet demandant une nouvelle connexion INVALID paquet associ une connexion inconnue RELATED Nouvelle connexion mais li e id al pour les connexions FTP Exemples iptables A INPUT i eth0 p tcp dport 80 m state state NEW ESTABLISHED j ACCEPT iptables A OUTPUT o eth0 p tcp sport 80 m state state ESTABLISHED j ACCEPT Sp cificit s NAT to destination Utilis en target pour le DNAT permet de sp cifier l adresse de destination de la translation on peut galement sp cifier un port s il est diff rent du port source Exemples iptables t nat A PREROUTING d 42 12 42 12 p tep dport 110 Jj DNAT to destination 192 168 1 2 6110 iptables t nat A PREROUTING d 42 12 42 12 p tcp dport 80 j DNAT to destination 192 168 2 1 3128 to source Utilis pour en target pour le SNAT permet de sp cifier l adresse source de la translation Sp c
28. de PASSWD 2 2 Gestionnaire de mot de passe En plus de Passwd Il est aussi possible d installer facilement les modules FORWARDS 2 2 Redirection et VACATION 2 2 R pondeur automatique le tout group dans le module ACCOUNTS 2 1 Gestionnaire de Passwd Forwards et Vacation Cela n est pas expliqu dans ce guide mais ne pr sente aucune difficult particuli re Ce guide vous aidera configurer une installation standard uniquement test e pour un r seau local non reli Internet Cela doit vous permettre de r aliser un petit serveur de messagerie interne pour une petite structure avec une interface graphique ergonomique accessible depuis un navigateur Internet ll est ensuite possible de tuner votre configuration pour qu elle corresponde vos souhaits ou et pour r aliser un serveur de messagerie Internet Le webmail de Free est bas sur horde imp mais cela sort du cadre de ce guide et de mes comp tences une attention particuli re doit tre notamment accord e la s curit Pr requis Pour suivre les instructions ci dessous vous aurez besoin d un minimum de connaissances relatives Linux notamment sur l usage de la console si vous installez un serveur de messagerie minimum sans interface graphique type KDE ou Gnome Nous utiliserons un serveur Mandrake Linux 9 1 d adresse IP 192 168 10 1 Je suppose qu Apache Mysql Php et Postfix sont install s et fonctionnent correctement Sendmail est ventuellemen
29. de la zone wildcard lea linux org sont nice kilio net avec la priorit 10 ns1 kilio net avec la priorit 50 Cela veut dire que tout mail du type_xxxxxx lea linux org doit tre envoy en priorit sur nice kilio net et que si ce serveur ne r pond pas on l envoie alors sur le serveur ns1 kilio net Faites attention c est la priorit la plus basse qui indique le premier serveur contacter irc IN A 80 245 32 129 Nous indiquons ici que l h te irc lea linux org correspond l adresse 80 245 32 129 www IN CNAME linuxmutuel kilio fr 150 Configurer les composants d un r se amp L a Serveur secondair Nous indiquons ici que l h te www lea linux org correspond l h te linuxmutuel kilio fr On aurait pu aussi le d finir en type A et mettre l adresse ip correspond linuxmutuel kilio fr comme valeur Mais dans ce cas si la machine linuxmutuel kilio fr change d adresse IP on doit modifier la valeur de www pour la zone lea linux org De plus comme cette machine h berge environ 200 sites web diff rents il y aurait 200 fichiers de zones modifier avec la nouvelle IP Pour viter cela on d finit alors www lea linux org comme CNAME de linuxmutuel kilio fr IN A 80 245 32 131 Vous remarquerez que le 1er champ est vide Cela indique tout simplement que si l on demande lea linux org directement sans sp cifier d h te on aura l IP 80 245 32 131 Ce qui permet de taper dans votre navigateur_http lea linux org sans le ww
30. faut est donc usr local pgsql data postgresql conf Il est bien comment ce qui permet de faire une premi re configuration assez rapidement Voici quelques points prendre en consid ration rapidement e tcpip_socket doit tre vrai pour permettre une connexion TCP IP e max_ connections d termine le nombre maximum de clients accept s en m me temps e shared_buffers pr cise la m moire partag e utilis e par PostgreSQL e syslog est compris entre 0 et 2 avec 0 les traces sont envoy es sur la sortie standard avec 1 elles arrivent sur la sortie standard et dans syslog alors qu avec 2 elles ne vont que dans syslog Il existe beaucoup d autres options En dehors des listes de diffusion un document tr s important dans le cadre de la modification de ce fichier se trouve sur le site d Elein Mustain Il s agit tout simplement d un immense tableau r capitulant toutes les options pour le fichier de configuration leur quivalent en ligne de commande ou en requ te SQL si cet quivalent existe et leur explications Malheureusement aucune traduction de ce document n est encore disponible Informations suppl mentaires Vous pouvez aussi contacter l une des nombreuses listes de diffusion dont la liste fran aise Configurer les composants d un r seau 109 Installation d un serveur SAMBA gL ov Installation d un serveur SAMBA par Fred mis jour par Anne Comme moi vous avez une belle machine et vous aimeriez bien
31. https smtp via EchoPing cp etc config dist etc smokeping config Voici un exemple de configuration de fichier dans lequel on teste le ping ainsi que les services echo http https et smtp cat etc smokeping config Note that all IP addresses in this file are false to prevent some machine falling uder a deadly DOS storm because all users keep the same addresses in their config General owner Joe Random contact joe some place xyz mailhost smtp mailhost abc sendmail usr lib sendmail imgcache var www html smokeping data simg imgurl simg datadir var www html smokeping data piddir var run cgiurl http 127 0 0 1 cgi bin smokeping cgi smokemail etc smokeping smokemail specify this to get syslog logging syslogfacility local eK Database step 300 Le temps en secondes entre chaque test pings 20 Le nombre de tests lanc a chaque fois consfn mrhb steps total AVERAGE 0 5 1 1008 AVERAGE 0 5 12 4320 MIN 0 5 12 4320 MAX 0 5 12 4320 AVERAGE 0 5 144 720 MAX 0 5 144 720 MIN 0 5 144 720 RK Presentation template etc smokeping basepage html overview width 600 height 50 range 10h detail width 600 height 200 unison_tolerance 2 Last 3 Hours 3h Last 30 Hours 30h Last 10 Days 10d Last 400 Days 400d Probes FPing 182 Configurer les composants d un r se KL a binary usr local sbin
32. ifconfig Vous devrez voir une ligne avec 10 et une autre avec ethx V rifiez que et hx n a pas pour adresse 0 0 0 0 cela voudrait dire que cela n a pas march Bon apr s on automatise a en incluant cette commande dans un script de d marrage de la machine etc rc d localou rc local ete Pour les RedHat et Mandrake 1inuxconf permet a pour la Slackware diter etc rc d rc inetid et mettez l option yes pour DHCP DHCP yes Si vous avez des machines non linux sur votre r seau ll suffit de configurer les autres machines avec les m mes r gles de r seaux TCP IP Dans Win9x a ce trouve dans le panneau de configuration r seau ajouter le protocole microsoft TCP IP et r glez les valeurs comme il se doit e Pour partager des ressources avec ce type de machines diaboliques lisez la doc SAMBA sur ce site e Pour acc der au net depuis un de ces machines en partageant l acc s modem RTC modem c ble etc avec la machine Linux lisez le IP Masquerade HOWTO en anglais ou le mini IP Masquerade HOWTO en fran ais 4 Configurer les composants d un r se gL eo Se monter son propre gateway passerelle Se monter son propre gateway passerelle sous Linux par Herv J Lombaert 10 Janvier 2001 permettre a votre LinBox de partager une connexion internet Introduction Le but de ce document est de vous aider a monter un ordinateur afin qu il puisse partager une connexion internet avec plusieurs de vos ordinateu
33. il n est pas n cessaire de l inscrire Sscp iptables scipc jpqg home jop download iptables 100 FARRER RARKEARKEKEKEKEKEKEKEKER 27654 00 00 Vous pouvez galement faire des copies r cursives comme nous le ferions avec n importe quel autre utilitaire de copie Sscp r download scipc jpg home jpg dl img2 png 100 KARR RK RK RK RK KK KEK KKKAKAKKEE E 277 00 00 internals pl 100 FERRER OR OR HORREUR OR KEKEKKEKKEKKEKKEKKEKE 188 00 00 labels pl 100 RAR RK RK RK RRERERERAERERERERXEXE 271 00 00 images pl 100 FARRKKKKKKEKKEKERERERERERERERXEXE 624 00 00 portscanning css 100 RRR RRR RK KK RAKE KEKE KKEKER 891 00 00 index html 100 KAKEKREKREREREREREREREREKXEKREXE 56753 00 00 Le transfert de fichier s curis Tout comme on peut copier des fichiers distance par l interm diaire de scp il est galement possible de transf rer des fichiers par l interm diaire d un ftp s curis nomm SecureFTP Bien que l outil soit encore trivial pas de reprise de chargement en cas de coupure pas d indication du temps restant pas de telechargement ou de chargement r ccursif il vous permettra de faire toutes les manipulations basiques disponibles sur un ftp non s curis Commandes disponibles sur sftp cd path Change le r pertoire distant vers path lcd path Change le r pertoire local vers path chgrp grp path Change le groupe de fichier path par grp chmod mode path Change les permissions du fichier
34. iptables A INPUT p icmp j DENY s source Sp cifier une adresse source a matcher Exemple iptables A INPUT p tcp s 192 168 42 42 ACCEPT d destination Sp cifier une adresse destination Exemple iptables A FORWARD p tcp d 10 1 0 1 j ACCEPT i in interface Sp cifier une interface d entr e Exemple iptables A INPUT p icmp i eth0 j DENY o out interface Sp cifier une interface de sortie Exemple iptables A OUTPUT p icmp o eth0 j DENY f fragment Paquet fragment Exemple 60 Configurer les composants d un r se RL eo 2 Pr sentation iptables A INPUT p icmp E J DENY sport source port Sp cifier le port source ou une plage de ports fonctionne aussi en udp m multiport permet de sp cifier plusieurs ports a matcher Exemples iptables A INPUT p tcp sport 80 j ACCEPT iptables A INPUT p udp sport 80 j DROP iptables A OUTPUT p tcp m multiport sport 3128 21 1000 J DROP iptables A OUTPUT p tcp sport 1024 2042 j ACCEPT dport destination port Sp cifier le port destination ou une plage de ports fonctionne aussi en udp m multiport permet de sp cifier plusieurs ports a matcher Exemples iptables A INPUT p tep dport 110 J DENY iptables A INPUT p udp dport 110 j DENY iptables A INPUT p tcp m multiport dport 110 4242 119 J DROP iptables A INPUT p tcp sport 4925 4633 J ACCEPT tcp flags Sp
35. j LOG log prefix IPT IPTABLES A LOG_DROP j DROP Le texte IPT peut tre remplac par n importe quel texte de votre choix Vous pouvez de la m me fa on cr er plusieurs cibles DROP pour les logguer diff remment Partager la connexion Le mur pare feu peut aussi servir partager la connexion pour cela il faut faire deux choses 1 l autoriser au niveau du noyau suite du script echo 1 gt proc sys net ipv4 ip_forward 2 cacher les autres machines du r seau local derri re le mur pare feu suite du script IPTABLES A POSTROUTING t nat o EXTERNAL_IF j MASQUERADE Autoriser des connexions A partir de maintenant je vais vous donner des recettes de cuisine Tout d abord il faut savoir que vous pouvez au choix utiliser un num ro de port ou son nom dans le fichier etc services J utiliserais dans la mesure du possible cette derni re solution Je ne d taillerais pas tous les ports si vous souhaitez utiliser un port que j aurais omis consultez etc services Dans ce fichier vous constaterez que certains ports sont indiqu s comme utilisant le protocol tcp udp ou autre Pour autoriser ces protocols vous devrez changer le p tcp par p udp ou autre dans les exemples qui vont suivre Cas g n ral r seau local vers internet Pour la plupart des connexions tout ce que je vais dire ici s applique exceptions notables l irc dcc le ftp actif Pour autoriser les machines de votre r seau
36. ln fs usr local f prot f prot sh bin f prot ln fs usr local f prot f prot 8 man man8 chmod x usr local f prot f prot Mettez aussi jour les signatures antivirales de F PROT Faites le le plus souvent possible si vous voulez un bonne protection antivirale de vos mails T l chargez les deux zip de mise jour de signature de f prot et d zip les dans usr local f prot Avant d installer Qmail scanner nous devons installer Maildrop indispensable pour Qmail scanner tar zxvf maildrop 1 3 8 tar gz cd maildrop 1 3 8 configure make make install Passons maitenant Qmail scanner D gzipp D tarr Qmail scanner puis son r pertoire de source lancez configure avec les options suivantes admin user voir en dessous pour la valeur de user domain votre _ domaine Pour comprendre les valeurs mettre dans ces options prenons le cas o nous voulons que tous les mails d alerte de d tection virale soient envoy s admin lea linux org vous devez alors mettre admin pour le user et lea linux org pour le domaine notify all Pour pr venir l administrateur l envoyeur et la personne qui auraient d recevoir le mail qu un mail contamin a t intercept redundant yes Permettre le scan des fichiers zips etc Pour notre exemple nous lan ons donc configure admin admin domain lea linux org notify all redundant yes install Attention Vous risquez d avoir une erreur du type
37. nom d un serveur smtp ou une adresse ce nom doit alors tre le nom du serveur de mails sortant de l ISP correspondant cette connexion le login correspondant a cet ISP le mot de passe de ce login attention au propri taire de ce fichier il doit tre en clair telephone num ro de t l phone de l ISP rodent ni haine de caract re ce doit alors tre une chaine d initialisation de votre modem renvoyant OK vous pouvez avoir autant de cha ne d initialisation que vous le souhaitez Attention le parseur distingue les majuscules des minuscules Attention l ordre des diff rentes lignes de ce fichiers sont essentielles elles d termine la validit des diverses options c est dire si vous pr ciser deux fois la m me option seule la derni re valeurs est prise en compte letc ppp scripts initenx Maintenant il nous faut un script capable de lire un tel fichier et de g n rer les fichiers n cessaires la connexion Internet e etc ppp chat auto le script de num rotation de l isp e etc ppp peers auto le script de commande de pppd e etc ppp pap secrets le fichier contenant les mots de passe pour l isp e etc resolv conf le fichier charger de la r solution des noms association adresse IP lt gt nom de machine Voici un tel script appelez le etc ppp scripts initenx usr bin perl lecture du fichier de configuration etc ppp conf pour la cr ation des param tres de configurations
38. on va indiquer sous quel utilisateur le serveur FTP est lanc il ne s agit donc pas de mettre root Le user nobody et le group nogroup sont les param tres par d faut et mon avis ils sont tr s bien donc on n y touche pas car il faut que l utilisateur qui lance le serveur n ai pas trop de privil ges Ensuite il est question de l option PersistentPasswa dont l utilit ici est pas vidente expliquer tant donner que je n ai pas compris l explication sur le site de proftpd je l ai laiss off En fait si je me trompes pas en le mettant on cela permet proftpd de chercher lui m me dans etc passwd la validit des mots de passe mais c est v rifier Ensuite vient une option qui a mon avis est tr s importante pour les personnes qui comme moi veulent partager une petite connexion adsl il faut limiter le nombre de tentatives de logins l adsl a sature vite p MaxLoginAttempts 3 Ensuite nous avons une option pas du tout vitale mais sympa je trouve cela concerne la personnalisation de votre serveur tout du moins le message d accueil AccessGrantMsg Bienvenue u chez DUF Vous remarquerez le u c est un param tre qui recup re le user qui se connecte et le remplace en lieu et place de u Cette option indique le message de bienvenue quand l utilisateur a r ussi se connecter Pour ne pas donner d info pr cise sur le serveur je conseil de mettre on l option suivante DeferWelcome on Configure
39. ou d faut Linux les packages SAMBA je ne d crirai que la proc dure pour la Mandrake pour les autres distributions la proc dure est similaire Note l ensemble de la proc dure d installation d crite se d roule avec les droits de root donc faites attention ce que vous taperez Certaines parties de la proc dure ne n cessitent pas r ellement ces droits mais ce sera plus simple pour moi de d crire l ensemble de la proc dure avec ces droits ci Si le coeur vous en dit essayez vous m me de vous passer de ces droits linux vous pr viendra quand vous essayerez de les outrepasser Avant propos Pour que tout ceci puisse fonctionner il faut que tout votre r seau m me surtout les machines Win soit configur de mani re utiliser TCP IP comme protocole r seau SAMBA fonctionne en effet au dessus de TCP IP Pour ma part j ai d sactiv tous les autres protocoles sauf IPX SPX pour pouvoir jouer Warcraft des machines Win connect es mon r seau 4 machines 1 PII 350 configur en serveur SAMBA il peut fonctionner en dualboot Win Linux 2 P75 sous Linux l ments d une tude de cluster 1 P166 en dualboot Win Linux les ressources du serveur sont accessible au P166 sans aucun changement que le serveur soit sous Linux ou Win vu que j ai donn les m mes noms aux ressources sous Win et Linux Normalement ce ne doit pas tre la peine mais si ce que j cris ici ne fonctionne pas chez vous faites
40. permet de voir les messages report s par le noyau les modules etc 18 Configurer les composants d un r se L a Exploration de la configuration tr Exploration de la configuration r seau par Anne Ou lorsque votre pingouin se met communiquer avec le monde entier Avant propos Ce document se veut tre un document synth tique qui vous permettra de r pondre aux questions suivantes e Quelle est ma configuration r seau local et distant e Quels sont les services r seaux configur s sur ma machine e Quels sont les principaux outils de diagnostic r seau sur ma machine Attention la liste des commandes fournies n est pas exhaustive et plut t orient e sur des distributions Redhat Mandrake Quelques pr cisions sont toutefois apport es concernant Debian et Slackware pour les plus grosses diff rences merci Prae et ses connaissances Debian Ma configuration r seau Le hostname Le nom de machine ou hostname en bon fran ais est extr mement important et a des cons quences non seulement sur la configuration r seau mais aussi sur le fonctionnement ou dysfonctionnement du serveur X et donc de l interface graphique e afficher le hostname la commande hostname e modifier le hostname il suffit de modifier les fichiers suivants etc sysconfig network sur Redhat et Mandrake etc HOSTNAME sur slackware etc hostname sur Debian et etc hosts e utilisation du hostname avec X Window le fonctionnement du s
41. pour voir d j si pppd se lance et si oui quel est le message d erreur authentication failed mauvais mot de passe ou mauvais username Si la connexion se coupe sans de raison vraiment apparente esayez une vitesse de port s rie inf rieure Probl me fr quent Votre connexion passe mais impossible d aller sur un site Dans ce cas allez sous la console ou sous un terminal et essayez un ping sur un serveur connu ping www netscape com si a ne r pond pas essayez alors ping 205 188 247 66 si a r pond alors vous avez mal configur les serveurs DNS de votre fournisseur d acc s ouvrez le fichier etc resolv conf dans votre diteur de texte favori et ajoutez autant de lignes que de serveurs DNS de la forme nameserver 123 456 789 012 o 123 456 789 012 est l adresse IP du DNS Attention de bien avoir au d but de ce fichier la ligne search nom domaine avec nom domaine le nom de domaine de votre fournisseur par exemple free fr Si le ping sur 205 188 147 66 ne passe pas tapez dans une console la ligne ifconfig vous allez voir une ligne du style ppp0 xxxxxxxxxxxxxxxxx lt notez bien le ppp0 ou pppi etc inet adress yyy yyy yyy yyy lt notez cette adresse tapez alors route add default gw yyy yyy yyy yyy PpP0 Retentez le ping et a devrait passer Si lors du ifconfig vous n avez AUCUNE ligne pppx la connexion est mal configur e revoyez le tout 30 Configurer les compos
42. 0 1 tar gz tar zxvf echoping 5 0 1 tar gz cd echoping 5 0 1 configure with ssi usr include pour Openssl make su Password make install In s usr local bin echoping usr bin echoping Installation de SpeedyCGI SpeedyCGl dope la vitesse d ex cution de SmokePing 180 Configurer les composants d un r se ABL a wget http daemoninc com SpeedyCGI CGI SpeedyCGI 2 21 tar gz tar zxvf CGI SpeedyCGI 2 21 tar gz cd CGI SpeedyCGI 2 21 perl Makefile PL Optional mod_speedycgi support Mod_speedycgi increases performance under Apache by avoiding the fork exec overhead associated with each request under normal SpeedyCGI However it requires a working copy of apxs in your path Apache with mod_so support and additional Apache configuration Compile mod_speedycgi default no no Checking if your kit is complete Looks good Writing Makefile for src Writing Makefile for speedy_backend Writing Makefile for speedy Writing Makefile for CGI SpeedyCGI make su Password make install Installation de SmokePing Une fois toutes les d pendances install es il ne reste plus qu faire celle de SmokePing wget http people ee ethz ch oetiker webtools smokeping pub smokeping 1 20 tar gz tar zxvf smokeping 1 20 tar gz cd smokeping 1 20 su Password mkdir var www html smokeping data simg p In s var www html smokeping data simg var www html simg
43. 00 00 00 00 00 00 00 00 08 00 45 10 440 4E 0010 00 36 94 1d 40 00 40 06 a8 92 7f 00 00 01 7F 00 6 8 8 0020 00 01 87 20 00 17 e3 Se dc 57 e3 2d 4b Ba 80 18 4 K 0030 7f ff be 45 00 00 01 01 08 Oa 00 34 5c 4d 00 34 MEL 4M 4 0040 Sb 10 Od 00 Lees Le mot de passe est ici clairement exprim On peut lire bobo la derni re trame transmet un retour chariot Nota Notre tude ne se portant pas sur le service telnet nous ne rentrerons pas sur le d tail des transmissions et consid rons que ces quelques remarques suffisent pour notre tude De la m me mani re tout comme on vient de vous d rober votre mot de passe on peut r cup rer vos conversations vos fichiers La confidentialit est rompue la porte est ouverte l insertion non chalente de personnes non autoris es dans le syst me La solution propos e Afin de ne plus tre ouvert au monde entier nous avons la possibilit de chiffrer nos changes Pour ce faire nous allons installer un client ssh Openssh Client libre et gratuit Par la m me occasion vous pourrez installer le serveur afin que votre ordinateur puisse aussi tre contact par d autres utilisateurs vous permettant de d livrer des services s curis s Nous allons continuer notre tude dans le cadre de ce logiciel libre 4 vous d adapter a vos pr f rences par la suite sachant que le principal est ici transcrit Afin de mieux comprendre le comportement et l ut
44. 18 1 1 100mdk i586 perl Mysql 1 22_19 9mdk i586 Est ce correct O n Pr paration l libmysql12 2 MySQL client 3 perl Mysql HE AE HE E E HE AE EEE EEE EE EH HR EEE ETH FE HE E EEE EE HH FE E E E E HE H FE E AE AE E AE AE E aE FE E AE FE AE AE FE E AE FE E AE FE AE AE FE E AE FE AE AE E AE AE AE AE AE E AE EE EEE FE AE EH E AE FE FE FE FE FE FE HE E AE FE FE FE FE FE HE HE AE FE FE FE FE HERR FE FE FE FE FE EHH FE E E E E HE H HE AE HE E E AE FE FE FE FE FE FE HE EE FE FE FE FE FE HE HE AE FE FE ETH FE HE E FE FE FE FE FE FE FE E HH FE E E E E HE H 4 MySQL common FE E AE AE E AE AE E aE FE E AE FE E HE AE AE AE FE E AE FE E AE FE AE AE AE AE AE FE AE AE E AE AE AE AE AE E AE EEE 5 MySQL TE AE AE HEE E AE FE FE FE FE FE FE HE E AE FE FE FE FE FE HE HE AE FE AE THER REE EHH E E E E E HE H 040512 12 40 46 usr sbin mysqld Shutdown Complete service mysql start Lancement du serveur MySQL OK Sh Sh Sh SR SR En principe apr s l installation de mysql vous devriez disposer d un serveur MySQL op rationnel et en marche Pour le v rifier tapez ps ax grep mysql Vous devriez voir s afficher quelques lignes relatives autant de serveurs en attente de requ tes Si tel n est pas le cas tapez comme root safe _ mysql amp dans une fen tre texte Cette commande devrait d marrer le serveur MySQL Attention l installation par d faut utilise root comme super administrateur du serveur et le mot de passe root Faites donc un e
45. 254 clients simultan ment il faut recompiler apache et modifier dans les sources d apache la valeur max de clients simultan s Voir la documentation officielle d apache pour cela Listen 3000 Listen 12 34 56 78 Indique au serveur des ports ou des adresses o il doit couter pour des connexions EN PLUS de l adresse et port par d faut Voir l option VirtualHost plus loin BindAdress Vous pouvez ici inclure un h te virtuel en indiquant une adresse toutes les adresses ou un nom de domaine o le serveur va attendre des connexions Voir l aussi l option VirtualHost LoadModule xxxxxx mod libexec yyyyyy so AddModule zzzz c Support pour les modules DSO Si vous devez ajouter des modules a prendre en compte par exemple pour ceux qui installent PHP en module dynamique attention l ordre de chargement des modules qui a son importance car souvent un module d pend d un autre module Voir les documentations des modules que vous souhaitez ajouter ExtendedStatus on Indique si le serveur doit renvoyer des informations compl tes de status on ou des informations r duites off of f par d faut Laissez cette valeur par d faut sauf en cas de d veloppement et de d buggage 94 Configurer les composants d un r se L a Configuration d apache httpc Port 80 Port d coute du serveur par d faut Vous pouvez le changer si vous d sirez mais attention les clients cherchent normalement sur le port 80 User nobody Group nobo
46. DF 00 53 58 230477 pingu linuxeries org telnet gt 192 168 0 4 1497 S 607927502 607927502 0 ack 1074459361 win 5840 lt mss 1460 nop nop sackOK gt DF 00 53 58 230820 192 168 0 4 1497 gt pingu linuxeries org telnet ack 1 win 17520 DF 00 53 58 741012 pingu linuxeries org telnet gt 192 168 0 4 1497 1 13 12 ack 1 win 5840 DF tos 0x10 00 53 58 741608 192 168 0 4 1497 gt pingu linuxeries org telnet 1 7 6 ack 13 win 17508 DF tu tg 24 Configurer les composants d un r se L a Les principaux outils de diagnostic La commande ici nous permet de visualiser les paquets li s l activit telnet sur l interface r seau eth1 nmap nmapfe Il s agit d un scanner de ports utiliser par simple curiosit ou pour s assurer du niveau de s curit effectif sur sa machine Les options de cette commandes sont tr s nombreuses et je ne les d taillerai pas ici La syntaxe nmap lt options gt adresse_IP Exemple nmap sS O 192 168 0 3 Starting nmap V 2 54BETA31 www insecure org nmap Interesting ports on 192 168 0 3 The 1544 ports scanned but not shown below are in state closed Port State Service 21 tcp open ftp 53 tcp open domain 80 tcp open http 3306 tcp open mysql Remote operating system guess Linux Kernel 2 4 0 2 4 17 X86 Uptime 2 279 days since Fri Oct 4 16 24 45 2002 Nmap run completed 1 IP address 1 host up scanned in 4 seconds Le scan r alis ici permet de v rifier
47. LAN lt gt Voil Votre firewall est configur A vous de jouer sur les r gles afin d optimiser la s curit sur votre r seau local Configurer les composants d un r seau 57 IpTables par l exemple L a IpTables par l exemple Arnaud de Bermingham IpTables par l exemple Contact duracell chez apinc point orq r vision par Jice lt jice chez lea linux point org gt r vision par Fred lt fred chez lea linux point org gt Introduction Cet article pr sente de fa on pratique la mise en place d un firewall proxy sur une machine Linux tournant avec un noyau 2 4 Pour des informations plus th oriques sur les firewall proxies vous pouvez lire l article firewall Pr sentation d IpTables IpTables est une solution compl te de firewall noyau 2 4 rempla ant jpchains noyau 2 2 tournant sous le syst me GNU Linux IpTables permet de faire du firewalling stateful tats de la translation de port et d adresse du filtrage au niveau 2 et beaucoup d autres choses que nous n allons pas aborder comme le Mangle ou modification des paquets la vol e atchoum IpTables est fiable et dispose de tr s nombreuses options qui permettent de faire du filtrage tr s fin Licence de cet article Cette documentation est sous licence LDP Licence de NetFilter NetFilter est sous licence libre GPL i e gratuit et modifiable du moment que les modifications et am liorations apport es soit rendues publiques 1 Installatio
48. OR AT AEEA ee a PT D ATA 34 Configuration SEALEI EEES 1 ales AEAEE ET TO DE ne ia td EAA N EE A ONT AEN A T 34 Etablissement etcoup re dela ConnexXOi i senstencecsiccexessdestandecarabenateanbleddiadbicsaacesdabdepacddead snd aE ENAA E Et end een Me Des 35 Connexion Internet multi comptes Partie 2 Configuration de la messagerie 36 Coulon sendmail Stict eisini aaan aaas eain K Di e enaA iea Sea a aaie eai a atinda Manet 36 MRS 10 20 ia E E E E E op nits nd i E S iif ae ld ddd id AAA ETT N A AEA S AEO E A T O 38 mee 39 bead 40 P 40 AU 40 di 41 Sopr de comieron deconne iON 2 cacao itatesascnedandnanias hese ieda tuba bie wikia KASE A SONA ESN AEETIS 41 Snae e PR A T AE A T A AEE AN E RR E EEE TA A EA N E NATT 42 Connexion Internet multi comptes Partie 4 connexion multi comptes isa 43 id Conor ted La ecco Ea E E EN A S A E N IA E Meret T IIE O T A N T 43 Le OTIC SE BIN sce to a sas eet aA Ee ANA E eE han eie EA ai en OAS AERAN Sad een 43 Ea AOA Ce et I EELA A O N nm train A RE E EE T A E N E TE 43 VEA EE AAE SASAE A A T A AN EA E E T E TE EA L na N O 44 Wi fichier etopppip up paine plus Complexe sce sic cacessscissnesindnaaseeeniaased anid radiiceasbiancaddiadaea RSet Aika ai kaea ead 46 Un dig tier seto Dopp GOW iienaa eaaa ieaiaia Ea eie tabs beacuse ESNE SRSA E AeA ss ep ele 46 YO Dy SC MG DIDO EA AT ATN A EA A ET E E EAE T N 47 D ALAE 1E1812 e ELELU E MATAA EN A A E EEA EE TE N et 48
49. Perl Et n oubliez pas les mots de passes sont stock s en clair dans les fichiers site du r pertoire profxpv3 et lorsque vous vous connectez sur un serveur le mot de passe est aussi affich en clair l cran alors soyez prudent Pour finir un lien vers la page de l auteur _http duncanthrax net profxp 142 Configurer les composants d un r se L a DNS BIND 1 re partie serveur cacl DNS BIND 1 re partie serveur cache DNS Par Serge Pour cette rubrique des connaissances sur TCP IP sont n cessaires ainsi qu un minimum de savoir faire sur la configuration des param tres TCP IP d une machine Linux Unix bien que j essaye d expliquer au maximum toutes les tapes Introduction Qu est ce donc qu un serveur DNS C est tout simplement ce qui sert convertir des adresses noms en adresses IP Par exemple quand vous tapez dans votre navigateur pr f r l adresse http Nea linux org celui ci va tout d abord faire une requ te un serveur DNS g n ralement le serveur DNS que vous avez configur pour votre connexion l Internet donc les serveurs DNS de votre fournisseur d acc s en lui demandant C est quoi l adresse IP de lea linux org Et le serveur DNS lui donne l adresse IP et le navigateur va alors se connecter cette adresse IP et afficher le site Ceci est valable pour toute autre application qui manipule des noms DNS ftp telnet mail Dans quel cas installer un serveur DNS qui
50. SquirrelMail Introduction Vous souhaitez installer votre propre serveur de mail au sein de votre entreprise quip d une interface web permettant vos collaborateurs d acc der et de g rer leur courrier lectronique distance C est ce que rend possible SquirrelMail Rapide et stable facile installer extensible par plugins volont il vous permettra de cr er votre propre webmail Un webmail est une interface web permettant la lecture de votre courrier lectronique Vous avez certainement d j utilis ce type d interface si votre adresse lectronique est h berg e par La Poste par exemple L int r t Pouvoir acc der de n importe o vos messages chez vous au travail dans un cybercaf SquirrelMail n est pas le seul webmail disponible IMP bas sur le projet Horde est une autre possibilit tr s puissante utilis e entre autres pour le webmail de Free Mais SquirrelMail est beaucoup plus simple installer configurer et tendre que IMP Il est de plus soutenu par une large communaut francophone L objet de cet article et d expliquer la proc dure d installation et de configuration d une interface graphique de messagerie bas e sur SquirrelMail sur un serveur Linux Mandrake 9 2 au sein d un r seau local d entreprise Le hostname du serveur estmail exemple net son adresse IP 192 168 0 1 Pour configurer correctement ce qui suit il faut tre connect au serveur en tant qu administrateur root Cet
51. Sw di6h IN A 28 9 0 107 C ROOT SERVERS NET S5w6d16h IN A 92 33 4 12 D ROOT SERVERS NET Sw6d1l6h IN A 28 8 10 90 E ROOT SERVERS NET Sw di6h IN A 92 203 230 10 F ROOT SERVERS NET S5w 6di6h IN A 92 5 5 241 G ROOT SERVERS NET Sw di6h IN A 92 112 36 4 H ROOT SERVERS NET 5w6d16h IN A 28 63 2 53 I ROOT SERVERS NET Sw 6di6h IN A 92 36 148 17 J ROOT SERVERS NET Sw di6h IN A 98 41 0 10 K ROOT SERVERS NET Sw di6h IN A 93 0 14 129 L ROOT SERVERS NET Sw 6di6h IN A 98 32 64 12 M ROOT SERVERS NET Sw di6h IN A 202 12 27 33 Comme d crit pr c demment ce fichier contient la liste des serveurs DNS root racine var named zone 127 0 0 TTL 3D IN SOA nom_machine votre_domaine votre_TLD 1 Serial 8H Refresh 2H Retry 1W Expire 1D Minimum TTL nonN achine votre domaine votre TLD 1 PTR localhost Remplacez bien sur nom_machine votre_domaine votre_TLD par les valeurs r lles de votre machine par exemple azizlinux icebox org Les apr s les noms de domaines ne sont pas une erreur et doivent tre pr sents J insiste bien sur ce fait car l erreur typique du d butant et de ne pas u mettre le j avoue que ca m arrive encore parfois Configuration de l utilitaire de controle rndc Si vous regardez a nouveau le fichier named conf que l on a fait pr c dement vous avez vu deux sections appel es controls et key Ces deux directives permettent le controlle de votre serveur de nom via le pro
52. Un pont est un quipement r seau qui permet de relier deux sous r seaux de mani re totalement transparente Pour ceux qui connaissent un peu le mod le OSI il effectue une interconnexion au niveau 2 c est dire qu il travaille au niveau des trames En gros un pont coute toute l activit de chaque sous r seau auquel il est connect les stocke en m moire et les redirige vers le ou les sous r seaux concern s Il n a pas besoin d adresse MAC donc pas besoin d adresse IP non plus pour fonctionner et est donc totalement ind tectable Sch matiquement on peut repr senter un pont reliant deux r seaux de cette facon le pont est la machine servant de pont eth0 et eth1 ses deux cartes r seau R seau 1 ethO Pont ethl R seau 2 Un pont filtrant lui est un pont comme d crit plus haut mais va en plus appliquer des r gles de filtrage firewalling sur les trames qui vont le traverser On vas donc obtenir un firewall qui ne poss de pas d adresse r seau donc ind tectable Difficile pour un pirate d attaquer une machine qui n est pas visible sur un r seau et qui ne permet aucune connexion r seau car elle n as pas d adresse r seau Un pont filtrant a aussi un autre avantage il s interconnecte de fa on totalement transparente sur votre r seau vous n avez absolument pas besoin de modifier la topologie de votre r seau routage passerelle pour l ajouter Il se comporte en gros comme un simple ca
53. Va te faire peur sur security focus 122 Configurer les composants d un r se amp L a Introduction proftf Introduction proftpd par DuF Un exemple de configuration de proftpd Introduction Tout d abord si je r dige cet article c est tout simplement que j ai moi m me eu des difficult s me servir de ce logiciel et j ai eu norm ment de probl mes pour trouver une documentation pr cise claire et en fran ais pour ce logiciel J en cris donc une qui m me si elle n est pas aussi claire ou pr cise que voulue a au moins le m rite d tre en fran ais soyez conscient que ce n est pas si mal Je tiens aussi pr ciser que dans cet article je vais parler de proftpd et de sa configuration seulement par rapport aux besoins que j ai eu un moment donn qui taient avant tout li s une utilisation personnelle et non professionnelle afin de remplacer wu ftpa qui est par d faut avec la plupart des distributions si ce n est tout les distributions c est proftpd avec la Mandrake 8 2 que j avais Donc pour moi le besoin par rapport un serveur FTP c tait de pouvoir partager des ressources que j ai sur mon ordinateur et qui sont sur une partition FAT32 ce fut un besoin un instant T mais aussi de donner la possibilit un utilisateur de pouvoir crire dans un endroit bien pr cis restreint en essayant de suivre quelques r gles de s curit de base qui sont vraiment de base Je reprends cette do
54. a fonctionn correctement vous pouvez installer un client Gabber Gaim Psi D autres fichiers contiennent des informations importantes e var run jabber jabber pid contient le num ro de processus affect a jabber lorsqu il a d marr e var log jabber error log contient la liste des erreurs e var log jabber record log contient la liste des personnes qui se sont connect es a votre serveur leur adresse IP le client qu ils utilisent et la dur e de leur connexion e var lib jabber contient un r pertoire correspondant au nom hostname de votre serveur dans lequel seront stock s les profils utilisateurs Ce sont des fichiers XML contenant notamment en clair le mot de passe de connexion et les contacts de l utilisateurs e usr share doc jabber 1 4 2a est un r pertoire contenant une documentation succincte Configurer les composants d un r seau 193 Debugage L a En cas de probl me ou pour obtenir plus de renseignement e la communaut francophone des utilisateurs de Jabber http www jabbertr org e La FAQ utilisateur e La FAQ administrateur e Enfin apr s avoir consult les archives pour v rifier que votre question et sa r ponse ne figure pas d j quelquepart la mailing list administrateur http mailman jabber org listinfo jadmin 194 Configurer les composants d un r se L a SquirrelMail SquirrelMail par Laurent DUBETTIER GRENIER Installer une interface graphique de messagerie
55. anon_mkdir_write_enable NO cr ation de r pertoire pour les anonymes interdit anon_other_write_enable NO criture de fichier pour anonyme interdit chroot_local_user YES enferme l utilisateur dans le r pertoire ftp chroot per_source 5 nombre de connexions maximales autoris es par une m me adresse IP no_access 192 168 1 3 interdiction de se connecter au ftp partir de cette adresse guest_enable YES Rend possible la connexion d utilisateurs virtuels guest_username virtual souhaitable vu que la connexion anonyme est refus e pasv_min_port 30000 cette option permet de limiter l acc s des ports pasv_max_port 30999 disponibles utile derri re un firewall xferlog_enable YES enregistrement des logs simple et court n est ce pas Mais les options sont bien plus nombreuses a vous de les d couvir 134 Configurer les composants d un r se RL a vsFTPD serveur F1 vsFTPd m rite vraiment d tre reconnu sa juste valeur alors essayez le vous n en reviendrez pas vsFTPd le site minimaliste T l chargement Configurer les composants d un r seau 135 PureFTPd gL a PureFTPd par Laurent DUBETTIER GRENIER Installer un serveur FTP bas sur PureFTPd Introduction Avec l av nement du P2P peer to peer et de BitTorrent les serveurs FTP semblent un peu moins la mode N anmoins ils rendent encore et pour longtemps de fiers services Les principales distributions sont par exemples disponibles en t l chargement
56. au param tre ipparam du fichier etc ppp peers script Configuration du DNS D but ceci n cessite que l option usepeerdns soit activ e dans etc ppp peers script He 40 Configurer les composants d un r se L eo ip down dans ce cas DNS1 et DNS2 re oivent les adresse des deux dns du provider sinon mettez ici vos deux dns DNS1 123 123 123 123 DNS2 213 213 213 213 echo fichier g n r par ip up gt etc resolv conf echo search org gt gt etc resolv conf echo nameserver DNS1 gt gt etc resolv conf echo nameserver DNS2 gt gt etc resolv conf Configuration du DNS Fin r cup ration des mails usr bin fetchmail et envoie des mails en attente usr sbin sendmail q on r cup re automatiquement les mails toutes les 11 minutes 11 minutes car netcourrier n aime pas qu on consulte les comptes pop trop souvent usr bin fetchmail daemon 660 le plus de la semaine mettre son pc l heure ntpdate ntp sop inria fr on est connect on le dit export DISPLAY 0 opt apps bin Xdialog title Information center infobox La connexion est maintenant active 0 0 3000 Ce script n appelle pas de commentaire particulier sinon que pour que le PC puisse tre mis l heure il faut que le paquetage xntp3 soit install ll faut savoir avant de mettre n importe quoi dans ce fichier que celui ci est toujours ex cut avec les droits de root donc prudenc
57. authentification offre au minimum deux avantages e Les acc s MySQL via phpMyAdmin sont diff renci s suivant les utilisateurs et suivent exactement les r gles d autorisation d acc s MySQL e Le mot de passe administrateur n a plus figurer dans le fichier de configuration de phpMyAdmin Il suffit de cr er dans la table user de MySQL un utilisateur nomm par exemple phpMyAdmin dont les droits sont strictement limit s la consultation des tables et donc de la table user Il suffit de mettre un seul Y et 13 N dans la fameuse requ te de cr ation d un utilisateur N oubliez pas de relancer mysqladmin u root p flush privileges hein Pour le fun et c est une excursion vers l tude de la configuration avanc e des droits d acc s MySQL on peut m me limiter encore plus les droits de cet utilisateur sp cial Il suffit de ne lui donner aucun droit dans la table user 14 fois N et de lui cr er une ligne dans la table db Cherchez bien la Configurer les composants d un r seau 105 7 Le petit br viaire amp L p syntaxe est extr mement proche de celle qui ajoute un utilisateur dans user il suffit de pr ciser cette fois que ces droits s applique sp cifiquement la base de donn es mysql L utilisateur phpMyAdmin aura donc uniquement le droit de lire le contenu des tables user db etc qui constituent la base mysql Vous pouvez m me aller plus loin dans le raisonnement et limiter les droits strictement la tabl
58. avanc es sur Linux et son utilisation commandes shell en ligne compilation etc et des notions sur les r seaux TCP IP et de l internet Cet article est une compilation d articles trouv s sur l internet en partie l article qmail sur toolinux d HOWTO et de mon exp rience professionelle de Qmail R cup ration des sources et compilation T l charger les sources R cup rez tout d abord les sources de ces diff rents programmes attention v rifiez les liens et versions je vous donne les versions jour l heure o j cris cet article c est dire en avril 2002 _gmail 1 03 _autorespond 2 0 2 daemontools 0 76 _ucspi tcp 0 88 _ezmim 0 53 _ezmim idx _maildrop 1 3 8 _qmail scanner 1 10 Vpopmail 5 2 F PROT version linux gratuite pour un usage priv prenez aussi les mises jours des d finitions de virus sur la page download du site Qmailadmin Oui je sais ca fait beaucoup de chose r cup rer j esp re que vous avez un bon modem Compiler Qmail et l installer Bon on va commencer par installer Qmail lui m me D tarrez d gzippez les sources de qmail tar zxvf qmail 1 0 3 tar gz Nous allons devoir patcher l g rement les sources de Qmail pour notre besoin Entrez dans le r pertoire des sources de Qmail et ditez le fichier Makefile et remplacez La ligne 1486 auto_split oparauto_split o env a La ligne 1491 substdio a error a str a fs a auto_qmai
59. c est a dire votre adresse r seau avec les identifiants machines annn V rifiez que plus bas dans ce fichier il y a bien DHCP no Le reste du fichier est OK Toujours pour la Slackware pour charger votre module automatiquement ditez le fichier etc rc d rc modules decommentez la ligne c est dire enlever le en d but de ligne qui correspond au module de votre carte r seau par exemple pour une pci ne2000 sbin modprobe ne2k pci Configuration par client DHCP Bon maintenant on va voir comment configurer sa carte automatiquement par client DHCP c est a dire que c est un serveur DHCP soit sur votre r seau local d entreprise soit votre provider qui va vous attribuer un adresse IP un masque une gateway et m me plus si affinit s Bon pour cela il faut quand m me avoir configur le module de la carte le driver comme vu pr c demment Maintenant il reste dire au d marrage de Linux que cette carte va tre configur e par un serveur DHCP pour cela il faut un client DHCP je traite ici de ahcpa en fait il fait serveur et client a la fois Il existe aussi pump et dhclient mais bon pour des go ts personnels que beaucoup partagent je traite ici de dhcpd R cup rez le donc allez sur freshmeat par exemple ou_rpmfind Pour les kernels 2 2 X prenez une version au moins gale la 1 3 x ll suffit alors de taper une ligne de commande du type dhcpd d ethX Puis v rifier que votre carte bien une adresse ip par
60. choisi au paragraphe Configurer mysql Configurer les composants d un r seau 167 S curit amp L d S curit V rifier que les r pertoires config de chaque module Horde sont inaccessibles un navigateur web Si ce n est pas le cas revoir la configuration de Apache Une fois l installation termin e lancer le script cd var www html mail horde sh scripts set_perms sh R pondre apache pour le groupe et toutes les autres questions par oui y Ce script va changer le propri taire le groupe et les autorisations de chaque fichier l int rieur du r pertoire horde Configurer Postfix En r seau local lorsque machin mail example com envoie un mail a truc mail example com l adresse de r ponse est machin example com Postfix ne peut envoyer la r ponse Pour que cela fonctionne correctement il faut rajouter ou d commenter les lignes suivantes du fichiers etc postfix main cf myorigin mydomain mydestination myhostname localhost mydomain mydomain Conclusion Si vous avez suivi ce document jusqu ce point vous disposez d une interface web compl te de messagerie avec la possibilit de changer de mot de passe en ligne et avec un gestionnaire d adresse de calendrier m mos et t ches Toutes les r ponses a vos questions en tant qu utilisateur de cette interface sont probablement dans la_FAQ utilisateur de horde En tant qu administrateur il vous est maintenant possible de configurer plus fin
61. commande Les donn es de configuration sont analys es comme ci dessous 1 Les options de la ligne de commande 2 Le fichier sp cifique de l utilisateur 3 Le fichier par d faut N importe quelle valeur de configuration est uniquement chang e la premi re fois qu elle est mise Ainsi les d finitions sp cifique d h te doivent tre au d but du fichier de configuration et les options par d faut la fin Options par d faut Pour que les options soient prises en compte il vous faut enlever le di se pr c dent la ligne Host permet de sp cifier que la configuration qui suit concerne un ou plusieurs h tes pr cis Il est possible d employer des caract res joker tels que ou Host Specifie si la connexion l agent d authentification doit tre renvoy vers la machine distante ForwardAgent no Autorise ou non la redirection du serveur graphique ForwardX11 no Autorise la m thode d authentification par Rhosts Peu s r RhostsAuthentication no Autorise la m thode d authentification par Rhosts sur du RSA Ne fonctionne que dans la version premi re du protocole et n cessite un setuid root De pr f rence ne pas utiliser RhostsRSAAuthentication no M thode d authentification par RSA ne fonctionne qu avec la premi re version du protocole Il faut que le fichier identity existe RSAAuthentication yes Autorise la connexion par mot de passe comme on pouvait la trouver da
62. comme moi avant de m crire R cup ration des packages SAMBA Si vous avez une distribution d cente tout le n c ssaire est fourni mais pas n cessairement install Comment le v rifier Si votre distribution de Linux utilise RPM c est tr s simple root etoile noire home rpm qa grep samba samba 2 0 5a 3mdk Si vous obtenez quelque chose de similaire c est que tout est d j pr s passez la section suivante Sinon il faut installer les packages depuis le CD de votre distribution ou tout autre support contenant votre distribution root etoile noire home mount mnt cdrom root etoile noire home find mnt cdrom name samba rpm mnt cdrom Mandrake RPMS samba 2 0 5a 3mdk 1i586 rpm root etoile noire home cd mnt cdrom Mandrake RPMS root etoile noire RPMS rpm i samba 2 0 5a 3mdk 1i586 rpm Normalement si vous avez fait ce qui est crit et si je ne me suis pas tromp vous ne devez avoir aucun message d erreur peut tre quelques avertissements mais rien d autre Si rpm vous signale que des d pendances manquent a vous de les r soudre en installant les roms qui manquent Remarque Si vous avez perdu le CD de votre distribution ou si vous voulez installez la toute derni re version allez e sur le site SAMBA pour les dernier sources e sur le site RUFUS pour les derniers RPMS Lancement test de SAMBA Maintenant que SAMBA est install on va v rifier que tout va bi
63. concrets Le serveur DNS mettre en route doit donc en plus de servir des noms de domaines de l internet les noms des ordinateurs du r seau Note de Jic si vous disposez de seulement 2 ou 3 ordinateurs sur votre r seau local il est plus facile de simplement entrer les coordonn es de ces ordinateurs dans le fichier etc hosts de chaque ordinateur c windows hosts sous windows Le fichier de configuration principal est le fichier etc bind named conf voici de quoi il doit avoir l air This is the primary configuration file for the BIND DNS server named Please read usr share doc bind README Debian for information on the structure of BIND configuration files in Debian for BIND versions 8 2 1 and later BEFORE you customize this configuration file options directory var cache bind If there is a firewall between you and nameservers you want to talk to you might need to uncomment the query source Configurer les composants d un r seau 9 Configurations principales directive below Previous versions of BIND always asked questions using port 53 but BIND 8 1 and later use an unprivileged port by default query source address port 53 If your ISP provided one or more IP addresses for stable nameservers you probably want to use them as forwarders Uncomment the following block and insert the addresses replacing the all 0 s placeholder forwarders 7 0 0
64. crire sur des partitions FAT32 et donc que vous les montez en lecture criture vous seriez emb t lors de l acc s par FTP car tout le monde pourrait crire supprimer cr er faire ce qu il veut en somme sur ces partitions ce que pas grand monde souhaite Donc gr ce au contexte de configuration lt Limit gt des commandes vous emp chez que l on puisse toucher vos donn es autrement qu en lecture ce qui est int r ssant pour ceux qui ont encore un multiboot Maintenant vous vous dites mais j aimerai quand m me qu une personne puisse acc der en criture chez moi m me sur une partition ext2 mais vous dites que maintenant ce n est plus possible car on ne peut plus passer les commandes comme MKD STOR DELE Et bien trompez vous nous allons cr er un VirtualHost terme que certains doivent conna tre car c est le m me principe pour le serveur Web Apache Contexte de configuration VirtualHost Maintenant on sait comment marche le fichier donc dans lt VirtualHost gt le principe va tre le m me que pour Global etc On va d finir des options l int rieur du_contexte de configuration lt VirtualHost gt Premi rement il faut savoir que lt VirtualHost gt la base est pr vu pour un serveur par exemple qui pourra tre accessible d un c t par des personnes s y connectant depuis internet et d autres qui s y connecteront depuis le r seau local et l on souhaite que ceux qui s y connectent depuis internet n aient pas acc
65. d crire chaque tape bin sh script etc firewall sh Firewall d exemple a but p dagogique Arnaud de Bermingham duracell apinc org Activation du forwarding C est pas pour faire joli on aura des r gles de forward et il faut bien que les paquets traversent la machine donc on met ce fichier 1 echo 1 gt proc sys net ipv4 ip_forward Alors la on va appliquer quelques astuces pour emp cher les attaques de type spoofing et bloquer les r ponses ICMP du firewall comme a c est tr s propre Attention le fait de bloquer le trafic ICMP sur le firewall bloque les pings Je veux pas de spoofing if e proc sys net ipv4 conf all rp_filter then for filtre in proc sys net ipv4 conf rp_filter do echo 1 gt filtre done fi pas de icmp echo 1 gt proc sys net ipv4 icmp_echo_ignore_all echo 1 gt proc sys net ipv4 icmp_echo_ignore_broadcasts On va utiliser iptables Si on l a compil en module dans le kernel il faut charger le module ip tables modprobe ip_ tables on va charger quelques modules suppl mentaires pour g rer la translation d adresse l IRC et le FTP Tu me fait 4 pompes Chef oui chef modprobe ip_nat_ftp modprobe ip_nat_irc modprobe iptable_filter modprobe iptable_nat Pour faire bien on va vider toutes les r gles avant d appliquer les nouvelles r gles de firewall iptables F iptables X On va rajouter 2 nouvelles chaines Ceci permettra d ajo
66. d administration Et voil Maintenant vous pouvez surfer tranquille ou presque D apr s ses auteurs SmoothWall n a pas de failles de s curit connues 70 Configurer les composants d un r se SSh la s curisation par le chiffr KL a SSh la s curisation par le chiffrement par Jean philippe Gaulier Licence du document FDL http Awww gnu org Pr ambule Il y a aujourd hui deux possibilit s de travail en local local work ou distance remote work Ce dernier est permis par l utilisation du r seau qu il soit local LAN ou r ellement loign comme par Internet WAN De nombreux outils ont t fournis pour utiliser la capacit du r seau Echanger copier utiliser des shells distance Les noms de ces outils sont respectivement FTP rcp telnet etc Bien que ces outils utilis s pendant des ann es et m me encore aujourd hui dans certaines entreprises soient tr s pratiques ils comportent une faiblesse importante Leurs transactions sont transmises en clair via le r seau De ce fait l informatique devenant ouvert un grand nombre n importe quelle personne mal intentionn e peut tre en mesure d observer ce que vous fa tes allant m me jusqu subtiliser vos donn es personnelles et mots de passe Le probl me par la pratique Pour pouvoir appuyer cette notion de non confidentialit nous allons regarder ce qui se passe lors de l tablissement d une connexion d une session telnet Le logic
67. d apache Pour chaque directive il est sp cifi si elle peut tre utilis dans un contexte de VirtualHost ou pas Voila donc pour les principales directives utilis es dans httpd conf D autre directives existent voir la doc officielle et les modules charg s par apache ajoutent eux aussi des directives sp cifiques voir la documentation du module ajout 98 Configurer les composants d un r se L a Protection d un serveur Apache PHP Protection d un serveur Apache PHP MySQL Jean Marc LICHTLE Protection d un serveur Apache PHP MySQL contre les visites non souhait es 1 Objectif de ce document L objectif est de d crire comment prot ger un serveur constitu de la trilogie Apache PHP MySQL des visites inopportunes La description est relative une installation LINUX plus sp cifiquement la version 8 0 de MANDRAKE Exemple de probl me de s curit pos vous avez install phpMyAdmin Il est souhaitable d interdire qu un visiteur non autoris acc de ce script ce qui lui donnerait des droits dangereux sur toutes les bases de donn es install es I n entre pas dans les vues de l auteur de transformer le lecteur en sp cialiste de la s curit informatique Ce document veut tre e Un pied l trier pour tout utilisateur qui voudrait tudier la question de la s curit d un serveur Web Apache PHP MySQL e La description du minimum de pr cautions mettre en place sur un serveur d entreprise ne co
68. de chaque utilisateur pour le domaine principal du serveur de mail enable roaming users y Permet une authentification POP before SMTP pour activer le relaying Explication sur cette option Vous avez s rement entendu parler du relaying pour les serveurs mails l open relay etc Pour r sumer ce probl me normalement un serveur de mail comme la plupart des serveurs de mails des FAI interdisent aux utilisateurs d envoyer des mails si l IP de l utilisateur n est pas une IP du m me r seau que le serveur de mail Par exemple les serveurs de mails wanadoo refusent que vous envoyiez des mails si vous n avez pas une IP wanadoo c a d si vous ne vous etes pas connect l internet via leur propre service cela pour des raisons de s curit de lutte anti spam de charge serveur et aussi conomique La plupart des soci t s ayant leur propre serveur de mail font de m me Si vous ne faites pas a votre serveur est consid r comme un open relay ce qui n est pas bien du tout je vais pas expliquer pourquoi ici ca prendrait trop de temps Mais se pose alors un probl me vous tes une grosse soci t avec 5 000 collaborateurs Vos collaborateurs voyagent beaucoup et ont besoin d utiliser le serveur de mail de la soci t Comme ils sont en d placement l ext rieur de la soci t ils n ont pas d IP de la soci t ils sont connect s via un FAI quelquonque et le serveur de mail n autorise pas le relaying c est
69. de xinetd vous fourniront les m mes informations Voil donc les attributs que vous devrez utiliser Attribut Don O socket type type de socket utilis pour le service dgram s il utilise le protocole UDP st ream s il utilise le protocole TCP consulter le fichier etc services pour avoir l information laser identit sous laquelle le service sera lanc server chemin et nom du serveur wait D finit le comportement du service dans le traitement des threads yes pour un service mono thread une connexion simultan e par service et une seule no pour un service multithread possibilit d avoir plusieurs connexions simultan es au service protocol Protocole utilis par le service Si rien n est pr cis c est le protocole sp cifi dans le fichier etc services qui sera utilis ro rpc_version z e concerne que les services bas s sur les RPC exemple NFS rpc_numbe Port associ au service La encore s il n est pas pr cis c est le port sp cifi pour le service dans le fichier etc services Affiner les logs avec xinetd Une des fonctionnalit s de xinetd est de permettre d affiner ce que vous voulez loguer et dans quel s fichier s vous voulez le loguer Configurer les composants d un r seau 83 Affiner les logs avec xinetd L a Localisation des logs C est l attribut log_type qui va donner cette localisation Il peut prendre 2 valeurs e SYSLOG syslog facility syslog level les logs
70. du transfert on peut avoir des estimations mais c est tout on sait juste lorsque cela commence et lorsque cela fini II existe plusieurs logiciels je ne vais parler que d un seul profxp car en fait c est le seul qui ait march chez moi Par contre il est en mode texte mais une fois habitu a va tr s tr s bien Installation Alors l installation est tr s simple Il faut d abord r cup rer le tarball profxp v3 pre1 linux glibc tar gz c est la derni re version au moment o j ecris ces lignes sur le site http duncanthrax net profxp Vous pouvez t l charger aussi les sources mais cela n est pas du tout utile pour faire marcher le programme c est en perl ce n est pas trop compliqu mais pour pouvoir vous servir du programme perl il vous faudra r cup rer des modules non inclus lire le README fourni avec Pour installer et lancer le programme il suffit de faire un tar zxvf profxp v3 prel linux glibc tar gz cd profxpv3 profxp ll est possible que le nom du r pertoire et ou le nom de l ex cutable ne soit pas tout fait le m me cela n a aucune importance Utilisation Bon et bien premi re chose faire c est de modifier les droits du r pertoire profxpv3 car il va contenir les fichiers sites que vous allez enregistrer Par exemple votre copain Robert vous a ouvert un compte avec adresse IP port login et mot de passe et comme vous y allez tous les jours vous vous dites qu il serait bienvenue de pouvoir
71. enregistrement mais d une mani re g n rale on d fini ici un ttl qui vaut pour tous les enregistrements Enregistrement de la zone Tout les enregistrements d une zone suivent cette syntaxe h te ou_wildcard ttl classe type priorit si besoin valeur Voici les explications de ces champs puis en dessous quelques exemples pour mieux comprendre Par d faut nous n utilisons pas de ttl pour les enregistrements voir la remarque au dessus pour le ttl dans l en t te de zone H te ou wildcard indique si on d fini une machine ou un ensemble de machine Classe type de classe a comme valeur IN pour l Internet Nous ne d taillerons pas ce champ vous utiliserez toujours la classe IN pour vos besoins Type Indique quel type d enregistrement nous sommes en train de d finir Les types les plus utilis s sont A pour une adresse CNAME pour un alias de nom NS pour un serveur de nom MX pour un serveur de Mail TXT pour des commentaires Priorit Si le type besoin d une priorit nous l indiquons ici Valeur la valeur ou la donn e de l enregistrement que nous d finissons D taillons alors les exemples de notre zone pour mieux comprendre IN NS ns1i kilio com IN NS ns2 kilio com Nous indiquons ici que les deux serveurs DNS type NS de la zone wildcard lea linux org sont ns1 kilio com et ns2 kilio com IN MX 50 ns1 kilio net IN MX 10 nice kilio net Nous indiquons ici que les deux serveurs de Mail type MX
72. enregistrer les informations de connexion pour ne pas avoir les retaper chaque fois Et bien cela est possible via une commande mais les informations de connexion chez votre copain Robert vont tre enregistr es en clair dans un simple fichier texte site Alors je vous conseil donc de faire un chmod R 700 profxpv3 bon maintenant l utilisation du programme en lui m me Pour le lancer il suffit donc de se mettre dans le r pertoire o vous l avez mis et de faire un profxp ou profxpv3 suivant le nom qu il a On arrive sur un bel cran texte comme le suivant a ES Ri ls iy 0 Kady ns Cals E ils Ea eases apes chs eet profxp v3 0 the final rewrite c duncanthrax aka Tom Kistner lt tm duncanthrax net gt D a Pies nts ale al i as al ls a al i as sea haa anes casa eas pan oyna ios ats eas aia A asia acacia scsi Je vous rassure il y a de la couleur mais je l ai pas mise l L utilisation est tr s simple et surtout lors de la premi re utilisation lisez bien tout ce qui est marqu Lors du premier lancement vous avez un cran qui correspond au suivant Welcome It looks like this is your first time starting profxp have some very helpful hints for you 1 READ THE DOCS this is a pretty hardcore program 2 start commands with CAPS to send them RAW e g Site who 3 profxp uses quoteless command lines DO NOT USE QUOTES FOR PATHS 4 get familiar with
73. et restera non payant Il permet donc de cr er des serveurs extensibles ajout d une brique au serveur d centralis s cr ation de son propre serveur et s r sans espion logiciel avec cryptage SSL Il n est par contre pas nativement multi protocole mais des passerelles vers les autres services de messagerie instantan e existent installer en compl ment du serveur de base Outre le serveur de messagerie instantan e Jabber il existe de nombreux autres serveurs utilisant le protocole Jabber WPJabber est une alternative libre Jabber tandis que le site http www jabber com diffuse un des nombreux serveurs sous licence payante et propri taire Un bref comparatif des serveurs existant est disponible ici Le choix est donc vaste et devrait permettre de couvrir vos besoins de Windows Solaris en passant par OS X int grable avec une base de donn es MySql Oracle ou LDAP vous trouverez forc ment une version publique ou commerciale du serveur Jabber qui vous conviendra Enfin pour se connecter votre serveur une multitude de clients existent en licence libre ou propri taire on peut citer Gabber Gaim et Psi sous Linux Exodus sous Windows L article qui suit devrait vous permettre d installer un serveur de messagerie instantan e Jabber version 1 4 2 soit partir des sources soit partir des paquetages rpm sur un serveur Mandrake 9 1 Mais le principe est identique pour toute distribution Le hostname du serveur ser
74. faut rajouter ou d commenter les lignes suivantes du fichiers etc postfix main cf myorigin mydomain mydestination myhostname localhost fmydomain mydomain Conclusion Et voil gr ce SquirrelMail en quelques dizaines de minutes vous avez maintenant un serveur de mail quip d une interface de type webmail complete Il n y a plus maintenant qu convaincre votre hi rarchie acheter le serveur n cessaire son installation et expliquer a vos collaborateurs comment utiliser l interface de SquirrelMail Configurer les composants d un r seau 197 Installation L a 198 Configurer les composants d un r se
75. firewall de comp t est pr t et fonctionnel Ceci tait bien videmment un exemple vous pouvez d s pr sent pr parer votre propre firewall personnalis Vous pouvez l adapter vos besoins votre connexion vers internet par ADSL par exemple etc 68 Configurer les composants d un r se L a SmoothWall Smooth Wall par Laurent DUBETTIER GRENIER Installation d un firewall bas sur SmoothWall Introduction Surfer sur Internet de mani re s re C est possible en r alisant avec un vieux PC un mur de feu Firewall Et c est gratuit SmoothWall est en effet un firewall distribu sous licence GNU GPL avec son code source Et c est bien plus Interface web de management distance s curis e https fichiers de log NAT DNS Proxy VPN SSH IPSEC sont aussi au menu Le tout avec une abondante documentation essentiellement en anglais Et si cela ne vous suffit pas il existe aussi une version commerciale professionnelle de SmoothWall avec plus d options et un support professionnel disponible aupr s de_SmoothWall Ltd A noter lors de sa premi re connexion ce firewall enverra quelques informations non personnelles comme le processeur utilis la taille de la RAM la date et l heure la version de SmoothWall install e sur votre syst me aux auteurs Les auteurs pr cisent que ce n est pas un Spyware SmoothWall est manageable distance donc une fois install il n y a vraiment besoin que d un PC
76. fping EchoPing uses TCP or UDP echo port 7 EchoPingHttp HTTP 80 tcp for web servers and caches EchoPingHttps HTTPS 443 tcp for web servers EchoPingSmtp SMTP 25 tcp for mail servers Alerts to joe some place xyz from joe some place xyz lossdetect type loss in percent pattern 0 0 0 0 gt 20 gt 20 gt 20 comment suddenly there is packet loss rttdetect type rtt in milli seconds pattern lt 10 lt 10 lt 10 lt 10 lt 10 lt 100 gt 100 gt 100 gt 100 comment routing mesed up again kkk Targets probe FPing menu Top title Network Latency Grapher remark Welcome to the SmokePing website of Linux Company Here you will learn all about the latency of our network Machine1 menu Machine1 title Titre Machine1 host Machine1 com Machine2 menu Machine2 title Titre Machine2 icmp menu icmp title Icmp Server probe EchoPing alerts lossdetect host Machine2 http menu http title Web Server www server HTTP probe EchoPingHttp alerts lossdetect host www Machine2 com https menu https title Https Server probe EchoPingHttps alerts lossdetect host www Machine2 com smtp menu smtp title Smtp Server probe EchoPingSmtp alerts lossdetect host smtp Machine2 com Configurer les composants d un r seau SmokePing 183 SmokePing D marrage d
77. free fr dnl il utilise TCP IP define RELAY_MAILER TCP dnl cela n est utile que pour les portables qui ont des adresses parfois insolubles FEATURE accept_unresolvable domains Ce fichier n est pas utilisable par sendmail Mais la lecture et la r daction d un fichier de configuration de sendmail ayant para t il caus la folie de plusieurs sp cialistes de sendmail je ne vais pas vous l imposer Ce fichier sert justement cr er le v ritable fichier de configuration de sendmail sendmail cf qui est cr par m4 sendmail mc gt etc sendmail cf enfantin videmment install sendmail fait tous les choix convenables pour nous mais au cas ou certains choix serait inappropri s vous savez quoi faire ditez sendmai 1 mc apr s avoir lu la doc de sendmail et r g n rez sendmail cf I n est absolument pas envisageable de cr er de toute pi ce un fichier etc sendmail cf complet par compte on peut envisager de modifier l g rement celui ci Cas de Sendmail 8 11 6 Cette version de sendmail et peut tre les pr c dantes mais a je n en suis pas sur permet de ne pas pr ciser le relai SMTP en mettant dans sendmail mc la r gle FEATURE relay_ based on _MX dn1l et d enlever les r gles define RELAY_HOST define SMART_HOST Configurer les composants d un r seau 37 Configuration de sendmail et fetchmail L a puis en r g n rant sendmail cf par m4 usr share sendmail cf
78. gt On peut alors tester notre partage fe No No Yes e Si l on est logg en tant que fred qui n a pas de droit sur cette ressource on se connecte comme si l on tait t ruc qui lui a des droits sur cette ressource fred bwing home fred smbclient etoile noire partage samba U truc Added interface ip 192 168 1 1 bcast 192 168 1 255 nmask 255 255 255 0 Password x en fait rien ne s affiche Domain WORKGROUP OS Unix Server Samba 2 0 5a smb gt exit pour quitter smbclient e Si l on est logg en tant que machin qui a des droit sur cette ressource machin bwing home machin smbclient etoile noire partage samba Added interface ip 192 168 1 1 bcast 192 168 1 255 nmask 255 255 255 0 Password en fait rien ne s affiche Domain WORKGROUP OS Unix Server Samba 2 0 5a smb gt exit pour quitter smbclient Houra bis Ca remarche Pour tester plus avant votre serveur SAMBA il faut alllez voir les commandes de_smbclient Configuration de SAMBA en tant que serveur d impression Et maintenant configurons notre serveur SAMBA pour pouvoir imprimer grace a lui Toujour grace a SWAT nous allons faire une configuration de base nous allons permettre l impression sur toutes les imprimantes reconnues par Linux Pour cela lancez SWAT S lectionnez Printers Dans la section lt Choose Printer gt s lectionnez lt Printers gt pour modifier les propri t s de toutes vous imprimantes en m
79. il suffit de faire xi toto Informations compl mentaires Pour le moment je n ai pas trouv le moyen de g rer des queues de fichiers si jamais quelqu un trouve qu il n h site pas a en faire part Sinon sachez que vous pouvez passer tout type de commandes compr hensibles par un serveur FTP comme des commandes site mais pour cela vous devez les taper en majuscules ou tout du moins la premi re lettre en majuscule pour que le logiciel n essaie pas d interpr ter lui m me la commande et qu il l envoi tel quel au serveur exemple Site user anonymous Autre petite information pratique la touche tab peut tre utilis e tout moment pour la liste de vos sites les noms de fichiers et r pertoires sur les FTPs o vous tes cela vite si jamais vous avez donn un nom trop long un site ou qu un fichier a un nom trop long de le taper en entier il suffit de taper les premi res lettres et un appui sur la touche tab et le tour est jou Conclusion Voila pour ce qui est de cette pr sentation de profxp Ce type de logiciel est r serv a une utilisation bien sp cifique bien peu d entre vous en auront besoin je pense mais on sait jamais moi je trouve a tr s utile comme logiciel et permet de faire des transferts de fichiers depuis des connexions bas d bits tr s facilement Il vous est aussi possible de t l charger les sources pour voir comment cela marche et pourquoi pas vous en servir comme exemple de programmation
80. je l ai juste test en ServerType standalone Exemple de lt VirtualHost gt Serveur Virtuel pour criture lt VirtualHost ftp serveur_proftpd com gt ServerName Mon serveur FTP virtuel Port 46000 Maxclients 3 MaxClientsPerHost 1 DefaultRoot S AccessGrantMsg Bienvenue u sur le serveur virtuel du DuF lt Limit LOGIN gt AllowUser ToTo DenyAll lt Limit gt lt VirtualHost gt Bon alors les options vous les connaissez toutes par contre je vais expliquer le contexte de configuration lt Limit LOGIN Avec ce contexte de configuration on va indiquer quel s utilisateur s va ont pouvoir se connecter dans ce virtual Host c est a dire que ceux qui ont acc s par exemple au service FTP en lecture par une connexion sur le port 45000 ne peuvent pas se connecter sur ce virtualhost dans notre exemple il n y a que l utilisateur ToTo qui puisse le faire Donc pour que ToTo se connecte il doit indiquer l adresse IP ftp serveur_proftpd com et le port 46000 ce sont les deux conditions a remplir sinon cela ne marchera pas Il faut savoir donc qu il y a un ordre entre Al lowUser et DenyAl1 ne pas n gliger Mais il est possible de l inverser En fait ProFTPD va examiner les autorisations explicites puis les interdictions Si une connexion ne correspond a aucun des crit res elle est autoris e est possible d inverser cela en utilisant la commande Order deny allow Si elle est pr sente le serveur va d abord prendre en compte l
81. l adresse de la machine de cet utilisateur on ne peut pas emp cher que la personne aille sur une autre machine et il faut de plus que les machines aient toujours la m me adresse ce qui peut poser probl me lorsqu on on utilise du DHCP Les Firewalls Proxy Les Proxy serveur sont utilis s pour contr ler et analyser tout trafic avec l ext rieur Certains proxies utilisent en plus un cache c est dire qu ils stockent des donn es en local ce qui permet de r duire le trafic r seau en effet si une m me donn e est demand e plusieurs fois au lieu d aller la chercher au nouveau vers l ext rieur c est le proxy lui m me qui la fournit Leur fonctionnement d pend de leur type Proxy d applications Leur fonctionnement ressemble un peu au fonctionnement du premier Proxy c est dire quand une application d une machine locale va vers l ext rieur en fait elle se connecte sur le Proxy et c est le Proxy lui m me qui va chercher l information puis la renvoyer vers la machine demandeuse 52 Configurer les composants d un r se RL eo Les diff rents types de Fire Un exemple vous voulez r cup rer un fichier via FTP sur internet en fait votre client FTP vas se connecter sur le proxy qui va faire serveur FTP le Proxy va en m me temps ouvrir une session FTP sur le serveur distant il va r cup rer le fichier cible et vous le renvoyer via son serveur FTP En fait c est toujours le Proxy qui r cup re les donn es et vous les renvoie
82. l utilisateur contenant tout les mails de l utilisateur dans var mail ou un r pertoire Maildir structure sp ciale contenant les mails dans des fichiers s par s Pour notre cas nous utiliserons Maildir car vpopmail se base dessus Pour cela il suffit de copier un fichier cp var qmail boot home var qmail rc Qmail n est pas tout fait compl tement install mais pour la suite nous allons devoir installer les daemontools et ucspi de fa on avoir des performances optimales pour notre serveur de mails Installer les utilitaires suppl mentaires De fa on avoir de meilleures performances pour notre serveur de mails et pour une plus grande souplesse pour logger les vements mails nous devons installer les outils d velopp s par Dan Bernstein daemontools et ucspi tcp Pour les installer rien de plus simple vous d gzippez d tarrez les sources comme d habitude Pour les daemontools un r pertoire admin a t cr lors du d tarrage cd admin daemontools package install ll ne reste plus qu compiler installer uscpi cd ucspi tcp 0 88 make setup check Configurer les composants d un r seau 153 R cup ration des sources et compilation L a Compiler Vpopmail et l installer Comme d habitude on d gzippe d tarre les source de Vpopmail Avant de lancer la compilation il faut comme pour Qmail cr er les comptes utilisateurs de vpopmail qui vont aussi d terminer le chemin d installation de
83. la connexion je vous conseille de rendre pppd suid c est dire que n importe quel urilisateur peut le lancer mais que ce programme poss de les droits de root par chmod s usr sbin pppd Couper la connexion n est pas aussi simple il n existe pas de programme s en chargeant Nous devons tuer le processus de pppa Mais heureusement c est simple car il sauve son pid dans var run ppp pid Donc pour fermer la connexion la commande est kill cat var run ppp pid Si cette commande vous retourne un message d erreur c est sans doute parce que pppd n est pas actif ce moment Dans l article suivant nous allons voir comment configurer la messagerie Configurer les composants d un r seau 35 Connexion a Internet multi comptes Partie 2 Configuration de la messagerie L a Connexion Internet multi comptes Partie 2 Configuration de la messagerie par Fred Avant de pouvoir nous connecter internet via tous nos providers voyons d j comment configurer la messagerie Configuration de sendmail et fetchmail Pour que nous puissions recevoir et envoyer des mails en local il faut configurer sendmail ou qmail ou autre mais je ne les connais pas Si vous utilisez un autre programme que sendmail adaptez l article votre cas Pour que notre machine puisse r cup rer des mails sur des comptes pop ceux de votre provider par exemple il faut configurer fetchmail Configurer sendmail et fetchmail avec instal
84. la page status de SWAT Quelques adresses utiles Je vous les livre en vrac e Vous pouvez toujours vous procurer la derni re version de SAMBA sur le site principal http www samba org Pour avoir d autres informations plus techniques sur SAMBA voyez la Samba HOWTO e ll existe plusieurs utilitaires pour configurer SAMBA Pour les mots de passes allez voir du c t de gsmb Pour configurer les ressources partag es par SAMBA allez voir KSamba e En remplacement de SWAT vous pouvez utiliser linuxconf si linuxconf est install sur votre machine et si vous avez autoris l acc s a linuxconf en r seau cliquez l e Pour ce qui est de la configuration d un r seau TCP IP avec linux allez voir linuxenrezo Une aide succinte concernant SAMBA y est disponible Configurer les composants d un r seau 117 Se connecter a un ordinateur utilisant le protocole smb L a e Le livre Using SAMBA C est un livre en Open Content comme a on peut tre content Note le livre est inclu dans SAMBA partir de la version 2 0 7 e Le site personnel de G Blanchet qui explique comment configurer d un autre point de vue un serveur SAMBA Se connecter un ordinateur utilisant le protocole smb Pour ce connecter un ordinateur utilisant le protocole smb un pc Linux SAMBA ou un pc Win il existe la m thode brutale smbmount Evidemment a marche mais ce n est pas tr s convivial de plus il est bien dommage que l on ne fasse
85. le probl me c est que les cha nes de la table FILTER sont toutes 66 Configurer les composants d un r se L Cn a DENY donc tout ceci ne fait rien du tout On va donc passer a la configuration du firewall proprement dit On va quand m me accepter les connexions ssh port 22 provenant d une machine la votre en l occurrence on va dire 192 168 2 42 vers le firewall pour pouvoir modifier les r gles facilement pour bien surveiller on vas quand m me loguer les connexions provenant de mon IP et a destination du ssh du firewall iptables A INPUT i ethl s 192 168 2 42 m state state NEW ESTABLISHED p top dport 22 j LOG_ACCEPT iptables A OUTPUT o echi dA 192 168 2 42 m state state ESTABLISHED gt ECD Sport 22 TOC ACCEPT On veut que le LAN connect l interface ethl ait un acc s complet internet La r gle de NAT qui permettait d avoir un proxy transparent sera automatiquement appliqu L interface correspondant la connexion internet est ici ppp0 iptables A FORWARD i ethl o ppp0 j ACCEPT iptables A FORWARD o ethl i ppp0 j ACCEPT Maintenant on donne le droit au LAN de consulter les pages web du serveur de la DMZ iptables A FORWARD i ethl o eth0 p tcp dport 80 state state NEW ESTABLISHED j ACCEPT iptables A FORWARD i eth0 o ethl p tcp sport 80 state state ESTABLISHED j ACCEPT Maintenant il n y a plus q
86. le serveur avec ce script Mais avant de lancer PostgreSQL nous devons cr er le r pertoire des donn es gr ce la commande initdb Pour cela connectez vous en tant qu utilisateur postgres et lancer cette commande lusr local pgsql bin initdb D usr local pgsql data Plusieurs messages s afficheront pour vous indiquer la progression Voila notre syst me est compl tement configur Il ne nous reste plus qu lancer le serveur en tant qu utilisateur root letc init d postgresal start V rifiez que postmaster est bien en cours d ex cution par un ps aux grep postmaster 108 Configurer les composants d un r se L a Contributions Postgre Si quelque chose ne va pas relisez bien les indications ci dessus ou envoyez moi un courrier lectronique Contributions PostgreSQL Dans le r pertoire des sources se trouve un r pertoire nomm contrib Il contient un ensemble d outils qui ne sont pas compil s par d faut mais dont l utilit est particuli rement int ressante au moins pour certains d entre eux que voici e dbsize ajoute une proc dure stock e permettant le calcul de la taille d un objet que ce soit une base de donn es ou une table e mysql permet la conversion d une base MySQL en une base PostgreSQL e en indiquant oid2name un OID celui ci vous indique le nom de l objet e oracle permet la conversion d une base Oracle en base PostgreSQL e pg_autovacuum est un d mon analysant en permanenc
87. ll faut savoir qu il est possible de filtrer pas adresse IP cela est pratique dans un r seau local IP fixe ou lorsque le client a une IP fixe mais je ne saurai que trop vous d conseillez de mettre une filtre sur un nom de domaine ou un redirecteur pour des raisons videntes de s curit m me si cela peut paraitre une solution de facilit Voici un exemple de filtrage par adresse IP sur une IP 172 16 18 5 et une classe d adresse IP 192 168 10 x lt Limit LOGIN gt Allow 172 16 18 5 192 168 10 Deny all lt Limit gt Gestion de la Bande Passante Depuis la version 1 2 8 de proftpd la gestion de la Bande Passante n est plus la m me Auparavant on utilisant des directives comme RateReadBPS et ReadWriteBPs notamment il y en avait d autres maintenant il existe en fait une seule directive TransferRate qui sert la fois d finir l upload et le download par exemple Voici un exemple de gestion de la Bande Passante avant la version 1 2 8 MaxClientsPerHost 1 RateReadBPS 12000 RateWriteBPS 63000 A noter que la valeur tait d fini en octets mais maintenant cela a chang depuis la version 1 2 8 c est TransferRate qu il faut utiliser Plut t que de parler longuement voici un exemple comment l utiliser MaxClientsPerHost 1 TransferRate RETR 12 TransferRate APPE STOR 63 Pour essayer de faire clair en fait les 2 exemples font la m me chose le premier dans le cas des versions strictement inf rieures proftpd
88. m me non existant sur votre syst me Conclusion Je rappelle que cet article n est pas la solution unique l utilisation de proftpd surtout pas Si vous voulez donner acc s des centaines d utilisateurs ayez une strat gie d ensemble et utilisez les param tres li aux syst mes de fichiers les permissions etc Ce sera beaucoup plus simple g rer et mettre en place Je le r p te cet article vous donne une id e des informations n cessaire la configuration de proftpd et donne mon avis toutes les informations n cessaires la mise en place d un serveur personnel pour le partage de ressources qui ne sont pas forc ment toutes sur des partitions ext2 linux Voil j esp re que cet article vous aura aid Si jamais vous avez des pr cisions des corrections ajouter sur la partie concernant le mod_t1sn h sitez pas car j ai juste fait une pr sentation tr s tr s l g re du sujet tr s incompl te et qui m rite d tre am liorer alors si vous tes expert en la mati re n h sitez pas corriger am liorer cette partie Ressources http www proftpd org Vous y trouverez toutes les informations n cessaires et surtout toutes les directives y sont list es et expliqu es http Awww webring adsl com 132 Configurer les composants d un r se L a Utilisation de proftr http www ze linux org http frlinux net index php Ressources concernant le mod t1s http www castaglia org proftpd modules mod_
89. m me que celle ou SNORT tourne Cr ation de la base de donn es SNORT Au pr alable assurez vous d avoir install PACKAGES MySQL client MySQL devel REMARQUES partie cliente de MySQL Astuce La commande rpm qa grep client vous permet de v rifier que votre station Linux poss de bien ces packages install s Suivez alors les instructions suivantes COMMANDES cd usr local snort contrib mysql u root p create database SNORT use mysql insert into user values localhost user_snort password snort_pwa VY Ys TY VY VY WT PES Vyt UV ryt ryt CN CN P OU OU PY CV PY ryt oryt OO OV Cv PYP grant ALL PRIVILEGES ON SNORT TO user_snort localhost IDENTIFIED BY snort_pwd WITH GRANT OPTION flush privileges use snort 178 REMARQUES on se place l endroit du fichier contenant les tables SQL de SNORT Connexion a la base de donn es en tant qu administrateur au passage si ce n est pas encore fait d finissez un password pour l administrateur de la base par la commande set password for root localhost PASSWORD totomdp Cr ation de la base de donn es SNORT On se place ici pour cr er l utilisateur MySQL qui g rera la base de donn es snort Cr ation utilisateur MySQL user_snort Attention le nombre de Y d pend de votre version de MySQL faites un select from user pour voir combien il faut en mettre Attribution des droits de la base
90. make modules amp amp make modules_install 58 Configurer les composants d un r se L a 1 Installation 1 3 Installation Sur une RedHat 7 1 r cup rer le package net filter et l installer comme d habitude avec rpm Uvh netfilter x y z rpm Sur les versions inf rieures a la 7 1 il faut compiler un kernel 2 4 car iptables ne supporte pas les kernels 2 2 x La compilation de iptables est complexe Le mieux est de lire le fichier INSTALL du package des sources 1 4 Chargement des modules Dans le cas ou les options iptables du kernel ont t s compil es en modules il est n cessaire de charger ces modules avant de pouvoir utiliser iptables modprobe ip_tables selon les besoins on peut ventuellement charger les modules suivants modprobe ip_nat_ftp modprobe ip_nat_irc modprobe iptable_filter modprobe iptable_mangle modprobe iptable_nat aE HE Si on a besoin de pouvoir forwarder les paquets IP dans la plupart des cas il sera n cessaire d ex cuter cette commande echo 1 gt proc sys net ipv4 ip forward afin de l indiquer au noyau forwarder il s agit de faire passer des paquets IP d une interface r seau vers une autre Par exemple un paquet qui arrive de l internet via un modem ou une carte r seau sera redirig ou forward vers la carte r seau par laquelle le firewall est attach au r seau local Nota Bene tous les modprobe semblent inutiles car le kernel les chargent automatiquement si l
91. me temps chez moi je n ai qu une imprimante donc je n ai pas pu v rifier ce qui ce passe quand plusieurs imprimantes sont connect es mais je pense que tout fonctionne correctement c est du moins ce que pr tend la documentation de SAMBA Puis validez votre choix en cliquant sur Choose Printer Vous devez obtenir une nouvelle page remplir Zone de saisie Valeur Commentaires Les belles sans commentaires imprimantes vous devez mettre un r pertoire qui devra tre accessible l utilisateur connect cette ressource par exemple path tmp vous pouvez mettre n importe quel r pertoire qui est accessible en criture par tout le monde chez moi c est le cas de tmp quest account rien ne mettez rien ou un utilisateur qui a le droit d imprimer sinon mettez guest ok false comment True on va imprimer en tant qu invit True sauf si vous ne souhaitez pas imprimer Puis validez vos changement en cliquant sur Commit Changes Pour voir si cela fonctionne tapez depuis n importe compte utilisateur darkvador etoile noire home smbclient L etoile noire Added interface ip 192 168 1 1 bcast 192 168 1 255 nmask 255 255 255 0 Password Aucun mot de passe validez par lt Entr e gt Domain WORKGROUP OS Unix Server Samba 2 0 5a Sharename Type Comment zipdrive Disk Lecteur Zip samba public Disk Repertoire public IPC IPE IPC Service Serveur Linux Samba deskjet Printer lp Configurer les c
92. mkdir usr lib smokeping cp lib usr lib smokeping R mkdir etc smokeping SmokePing SmokePing est compos de plusieurs fichiers qu il faut adapter la configuration de votre installation et copier dans les r pertoires les plus adapt s votre syst me Le premier d entre eux est smokeping dist c est l xecutable cp bin smokeping dist usr bin smokeping vi usr bin smokeping l usr bin perl w perl use lib qw usr local rrdtool lib perl use lib qw usr lib smokeping use Smokeping 1 20 Smokeping main etc smokeping contig Suite du fichier Le suivant est le script CGI qui permet d acc der l interface HTML de SmokePing cp htdocs smokeping cgi dist var www cgi bin smokeping cgi vi var www cgi bin smokeping cgi l usr bin speedy w perl use lib qw usr local rrdtool lib perl use lib qw usr lib smokeping use Smokeping 1 20 Smokeping cgi etc smokeping contig Configurer les composants d un r seau 181 SmokePing Suite du fichier Le suivant basepage html est le fichier template qui permet de personnaliser l interface HTML cp etc basepage html dist etc smokeping basepage html L a Le fichier config est comme son nom l indique le fichier de configuration principal de SmokePing Dans celui ci on d clare les machines que l on souhaite pinger via fping et ou tester les services echo http
93. notre domaine local rappelez vous que les adresses IP 127 0 0 x sont des adresses IP sp ciales 127 0 0 1 est l adresse de loopback d une machine ce fichier est d taill aussi plus bas version SECRET permet de masquer la version de Bind utilis e et de limiter ainsi l exploitation de failles e s curit Exemple root admin dig digital connexion info version bind txt chaos lt gt DiG X x lt gt digital connexion info version bind txt chaos 1 server found res options init recurs defnam dnsrch 7 got answer gt gt HEADER lt Les fichiers de zones Comme nous avons vu au dessus il nous faut d autres fichiers qui sont var named root et var named zone 127 0 0 var named root Fichier de zone des serveurs root v rifier et maintenir r guli rement 6D IN 6D IN 6D IN 6D IN 6D IN 6D IN 6D IN 6D IN 6D IN 6D IN 6D IN 6D IN 6D IN A ROOT SERVERS NET 144 NS NS NS NS NS NS NS NS NS NS NS NS NS BPRAGHTOADFAUAW P Sw6d16h IN ROOT SERVERS ROOT SERVERS ROOT SERVERS ROOT SERVERS ROOT SERVERS ROOT SERVERS ROOT SERVERS ROOT SERVERS ROOT SERVERS ROOT SERVERS ROOT SERVERS ROOT SERVERS ROOT SERVERS A NET NET NET NET NET NET NET NET NET NET NET NET NET 198 41 0 4 Configurer les composants d un r se L a Un serveur DNS qui fait c B ROOT SERVERS NET
94. nouvelle configuration 3 2 Protection par modification de httpd conf Le principe est assez similaire ce qui a t expos ci dessus si ce n est que le renvoi vers le fichier des autorisations est r alis dans etc httpd conf httpd conf Pour mettre en place ce renvoi ditez ce fichier et ajoutez par exemple tout la fin les lignes suivantes lt Directory var www html test gt AuthName Acc s limit AuthUserFile etc httpd auth test users AuthType Basic require valid user lt Directory gt Pour prot ger plusieurs r pertoires cr ez plusieurs paragraphes lt Directory gt lt Directory gt Sauvegardez puis relancez le d mon Apache comme root etc rc d init d httpd restart En effet dans ce cas vous venez de modifier un des fichiers de configuration du serveur fichier qui est lu au moment du chargement de Apache Il convient donc de forcer Apache relire ce fichier pour prendre en compte les modifications 3 3 Diff rence entre les deux m thodes htaccess et httpd conf Votre attention aura certainement t attir e par le similitude de r daction entre les deux solutions Cette similitude n est absolument pas fortuite et provient simplement de la logique interne du fonctionnement d Apache Le serveur lit au lancement les param tres de configuration stock s dans httpd conf Il ne les relira ensuite qu en cas de demande explicite restart Par contre il cherchera chaque requ te d un navigateur lire
95. oieri aei hdd piled din aid a dp Ea EASES SEA 149 SARE EEAS EE AE EE N O OSTA EAT E A A E OEE A EEEE AT VAEA E TAEA 151 AERA IIN E OERA I OI EE ARTEI OEE E E IS AA TAE E R E 151 Qmail installation d un serveur de mail multi domaine et s curis sise 152 TOME me a onde CONT OUGHT ERT ena E T enya nec tien TCO it nella N ONT AEE errr tr Tt 152 Recuperation des Sources Cl ComOUAMONs eseni ienne dhaani e iendea kadad RSen ENEA Ea EREE 152 lisa latiSn du gestionnaire de mating MWotseraisns eeina n note sel Lans NI aN aAa SEEE GEANE 156 Ee EE GPS ES MINS AT AEE A E AE A N E T IA T AE A T A TETS 156 instalation dantorespondon sssini ea A e A Adaa Ea aie eda ANa N aeaa S S Eei aSa enie 157 LR e EAko ERS LELET LLE E A A AS A EE AN AEE A AA NEE AE TAE AE A TE I T TTS 157 Utilisation gueston COU ANTES Ete irasos eiaeiiai DE I OREA SEET E CT 158 Se OU AEE E TE EA AIE A A EE E A AA NO N A EON AT E EE TEE A TTT 160 Se LP Aa e E E A E T E E O NE O E A A EN A NEE OE EE A T NE AT TE 160 SEE CUE A E EE TEENE A E O TETE E A E AET T OA TAE OTE 162 Se Oe MLD ne SEE N T AN A T A W A I A E A T E AT S A TE TEE 163 CouligurerpOppasse Opionnel non S CUTS ia iiiscicsucescuisntarcvadsesvea sa eenia EN Dani a uadsassicbtaoesslenideddnissadsbeseeinndiakuadsescareitentonens 165 roman Mneme et Nag usisero isina aaa e aiea badua PO NOAA ENSE eA EAA A ESERSE eE 166 SEA I E EO SENE E ON AATE eT DRIES AEN E E ENE EA OTN A NA A TAE OEA E 168 STe OUEL A
96. or ressource busy on v rifie a dans proc ioports proc interrupts V rifiez que l adresse m moire ioport et les interruptions irq ne sont pas d j occup es par une autre carte V rifiez aussi a l aide de la notice de la carte que vous n essayez pas d attribuer une ressource que cette carte ne peut pas prendre normalement la plage d irq et de m moire valide est indiqu e dans la notice V rifiez suivant votre cas que le PnP est bien valid dans le kernel la prise en charge PCI et que quelqu un a d j r ussi faire marcher cette amp de carte r seau Prise en compte de la carte par le kernel Bon le module se charge ok il reste juste rajouter dans etc conf modules les options pour le chargement automatique du module quand le kernel en a besoin ainsi qu un alias lien pour le kernel qui indique celui ci que ce module g re une carte r seau par alias ethX nom_module Avec X 0 pour la premi re carte r seau 1 pour la seconde etc si vous n avez qu une seule carte r seau sur cette machine alors X 0 soit etho est votre seule possibilit nom_module le nom du module driver de la carte ne2k pci par exemple Pour savoir si des options sont n cessaires cas des cartes NE 2000 ISA voir la rubrique modules Configuration r seau de la carte Bon la carte est install e le module se charge sans erreur maintenant il va falloir lui affecter une adresse IP etc Pour ceux qui savent ce qu es
97. param tre ipparam du fichier etc ppp peers script ceci n cessite que l option usepeerdns soit activ e dans etc ppp peers script dans ce cas DNS1 et DNS2 re oivent les adresse des deux dns du provider dans le cas o ces variables ne sont pas initialis es les options connexion dns doivent tre utilis es pour pr ciser le dns en lieu et place de autodns export DNS1 export DNS2 etc ppp scripts initcnx 6 ipup r cup ration des mail et envoie des mails en attente usr bin fetchmail usr sbin sendmail q on r cup re automatiquement les mails toutes les 11 minutes 11 minutes car netcourrier n aime pas qu on consulte les comptes pop trop souvent usr bin fetchmail daemon 660 mettons notre pc l heure ntpdate ntp sop inria fr Vu ce que l on a d j dit ce script ce passe de commentaire Un fichier etc ppp ip down bin sh comme on n est plus connect au net on quitte fetchmail usr bin fetchmail quit y a plus de dns a priori export DNS1 export DNS2 etc ppp scripts initcnx offline ipdown 46 Configurer les composants d un r se amp L eo letc ppp scripts pppcont on peut effacer les fichiers auto rm f etc ppp chat auto rm f etc ppp peers auto Idem etc ppp scripts pppconnect Pour ce script nous allons un peu compliquer les choses en effet c est lui qui doit permettre le choix de l isp que nous souhaitons contacter Comme da
98. pas besoin d etre actif en permanence pr f rez cette m thode En utilisant xinetd De plus en plus les distributions remplacent inetd par xinetd Il vous faut donc cr er deux fichiers appel s netbios ssn et netbios ns dans le r pertoire etc xinetd d Ci dessous un exemple de configuration adapter votre cas root pingu cat etc xinetd d netbios ssn service netbios ssn socket_type stream protocol tcp wait no Configurer les composants d un r seau 111 Gestion des utilisateurs de SAMBA L a user root server usr sbin smbd disable no root pingu cat etc xinetd d netbios ns service netbios ns socket_type dgram protocol udp wait no user root server usr sbin nmbd disable no Puis pour prendre en compte les modifications relancer xinetd root pingu etc rc d init d xinetd restart Gestion des utilisateurs de SAMBA On peut certainement mieux prot ger son r seau mais ce qui suit est simple et compr hensible Si la s curit est un probl me sur votre r seau par exemple s il est reli Internet ce document n est pas pour vous Nous allons cr er un utilisateur de SAMBA et un seul Tous les utilisateurs de SAMBA seront connect s sur votre ordinateur sous ce nom Ce qui ne veut pas dire qu ils autont tous les m mes droits Seulement tout ce que pourra faire SAMBA sur votre serveur sera d termin pas les droits en lecture criture de cet utilisateur virtuel N
99. pas de drivers pour Linux et ou qui ne donne pas les sp cifications du modem Bref achetez en un autre ou faites un forcing aupr s du constructeur mailez leur tous les jours vous et vos amis aussi Pour le reste des modems la plupart des VRAIS modems internes carte ISA mulant un vrai port s rie en hardware et tous les modems externes peuvent tre install s sous Linux Tout d abord on va v rifier que votre modem est bien reconnu Si c est un modem externe vous devez savoir sur quel port s rie il est connect les ports COM sous windows souvent indiqu sur votre machine style s rial 1 ou COM1 ou s rie 1 etc Pour le tester allez dans une console ou un terminal si vous tes sous X et tapez au prompt echo ATZ gt dev ttySx echo ATDT3611 gt dev ttySx en rempla ant dev ttySx ci dessus et dans toutes les commandes suivantes par e dev ttys0 si le modem est branch sur COM e dev ttys1 si le modem est branch sur COM2 e dev ttys2 si le modem est branch sur COM3 e dev ttys3 si le modem est branch sur COM4 Si votre modem fait du bruit que vous entendez un BBIIPPP BBBUUPPP ou autre bruit du m me style que les diodes clignotent modem externe votre modem est bien reconnu teignez le vite sinon vous vous connectez au 3611 rassurez vous c est gratuit les 3 premi res minutes Si votre modem est interne et que vous pouvez pas l teindre debranchez la prise t l phonique puis t
100. pour administrer distance la configuration de SquirrelMail e Bug_report pour reporter facilement un bug l quipe de d veloppement e Calendar un calendrier simple e Delete move next pour effacer et d placer facilement vos mails e Filters pour filtrer vos mails antispam Fortune pour ins rer une devise dans vos mails e Info pour d panner le serveur IMAP ne pas activer en usage normal 196 Configurer les composants d un r se L a Installation e Listcommands ajoute une ligne tout mail en provenance d une mailing list permettant notamment de se d s inscrire ou de visionner les archives de la mailing list e Mail_fetch pour r cup rer vos mails sur un serveur pop e Message details pour acc der la source du mail re u e Newmail ajoute une musique vous signalant un nouveau message re u e Sent_subfolders pour g rer les sous r pertoires e Spamcop pour rapidement signaler spamcop net un spammeur e Squirrelspell un dictionnaire bas sur ispell e Translate Envoi votre message vers un serveur de traduction en une autre langue Pour installer un plugin c est plus ou moins simple certains requi rent l installation de paquetages suppl mentaires pour fonctionner serveur de base de donn es MySQL par exemple d autres s installent en quelques instants Par exemple le plugin nomm Show Username and IP permet d afficher l adresse IP et le nom d utilisateur de la personne co
101. qu Apache soit install ou non idem pour PHP Nous supposerons que les notions de bases du langage SQL sont connues ben voyons La premi re partie de ce chapitre va en effet faire largement appel ce langage pour r gler la configuration Attention nous allons utiliser le client texte MySQL Efficace mais pour le moins spartiate Pour commencer ouvrez une fen tre texte xterm rxvt terminal ou autre et lancez le client MySQL par mysql u root on suppose que vous tes logu comme root La r ponse devrait tre imm diate Welcome to the MySQL Monitor et se terminer par l invite de commande de MySQL qui est modestement mysql gt Je reproduirais cette invite pour tous les exemples de syntaxe SQL donn s ci dessous Attention vous tes logu comme administrateur tout ce que vous allez faire pourra devenir dramatique en cas d erreur tapez mysql gt use mysql pour pr ciser au serveur d utiliser dans ce qui suit la base de donn es nomm e mysql La r ponse devrait se terminer par Database changed Configurer les composants d un r seau 101 4 Protection du gestionnaire de bases de donn es MySQL L a 4 1 Configuration des fichiers d autorisations d acc s La protection de MySQL s articule autour des fichiers d autorisations qui constituent eux m me une base de donn es MySQL qui d finissent tr s pr cis ment les droits de chaque utilisateur des informations les plus globales telle base de donn e es
102. r seau Ce r seau peut tre constitu de toutes les cartes W X Y Z ou Z varie entre 0 et 254 pas 255 car c est l encore une adresse sp ciale Quand on veut d signer l adresse du r seau on remplace par des 0 les identifiants machines Pour la classe C chaque r seau a donc 254 de 1 254 pour Z machines possibles De m me pour la classe B on a 65 000 et quelques machines possibles Pour la classe A on dispose de plus de 16 millions de machines possibles Pour configurer un r seau local il vous faut de choisir l adresse r seau que vous voulez Bon on prend un exemple je choisis 192 1 3 0 comme adresse de r seau donc classe C Je peux alors num roter mes machines de 192 1 3 1 192 1 3 254 Bon vous allez me dire On peux choisir n importe quelle adresse Je ne vais jamais avoir besoin de classe A je n ai pas 16 millions de machines Etc En fait ces classes ont t invent es pour l internet on a attribu alors les classes A aux tr s grandes organisations comme l arm e am ricaine a t fait pendant la guerre froide hein pour leur permettre de relier toutes leurs machines La B tait pour les grand organismes universit industrie etc et les classes C pour les petits groupes Comme vous vous en doutez ces adresses sont attribu es par un organisme international qui r git tout a pour que deux adresses ne soit pas dupliqu es sur internet Donc en r sum si vous restez en local sans aucune sortie ve
103. remplacez usr sbin par le r pertoire ou ndc est install si vous ne le trouvez pas lancez alors named la commande named amp Ex cutez alors la commande nslookup et vous devriez voir appara tre olio azizlinux nslookup Default Server localhost Address 127 0 0 1 Ca veut dire que tout marche bien du moins que le serveur named est lanc et est pr t a r pondre aux requ tes DNS allez voir plus bas si ce que vous obtenez n est pas la m me chose que ce qui est affich ci dessus On va tester que le cache marche vraiment en tapant maintenant gt lea linux org et vous devez voir appara tre quelque chose comme Server localhost Address 127 0 0 1 Name lea linux org Address 212 73 209 252 Puis retapez exactement la m me commande et cette fois ci le r sultat devrait tre gt lea linux org Server localhost Address 127 0 0 1 Non authoritative answer Name lea linux org Address 212 73 209 252 La ligne Non authoritative answer signale justement que l information a t r cup r e via le cache du serveur DNS et nous avertit donc que cette adresse peut tre fausse si l adresse a chang depuis ce qui est tr s improbable Quittez alors l utilitaire nslookup par exit Voil votre serveur DNS cache est op rationnel Il ne vous reste qu ajouter le usr sbin ndc start dans un script de d marrage par exemple etc rc local Ca marche pas Bon soit c est votre serveur DNS qui n es
104. s aux m me donn es que ceux qui s y connectent depuis le r seau local Donc ces diff rents personnes vont se connecter sur le serveur en indiquant une adresse diff rente Par exemple l utilisateur A est chez lui sur internet il veut se connecter pour cela il indique l adresse suivante ftp serveur_proftpd_internet com Une autre personne B va elle se connecter sur ce serveur depuis le lieu de travail donc depuis le r seau local elle va utiliser l adresse interne qui sera l adresse ftp serveur_proftpd_local com On a donc ftp serveur_proftpd_local com qui dirige vers l adresse IP 192 168 10 10 et le ftp serveur_proftpd_internet com qui dirige vers l adresse IP 159 159 159 159 Ces 2 adresses IP dirigeant vers la m me machine Il est possible de sp cifier le m me port ou de ne pas le sp cifier le port sera celui d fini dans le contexte de configuration server config cela ne posant pas de probl me car proftpd va regarder dans son lt VirtualHost gt et tout se fera par rapport l adresse qui aura t indiqu e pour la connexion ll est aussi possible de faire plusieurs lt VirtualHost gt qui travaillent sur la m me adresse IP mais qui ont un port diff rent ce qui peut tre tr s pratique aussi Mais attention cela d apr s le site www proftpd org est incompatible avec ServerType inetd c est dire lorsque l on lance le serveur par le d mont inetd personnellement je n ai pas test donc je ne pourrai pas vous en dire plus moi
105. seeiis 99 2 Protection seneu MAGNE a bic dei crnusastcesendicantexsesantessendiualascceagedasdnadiadnageneegstaddesdbedsus cable radensduadiussabeceradentdbadeceiaditeuagrendensmagiaaeasvesde 99 4 Protection du gestionnaire de bases de donn es MySQL 101 5 Contr le des acc s MySQL initi s par des scripts PHP 104 6 Cas particulier de phpMyAdmin 104 7 Le petit br viaire ee 106 8 Conclusion 106 L auteur 106 PostgreSQL installation 107 ALL S ES IT Le PE ea ic OF Cr ation de l administrateur PostgreSQL 107 R cup ration des sources et compilation 107 Installation partir des RPMS 108 Configuration du syst me 108 Contributions PostgreSQL 109 Configuration de PostgreSQL 109 Informations suppl mentaires 109 Installation d un serveur SAMBA 110 R cup ration des packages SAMBA 110 Lancement test de SAMBA 110 Lancement d finitif de SAMBA 111 Gestion des utilisateurs de SAMBA 112 G rer la configuration de SAMBA avec SWAT 112 Configuration de SAMBA en tant que serveur de fichiers 113 Configuration de SAMBA en tant que serveur d impression sienne 115 L a Configurer les composants d un Table des mati res Confiqurer les composants d un r seau restos Ole Wri Steet depuis i nn ea eea daa s apada nn naan tal tbe hit aie ane 116 FRS AueS CONT MANES CNS a N E NE T N N EA E O E AEE T O N A T I 116
106. seront alors g r s par le d mon syslogd Vous pourrez pr ciser le niveau de log voir man syslog avec les valeurs emerg alert crit err warning notice info debug L ordre de ces valeurs indique une quantit croissante d informations r cup r es par syslogd Par d faut c est le niveau info qui est utilis Vous retrouverez ensuite les logs g n ralement dans le fichier var log messages cf etc syslog conf Inconv nient de cette m thode toutes les informations sont stock es dans un seul fichier et difficiles lire tant donn la quantit d l ments recueillis pour le noyau FILE file soft limit hard limit vous allez pouvoir compl tement configurer la destination de vos logs et dans l absolu pr voir un fichier de log par service g r par xinetd Le mot cl FILE sera suivi du nom du fichier Si celui ci n existe pas il sera cr De mani re facultative vous pouvez galement pr ciser 2 types de limites la taille du fichier de log une limite soft qui lorsqu elle est franchie provoque l envoi d un message d alerte mais les logs continuent d alimenter le fichier et une limite hard qui lorsqu elle est franchie bloque l envoi de logs suppl mentaires dans le fichier concern L utilisation de ces deux limites est recommand e pour viter de saturer le syst me de fichiers Les limites sont donner en octets 1000b en kilo octets 1000k ou en mega octets 1000m Contenu des logs Outre la localis
107. serveurs DNS serveurs de nom de votre fournisseur d acc s etc resolv conf search nom_domain_local com nameserver adresse_ip_dns_primaire nameserver adresse_ip_dns_secondaire Configuration de ppp ll nous reste configurer ppp Editez etc ppp pap secrets et ajoutez ces deux lignes nom_login password login et password fournis par le provider netissimo netissimo fr netissimo Copiez aussi ce fichier en chap secrets cp pap secrets chap secrets Connexion Pour lancer alors la connexion adsl start Pour la stopper adsl stop Vous pouvez l aussi mettre dans votre etc rc local un appel a adsl start pour lancer votre connexion ADSL d s le boot du PC ou ecrire un petit script pour les lancer via l init sysV aidez vous des scripts existants Modem ADSL USB Alcatel Speedtouch Ce modem fonctionne gr ce un driver opensource L installation est extr mement simple sur une Mandrake 8 x notamment voir cet article et doit bien se passer aussi sur les autres distributions voir l article sur l Alcatel Speedtouch USB Alcatel fournit aussi des drivers Linux pour ses modems USB http www alcatel com consumer dsl dvrreg_Ix htm mais ils sont moins stables que le driver opensource pr f rer On les r cup re juste pour avoir le microcode du modem Modem ADSL USB ECI D cembre 2001 un driver opensource pour ce driver est galement sorti Voir http eciadsl flashtux orq Il est maintenant assez stable
108. service ftp root pingu cat etc xinetd d ftp service ftp socket_type stream wait no nice 10 user root server usr etc in ftpd server_args l instances 4 log_type FILE var log ftp log log_on_success DURATION HOST USERID access_times 2 00 9 00 12 00 24 00 Le serveur ftp hormis les param tres g n riques de configuration autorise des connexions entre 2h et 9h et entre midi et minuit Son fichier de log est var log ftp log et contient en cas de connexions r ussies la dur e de la connexion le nom de la machine cliente et l UID de l utilisateur connect Seules 4 instances simultan es sont autoris es Exemple 2 Le 2e exemple est un fichier de configuration du service telnet root pingu cat etc xinetd d telnet service telnet socket_type stream wait no nice 10 user root server usr etc in telnetd rlimit_as 8M rlimit_cpu 20 Exemple 3 Le dernier exemple se compose de 2 fichiers de configuration pour la gestion de samba par xinetd En effet le service samba lance 2 d mons nmbd et smbd root pingu cat etc xinetd d netbios ssn service netbios ssn socket_type stream protocol tcp wait no user root server usr sbin smbd only_from 192 168 0 0 Configurer les composants d un r seau 87 Le mot de la fin disable no root pingu cat etc xinetd d netbios ns service netbios ns socket _ type dgram protocol udp wait no use
109. situe derri re une passerelle a bien une route par d faut qui lui permet d aller vers l ext rieur Destination default Vous ne pouvez pas atteindre l ext rieur car vous n avez pas cette route 2 solutions e vous ajoutez la route pour la session en cours root pingu route add default gw adresseIP_de_la_passerelle e vous modifiez le fichier de configuration du routage de mani re ce que la table contienne la route pour toutes les sessions etc sysconfig network Vous ne pouvez pas atteindre l ext rieur car vous avez une route erron e 2 solutions e vous modifiez la route pour la session en cours root pingu route del default gw adresseIP_de_la_passerelle_erron e root pingu route add default gw adresseIP_de_la_passerelle_correcte e vous modifiez le fichier de configuration du routage de mani re ce que la table contienne la route correcte pour toutes les sessions etc sysconfig network traceroute Vous ne parvenez pas atteindre une URL ou un poste donn La commande traceroute comme son nom l indique vous tablit la route suivie par les paquets de donn es vers la destination La route est constitu e de tous les routeurs travers s pour arriver a destination Exemple root pingu traceroute 192 168 0 4 traceroute to 192 168 0 4 192 168 0 4 30 hops max 38 byte packets 1 192 168 0 4 192 168 0 4 0 638 ms 1 016 ms 0 667 ms Il s agit d une machine locale Elle est situ e sur le m me r seau aucun
110. slave file zone lea linux org masters ip_serveur_primaire et rien d autre Pas de fichier de zone ni rien Les fichiers de zones seront cr s automatiquement en interrogeant le serveur primaire directement via la directive masters Et si ca marche pas Vous pouvez alors faire exactement les m mes v rifications que celles donn es dans l article serveur cache La seule diff rence est que si vous faites les tests nslookup sur le serveur primaire vous ne devez pas avoir de r ponse Non authoritative Configurer les composants d un r seau 151 Qmail installation d un serveur de mail multi domaine et s curis L a Qmail installation d un serveur de mail multi domaine et s curis par serge Un serveur de mail g rant plusieurs domaines s curis et prot g contre les virus Introduction Nous allons voir dans cet article comment installer un serveur de mail pouvant g rer plusieurs domaines des centaines voir plus s curis contre l open relay mais permettant aux utilisateurs authentifi s d envoyer des mails De plus les mails entrant seront scann s la recherche de virus Car m me si sous linux la plupart des virus mail n ont aucun effet il se peut que certains des utilisateurs r cup rent leurs mails sous windows Ce serveur de mail comprend aussi un gestionnaire de mailing list et une interface web d admin des domaines mails Pour la compr hension de cet article vous devez avoir des notions assez
111. smtp smtp wanadoo fr wanadoo search wanadoo fr wanadoo dns 193 252 19 3 wanadoo dns 193 252 19 4 wanadoo login yyyyyyyyyyy wanadoo password xxxxxxxx wanadoo telephone 0860888080 offline smtp offline search tux global modeminit ATMOLO Chaque ligne de ce fichier est de la forme ident motclef valeur ident peut tre n importe quoi du moment que a ne contient pas d espace mais il y a deux valeurs particuli res e offline pour indiquer que les param tres qui suivent ne s appliquent que lorsque la connexion est inactive e global pour indiquer que ces param tres s appliquent pour toutes les connexions m me offline Configurer les composants d un r seau 43 etc ppp scripts initcnx amp L s motclef est une valeur parmi Mot clef _ Type de la valeur__ Utilisation o cha ne de caract re name le nom de la connexion ident PRES une adresse ip egresso d un DNS serveur de noms de domaine vous pouvez en mettre autant que vous le souhaitez sur des lignes distinctes si vous pr cisez cette option pour une connexion ou pour toutes via global pppd demandera votre ISP les autodns _ rien adresses de deux DNS Dans ce cas que cela fonctionne ou pas les DNS que vous pr cisez par l option dns sont ignor s nom de domaine i PRETE ae F RAS search valide un nom de domaine qui sera ajout automatiquement aux noms qui n auront pu tre r solus sans celui ci Gns fre une adresse IP
112. snort l utilisateur User_snort Recharge les tables de droits pour prendre en compte les nouvelles modifications on se place dans la base o l on veut cr er les tables pour SNORT Configurer les composants d un r se L a Installation Configuration Source create_mysql Cr ation des tables pour SNORT V rifiez que les tables sont bien cr es Allez voir dans var lib mysql snort et Vous y verrez tout un tas de fichiers correspondant au nom des tables de la base de donn es SNORT il doit y avoir 3 fichiers par tables Lancez SNORT D sormais SNORT envoie les informations dans la base de donn es astuce installez PhpMyAdmin et v rifiez la taille de la base de donn es SNORT Si tout fonctionne vous la voyez augmenter si bien videmment il y a du trafic Installation Configuration ACID ACID est une interface PHP qui permet de visualiser les remont es d alarmes g n r es par SNORT Cette partie sous entend que vous avez une base de donn es qui r cup re les informations envoy es par SNORT Avant de suivre l installation de cette application assurez vous d avoir t l charg e Adodb Contient des scripts PHP g n riques de gestion de bases de donn es L installer dans la racine d apache var www htm1 adodb par exemple e PHPlot librairie de scripts PHP utilis e par ACID pour pr senter graphiquement certaines donn es statistiques optionnel Le t l chargement de ACID se fait ici Imaginons que la racin
113. sous r pertoire Il est de ce fait judicieux de choisir des noms de fichiers qui soient parlant et qui rappellent l objet de la protection par exemple test users pour le fichier qui d finira les droits d acc s des dif frents utilisateurs au sous r pertoire test L emploi de etc httpd auth pour ranger les fichiers d autorisation est une pure question de convention Ces fichiers pourraient aussi bien tre rang s n importe ou ailleurs Il va toutefois sans dire mais mieux en le disant que ces fichiers doivent tre hors de port e des visiteurs en clair ne doivent pas faire partie de l arborescence var www htm1 3 1 1 Cr ation de htaccess Exemple simple Avec un diteur quelconque de pr f rence emacs cr er le fichier minimum suivant AuthUserFile etc httpd auth test users AuthName Acc s restreint AuthType Basic require valid user Configurer les composants d un r seau 99 3 Protection du serveur Apache gL eo Sauvegardez AuthUserFile d finit quel est le fichier charg de contenir les autorisations La Mandrake 8 0 suppose par d faut que les fichiers d autorisation sont rang s dans etc httpd La premi re partie de l adresse AuthUserFile peut donc tre omise ventuellement AuthName pr cise le message qui sera affich dans la boite de dialogue dans ce cas Acc s restreint localhost si la machine est nomm e localhost Nous verrons plus loin l int r t de choisir un message aussi explicit
114. state state ESTABLISHED RELATED j ACCEPT IPTABLES A OUTPUT o EXTERNAL_IF p tcp sport 1024 65535 dport 1024 65535 m state state ESTABLISHED RELATED j ACCEPT Voila c est tout le ftp passif doit maintenant pouvoir bien passer votre mur pare feu Par contre pour le DCC il faut encore ajouter une r gle autoriser les liaisons sortantes a initier une connexion Je ne vois pas pourquoi mais chez moi c est n cessaire suite du script IPTABLES A OUTPUT o EXTERNAL_IF p tcp sport 1024 65535 dport 1024 65535 m state state NEW j ACCEPT Pour le DCC j ai comme l impression que le module ip_conntrack_irc a du mal suivre les connexions et c est pour a qu il faut ajouter la troisi me r gle Ce n est pas une trop grande faille de s curit puisque c est nous qui initions la connexion mais tout de m me ce serait mieux si ce n tait pas oblig Si quelqu un trouve mieux je serais content qu il m en fasse part Le ping Pour l instant si vous avez ouvert quelques port Vous avez du remarquer que vous n avez plus acc s au ping Nous allons rem dier cela suite du script IPTABLES A OUTPUT p icmp m state state NEW RELATED ESTABLISHED j ACCEPT IPTABLES A INPUT p icmp m state state NEW RELATED ESTABLISHED j ACCEPT ou alors vous pouvez vouloir limiter les ping entrant pour viter d tre flood et vous remplacez la seconde r gle par les deux suivantes suit
115. tip a dA T A N AEI A TEE A O 185 Meiera eE E Le OI I A N AE A OE A A E TEE TAA T E I 185 EE c E EET ey V INA O een AI NE EEE IOE E AEEA A T ENEAN TASO A E re oor 186 ER E oc E N A AE AT EA I T E A TE A A A IEE AE TESEN A TA A O T A 186 E E ET E E E AEN EANTA EE AANE TTA AEE AE EIA ORE A AA TRE A E TATEA TAA E EE T 186 Sener de Messagene instantan e WaB BSL ii sccsscscertancvessagetcovasnstassunsiadiag Naia EEEa epi AS ENDE EANNAN SANEA EAAS NA NEKEEN ea NNNSNN ROAA 187 OO e EETA T ETE O S E A EA AA E A A deh nth let ihe bd nh AA EAN E VA A T T cd 187 E ee a iee e 0 EN T T EA O T OE A TE A A A IE AE TEON tora ture T O T mailles 187 e EE OA EE ES E EE T AE OA AAA OE AA E T A A E T A A T A EA N 187 L e OEE E E N EA O I AONTA I E A A E SEEE O TAA A T E E T 188 ae EEA COIRE E E A AE E TA E E EA PA TA NOE E E E A A ET TA T T O T 190 PEE E E EE ENEA a ER N AE EO A AOA T A ES A E T TENA T E O T E N 190 E EEEE E E ET E EA ONES N EAN AAE A AOE S ETENE T AA O NTE maladie A ETE 191 LL E E A N EA E N TE I N AEAEE E dha ETIE dh gaa AEA A E TE IORN TA A S EE A 191 RATS LE RS apd E EA EN A E lies E N E S A E P A asda dened ised E A A EER E VA A T E Acs 191 DELETE E EANTA T T T A E T A A EE A sa dena ETA A TE NE A mas indesanes 192 Sa cl E A E T E O N NE N AT E EN T ANE E E A E TAA TA T A AT 195 AAN Eao Ie o 1 cit A N EI A ed dg lta gk sath xii cidade A S AA E E NIA NEO TAEA OT E E I 195 AES EEE T E PAEA T is nah E A E wn ite TAT E TEE A E A T EE ES OEE AE TA A IE
116. un ventuel fichier htaccess contenu dans le sous r pertoire concern par la demande S il le trouve les informations contenues dans ce fichier remplaceront pour la dur e de la requ te celles qui sont contenues dans httpd conf En clair vous pouvez masquer la configuration officielle contenue dans httpd conf en proposant une nouvelle configuration dans un htaccess Faites l essai en mettant en place une protection double e Par httpd conf en mettant Acc s contr l par httpd conf dans la variable AuthName e Par htaccess en mettant Acc s contr l par htaccess dans AuthName Vous pourrez v rifier simplement en renommant htaccess par exemple que la protection par htaccess lorsqu elle est en place remplace bien la protection induite par httpd conf L int r t de cette petite d monstration ne semble pas vident Trois l ments m ritent toutefois d tre retenus e Une protection par htaccess n cessite un travail suppl mentaire d analyse de la part du serveur prendre en compte pour les serveurs tr s charg s ou install s sur des machines poussives e Certaines directives de httpd conf peuvent tre neutralis es modifi es e Une protection par htaccess est prise en compte imm diatement sans n cessit d intervenir sur le serveur 100 Configurer les composants d un r se l w 3 Protection du serveur Ap 3 4 Protection de fichiers particuliers dans un sous r pertoire La protection par htacces
117. vend une telle carte mais les pilotes Linux ne sont pas encore d velopp s et ou distribu s d cembre 2001 Bewan a sorti une nouvelle carte PCI qui fonctionne sous Linux malheureusement pas de nouvelles du driver pour les anciennes cartes malgr les promesses qui ont t faites f vrier 2002 nouvelle version des drivers Bewan PCI ST voir cette news sur linuxfr pour les liens e D autre cartes PCI Olitec sont sorties aussi mais je n ai pas d info dessus Merci de nous contacter si vous pouvez nous aider compl ter cet article ce sujet Ce document s inspire largement du HOWTO ADSL Connexion ADSL via le protocole PPTP Le protocole pptp permet de cr er un tunnel ppp au travers d une connexion ethernet V rification des param tres du noyau Tout d abord v rifions la configuration du noyau vous devez avoir le support PPP soit dans le noyau soit en module Une m thode simple est de lancer en root un pppd Si vous voyez une r ponse du style c est que c est bon arr tez le alors via un CTRL C ou ouvrez un autre terminal ou changez de console virtuelle et tapez un killall pppd Autrement recompilez votre noyau avec le support ppp en natif ou en module Voir la section noyau Installation de PPTP Bon il va falloir avant tout ajouter le support pptp R cup rons donc le package comprenant le client pptp patch to linux 1 0 2 patched tar gzpptp linux 1 0 2 patched tar gz Po
118. votre fuseau horaire utilisez les fl ches de direction pour choisir Attention ne pas sp cifier que votre horloge utilise l heure GMT Make Linux Bootable Directly from Hard Disk L installation de LILO est fortement conseill e sur le Master Boot Record ou MBR Make a Boot Floppy C est votre choix la disquette qui sera cr e et bootera votre syst me en cas de p pin mais entre vous et moi vous avez d j cr tout l heure la disquette rescue qui est elle m me bootable Reboot the System Retirez la disquette ins r e ou bien le cdrom si vous avez un ordinateur bootant sur le cdrom ce stade l ordinateur est bootable l installation des programmes pourra d buter md5 password Comme expliqu l cran une r ponse positive risque de provoquer des probl mes avec un serveur NIS Dans l ventualit d un cas o vous installerez un serveur NIS sur votre ordinateur il est d conseill d utiliser des mots de passe md5 Dans ce cas seuls des mots de passe de moins de 8 caract res pourront tre utilis s Shadow password Pour des raisons de s curit il vaut mieux crypter les mots de passe Par contre une r ponse n gative permettra de voir les mots de passe des utilisateurs a pr sente l avantage de retrouver un mot de passe perdu par exemple Root Password Entrez ici votre mot de passe pour l administrateur syst me appel root Normal Account ll est conseill de cr er ce stade un compte
119. vous souhaitez que cela change je vous conseille de rajouter une entr e dans le fichier etc printcap de fa on cette nouvelle entr e fasse syst matiquement une traduction par exemple passe par ghostscript et d imprimer sur cette imprimante Quelques commandes utiles smbclient Le programme smbclient permet d tablir des connexions avec un serveur SAMBA Pour savoir quelles sont les ressources disponible sur un serveur faites smbclient L serveur samba En ce qui concerne le mot de passe qui va vous tre demand vous pouvez mettre n importe quoi il ne sera pas v rifi Cette connexion semble avoir lieu en tant qu invit Pour vous connecter la ressource ressource samba du serveur serveur samba tapez smbclient serveur samba resource samba U utilisateur ou smbclient serveur samba resource samba U utilisateur Ne pr cisez pas d utilisateur si vous lancez cette commande avec les droits n cessaires Apr s vous tre connect cette ressource vous pouvez envoyer des fichier par put en r cup rer par get Si la ressource est une imprimante vous pouvez imprimer en utilisant print Attention quand vous imprimer sur une ressource Win ou SAMBA le fichier n est pas interpr t par le serveur Donc si vous voulez imprimez un document il faut le transformer pour le rendre compatible avec votre imprimante Avec Linux c est habituellement le travail de ghostscript Supposons par exemple que vous sou
120. 0 0 ARE reduce log verbosity on issues outside our control logging category lame servers null category cname null i prime the server with knowledge of the root servers zone type hint file etc bind db root be authoritative for the localhost forward and reverse zones and for broadcast zones as per RFC 1912 zone localhost type master file etc bind db local zone 127 in addr arpa type master file etc bind db 127 Local Network zone ch19231 rez type master file etc bind db ch19231 rez zone 1 168 192 in addr arpa type master file etc bind db 192 168 1 zone O in addr arpa type master file etc bind db 0 zone 255 in addr arpa type master file etc bind db 255 add entries for other zones below here Il faut distinguer les fichiers de configuration qui serviront traiter les r solutions de noms de domaine en adresse IP et galement la r solution d adresses IP en nom de domaine Par rapport la configuration d origine il a fallu prendre en compte notre r seau il y a eu donc rajout de la configuration du nom de domaine local ch19231 rez Ces configurations tant r f r s au fichier etc bind db ch19231 rezet etc bind db 192 168 1 il faudra alors cr er ces fichiers Il faudra commencer par modifier le fichier etc bind db 127 10 BIND reverse data file f
121. 0 par exemple voir la rubrique r seau local pour a Pour la configuration de la carte externe assurez vous aussi de sa bonne configuration pour acc der au net testez votre connexion en fait de m me si la connexion se fait par modem Pour tout ce qui suit je suppose que votre connexion au net se fait via une carte ethernet en fait si vous utilisez un modem de toute fa on c est identique Bon avant de vraiment configurer le firewall on va tout d abord mettre en place le masquerading Mise en place du filtrage du masquerading routage LAN lt gt NET et r gles de base Assurez vous d avoir bien la configuration pr c dente pour votre kernel validez les lors de la configuration du kernel Compilez le kernel puis les modules Une fois tout a r alis ajouter dans le fichier etc rc d rc local v rifiez le chemin il peut tre diff rent suivant les distributions le chargement des modules de masquerade sbin depmod a n ajoutez cette ligne que si elle n est pas d j pr sente sbin modprobe ip_masq_ftp pour ftp sbin modprobe ip_masq_raudio pour real audio sbin modprobe ip_masq_irc pour IRC et tout autre module comme ip_masq_cuseeme ip_masq_vdolive etc que vous pouvez r cup rer sur le net si vous voulez bien s r que de tels services soit accessibles par votre r seau local Remarque Je vous rappelle quand m me que plus vous ouvrirez de services plus votre s curit baissera En effet certains servic
122. 033 1 31m Stoping ip_masquerade 033 0m n flush_rules remove_modules EF restart echo ne 033 1 32m Restarting ip_masquerade 033 0m n flush_rules remove_modules start_rules install_modules 17 echo Usage etc init d ip masquerade start stop exit 1 esac exit 0 End of file ll faudra galement penser affecter les bons droits ce script bash chmod uga x etc init d ip_masquerade Le script de lancement tant maintenant cr il va falloir cr er les bons liens symboliques dans les r pertoires etc rcN d correspondant chaque runlevel o sera ex cut le script La distribution Debian d conseille de rajouter ces liens symboliques manuellement mais sugg re plut t d utiliser la commande bash update rc d ip _ masquerade defaults Cela mettra le script cr e dans les initialisations des runlevels 0 12345et6 Note de Jic pour d autres distributions vous pouvez utiliser des programmes en mode graphique comme ksysv pour faire ce travail Voil ce stade vous avez un gateway op rationnel vous pouvez red marrer votre ordinateur et le laisser allum aussi longtemps que vous voulez ipmasqadm ipmasqadm permettra de rediriger des informations provenant de l ext rieur vers une machine l int rieur du r seau Ceci aura l avantage de pouvoir utiliser un serveur http par exemple l int rieur m me de votre r seau local Pour pouvoir l utiliser il vous faudra conna tre les num ro
123. 1 3 Utilisation L a peng x 19 martial En modifiant 19 par un mumero de groupe libre sur votre syst me et martial c est moi lol par une liste d utilisateurs normaux autoris s se servir de pengaol s par s par des virgules 3 Utilisation 3 1 ppp ou tun Ce sont les deux drivers possibles ppp est sans doute un peu plus rapide En tous cas il vous faut soit le module tun o soit les modules ppp_generic o et ppp_synctty o Le module ppp_synctty o n tant pas le plus courant il se peut que votre distro soit configur e pour charger ppp_asynctty o la place il faut alors modifier etc modules conf Pour ne pas avoir d erreur de d tection des drivers il faut que les devices soient accesibles par peng donc pensez ajuster si besoin les permissions de ppp et du modem dans dev modules conf peut automatiser cela avec post install Pour v rifier que tout est bien configur tapez pengaol ListDriver ce qui doit donner quelque chose comme ceci au moins Load language fr Nom du driver CPppDriver Auteur Birdy57 Message inclus Vers 0 55 Linux Guid 3812 Le pilote fonctionne sur cette configuration Oui Nom du driver CTunTapDriver Auteur birdy57 Message inclus Vers 0 5 Linux Guid 4212 Le pilote fonctionne sur cette configuration Non Nom du driver CCableDriver Auteur birdy57 amp surfufu Message inclus Vers 0 5 Multi Guid 8301 Le pilote fonctionne sur cette configuration
124. 1 0 18 Il faut maintenant compiler et installer le programme De nombreuses options de configuration sont disponibles permettant d adapter finement le programme a vos souhaits Pour les d couvrir toutes configure help configure se lit point slash configure Quelques unes de ces options de compilation sont d crites ci dessous With language french installation de la langue fran aise With cookie permet en installant le paquetage fortune mod d obtenir un petit message lors de la connexion d un client au serveur FTP With ftpwho autorise la commande pure ftpwho With paranoidmsg les messages d erreurs sont minimaux quelque soit l erreur With puredb autorise le support des utilisateurs virtuels With privsep autorisation des privil ges de s paration am liore la s curit With quotas autorisation des quotas limitation de l espace disque allou chaque compte With throttling autorisation de l ajustement de la bande passante with tls pour compiler PureFTPd avec le support SSL TLS without banner pour ne pas diffuser la banni re initiale Nous allons configurer notre serveur de la mani re suivante configure with ftpwho with puredb with language french with privsep with cookie Attention pour une meilleure s curit si votre serveur est connect Internet les options with paranoidmsg with tls et without banner sont conseill es
125. 168 1 20 end of file Et voici le fichier etc bind db 192 168 1 7 db 192 168 1 Herve J Lombaert 11 28 2000 configuration file for the local network reverse name IN SOA headquarters ch19231 rez root ch19231 rez 1 8H 2H Configurer les composants d un r seau 11 Configurations principales KL 4 1W 1D NS headquarters ch19231 rez i headquarters computer g PTR headquarters ch19231 rez 0 hosts on the local network using dhcp comp one ch19231 rez comp two ch19231 rez comp three ch19231 rez comp four ch19231 rez comp five ch19231 rez comp six ch19231 rez comp seven ch19231 rez comp height ch19231 rez comp nine ch19231 rez comp ten ch19231 rez Oo J o O1 amp NN H U 3 J DADDADDWDWDD N end of file Le fichier etc bind db root contient les serveurs DNS principaux il ne faudra pas toucher ce fichier Une attention particuli re est port e sur le point apr s les noms de machines dans les lignes SOA son oubli est grave et il peut parfois tre long avant de trouver d o peut bien provenir l erreur ll faudra ensuite indiquer quel serveur DNS utiliser On cr e pour cela le fichier etc resolv conf search ch19231 rez nameserver 127 0 0 1 ll est galement possible de modifier 127 0 0 1 pour 192 168 1 1 il s agit en effet de la m me machine ll restera ensuite lancer le serveur DNS bash etc init d bind restart Po
126. 3 3 Application par l exemple echo n Flush des r gles IpTables etc flush_iptables sh RETVAL ega 0 amp amp rm f var lock subsys firewall echo case in start start rF stop stop F restart SEOD start F starus sbin iptables L sbin iptables t nat L RETVAL F echo Usage firewall start stop restart status RETVAL 1 esac exit C est tout simple non 3 2 Le script pour flusher vider les r gles Et maintenant etc flush_iptables sh bin sh Script pour vider les r gles iptables Arnaud de Bermingham duracell apinc org On remet la police par d faut a ACCEPT iptables P INPUT ACCEPT iptables P FORWARD ACCEPT iptables P OUTPUT ACCEPT On remet les polices par d faut pour la table NAT iptables t nat P PREROUTING ACCEPT iptables t nat P POSTROUTING ACCEPT iptables t nat P OUTPUT ACCEPT On vide flush toutes les r gles existantes iptables F iptables t nat F Et enfin on efface toutes les cha nes qui ne sont pas a defaut dans la table filter et nat iptables X iptables t nat X Message de fin echo termine Bon on va enfin commencer les choses s rieuses le script du firewall 64 Configurer les composants d un r se amp L a 3 Application par l exerr T 3 3 Les pr requis pour le script du firewall et cr ation des tables pour les logs Le script sera comment au fur et mesure afin de
127. 5 command 10 verbose 2 set verbosity level 1 min 3 max viewer less text file viewer program xmode 0 FXP mode 0 standard 1 alternative for simple toggles 0 means OFF and 1 means ON a a EE EE PE a a a ae a EEE EE an On voit que des alias existent d ja c est le cas pour chmod ou del par exemple On voit aussi qu il est possible de sp cifier un serveur proxy par la configuration de la partie socks et qu il y a bien d autres options Par exemple si jamais vous souhaitez que les fichiers de 0 octets ne soient pas transf r s il suffit de mettre skipzero la valeur 1 et non 0 La commande que tout le monde attend c est elle qui permet de transf rer un fichier ou groupe de fichiers depuis un serveur vers un autre Pour cela il faut se connecter sur les 2 serveurs et faire en sorte que le serveur qui va recevoir le fichier ne soit pas celui sur lequel vous passez la commande ie vous devez taper cette commande sur le shell correspondant au serveur d envoi En gros si vous souhaitez transf rer un fichier vous devez obtenir quelquechose comme l exemple suivant serveur1 rep reception serveur2 rep envoi On a donc le serveur2 qui a le fichier toto txt que l on souhaite envoyer au serveur il suffit donc de faire Configurer les composants d un r seau 141 Informations compl mentaires L a xi toto txt Et voila c est parti si vous souhaitez transf rez tous les fichiers toto
128. 50 je P Le f appartenant au groupe pourront lire les fichiers qui seront cr s dans ce r pertoire par le biais de SAMBA available es sinon au quoi sert que fred il se d carcasse A partir de maintenant on peut v rifier que SAMBA nous autorise nous connecter notre home plus pr cis ment si l on demande la ressource etoile noire machin et que l on n est pas machin SAMBA s en fiche il fera comme si Pour cela nous allons utiliser smbclient pour nous connecter notre serveur Supposons que l utilisateur fred souhaite se connecter sur le compte home de machin dont il connait le mot de passe SAMBA il devra taper fred awing home fred smbclient etoile noire machin U machin Added interface ip 192 168 1 1 bcast 192 168 1 255 nmask 255 255 255 0 Password rien ne s affiche mes mots passe sont perso Domain WORKGROUP OS Unix Server Samba 2 0 5a smb gt exit pour quitter smbclient Hourra Ca marche Mais il n y a pas que les maisons dans la vie On peut souhaiter partager autre chose que sa maison Configurations des autres types de partage La m thode est globalement la m me sauf qu il faut cr er le partage On se place donc dans la page lt Shares gt et on remplit la zone suivant lt Create Share gt avec un joli nom bien significatif par exemple partage_samba puis on clique sur lt Create Share gt On obtient une page a remplir Voici les valeurs que je sugg re
129. A par exemple ALL pour interdire tout le monde sauf les machines autoris es par lt hosts allow gt Ici hosts deny ALL K aussi le mot clef EXCEPT fonctionne Note cf note pr c dante Si vous utilisez Win en France avec des accents par exemple mettez 1508859 1 Note Normalement dans ce cas vous devez aussi fixer la valeur de client code page 850 la code character set IS08859 1 A page par d faut de Win en france dans la Advanced view Mais chez moi ce n est pas la peine c est la valeur par d faut Dans toutes les autres zones vous pouvez laissez les valeurs par d faut sinon lisez l aide disponible Cliquez alors sur lt Commit Changes gt pour activez ces changements Maintenant on va pouvoir activer des partages au sens de Win Cliquez sur lt SHARES gt Nous allons autoriser chacun des utilisateurs que nous avons enregistr se connecter son r pertoire home Dans la bo te d roulante situ e entre les boutons lt Choose Share gt et lt Delete Share s lectionnez lt homes gt et cliquez sur lt Choose Share Les seules zones que vous devez fixer sont Valeur Commentaires les invit s ne sont pas autoris s dans les r pertoires maison home Si vous souhaitez les autoriser mettez Yes mais ce n est pas tr s logique la meilleur valeur est 0750 qui signifie que seul l utilisateur aura le droit de lire et crire et que seuls les utilisateurs create mask 07
130. AN E E A EN IA EAS TA S NEE A EIE A AAE TREA E TAIA TAE A A T T N 173 LAES LNE ATIT N O O A N E E E A T TE T E ETT ON 173 EEE RAS EA N O T OE E S A E T EN E E A T A AET TA A T T 173 SUT bei TAL ad ARE DER dre arr Orton ty nanas AS ATA VEIE AE TAE OEN tora ture P O T E enter enter 174 Prather CONNEXION derisnncniceiscnsiasenornsre tassuadits nssseeabetanduas indiana siete aedaadbddsna tues eaaa EE aa adaa eaaa aaeei iaia 174 LINN SN Cee DONNE NUNS aie anti N EE SN O EE N ATE TEA ahaa AS ARNES a ka duane N E E 174 AILEE AEE A E T A E O A A A due T AEN EE T E NA 176 EETA EE E TAA TEA AA V E N TE AE O T EO I A A T E 176 AAEE AL E A ENEA ATI IA OE AS COPING O AA A O E A NEA ERE E TAERE A A TENO O T N 176 Ds e MAN Ro ANDETE D a E EN A NEIE A T A NE ANE TAN Le E SENORA O IAE OT T 177 Eae t ol eee Orne rer E NA O N S E A ES A E E A EN riety nt lit sine AA E VA sainte rn a tre am ater rere 177 Tres TET ovate E E 2 hd 177 He os Ed OT no riches A E T O A E T E A T TT 177 Lancement de SNORT ES ogs SNORT avot NG siasii akinena iedod eain AAE sea AEREA AeA entire ETa Creation de la basa de d nn ss SNORE nu epi A Rda EO Ea Ea Lassies a a AEA Aaa a EE ieaS 178 a E oe e C EE AE A A A A EN A E O O T E T AA T T T 179 SST LEALL S E AOT AO NI EA T TA AAT TA WA A EE I EA IRE ANIE E TA T TE E T 180 S E A EEE i EE A T NA ET AT EAE I T SE A TTE A AA E AE TEEN A TA O TA I 185 AAU EA Le e i PEA AE R NAE EA A S A E ANE tn Boh i dwn EE PA
131. E E AEN E T AAN OE O AE A E A E A I A E A T E AT S A adm TE TE 168 COMORES AEA EEA OIE eh ne 168 Client Serveur VNC EEEN PIENE OVENI ite UE nad A EAA oon EE A ud addled EA apache cde edie a PO eRe naa ne 169 MY AS eS ra in ire E E E O NETE E E E AET T O TAE TAN 169 L principe de TORCMOMMGINOINE sessirnir e inaia e atida cena bbontendbaavad Ease Eten RL ada ERANG ANEN eieaa 169 EELE E E A E I S A A E ps pick nea ld aad ETAN T EA RR ap tb ae S AT EAE T INANA E 169 So fe MMe EE TE A ten A AEA A E N E S T E N A A N AE TE A EE 169 EES ath irr Cl sarno cous WF IS sesisih 170 ALLIE do ae LA LE RP RP aen oda SIS a od ced ace aaa Ad chsh ea SEE 170 ROMA srl AN AE A E A tas btan ets ones N A ATEA T E TE 170 ERE E E E NS E T E NIE A NE NEA A N AE AEE AE NETET ETS 171 Configurer les composants d un r seau amp L eo Table des mati res Configurer les composants d un r seau BEANO ELE Ta cased cach oh el Bgl dt gcc cn le eA cl wat el eed hac vc ce mela an tht A O NAS bd ka png cde dando anemone 171 PS ePaper co nono etch ee Ct aed stb ina tennis 171 RAS AO ER sit cdi deu rende td aaa dca dda cdi deal ced cca Ae dial eck tata lien are india dti eine 171 LR eM I AES E EA E IEA E E E A N A EP pin ted Re gc hd had aie micah dong T E 171 DEA ES fe Me Oe E aera ep ee O NA A E T EA dinars AA IRE NIE TA rere re rer renter ee reer 173 dria E OAN EE ES TE ERE PN AIEA N E A T A TA ec T ANEA AAN AE OOE TT E E Tren E E 173 DRAILLA E A
132. E E TE 195 E E ETL AAE ES EO NT VEI AST IO AE NAATA E EEOAE A E RE ATE AY ONO IA EE T A ero onre 197 Configurer les composants d un r seau 29 5 2000 un IP Masquerade HOWTO lien mort est sorti Il met jour l ancien_mini HOWTO en attendant la traduction anglaise Nous avons besoin de correcteurs Si vous voulez nous aider prenez le fichier source voir lien en bas de chaque page corrigez le et envoyez le moi par mail Voici les documents qui concernent le r seau local et internet Configuration carte r seaux pour un r seau local par Serge quelques modifications par Fred et Jic ou comment faire communiquer tous vos ordinateurs entre eux Le protocole r seau de pr dilection pour Unix et l internet est le TCP IP mais pour de nombreux d butants et non informaticiens configurer un r seau est plus qu un casse t te Alors on va voir comment configurer un tel r seau sous Linux quelques PC reli s entre eux pour les connexions pour le net voir les autres rubriques Le HARDWARE carte r seau Pr requis Bon avant tout il faut configurer la partie hard du r seau Dans le cas d un r seau local on a plusieurs machines pour les connecter entre elles il faut des cartes r seau et ce qu on appelle un m dia ou support On a le choix entre plusieurs topologies que je ne vous explique que tr s rapidement e C blage en bus coaxial ou BNC le moins cher mettre en place de bonnes performances de c
133. EAD gt DenyAll lt Limit gt lt Limit STOR gt AllowAll lt Limit gt lt Directory gt lt Anonymous gt Suite une remarque de Drinou voici une pr cision sur le contexte de configuration lt Anonymous gt et surtout sur la directive UserAlias si jamais vous voulez que la connexion anonymous se fasse avec un user qui n existe pas sur votre syst me vous devez utiliser les UserAlias vous pouvez v rifier votre configuration avec l exemple suivant lt Anonymous home e smith files primary html download gt Group public User public UserAlias anonymous public UserAlias ftp public AnonRequirePassword off MaxClients 10 lt Limit WRITE gt DenyAll lt Limit gt lt Directory upload gt lt Limit READ gt DenyAll lt Limit gt lt Limit STOR gt Allow All lt Limit gt lt Directory gt lt Anonymous gt Donc dans cette exemple nous voyons que les users anonymous et ftp n existant pas sous notre OS sont alias s avec le user public qui lui existe r ellement Cela permet donc aux clients de se connecter avec le compte anonymous sans que celui ci n existe r ellement sur le syst me Contexte de configuration ftpaccess Pour ce dernier je n aurai pas d info vous donner n ayant pas trouv son utilit et la mani re de s en servir surtout que je n en ai pas eu besoin Compl ment sur la configuration de proftpd 128 Configurer les composants d un r se L a Configuration Filtrage par Adresse IP
134. EPT es A OUTPUT o lo j ACCEPT passe sur le r seau local 192 168 1 0 es A INPUT s 92 168 1 0 24 j ACCEPT es A OUTPUT d 192 168 1 0 24 j ACCEPT es A FORWARD s 192 168 1 0 24 j ACCEPT r solutions de nom ie le dns es A INPUT i ppp0 protocol udp source port 53 j es A OUTPUT o ppp0 protocol udp destination port es A INPUT i ppp0 protocol tcp source port 53 j es A OUTPUT o ppp0 protocol tcp destination port e Pour accepter le traffic web on veut surfer iptabl LOG_AC iptabl NEW ES es A IN CEPT es A OUTPUT o ppp0 protocol tcp destination port 80 m state state D j LOG_ACCEPT TABLISHE PUT i ppp0 protocol tcp source port 80 m ACCEPT 53 j ACCEPT ACCEPT 53 j ACCEPT gL state state ESTABLISHED j La premi re ligne pour accepter ce qui entre sur notre interface pppO sur le port 80 le port http si c est une connexion d j tablie la seconde pour accepter ce qui sort sur ppp0 sur le port 80 si c est une nouvelle connexion ou si c est une connexion d j tablie Pour autoriser le ssh il faut pr ciser le port 22 pour autoriser l irc le port 6667 ou celui que vous utilisez pour vous connecter votre serveur pour le smtp envoi d emails le port 25 pour le pop3 r ception d emails le port 110 pour le imap r ception d emails les ports 143 et 220 imap3 pour le cvs le port 2401 pour le https le por
135. Ftpd il faut le tuer kill numero_de_process e Relancer le serveur PureFTPd en supprimant l option de d marrage E usr local sbin pure ftpdd A b B c 15 C 2 j l puredb etc pureftpd pdb R u 1 X F usr share games fortunes fr amusantes H N oubliez pas de modifier aussi ceci dans le fichier etc rc 1local en pr vision du prochain red marrage de votre serveur Vous avez alors un serveur acceptant les connexions avec utilisateurs virtuels enregistr s et avec utilisateurs anonymes 138 Configurer les composants d un r se L a Introduction prof Introduction a profxp par DuF Pr sentation rapide de profxp Introduction Pour ceux qui ne connaissent pas FXP je vais faire une pr sentation rapide On peut dire que FXP est un protocole m me si en fait ce n est qu une application sp cifique du protocole FTP faisant partie de la suite de protocoles TCP IP Grace a FXP il est possible d effectuer des transferts de fichiers de serveur FTP serveur FTP depuis un poste tier Cela peut tre tr s utile pour transf rer depuis chez soi des fichiers un ami alors qu ils sont sur un autre serveur Ainsi il ne nous est pas obligatoire de les t l charger pour ensuite les renvoyer a notre ami De plus notre bande passante pendant le transfert n est aucun moment r ellement utilis juste quelques petites infos mais c est infime Par contre il faut savoir que pendant le transfert il n est pas possible de suivre l tat
136. G PSH j DROP iptables A FORWARD p tcp tcp flags SYN FIN SYN FIN 80 Configurer les composants d un r se L a m j L iptab iptab m j L iptab iptab m j L iptab On pa iptab On pe et de iptab iptab On pe iptab On pe iptab Tout iptab Tout iptab imit limit 5 minute OG log level notice log prefix SYN FIN es A FORWARD p tcp tcp flags SYN FIN SYN FIN j DROP es A FORWARD p tcp tcp flags SYN RST SYN RST imit limit 5 minute OG log level notice log prefix SYN RST es A FORWARD p tcp tcp flags SYN RST SYN RST j DROP es A FORWARD p tcp tcp flags RST RST ACK imit limit 5 minute OG log level notice log prefix RST ACK es A FORWARD p tcp tcp flags RST RST ACK j DROP sse les paquets valides dans notre chaine KEEP_STATE es A FORWARD j KEEP_STATE rmet le controle de time exceeded port not found sur notre r seau es A FORWARD p udp s LANS dport 11 j ACCEPT es A FORWARD p udp s LANS dport 3 j ACCEPT rmet le http sur notre serveur web es A FORWARD p tcp d WEB dport 80 j ACCEPT rmet le Ftp sur notre serveur FTP es A FORWARD p tcp d FTP dport 21 j ACCEPT notre r seau a le droit de sortir vers l internet es A FORWARD s SLANS j ACCEPT ce qui n est pas d clar doit etre bloqu es A FORWARD j DROP Configurer les composants d un r seau Mise en place du Filtre 81 XINETD
137. IER ABORT NO DIALTONE ABORT Invalid Login ABORT Login incorrect tr Nate ORT foreach modeminit print CHAT S_ n OK print CHAT ATDTStelephone CONNECT TIMEOUT 5 1 Dour mo F close CHAT open PEERS gt etc ppp peers auto print PEERS connect usr sbin chat v E etc ppp chat auto user Slogin ipparam cnx n e F if autodns print PEERS usepeerdns n close PEERS open PAP etc ppp pap secrets file while lt PAP gt file _ close PAP open PAP gt etc ppp pap secrets on supprime les occurrences pr c dentes file s AUTOBEGIN AUTOEND s if Slogin ne file AUTOBEGIN nSlogin Spassword n AUTOEND print PAP file close PAP open SENDSRC etc sendmail BASE open SENDDST gt etc sendmail cf while lt SENDSRC gt s MAILHOST Ssmtp g print SENDDST close SENDSRC close SENDDST on modifie le ns open RESOLV gt etc resolv conf print RESOLV search search n foreach Snameserver resolv print RESOLV nameserver Snameserver n close RESOLV on relance sendmail seulement si clest ip up ou ip down qui a lanc le Configurer les composants d un r seau etc ppp scripts initc 45 Un fichier etc ppp ip up peine plus complexe L a script en effet il faut tre root if ipup ip up down etc rc d init d s
138. IVTMRAwDgYDVQQIEwdBeml6b25hMRAw DgYDVQQHEwdQaG9lbml4MREwDwY DVQQKEwhESUxMSUdBRjJEPMA0GA1 UECxMGSmFi YmVyMRcwFQYDVQQDEw5DaHJpcyBNYORvbmFsZDEZMBcGCSqGSIb3DQEJARYKcGh4 LWphYmulcjCBnzANBgkqhkiGQwOBAQEFAAOBjQAwgYkCgYEArbyosgcyf9VNpPZc nU6yKdfAsOSpBu n MkChis5POuLkxXo62WEoiYuDYF6bmd6XYaVC7ZwltcCwTlv OqdErh4u82E2qeArNOj9eq6EX MMrYBSkv2nzwabNkkWPCS9VaOsVWx kvRw598p ACyANf52liFhfDGISIloTIBOn ysCAwEAAaOB6TCB5jAdBgNVHO4EFgQUv9mxal Yj o7Um9ZKOOSWOphiG23AwgbY GA1 UdIwSBrjCBq4AUv9mxal Yjo7 Um9ZKOOSWOphiG 23ChgY kg YwwgYkxCzAJBgNVBAYTAIVTMRAwDgYDVQQIEwdBeml6 b25hMRAwDgYD VQQHEwdQaGglbml4MREwDwYDVQQKEwhESUxMSUdBRjEPMA0GA1 UECxMGSmFiYmVy MRcwFQYDVQQDEw5DaHJpcyBNYORvbmFsZDEZMBcGCSqGS lb3DQEJARYKcGh4LWph YmJlcolIBADAMBgNVHRMEBTADAQH MA0GCSqGSIb3DQEBBAUAA4GBAGZAWYHIBY P ioqT804t4030MkIDR7Q9Wgqc0Uv1dUXViIOKDzkzHXV gB89yOmF Vi6qNg7GB4rexs 0 fMmISOkvXJPRCvmX05J9c5UpveprkTjp7 ECHPNZgaGsdNT lilJ2f83uT vpJgM KoQY9OKbV4NnkxDM8IxCjvivGvrbvnkR END CERTIFICATE subject C FR ST FRANCE L Departement O organization OU Jabber CN contact name Email email address issuer C FR ST FRANCE L Departement O organization OU Jabber CN contact name Email email address No client certificate CA names sent SSL handshake has read 1042 bytes and written 320 bytes New TLSv1 SSLv3 Cipher is DES CBC3 SHA Server public key is 1024 bit SSL Session Protocol TLSv1 Cipher DES CBC3 SHA Session ID A23C1FB04F635EC09F92CBD722DAB8BB1503B54D4A0E9C61B3708CB33D6ED372 Session ID ct
139. L a Linux Entre Amis L aBook Chapitre R seau par tous les amis de L a Les droits de copies sont d tenus par les auteurs des diff rents articles Les droits de copie du livre lui m me sont d tenus par L a Association Loi de 1901 Vous tes autoris copier et diffuser ce livre La vente de ce livre est soumise l autorisation des diff rents auteurs de celui ci L a Configurer les composants d un Table des mati res Configurer les composants d u s a aa a aa aE E a aaa a a E Aa aAA non sent none non E a EAA ane onu madonna san nee sant Niens 1 Configuration carte r seaux pour un r seau local 1 Le HARDWARE carte r seau 1 Configuration r seau de la carte 2 Si vous avez des machines non linux sur votre r seau wd Se monter son propre gateway passerelle sous Linux iD 5 5 7 OO E ia mondeo rdunnnenn Utilisation d ipchains et de ipmasgadm Uilisatondipabies noyaux ZM heidni eis eiaa ieaiaia eeni sass aise tan dre la ere e sn p anni Ada seen anna 17 LT US al 1 AE ENE O E A EU E OS T A EAN PR D PE OT PR TA NE IE ore N I IT ETS 18 xbbianoe come OSEAN aantoe eaea Sienen AAA Snan aAa ESDA ANNE EAAS ESA TE BEA EAA MaA ices esiantiadasnaseaestaniongede 19 Anant TODOS egna diners sided syndtentanduashedexeressbbtensenstibceataasublendeadhianegeces Gide na iaasna EEEN 19 MEKAAR EIEE LONLA A EARE EA O T A A O NEA AA N AN ATAOE
140. L a Tester Passwd Vous pouvez tester la configuration initiale de Passwd en allant avec un navigateur web sur http mail example com horde passwd Regardez dans var log messages pour les messages de d buggage Changez votre mot de passe Attention n importe quel mot de passe de n importe quelle longueur sera accept car poppassd est lanc sous l identit root Kronolith Mnemo et Nag D compresser les paquetages et renommer chaque r pertoire tar zxvf kronolith 1 1 tar gz C var www html mail horde tar zxvf mnemo 1 1 tar gz C var www html mail horde tar zxvf nag 1 1 tar gz C var www html mail horde cd var www html mail horde mv kronolith 1 1 kronolith mv mnemo 1 1 mnemo mv nag 1 1 nag Installer Kronolith Cr er la base dans MySQL que Kronolith utilisera cd var www html mail horde kronolith scripts drivers mysql user root password D horde lt kronolith sql Modifier le fichier var www html mail horde config registry php this gt applications kronolith array fileroot gt dirname __FILE__ kronolith webroot gt this gt applications horde webroot kronolith icon gt this gt applications horde webroot kronolith graphics kronolith gif name gt _ Calendar allow_guests gt false status gt active Configurer l ic ne Kronolith dans IMP Modifier le fichier var www html ma
141. Le serveur doit vous renvoyer les informations suivantes lt iq id auth1 type result gt lt query xmins jabber iq auth gt lt username gt jabberuser lt username gt lt password gt lt digest gt lt resource gt lt query gt lt iq gt Connectez vous alors votre compte lt iq id auth2 type set gt lt query xmins jabber iq auth gt lt username gt jabberuser lt username gt lt password gt secret lt password gt lt resource gt telnet lt resource gt lt query gt lt iq gt Le serveur doit vous r pondre lt iq id auth2 type result gt Indiquer au serveur que vous tes en ligne lt presence gt Le serveur doit vous envoyer imm diatement un message de bienvenue param trable dans le fichier jabber xml lt message from jabber masociete com to jabberuser jabber masociete com gt lt subject gt Welcome lt subject gt lt body gt Welcome to the Jabber server at localhost we hope you enjoy this service For information about how to use Jabber visit the Jabber User s Guide at http docs jabber org lt body gt lt message gt Refaire la m me d marche depuis un autre poste distant avec un autre nom d utilisateur puis essayer d envoyer un message votre premier compte lt message to jabberuser jabber masociete com gt lt body gt hil lt body gt lt message gt Pour quitter correctement vos sessions telnet lt stream stream gt Si tout
142. Modem Pour une configuration multi utilisateurs partage de connexion et l ADSL il faudra toffer un peu cette configuration Enfin SmoothWall est bas sur un noyau Linux 2 2 19 et sa mascotte est un ours polaire du nom de Smoothie Installation ATTENTION L INSTALLATION DE SMOOTHWALL PARTITIONNE ET FORMATE COMPLETEMENT LE DISQUE DUR DU SYSTEME SUR LEQUEL IL S INSTALLE TOUTE LES DONNEES PRESENTES SUR CE SYSTEME SERONT DONC PERDUES IRREMEDIABLEMENT ATTENTION Il est bien s r conseill de lire les documentations officielles de SmoothWall pour avoir plus d informations Notamment la FAQ j ai bien aim l humour british des chapitres On Not Reacting Like A Looser et Questions Not To Ask C est essentiel pour ne pas reposer aux auteurs ou la communaut SmoothWall des questions dont la r ponse figure d ja dans la documentation Nota Il est judicieux de brancher votre firewall sur un onduleur le syst me de fichier du noyau linux 2 2 19 est ext2 et n est pas journalis Il supporte tr s mal les reboot brutal Il faut d abord t l charger l image Iso 21 Mo environ sur le site de SmoothWall puis graver cette image sur un cdrom Nota Si votre bios n accepte pas le boot sur cdrom il est possible de cr er une disquette de boot avec l utilitaire rawritewin figurant dans le r pertoire dosutils du cdrom sous Windows et en s lectionnant l image boot 1 0 img En fait c est comme pour n impor
143. NNING MTU 16436 Metric 1 RX packets 442 errors 0 dropped 0 overruns 0 frame 0 TX packets 442 errors 0 dropped 0 overruns 0 carrier 0 collisions 0 lg file transmission 0 RX bytes 278720 272 1 Kb TX bytes 278720 272 1 Kb pppO Lien encap Protocole Point Point inet adr 213 41 132 215 P t P 62 4 16 248 Masque 255 255 255 255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU 1492 Metric 1 RX packets 2001693 errors 2006395 dropped 0 overruns 0 frame 0 TX packets 1858378 errors 0 dropped 0 overruns 0 carrier 0 collisions 0 lg file transmission 3 RX bytes 1238624343 1181 2 Mb TX bytes 549766984 524 2 Mb Les informations fournies par la commande fom de l interface r seau Configurer les composants d un r seau 19 Les services r seaux configur s sur ma machine L a adresse MAC ou mat rielle adresse IP li e l interface r seau M TU RX TX nombre de paquets arriv s destination perdus ou non re us cause de d bordements arrivent de mani re trop rapide pour pouvoir packets tre trait s par le noyau autre l ment de diagnostic notamment lorsque les transmissions deviennent tr s lentes voire inexistantes collisions se produit lorsque 2 machines mettent en m me temps sur le r seau Il n y a pas lieu de s inqui ter tant que le rapport nombre de paquets total nombre de collisions reste inf rieur 30 Pour de plus amples informations concernant le fonctionnement de l adressage IP lire l article sur TCP IP
144. P c est comme cela que font tous les h bergeurs ils ne prennent pas une nouvelle IP pour chaque nouveau client h berg Par exemple votre serveur web h berge deux sites web d url www domaine1 com et www domaine2 com et a comme adresse IP 80 10 20 30 voici comment d finir les deux VirtualHost NameVirtualHost 80 10 20 30 lt VirtualHost 80 10 20 30 gt ServerAdmin webmaster domainl com DocumentRoot home domainl www ServerName www domainl com ErrorLog var log apache domainl error log CustomLog var log apache domainl access log combined ServerAlias domainl com lt Virtualhost gt lt VirtualHost 80 10 20 30 gt ServerAdmin webmaster domain2 com DocumentRoot home domain2 www ServerName www domain2 com ErrorLog var log apache domain2 error log CustomLog var log apache domain2 access log combined ServerAlias domain2 com lt Virtualhost gt NameServer permet de d finir sur quelle IP les virtualhosts sont d finis lt VirtualHost gt permet de d finir un nouvel h te virtuel apache avec son adresse IP associ e En combinaison avec la directive ServerName il d finit aussi le nom avec lequel le serveur doit etre appel Cela signifie que si le serveur re oit une requ te sur son IP 80 10 20 30 avec le nom www domain1 com le serveur va donc fournir les pages webs contenues dans home domain1 www gr ce la directive DocumentRoot De la m me facon il va fournir les pages de home domain2 www si on appe
145. Perl pour PostgreSQL ainsi que les modules Perl utile si vous voulez utiliser Perl pour vos applications avec PostgreSQL e with tcl ajoute le support de Tcl Tk e with pam ajoute le support de PAM e with openss1 ajoute le support d OpenSSL Remarque pour les d veloppeurs qui souhaitent ajouter d autres supports ou fonctions tapez la commande configure help pour conna tre toutes les options disponibles Une fois que le configure a termin son travail sans erreurs lancez la compilation des sources avec make Configurer les composants d un r seau 107 Installation a partir des RPMS L a Une tape optionnelle mais n anmoins int ressante est de lancer une v rification avec la commande make check PostgreSQL va cr er une base de donn es temporaire et tester un certain nombre d op rations comme la cr ation d une table l utilisation de champs de type divers etc Normalement vous devriez avoir un taux de r ussite de 100 Passez ensuite en super utilisateur root pour lancer l installation make install puis toujours en tant qu utilisateur root lancez la commande chown postgres usr local pgsql Remarque remplacez usr local pgsql par le r pertoire d installation sp cifi avec l option prefix si vous en avez sp cifiez un Installation partir des RPMS L installation est plut t simple urpmi postgresql server Pour satisfaire les d pendances les paquetages suivant
146. TA A T E T N 19 Les Services r seaux contigus ur ma MaCS as sii sicocscsnstissnnaicduaaswerntandua cnaareanconshibecsdd ASNE tween N AEEA EEA NAERAA naaiabenavenientingeas 20 tes Orme pa CUMS dJe diagose ESE AL isn ccc sarcesasasicovsndnotessinciadiaasuernpiasdnadpadsuascbaandeatnsa indies NEARE ENA AA Aa EAE EAEAN AENA 22 DE AOC ER MIU rice NE EE bil en TEE N E E E E NE A dad A EE E SAA E TE A E N OEE 28 Palamerst Sa Connexion a imeneet pat moge Missiaen ienien dont EAAS END EEE AAN ERANA ANEAN A AmaE eA 29 DRS TER SO CR oats E T A AE A AE NA R EN TEE ed N AEA E VA AT EET 29 e E E ROEE KEE EAEN A E A OENE E OEE A AT TENEN AA TA E T EI 29 EE Ae Ik Lord EAEE A T E A I T AAA T A I A E A AE EA AT VIIE O T A T OR 30 Comble re coniater ben N Oiarso a i aS N Endaia ENANA banad ENSA AAA senda KEAN Eia BAA ANAA a EAEAN 31 TNA MR TN AE E EE it A E A E T N ich A EA E tad hd A A E E A E VEEN na N E 31 PEE E O E ANE N EEI O TAE N AN EAE A OA ATALET TANN OAT AEE ATENT 31 MINUS SOM apc cir EENE A A O E P E AA T NEE AE EE E ER EE deg N EA O TEA S EE 32 Eo E S OEA le TA E 32 Ee LEARE A en EL i A E A O A E E A I A NEA A E OEA AA A A A ET 33 ie iele EE E as A EI N AE hahaa i ASET A AE E ETAT N A AERA S OAOE E A E 33 Urni peude technie peaini ds ira rte ntendeantadexbrasebitansensiabenaeaesgblecsnadhissa sues ee na Lt Rien dre Las Dane aaia D s 33 Se Ds lies LS Come te TE E AN OAE RE DAT Te TAE I T 33 Configuration de SR OS PATAAS E AE IA E T AEE OREA TEE RATT
147. TTENTION moi m me et d autres utilisateurs avons eu des probl mes avec kppp et la Mandrake 7 0 la connexion s arr te toute seule sans raison apparente Allez voir sur le site de Mandrake et dans les liste d aide de leur site ou alors utilisez 1inuxconf pour configurer votre interface ppp0 Connexion en mode console Bon maintenant la bonne vieille m thode de configuration la main si vous avez pas d interface X ou pas d utilitaire pour configurer la connexion ou tout simplement si vous voulez pouvoir lancer la connexion internet par un simple script ce qui est plus dans la philosophie Unix On va cr er un script la main mais comme on est feignant on va s aider d un utilitaire pppsetup livr en d faut sur la slackware que vous trouverez sur Freshmeat Eventuellement installez pppsetup puis lancez le Il vous demande dans l ordre le num ro de t l phone de votre fournisseur d acc s le port s rie o est branch le modem la vitesse du port prenez 115 KBPS maximum 57 6 par s curit NO pour le callback validez l init sans rien taper le nom de domaine de votre fournisseur d acc s du style free fr OU wanadoo fr etc l adresse IP du serveur DNS de votre fournisseur d acc s PAP pour l authentification votre user et votre mot de passe et enfin exit Puis pour vous connecter tapez dans un terminal ppp go et pour vous d connecter ppp of Si rien ne marche regardez les log de syslog var log messages
148. YY YYY A la place de xxx xxx xxx xxx vous mettez l adresse du premier DNS name server serveur de noms que vous a fourni votre ISP et la place de yyy yyy yyy yyy le second On a le droit de mettre des commentaires dans ce fichier pour peu que ceux ci soient pr c d s du caract re Testons cela r tablissez votre liaison usr sbin ppp call connexion0 puis lancez nslookup ce que vous devez tapez est en gras les r ponses ne sont pas n cessairement les m mes root becane home nslookup Default Server ns3 wanadoo fr Address 193 252 19 3 gt www free fr Server ns3 wanadoo fr Address 193 252 19 3 Non authoritative answer Name www free fr Address 212 27 32 114 gt exit A la place de www free fr vous pouvez taper n importe quel nom de domaine valide Si vous obtenez gros tux can t find gros No response from server C est que e ou votre configuration n est pas valide ou vous n tes pas connect ou vous n avez pas ajout le bon DNS dans etc resolv conf e ou le nom de domaine que vous avez tap n existe effectivement pas ce qui est le cas ici gros tux n existe pas tablissement et coupure de la connexion Pour activer la connexion vous avez d j pu constater que la commande est usr sbin pppd call connexion0 videmment connexion0 doit tre remplac par le nom du fichier de configuration dans etc ppp peers Pour que n importe quel utilisateur ait le droit d activer
149. a l avantage d tre tr s s curis pour la machine cliente a fait cache la plupart du temps donc a r duit le trafic r seau a peut permettre l authentification aussi si l on oblige une authentification sur les applications du Proxy Par contre a demande des configurations sp ciales sur les clients a demande aussi d installer sur le proxy les applications serveur de chaque protocole que l on souhaite fournir aux utilisateurs et a consomme norm ment de ressources Proxy SOCKS Il ne travaille pas sur les applications en fait il refait en quelque sorte les connexions Le client passe par le Proxy qui lui en interne refait la connexion vers l ext rieur Comme les Firewalls filtrants ils ne font pas d authentification mais peuvent quand m me enregistrer l utilisateur qui a demand la connexion Pr installation d un Firewall filtrant sous Linux On va dans cette partie configurer le kernel pour pr parer notre syst me devenir un Firewall filtrant Comme je l ai dit plus haut les Firewall filtrants sont facilement configurables sous Linux car ils sont pris en charge directement dans le noyau de Linux Ce type de Firewall tant tr s l ger il vous suffit d un 486 avec 16 voire 8 Mo de RAM Vous avez besoin aussi suivant la version du kernel e Version 1 x x une copie de ipfwadm mais bon je vous conseille vivement de passer a une version sup rieure de kernel e Version 2 0 x ipwadm est s rement d j
150. a jabber masociete com et l adresse IP 192 168 0 1 Mat riel requis Le mat riel requis d pend du nombre de personnes qui vont se connecter votre serveur un syst me Linux quip d un processeur de type Pentium avec 512 Mo de Ram peut supporter de 100 1000 utilisateurs avec un taux de charge maximum de 50 La bande passante n cessaire est de 15 bits par seconde par utilisateur connect Attention sans recompilation Linux n accepte pas plus de 1024 connexions simultan es Installation partir des sources Se logger comme root R cup rer la source du serveur Jabberd l adresse suivante http jabberd jabberstudio org downloads jabber 1 4 2 tar gz et la copier dans le r pertoire usr local D compresser le fichier source tar zxvf jabber 1 4 2 tar gz Renommer le r pertoire jabber 1 4 2 mv jabber 1 4 2 jabber R cup rer le code source de openssl openssi 0 9 7b tar gz l adresse suivante http www openssl orq Et la copier dans le r pertoire usr local D compresser le fichier source tar zxvf openssi 0 9 7b tar gz Renommer le r pertoire openssi 0 9 7b mv openssl 0 9 7b ssl Changer de r pertoire cd ssl Compiler openssl Perl5 doit notamment tre install config make make test Configurer les composants d un r seau 187 Configuration L a make install Changer de r pertoire cd usr local jabber Installer le serveur jabber avec prise en ch
151. a d passe le cadre de cet article Cas particuliers ll existe des cas particuliers ce sont les protocoles qui ouvrent plusieurs liaisons en m me temps le DCC pour irc le ftp passif les protocole vid o comme le h323 Ils fonctionnent souvent mais pas tous sur le principe suivant le client vous r clame quelque chose un fichier au serveur le serveur ftp celui ci r pond la demande en ouvrant une nouvelle connexion al atoire en g n ral c est ce qui nous pose probl me on ne sait pas quel port ouvrir r seau sur le client vous Pour ne pas ouvrir n importe quel port plus pr cis ment pour ne pas ouvrir TOUS les ports pour tre en mesure de r pondre la demande du serveur il faut que nous soyons capable de tracer to track en anglais la provenance de la demande de connexion pour tre sur que la demande de connexion provient d une liaison que nous avons nous m me initi C est le r le du module ip_conntrack et de ses acolytes ip_conntrack_ftp pour le ftp et ip_conntrack_irc pour l irc Pour que cela ce qui va suivre fonctionne il faut donc que ces modules soient charg s C est ce que nous faisons au d but du script donc plus besoin de nous en occuper si ce n est pour autoriser les connexions qui sont en relation avec celles d ja tablies sur les ports qui sont utilis s par irc et ftp suite du script IPTABLES A INPUT i EXTERNAL_IF p tcp sport 1024 65535 dport 1024 65535 m
152. a raison pour laquelle il ne faut surtout pas en cours d installation de MySQL donner suite la proposition du script de d finir un mot de passe administrateur voir http jeanmarc lichtle free fr Apache_PHP_MySQL html D finir un mot de passe ce stade de l installation bloquerait le fonctionnement ult rieur de phpMyAdmin Pour le v rifier faites simplement l essai de fixer un mot de passe pour root dans MySQL La syntaxe SQL est la suivante mais vous l aurez d j devin mysql gt update user set Password password mdp_root where user root Un petit coup de mysqladmin flush privileges y en a qui avaient oubli et voil le mot de passe administrateur pris en compte par le serveur MySQL Pour la petite histoire c est la derni re fois que vous tapez cette commande avec cette syntaxe simple Maintenant que root a un mot de passe dans MySQL il faudra utiliser la syntaxe mysqladmin u root p flush privileges ce qui va provoquer la demande du mot de passe par le serveur Et maintenant adieu phpMyAdmin a ne marche plus Seulement voil arriv ce stade de notre tude nous savons comment faire prendre en compte ce mot de passe par phpMyAdmin Il suffit de l incorporer au fichier de configuration var www html phpMyAdmin config inc php3 la ligne cfgServers 1 l password Au prochain lancement de phpMyAdmin le fichier de configuration va tre pris en compte et tout va rentrer dans l ordre la connexion s eff
153. a validit de ce nouvel utilisateur en essayant de se connecter avec ce nouveau login Mais avant il faut que MySQL actualise la table des autorisations conserv e en m moire et charg e au lancement initial du serveur Pour cela tapez dans un terminal mysqladmin flush privileges Cette commande demande MySQL de recharger les tables d finissant les autorisations d acc s depuis le disque sans pour autant arr ter le serveur Une autre solution plus brutale serait d arr ter le serveur et de le red marrer en tapant compte root etc rc d init d mysql stop puis etc rc d init d mysql start On peut enfin arr ter compl tement LINUX et relancer mais l c est la honte n est ce pas Nous ne sommes pas sous Window que diable 4 1 4 Login avec le nouveau compte Vous pouvez maintenant vous loguer avec le compte nouvellement cr Plusieurs possibilit s s offrent a vous e mysql u lambda pmdp_lambda Cette syntaxe vous donne l acc s direct Attention vous laissez un espace apr s u mais pas apr s p collez directement le mot de passe p Inconv nient le mot de passe appara t en clair sur l cran mais aussi dans l historique des frappes au clavier e mysql u lambda p Avec cette syntaxe le serveur MySQL vous demandera imm diatement le mot de passe associ au login lambda Vous devrez taper ce mot de passe en aveugle Il n appara tra donc ni l cran ni dans un historique de frappes e mysql u lambda p my
154. acc der votre machine en telnet ou que votre serveur FTP est inaccessible v rifiez ce fichier Il est constitu d une ligne par service du type lt service_name gt lt endpoint type gt lt protocol gt lt wait status gt lt uid gt lt server_program gt lt server arguments gt avec service_name nom du service endpoint type type de socket stream pour TCP dgram pour UDP protocol protocole de transport utilis wait status soit l option est wait et le service est dit mono thread une seule connexion par service peut tre g r e soit l option est nowait et le service est dit multi thread chaque requ te vers le service g n re un nouveau serveur uid utilisateur sous lequel est lanc le service server_program nom du programme lancer pour activer le service server arguments arguments ventuels pour le lancement du service Exemple telnet stream tcp nowait root usr sbin tcpd in telnetd En cas de dysfonctionnement d un service v rifier la syntaxe de la ligne De plus pour d sactiver l acc s un service il suffit simplement de commenter la ligne le concernant Pour r activer un service il suffit donc de supprimer le d marrant la ligne e xinetd C est une version am lior e de inetd Il permet une configuration plus fine de l acc s aux services interdiction d utilisateurs d adresses Il n y a plus un fichier unique mais un fichier etc xinetd conf qui renvoi
155. aces ethl bind interfaces only yes interfaces 192 168 1 0 24 127 0 0 1 32 12 Configurer les composants d un r se L s Configurations principa Authorized computers to gain access to samba server hosts allow 192 168 1 127 time out in minutes deadtime 2 printing bsd printcap name etc printcap load printers yes guest account nobody invalid users root security user is always a good idea This will require a Unix account in this server for every user accessing the server Share gt everyone can access samba server security share Change this for the workgroup your Samba server will part of workgroup WORKGROUP workgroup KLAN SPECIAL server string h server Samba v If you want Samba to log though syslog only then set the following parameter to yes Please note that logging through syslog in Samba is still experimental syslog only no We want Samba to log a minimum amount of information to syslog Everything should go to var log smb nmb instead If you want to log through syslog you should set the following parameter to something higher syslog 0 This socket options really speed up Samba under Linux according to my own tests socket options IPTOS_LOWDELAY TCP_NODELAY SO_SNDBUF 4096 SO_RCVBUF 4096 Passwords are encrypted by default This way the latest Windows 95 and NT clients can connect to the Samba server with no p
156. age PHP et plus pr cis ment avec le script phpMyAdmin ll est vident qu un sujet aussi vaste ne peut tre qu effleur en quelques pages aussi je vous renvoie vers la litt rature plus compl te livres HowTo pages man etc sur les diff rents points abord s J esp re sinc rement que ce document servira un jour quelqu un Sa r daction est de toute fa on justifi e par le simple fait que l exercice m a oblig mettre mes connaissances et mes notes au propre tester pas pas toutes mes propositions J en suis donc le premier lecteur N h sitez pas me faire part de votre avis sur l int r t de cette tude Toute suggestion d am lioration sera bienvenue L auteur JML dit Jean Marc LICHTLE email jean marc lichtle gadz org ing nieur Arts et M tiers promo CH173 rigolez pas l poque les crans n existaient pas le conversationnel c tait grands renforts de t l types et de rouleaux de papier Pire encore 16 cl s 16 voyants et un bouton run Beurk 106 Configurer les composants d un r se L a PostgreSQL installati PostgreSQL installation par serge Mise jour par Guillaume LELARGE et Anne Une petite description de l installation de PostgreSQL Introduction PostgreSQL est un syst me de gestion de base de donn es relationelles c est dire un SGDBR C est un logiciel libre Sous Linux les deux SGDBR les plus utilis s sont PostgreSQL et MySQL MySQL est tr s utilis pour de petites
157. ail changez d amis changez de chaussettes aussi Vous pouvez surfer l esprit et humm aussi neu ouais Si vous avez des probl mes ou quoi que ce soit n oubliez pas que les newsgroups et irc sont les meilleurs rem des j ai d j entendu a quelque part 186 Configurer les composants d un r se L a Serveur de messagerie instantan e Serveur de messagerie instantan e Jabber par Laurent DUBETTIER GRENIER Installation d un serveur de messagerie instantan e Jabber Introduction Cet article est une variante de l article original paru dans le num ro 25 Ao t 2003 du magazine Plan te Linux Jabber est un protocole de communication XML d velopp sous l gide de la Jabber Software Foundation Un protocole c est un langage particulier permettant des ordinateurs de communiquer entre eux Jabber est plus particuli rement d velopp pour la messagerie instantan e et c est un protocole libre licence GPL JOSL Comme ses principaux concurrents priv s AIM ICQ MSN Yahoo il permet de conna tre et de faire conna tre votre tat de pr sence sur le r seau Internet et d envoyer ou de recevoir des messages instantan ment Si vous n tes pas connect vos messages sont stock s et distribu s d s que vous revenez en ligne L int r t de Jabber il y en a plusieurs Le protocole Jabber est libre public ouvert et bas sur un langage connu XML gage de p rennit et de d veloppement futur Il est
158. ail horde turba config Renommer tous les fichiers for fichier in dist do cp v fichier basename fichier dist done Configurer Turba D clarer Turba dans Horde Modifier le fichier var www html mail horde config registry php Montrer l ic ne Turba dans horde this gt applications turba array status gt active Configurer dans IMP l ic ne pour Turba Modifier le fichier var www html mail horde imp config conf php conf menu apps array turba Configurer dans Turba l ic ne pour IMP Modifier le fichier var www html mail horde turba config conf php conf menu apps array imp Modifier le fichier var www html mail horde turba config prefs php Language de l utilisateur R gler le m me langage par d faut que Horde et IMP _prefs language array value gt fr_FR locked gt false shared gt true type gt select desc gt _ Select your preferred language Configurer Turba pour utiliser MySQL pour enregistrer les donn es des contacts Modifier le fichier var www html mail horde turba config sources php Compl ter cette partie de la configuration avec les donn es de la base de donn es comme dans horde config horde php Configurer aussi le titre dans votre langue cfgSourcesl localsql array title gt My Address Book type gt sql params
159. alement la b ta version du document doit elle m me tre test e par un autre personne qui suit scrupuleusement la description et commente les erreurs inversions oublis etc Je remercie donc M Guy ASSFELD d avoir bien voulu apporter sa contribution ce travail en d boguant la premi re version L auteur JML dit Jean Marc LICHTLE email jean marc lichtle gadz org ing nieur Arts et M tiers promo CH173 rigolez pas l poque le hi tech c tait les cartes perfor es sur IBM 1130 Notes serveur De nombreuses distributions ne se contente plus du seul fichier httpd conf La version contenue dans LINUX Mandrake 10 0 utilise un fichier 2 suppl mentaire commonhttpd conf qui est appel par httpd conf par un include Star Je ne pr cise pas il va sans dire que certaines commandes ne peuvent tre lanc es que par l administrateur syst me root L appel httpd fait partie de ces commandes r serv es Donc si LINUX vous fait un bras d honneur commencez par vous poser la question de votre habilitation lancer une commande 92 Configurer les composants d un r se L a Configuration d apache httpc Configuration d apache httpd conf par_serge Mettez un serveur Web dans votre LinBox Introduction Apache est un serveur Web libre c est le standard comme serveur Web sous linux mais aussi le serveur Web le plus utilis sur Internet avec plus de 60 des sites d Internet contre environ 20 pour IIS D
160. aloguent entre eux 3 Protection du serveur Apache Il s agit dans un premier temps de prot ger le serveur http c est dire le logiciel qui va adresser les pages html au navigateur qui en fait la demande A ce stade il importe peu que PHP et MySQL soient exploit s ou non Cette protection est tr s g n rale et s applique aussi bien un serveur simple ne mettant en oeuvre que des pages html pures qu un serveur plus volu faisant appel un langage de programmation et un gestionnaire de bases de donn es PHP et MySQL ou une autre combinaison Les exemples qui suivent portent sur la protection d un sous r pertoire test situ au premier niveau de l arborescence du serveur plus pr cis ment var www html test Attention toutes les informations de chemins d acc s sont relatives la distribution Mdk 8 0 3 1 Protection par htaccess Le principe consiste cr er dans le sous r pertoire prot ger un fichier nomm htaccess commen ant par un point donc cach et qui va en limiter les droits d acc s En fait htaccess va renvoyer vers un fichier contenant les logins et mots de passe des utilisateurs autoris s Ce fichier de mots de passe peut porter un nom quelconque Habituellement ce dernier est rang dans etc httpd auth r pertoire qu il convient ventuellement de cr er puisqu il n existe pas apr s l installation de base Il est assez logique que tous les fichiers d authentification seront rang s dans le m me
161. ande adduser PureFTPd g re en effet les utilisatuers virtuels ce sont des utilisateurs cr s et connus uniquement par PureFTPd La premi re chose faire est de cr er un groupe d utilisateur d di au serveur FTP nomm ftpgroup et un utilisateur FTP nomm ftpuser auquel seront rattach s tous les utilisateurs de votre serveur FTP chacun ayant son propre r pertoire de stockage groupadd ftpgroup useradd g ftpgroup d dev null s etc ftpuser Ceci cr e un utilisateur ftpuser appartenant au groupe ftpgroup ne disposant d aucun r pertoire sur le syst me et d aucun shell Ensuite l essentiel de la maintenance est r alis par l instruction pure pw et comme d habitude avec PureFTPd de nombreuses options sont disponibles Pour les visionner pure pw help Cr ons un premier utilisateur virtuel nomm ici lea pure pw useradd lea u ftpuser d home ftpusers lea Un mot de passe allou ce compte vous est alors demand ainsi que sa confirmation Ceci cr e un utilisateur virtuel nomm lea connu de PureFTPd seul rattach l utilisateur ftpuser ayant pour r pertoire personnel chroot home ftpusers lea Inutile de cr er le r pertoire utilisateur de lea il sera cr automatiquement lors de sa premi re connexion c est le r le du param tre j vu au paragraphe pr c dent Pour enregistrer d finitivement cet utilisateur il faut mettre jour la base de donn es PureFTPd fichier etc pureftpd pd
162. ants d un r se L a Compiler et configurer penga Compiler et configurer pengaol 1 0 par Martial Ce document explique comment compiler la derni re version de pengaol sans support de QTKylix et la configuration de base de pengaol 1 Introduction 1 1 Note Cet article n a rien d officiel et ne d crit pas n cessairement la bonne m thode pour installer pengaol Rapellez vous que des versions pr compil es existent d j dans de nombreux formats deb tgz rpm et que pour profiter de l interface graphique il vaut mieux lire la tr s bonne documentation officielle sur le site pengaol org Le but ici est de compiler pengaol sans avoir besoin de QTkylix pour configurer les options de compilations et utiliser pengaol uniquement en ligne de commande Suite certains mails je precise que je n ai rien voir dans le d veloppement de pengaol contactez plutot son auteur birdy57 chez pengaol point org et visitez leurs forums qui sont pr vus cet effet 2 Compilation 2 1 Requis Comme d habitude il vous faut un syst me pr t compiler c est dire g ainsi que les fichiers d ent te paquets devel en rpm et les utilitaires classiques comme autoconf make etc passons c est hors sujet J ai utilis exactement cette version peng1 0a01 tar gz prise sur le site officiel 2 2 Commen ons On d sarchive tar zxvf pengl 0a01 tar gz amp amp cd peng Puis on va g nerer un configure plus classique qui ne cherc
163. apez echo gt dev ttySx Bon maintenant que votre modem est reconnu on va cr er un lien pour le modem par la commande l aussi bien mettre le bon tt ySx In s dev ttySx dev modem Si la r ponse est que dev modem existe d j suprimez le rm f dev modem et recommencez Maintenant appliquons les droits qu il faut chmod 777 dev modem A ce stade on peut dire que votre modem est configur sous Linux Remarque Si vous avez une erreur de port s rie reconfigurez vos ports s ries par la commande setserial dev ttySw uart 16450 port Oxyyy irq z pour le port ou se trouve le modem avec w yyy et z suivant le tableau E 1 2 4 dev ttySO ou COM1 dev ttyS1 ou COM2 dev ttyS2 ou COM3 dev ttyS3 ou COM4 3 we 8 eooo o ee es a a ee eee ee eee Placez cette commande dans un script de d marrage etc rc d rc local par exemple Pour la Slackware il vous suffit de d commenter ces lignes dans le fichier etc serial conf je sais pas si ce fichier existe aussi dans les RH et Mandrake Param trage de la connexion Bon tout d abord il faut voir si pppa est install sur votre syst me pppa est la partie logicielle qui n gocie et g re la connexion avec le provider V rifiez en tapant la commande pppa au prompt Si vous voyez un truc du style ar c est qu il est install attendez un moment il va s arr ter tout seul Autrement reconfigurez le noyau avec pppd soit en module soit
164. applications ou pour g n rer des pages Web dynamique comme les forums de ce site par exemple mais comporte quelques lacunes par rapport PostgreSQL De plus PostgreSQL est mieux adapt pour de plus grosses bases il est plus robuste en quelques sortes Cette rubrique n est pas un apprentissage de PostgreSQL mais juste un manuel d installation Cr ation de l administrateur PostgreSQL PostgreSQL g re lui aussi des utilisateurs pour attribuer des droits aux bases de donn es comme linux g re les droits pour la gestion des fichiers et du syst me Donc comme pour linux il faut un root autrement dit un administrateur pour PostgreSQL Pour des questions de s curit utilisez toujours un compte utilisateur qui n a aucun droit d administration linux pour le compte root de PostgreSQL On va donc cr er cet utilisateur avec par exemple comme nom postgres Tapez en tant qu utilisateur root adduser postgres Validez toutes les questions et si le syst me vous demande un mot de passe saisissez en un Au cas o aucun mot de passe ne vous est demand lancez la commande suivante passwd postgres Saisissez le mot de passe une premi re fois puis confirmez le Profitons d tre root pour cr er le r pertoire o nous d ballerons les sources et pour donner les droits sur ce r pertoire l utilisateur postgres mkdir usr src pgsql chown R postgres usr src pgsq Maintenant connectez vous en tant qu utilisateur postgr
165. arge du cryptage de la connexion ssl configure enable ssl 1 gt sortie txt 2 gt V rifier que ssl a bien t pris en compte Les premi res lignes du fichier sortie txt doivent contenir Running Jabber Configure Searching for SSL Found Une erreur existe dans le fichier r sultant platform settings qu il faut corriger Editer le fichier avec vi par exemple vi platform settings Rep rer la ligne CFLAGS l usr local ssl include openssi DHAVE_SSL Et la transformer en CFLAGS l usr local ssl include openssi l usr local ssl include DHAVE_SSL Faire la m me modification pour la ligne CCFLAGS Taper alors make Et c est termin votre serveur de messagerie instantan e est install enfin presque Configuration L essentiel de la configuration du serveur s effectue en intervenant sur le fichier usr local jabber jabber xml ou etc jabber jabber xml si vous avez utilis un paquet Mandrake Avant toute modification il est judicieux de faire une copie de secours du fichier original NB le fichier jabber xml tant au format XML la mise en commentaire est r alis e en utilisant des balises lt balise ouvrante et gt balise fermante comme en HTML Ouvrir le fichier jabber xml et modifier la ligne lt host gt lt jabberd cmdline flag h gt localhost lt jabberd cmdline gt lt host gt en rempla ant localhost par votre nom de domaine jabber masociete com par exemple ou par l a
166. article ne g re pas tous les ventuels probl mes de s curit li s la mise en place de ce service Installation Pour installer SquirrelMail il faut un serveur Linux sur lequel sont install s entre autres Apache2 Apache2 mod_php php ini Apache2 mod_ssl imap postfix perl xinetd ispell L installation de Perl permet de configurer ultra rapidement squirrelMail gr ce une interface d velopp dans ce langage et ispell permet le fonctionnement correct du correcteur orthographique squirrelspell int gr MySQL n est pas requis sauf pour certains plugins Enfin pour un fonctionnement correct les navigateurs des postes qui utiliseront votre webmail doivent accepter les cookies Vous devez avoir les services httpd postfix xinetd imap activ s Pour visionner les services fonctionnant chkconfig list less Pour mettre en marche un service exemple avec apache service httpd start Pour faire en sorte qu a chaque d marrage de votre poste le service Apache fonctionne chkconfig apache on ll faut notamment veiller bien lancer le service imap d pendant de xinetd chkconfig imap on service xinetd restart Php Premi rement v rifier que PHP est install et fonctionne correctement en cr ant un fichier de test dans le r pertoire var www html vi phpinfo php Ins rer les instructions php suivantes dans ce fichier lt phpinfo 2 gt Puis tester le fonctionnement de php lynx htt
167. artir de ce r pertoire Includes Autorise des fichiers include pour le serveur Permet les includes mais emp che la commande EXEC qui Hooe OEE permet d ex cuter du code Multiviews Autorise les vue multiples suivant un contexte Cela permet par exemple d afficher les pages dans un language suivant la Configurer les composants d un r seau 95 Configuration d apache httpd conf L a configuration du language du client Autorise suivre les liens seulement si le user ID du fichier SymLinksfOwnerMatch ou r pertoire sur lequel le lien pointe est le m me que celui du lien AllowOverride d finit comment sont g r s les fichiers htaccess de ce r pertoire G re tout ce qui est dans htaccess Active les directives d autorisations AuthDBMGroupFile AuthDBMUserFile AuthGroupFile AuthName AuthType AuthUserFile require Active les directives d autorisations AddEncoding AddLanguage AddType DefaultType ErrorDocument LanguagePriority Limit Active la directive d autorisation Limit None Ne lit pas le fichier htaccess et laisse les droits Linux de ce r pertoire Options Active la directive Option Order Donne l ordre d application des r gles Allow Deny deny allow Applique les r gles deny puis allow allow deny Applique les r gles allow puis deny Allow ou deny Autorise les h tes sp cifi les adresses IP le nom de Nom anote domaine etc ou les refuse si la r gle est
168. as de vous remonter des alarmes tr s souvent inutiles Pour des explications plus d taill es concernant les r gles SNORT allez voir ici Lancement de SNORT Deux possibilit s s offrent nous Soit vous lancez SNORT tout seul et dans ce cas il g nerera ces logs dans un fichier plat Soit vous d cidez de l interfacer avec une base de donn es Suivant le cas SNORT ne se lancera pas de la m me fa on Sans Mysql usr local snort src snort c etc snort snort conf i eth0 D Avec Mysql usr local snort srce snort c etc snort snort conf Remarque Si vous souhaitez interfacer SNORT avec une base de donn es ne lancez pas SNORT avec l argument L qui sp cifie l emplacement des logs Lier les logs SNORT avec MySQL Maintenant nous allons diter le fichier de configuration de SNORT afin de lui indiquer qu il faut rediriger les logs dans une base de donn es ici MySQL Avec vos yeux de lynx retrouvez la ligne suivante dans le fichier de configuration SNORT etc snort snort conf output database log mysql user root password test dbname SNORT host localhost D commentez et modifiez cette ligne par output database log mysql user user_snort password snort_pwd dbname snort host localhost Ici l utilisateur MySQL acc dant la base de donn es s appelle user_snort son password associ est snort_pwd le nom de la base MySQL utilis e par snort est snort et la machine qui fait tourner la base Mysql est la
169. as suppos modifier le contenu utile des paquets d information il laissera l adresse IP locale dans le Configurer les composants d un r seau 15 Utilisation d ipchains et de ipmasqadm L a corps du paquet Le programme qui recueillera le paquet l autre bout aura du mal communiquer car il ne conna tra pas l adresse de retour car une adresse locale r serv comme 192 168 15 x n est pas valide sur l internet Un autre exemple d un cas typique o la redirection de l internet ne fonctionnera pas est un programme qui dans la mani re dont il fonctionne se comporte comme un serveur pour recueillir des informations Un ordinateur de l ext rieur voulant communiquer avec un logiciel l int rieur de votre r seau local ne pourra jamais l atteindre En effet l ordinateur externe n est pas suppos savoir que vous poss dez un r seau local ses yeux il communique uniquement avec votre gateway Personnellement je soup onne le transfert de fichier ICQ de fonctionner de cette mani re Pour rem dier ces probl mes il existe des modules qui apporteront les modifications n cessaires au bon fonctionnement de certains logiciels tels que ICQ ou des clients FTP Ces modules se chargent comme nous l avions expliqu pour le chargement des modules des cartes r seau bash insmod ip masq_ftp bash insmod ip masq_irc Pour le module ICQ il n est pas inclus dans la distribution Debian 2 2 de plus ce module est experimental Il faudra donc rec
170. ata From 192 168 0 3 icmp_seq l Destination Host Unreachable Plusieurs causes de non fonctionnement je v rifie que l adresse IP existe que le masque de sous r seau est coh rent ifconfig que ma r solution de nom est op rationnelle etc resolv conf que le routage est correctement configur commande route vue plus loin Si la commande ping fonctionne alors ce n est ni un probl me mat riel ni un probl me de configuration IP Toutefois le r seau peut subir des dysfonctionnements tout simplement parce qu il est charg On augmente alors la taille des paquets envoy s Exemple root pingu ping s 128 192 168 0 1 PING 192 168 0 1 192 168 0 1 from 192 168 0 3 128 156 bytes of data 136 bytes from 192 168 0 1 icmp_seq 1 tt1 128 time 0 583 ms 136 bytes from 192 168 0 icmp_seq 2 tt1l 128 time 0 598 ms 136 bytes from 192 168 0 icmp_seq 3 tt1l 128 time 0 640 ms 136 bytes from 192 168 0 icmp_seq 4 tt1 128 time 0 578 ms PRP PR 192 168 0 1 ping statistics 4 packets transmitted 4 received 0 loss time 3008ms rtt min avg max mdev 0 578 0 599 0 640 0 038 m Ceci permet d approfondir le test On v rifiera les num ros de s quences icmp_seq ils sont s quentiels et num rotent les paquets envoy s Une surcharge r seau ou un cablage de mauvaise qualit par exemple entraine la perte de paquets voir loss le temps de transmission time plus il est long plus le r sea
171. ata mkdir p var squirrel attachement chgrp apache var squirrel attachement chmod 730 var squirrel attachement Ceci cause un probl me si quelqu un pr pare un mail avec pi ce jointe mais interromps son action avant de l exp dier les pi ces jointes resteront ternellement dans le r pertoire var squirrel attachement Il faut donc pr voir une t che cron qui supprime l ensemble des fichiers de ce r pertoire intervalle r gulier en esp rant que personne n est en train d envoyer une pi ce jointe au m me moment Voici un exemple permettant de supprimer tous les jours 23H15 le contenu du r pertoire var squirrel attachement diter le fichier crontab et ajouter la ligne crontab e 15 23 root rm_attachement sh le fichier rm_attachement sh executable chmod x rm_attachement sh contient les lignes suivantes cd var squirrel attachement rm f Puis il faut alors configurer squirrelmail soit manuellement en renommant le fichier config_default php en config php r pertoire var www html squirrelmail config puis en l ditant pour modifier ses param tres soit beaucoup plus convivial en utilisant le petit script perl conf pl1 situ dans ce m me r pertoire n cessite que le paquetage perl soit install Pour le lancer conf p1 point slash conf pl Un menu comportant 9 options appara t qui permet de configurer compl tement SquirrelMail Quelques modifications effectuer e Organizat
172. ation des logs il est possible galement de param trer le contenu des logs On utilisera les attributs log_on_success et log_on_failure qui comme l intitul l indique listent ce qui sera logu en cas de succ s et d chec de l acc s au service Les valeurs sont PID num ro de process du serveur lanc e HOST adresse distante cliente du serveur USERID user id de l utilisateur distant DURATION dur e de la session Les 4 valeurs sont utilisables avec l attribut 1og_on_success Seuls HOST et USERID sont utilisables avec log_on_failure Exemple service trucmuche log_type FILE var log xinetd trucmuche log log_on_success PID USERID HOST DURATION log_on_failures HOST USERID Dans ce cas de figure le fichier de log du service trucmuche sera var log xinetd trucmuche 1og Les informations recueillies dans tous les cas seront l adresse du client et son identit et en cas de succ s on aura galement le PID du serveur et la dur e de la session Xinetd pour contr ler les acc s votre machine Xinetd dispose de nombreux attributs compl mentaires facultatifs mais qui vont permettre d en faire un outil de s curisation des services r seaux et du syst me dans son ensemble Ci dessous les principales fonctionnalit s propos es Contr ler l origine des acc s Avec des attributs suppl mentaires vous allez pouvoir filtrer les clients qui vont pouvoir ou non se connecter vos serveurs Filtrer des adres
173. auf que si vous y regarder de plus pr s le 1s ici est en fait un 1s 1a ce qui permet de voir les fichiers cach s commen ant par un notamment ld Tout simplement la m me commande que 1s sauf que l les fichiers et r pertoires sont rang s par ordre chronologique d date Ir Pour ma part de ce que j en ai constat la commande 1r revient faire un 1s 1 sur le site distant comme si vous tiez en local purement et simplement cd Equivaut un cd pas la peine d piloguer non plus vf La commande vf view file permet d diter tr s simplement tout type de fichier texte cela vite de t l charger le fichier puis de le visualiser par commandes successives 140 Configurer les composants d un r se L a Utilisation rm La m me commande qu en shell mais de mani re recursive C est dire que tout ce qui est dans l entr e fournit rm sera supprim les sous r pertoires etc cf Cette commande est un peu particuli re je ne vais pas rentrer dans les d tails car je m en suis tr s peu servi par d faut profxp tant pour moi r gl sur les bonnes options En fait la commande cf permet de configurer des options cr er des alias pouvant s av rer tr s utile lorsque l on utilise les m mes commandes tr s souvent ou lorsqu on a des probl mes pour se connecter sur un site FTP ou pour transf rer un fichier car il va tre possible de changer le mode de transfert de fichier FXP par exemple Pour conna tr
174. aussi utiliser la notation xxx xxx xxx xxx du masque pour remplacer x Pour notre exemple on tape alors ipchains P forward DENY ipchains A forward s 192 168 1 0 24 j MASQ ou ipchains P forward DENY ipchains A forward s 192 168 1 0 255 255 255 0 j MASQ Bon on a fait quoi au juste l e La premi re ligne indique au noyau de ne transmettre AUCUN paquet donc on bloque TOUT en fait e La deuxi me ligne elle indique de transmettre les paquets r seaux de notre LAN 192 168 1 0 avec masque 255 255 255 0 Donc en fait notre Firewall Linux ne laissera passer au travers de lui que les communications LAN lt gt Ext rieur Au lieu de laisser la possibilit toutes les machines de notre LAN d avoir acc s vers l ext rieur on aurait pu aussi ne sp cifier que certaines machines par exemple on veut que juste le patron de notre soci t ainsi que l administrateur r seau par exemple qui ont des machines avec adresse IP 192 168 1 3 et 192 168 1 10 Pour cela il faut jouer sur le masque a nous donne ipchains P forward DENY ipchains A forward s 192 168 1 3 32 j MASQ ipchains A forward s 192 168 1 10 32 j MASQ Pour rendre ces r gles permanentes apr s chaque reboot ajoutez les aussi dans un fichier que vous appelez par exemple rc firewall que vous placez dans etc rc d sinon vous allez devoir les taper chaque reboot du syst me On r sume alors ce qui peut se trouver dans un tel fichier
175. aut la valeur par d faut INBOX ne peut tre chang e _prefs mailbox array value gt INBOX locked gt true shared gt false type gt implicit Utiliser IMAP Montre seulement les r pertoires souscrits par IMAP _prefs subscribe array value gt 1 locked gt true shared gt false type gt checkbox desc gt _ Use IMAP folder subscriptions R pertoire des courriers envoy s Utilise le m me nom que Mozilla Outlook Express etc _prefsl sent_mail_folder array value gt Sent locked gt false shared gt true type gt implicit R pertoire poubelle Utilise le m me nom que Mozilla Outlook Express etc _prefsl trash_folder array value gt Trash locked gt false shared gt false type gt implicit Tester IMP Vous pouvez tester la configuration initiale de IMP en allant avec un navigateur web sur http mail example com horde imp test php Se logger avec un utilisateur passe valide en l occurrence un compte pop valide Essayer d envoyer des mails un autre compte et vous m me Utiliser une adresse mail du type utilisateur mail example com Nous verrons plus loin paragraphe 8 comment_confiqurer postfix pour utiliser une adresse mail du type utilisateur example com Pour cr er un compte sans possi
176. ave the key home jop ssh id_rsa Enter passphrase empty for no passphrase Enter same passphrase again Your identification has been saved in home jop ssh id_rsa Your public key has been saved in home jop ssh id_rsa pub The key fingerprint is 52 65 28 9a 8b 64 cb b7 6e 70 75 10 d9 0a 01 d9 Pour les deux algorithmes dsa rsa le systeme nous demande dans quel fichier nous d sirons sauvegarder la clef Les fichiers par d faut semblent une bonne solution Par la suite une passphrase nous est demand e Celle ci est un mot de passe am lior car non limit un mot ou une petite suite de caract res Il faut cependant prendre des pr cautions car en cas de perte de la passphrase vous ne pourriez plus vous authentifier en tant que propri taire authentique Nous allons maintenant voir trois m thodes de connexion via ssh Connexion par mot de passe La premi re des m thodes la plus connue et la plus usit e reposant sur le mod le employ par rlogin ou rsh l h te distant demande un mot de passe pour s assurer de votre identit ssh p 222 1 root 192 168 0 1 The authenticity of host 192 168 0 1 192 168 0 1 can t be established RSA key fingerprint is 74 4c 57 fd c2 2c 0d c3 3f 09 01 7d e8 b7 21 24 Are you sure you want to continue connecting yes no yes Warning Permanently added 192 168 0 1 RSA to the list of known hosts 74 Configurer les composants d un r se L a Cr ation de paire de cl
177. b pure pw mkdb Nul besoin de red marrer le service la mise jour est prise en compte imm diatement Quelques commandes utiles e Changer le mot de passe oubli d un de vos utilisateur virtuel pure pw passwd nom du_ compte _ utilisateur pure pw mkdb e D truire un compte utilisateur virtuel pure pw userdel nom du _ compte _ utilisateur Configurer les composants d un r seau 137 Serveur anonyme L a e Visionner les param tres de configuration d un compte utilisateur virtuel pure pw show nom du_ compte _ utilisateur e Lister l ensemble des personnes connect es votre serveur FTP pure ftpwho Serveur anonyme Ce serveur PureFTPd d marr avec les options d crites ci dessus n autorise pas un acc s aux utilisateurs anonymes Si vous souhaitez avoir un fonctionnement permettant chaque utilisateur virtuel enregistr de se connecter votre serveur mais aussi poss der une zone en acc s libre anonyme la d marche suivre est la suivante e Cr er un utilisateur syst me ftp disposant d un r pertoire personnel mais sans shell de connexion useradd g ftpgroup d home ftp s bin false ftp e Cr er le r pertoire home ftp qui sera le r pertoire contenant les fichiers accessibles de mani re anonyme mkdir home ftp e Modifier les droits sur ce r pertoire chmod 500 ftp e Arr ter le serveur PureFTPd ps ax grep pure ftpd Le premier nombre obtenu dans la r ponse est le num ro de process Pure
178. ber of child processes to 30 If you need to allow more than 30 concurrent connexions at once simply increase this value Note that this ONLY works in standalone mode in inetd mode you should use an inetd server that allows you to limit maximum number of processes per service such as xinetd Maxinstances 30 Set the user and group that the server normally runs at User nobody Group nogroup Nombre maximum de clients MaxClients 3 Number of Max Clients per host MaxClientsPerHost 1 Nombre maximums de tentatives de login MaxLoginAttempts 3 Message d acceuil apr s une connexion r ussie AccessGrantMsg Bienvenue u chez moi Pour ne pas donner d info sur le serveur DeferWelcome on Regles pour limiter les commandes lt Limit MKD RNFR RNTO DELE RMD STOR CHMOD SITE _CHMOD SITE XCUP WRITE XRMD PWD XPWD gt DenyAll lt Limit gt lt Global gt DefaultRoot de AllowOverwrite yes MaxClients 3 MaxClientsPerHost 1 UseFtpUsers on AllowForeignAddress on Serverldent on ProFTP DuF s Server Ready AccessGrantMsg Bienvenue u sur le serveur du DuF lt Global gt Serveur Virtuel pour criture lt VirtualHost ftp duf com gt ServerName Mon serveur FTP virtuel numero 1 Port 46000 Maxclients 3 MaxClientsPerHost 1 DefaultRoot de AccessGrantMsg Bienvenue u sur le serveur virtuel du DuF lt Limit LOGIN gt AllowUser ToTo DenyAll lt Limit gt lt VirtualHost gt lt VirtualHost ftp d
179. bilit de connection sur votre serveur uniquement destin la messagerie useradd c nom_utilisateur ou commentaire s bin false g popusers nom_utilisateur Puis d finir le mot de passe du compte nouvellement cr avec passwd passwd nom_utilisateur Remarque 1 Avec un poste Windows distant il faut configurer le fichier hosts Dans le r pertoire C WINNT SYSTEM32 DRIVERS ETC rajouter la ligne 192 168 10 1 mail example com Ceci est probablement inutile si votre serveur de messagerie est aussi serveur de nom DNS Remarque 2 Vous pouvez aussi modifier le fichier trailer txt situ dans horde imp config Ce fichier vous permet d ajouter un texte la fin de tous les mails qui seront envoy s par IMP Par d faut le texte suivant est ajout tous les messages This mail sent through IMP http horde org imp Si vous ne voulez rien ajouter effacer tout ce qu il y a dans ce fichier VERIFICATION DE SECURITE Vous ne devez pas pouvoir acc der avec un navigateur http mail example com horde config Configurer Turba Maintenant que vous pouvez lancer Horde et IMP vous avez besoin d un carnet d adresses afin de g rer vos contacts Installer Turba A partir du r pertoire o vous avez stock le paquetage TURBA Configurer les composants d un r seau 163 Configurer Turba L a tar xzf turba 1 2 tar gz C var www html mail horde cd var www html mail horde mv turba 1 2 turba cd var www html m
180. bin vchkpw var qmail bin qmail pop3d Maildir amp Remarque Ne coupez pas les lignes de ce script Regardez bien ce qui est marqu au dessus le caract re dans le texte au dessus signale qu il s agit de la m me ligne que celle qui a commenc au dessus le retour de ligne est du a la mise en page HTML C est a dire que si vous lisez tuc machin bidule vous devez lire une seulle ligne truc machin bidule ll ne faut pas bien sur copier le Attention Si vous avez eu l erreur dans Qmail scanner a propos des script SET ID modifiez la ligne comprenant export QMAILQUEUE par export QMAITLQUEUE var qmail bin qmail scanner queue Ajoutez alors dans votre etc rc d rc local une ligne du type etc rc d rc startmail Ou si votre distribution est bas sur sysVinit cr ez le scripts correspondants dans les niveaux d init que vous souhaitez Reste configurer quelques fichiers Tout d abord il faut r gler le temps d autentification des utilisateurs par le pop POP before SMTP Pour cela nous editons la contrab et donnons l intervale de temps pu il faut nettoyer les identifications crontab e et placez une ligne du type 40 var vpopmail bin clearopensmtp 2 gt amp 1 gt dev null Pour nettoyer toutes les 40 minutes ll faut d finir aussi quel est votre adresse r seau pour authoriser ce r seau autiliser le serveur de mail Prenons l exemple o les utilisateurs de votre serveur de mails se trouvent sur les
181. bl mes rencontr s Lors de l installation si vous rencontrez un probl me de librairie avant de vous jeter sur votre navigateur web et de les chercher il se peut que cela vienne juste du fait de ne pas avoir usr 1local 1ib dans votre chemin des librairies ce qui fut mon cas Dans ce cas ajoutez le donc dans votre etc 1d so conf et une fois Id so conf editez faites un ldconfig v Si vous n avez pas pris proftpd en package rpm debian mais en source et bien les chemins sont diff rents le chemin d installation est usr local et le fichier de configuration se retrouve dans usr local etc proftpd conf J ai des erreurs quand je veux install proftpd il me manque plein de choses Comme je l ai dit lisez les messages ils sont tr s explicites allez r cuperer ce qui vous manque n essayez pas de forcer quoi que ce soit ce ne sera jamais bon pour votre syst me de faire a et vous risqueriez de mordre la queue en somme Vous tes s r d avoir correctement cr vos utilistateurs mais ils ne peuvent pas se connecter l acc s au service FTP leur est interdit v rifiez qu ils ne soient pas dans la liste du fichier etc ftpusers Vos utilisateurs ne sont pas dans le fichier etc ftpusers mais ils ne peuvent toujours pas se connecter ils ont une erreur d acc s refus au password cela peut venir soit d un mot de passe erron ou de leur r pertoire home leur path o ils sont cens s se connecter et arriver qui est soit invalide ou
182. ble r seau intelligent qui filtrerait le traffic qui le traverse Pr requis Tout d abord vous devez avoir un ordinateur avec deux cartes r seaux pour pouvoir interconnecter filtrer les deux r seaux Le support du pont est int gr partir du kernel 2 4 mais vous devez prendre le dernier kernel jour 2 4 19 lors de la r daction de ce document pour avoir le meilleur support du pont Vous devez aussi appliquer un patch kernel pour ajouter le support du pont iptable pour pouvoir filtrer les paquets qui vont traverser le pont bridge nf 0 0 7 against 2 4 19 diff Ceci est le patch pourle kernel 2 4 19 Si lors de la lecture de ce document le dernier kernel n est plus le 2 4 19 r cup rez alors le patch pour la version du kernel actuelle que vous trouverez ici Site officiel pont filtrant pour Linux Appliquez alors le patch a votre kernel pour le 2 4 19 par exemple allez dans le r pertoire des sources du kernel et faites un patch p1 lt bridge nf 0 0 7 against 2 4 19 diff Recompilez alors votre kernel en activant dans la partie Network Options Network Packet Filtering remplace ipchains em module ou en natif Passez en module ou en natif toutes les options de IP Netfilter Configuration et activer aussi le support du pont 802 1d Ethernet Bridging A partir de ce moment notre machine peut faire office de pont et filtrer les paquets du pont Il vous faut aussi les utilitaires de configuration c est
183. c ioports il a t possible de trouver un canal IRQ et un port IO disponibles Dans mon cas l IRQ 5 et le port IO 0x300 ont t choisis Le module se charge donc comme suit bash insmod depca irq 5 io 0x300 Comme vous devinez peut tre le driver de la carte r seau DE201 est le module depca o Ce module supporte d ailleurs plusieurs vieux mod les de cartes r seaux de marque Digital J ai remarqu galement que si les param tres n taient pas fournis l auto d tection ne fournissait pas le bon canal IRQ ni le bon port IO et qu en plus de cela l ordinateur gelait Faites donc attention fournir les bons param tres Pour que ce module soit correctement charg au d marrage avec les bons param tres il a fallu rajouter la ligne contenant depca au fichier etc modules et cr er un fichier etc modutils depca contenant les param tres prendre en compte bash echo depca gt gt etc modules bash cat etc modules bash echo options depca irq 5 io 0x300 gt etc modutils depca et mettez jour le fichier etc modules conf l aide de bash update modules Voil en ce qui concerne pour la configuration des cartes r seau Vous pourrez v rifier quel module utiliser pour vos cartes r seaux respectives dans un ethernet howto Branchement des cartes r seau Apr s avoir configur les cartes r seau il faudra les brancher respectivement l internet et au r seau local Il ne s agit pas de leurs branchem
184. cation du TTL Time To Live ou la dur e de vie de la zone exprim e en secondes par d faut ou dans une autre unit si on la sp cifie comme dans l exemple ici le D sp cifiant que l unit est en jours donc 3 jours pour notre exemple Le bloc suivant d fini tous les autres param tres techniques et administratifs de la zone de la forme IN SOA dns_primaire adresse_mail XXXXXXXX Serial XXXxx refresh XXXXX retry XXXXX expire xxxxx default_ttl dns_primaire mettre ici le nom du serveur faisant autorit pour la zone adresse email email du responsable technique de la zone en rempla ant le de l email par un Le reste encadr par des parenth ses renseigne les donn es techniques de la zone avec Configurer les composants d un r seau 149 Le fichier de zone de mon domaine L a serial le num ro de version de la zone Ce chiffre est particuli rement important chaque fois que vous modifiez quoi que ce soit dans un fichier de zone vous devez imp rativement incr menter ce num ro autrement les changements ne seront pas pris en compte par le reste du monde et particuli rement par le serveur secondaire C est ce num ro s il est incr ment qui indique au reste du monde que votre zone a subit un changement et que donc les autres serveurs DNS doivent redemander la zone votre serveur pour prendre en compte ces changements On a l habitude de suivre une r gle simple pour tre s r d incr menter ce n
185. charge du serveur En fait apache contr le lui m me sa charge suivant le nombre de clients qu il sert et le nombre de requ tes envoy es par chaque client Il fait en sorte que tout le monde puisse tre servi et ajoute tout seul un certain nombre d instances apaches pour servir de nouveaux clients qui se connecteraient Si ce nombre est inf rieur MinSpareServers il en ajoute un Si ce nombre d passe la valeur de MaxSpareServer il en arr te Ces valeurs par d faut conviennent la plupart des sites StartServers 5 Nombre de serveurs d marrer au lancement d apache MaxClients 150 Contr le le nombre maximum de serveurs pouvant etre lanc s simultan ment Laissez donc cette valeur assez haute Toutefois attention son niveau pour ne pas qu en cas de trop forte sollicitation le serveur apache fasse tomber en ressource votre syst me Cette valeur ne modifie pas la valeur de MaxKeepAliveRequests car ici Maxclients indique le nombre de clients maximum alors que MaxKeepAliveRequests indique le nombre de requ tes pour UN client Remarque Apache par d faut ne peut servir plus de 254 clients la fois c est a dire si au m me moment 254 clients se connectent simultan ment le serveur sature et certains clients doivent attendre avant de pouvoir acc der votre site donc la valeur de cette directive ne peut exc der 254 apache vous signale un warning son d marrage si vous d passez cette valeur Pour pouvoir servir plus de
186. compte il faut arr ter et relancer le serveur VNC Note Je ne sais pas pour quelle raison mais chez moi VNC ne marche pas avec KDE Et bien entendu il faut que l interface graphique soit install e sous Linux VNC ne va pas la simuler Utilisation du serveur sous Windows Sous Windows le serveur peut tre lanc automatiquement au d marrage mais il ne peut y avoir qu un seul et unique utilisateur Donc si vous tes plusieurs vouloir vous connecter au serveur VNC il faudra le faire sous le m me nom d utilisateur et le dernier se connecter chassera sans pr avis celui qui est d ja connect VNCServer a l air assez limit sous le syst me de Microsoft p C est certainement d au fait que l interface graphique de Windows n est pas un serveur graphique comme XFree sous Linux Et aussi que Windows n est pas r ellement multi utilisateurs Utilisation du client Le client est tr s simple d utilisation lorsque vous le lancez il vous demande le nom de la machine o est install le serveur VNC Supposons que notre serveur s appelle pingouin Il vous faut donc taper pingouin X x tant le num ro renvoy lorsque vous avez lanc le serveur Puis il vous demande le mot de passe A la place du nom de la machine pingouin vous pouvez mettre son adresse IP 10 0 0 2 X par exemple Et voila vous vous retrouvez sous votre compte sur le serveur avec votre environnement graphique pr f r Pour quitter le cli
187. contraire de nobody par d faut UTILISER AVEC PR CAUTION sync uniquement NFS v2 Ne diff re pas les critures physiques au volume augmente la fiabilit en cas de mauvais d montage La version 3 dispose d un m canisme de commit rollback donc cette option n est pas utile Un point important pour un bon fonctionnement tu dois avoir les m mes num ros de groupes et d utilisateurs sur les deux machines Des syst mes permettent de g rer NIS assez ancien ou LDAP plus r cent Avec peu d utilisateurs tu peux tout simplement diter etc group et etc passwd pour synchroniser ces num ros Il n est pas recommand d exporter un syst me DOS ou VFAT cause de leurs absences de gestion multi utilisateurs ils ne sont pas fait pour tre partag s avec NFS etc hosts deny On va interdire toutes les machines qui ne sont pas autoris es explicitement dans le etc hosts allow Un bon vieux ALL ALL interdira l acc s tous les services partir de toutes les machines On peut cependant tre plus pr cis en crivant portmap ALL lockd ALL mountd ALL rquotad ALL statd ALL etc hosts allow Dans le m me esprit que pour le etc hosts deny ce fichier a l architecture suivante service IP de la machine client Donc pour autoriser 192 168 1 34 se connecter a un partage NFS on crira portmap 192 168 1 34 lockd 192 168 1 34 mountd 192 168 1 34 rquotad 192 168 1 34 statd 192 768 1 34 On va pouvoir
188. cture et en criture Pour le reste des options vous pouvez consultez les commandes de la section Limit sur le site de www proftod org Contexte de configuration Global L on arrive a une section relativement importante le contexte de configuration lt Global gt En effet ce contexte de configuration peut tre utilis l int rieur de la server config et du contexte de configuration lt VirtualHost gt Tout ce qui va tre d fini dans lt Global gt va tre appliquer l ensemble du contexte de configuration dans laquelle lt Global gt se trouve Cela est donc tr s pratique lorsque l on a d fini des lt VirtualHost gt car nous n aurons pas red finir plusieurs fois les m mes param tres Le mieux est de passer directement un exemple de contexte de configuration lt Global gt Exemple de contexte de configuration Global lt Global gt DefaultRoot AllowOverwrite yes MaxClients 3 MaxClientsPerHost 1 UseFtpUsers on AllowForeignAddress on Serverldent on ProFTP DuF s Server Ready AccessGrantMsg Bienvenue u sur le serveur du DuF lt Global gt Explications de ce qui est l int rieur de lt Global gt DefaultRoot gt Limite le user son home directory si son home directory est par exemple home user il pourra se ballader dedans mais ne pourra remonter plus haut il ne pourra pas aller dans home par exemple et quand il se connecte le user voit comme path dans son client FTP le chemin AllowOverw
189. cumentation aujourd hui pour prendre en compte quelques changements remplacements de certains directives pour corriger des erreurs si si il y en avait et ajouter une partie concernant le mod_tls pour faire des transferts chiffr s a ne pas confondre avec du transfert FTP over SSH La version actuelle de proftpd servant de support cette mise jour est la version 1 2 8 Installation Bon et bien l c est vraiment simple il faut une connexion internet disons que c est mieux pour r cup rer la derni re version de proftpd sur le site www proftod org et sinon si jamais il vous manque quelque chose lors de l installation tout ce qui vous manque sera indiqu et donc vous pourrez allez r cuperer tout ce dont vous avez besoin sur internet Pour ma part il me manquait 2 choses comme il indique la fin pr cis ment ce qui manque avec m me un lien internet de la ressource manquante il faut juste quelques minutes pour r pondre aux besoins de proftpd Si je ne rentre pas plus dans le d tail pour cette partie c est tout simplement que les ressources n cessaires proftpd d pendent totalement de votre configuration et de votre distribution donc je pourrai en mentionner alors que vous n en aurez pas besoin et en oublier alors que vous en aurez besoin Donc pas la peine de vous envoyer sur de mauvaises pistes lisez juste le message d erreur lors de l installation et il n y aura pas de souci Je vous conseille de prendre la derni re vers
190. d 2136 root Ou IPv4 19073 TCP ftp LISTEN proftpd 2136 root lu IPv4 19074 TCP 46000 LISTEN proftpd 2136 root 2u IPv4 19075 TCP 47000 LISTEN proftpd 2136 root 3u unix Oxc4a6c0a0 16891 socket proftpd 2136 root 4r REG 22 2 1585 213675 etc passwd proftpd 2136 root 5r REG 22 2 657 212895 etc group COMMAND nom du processus num ro de processus obtenu aussi par la commande ps USER identit sous laquelle est lanc le processus file descriptor mem memory mapped file txt program text code and data FD ie plus de d tails dans le man de 1s0f TYPE type de noeud ou inode CHR fichier sp cial en mode caract re DIR r pertoire plus de d tails dans le man de 1sof DEVICE major et minor number pour un fichier sp cial protocole SZE taille du fichier NODE num ro d inode AME nom du fichier ou point de montage Voir si un fichier est utilis par un processus r seau Permet ventuellement de surveiller l utilisation de fichiers dits sensibles pour la s curit du syst me Configurer les composants d un r seau 25 Les principaux outils de diagnostic r seau L a Exemple je veux v rifier les ventuels acc s au fichier etc passwd root pingu lsof grep etc passwd proftpd 12586 root 4r REG 22 2 1585 213675 etc passwd Lister les processus li s a un protocole et un port On obtient alors une fonctionnalit similaire la commande netstat a filtr e en fonction d un protocole
191. d RE E tad hd A A EA eae E VEEN A N E TE 136 E e UEL E AAE AA OE ANEN E T E AN AN A NORE ATAT TAA A OA TAE E TA 137 E E EERE E e A A T E A RE AA VEE N EE E T E E NE AE E PA EE E SE A E TE E TET 137 ST EA ETL A AA E ONTI chistes AA N A A AA O IER A A T T O E T AEE A TS 138 NEEE EE IEC Clea T T EE OT E NA I O ARET AAT A A A A SA E TE AAAA I AE TEE 139 IDLA LTE a EA O NEE EAN A N I ani N A E haat ep NENE T ENORET AAEE a had RES AOE TE T TA 139 E EL E LE Ar tars PE E EE na E AE T E E N A i PA ERE AE E TE A TTA 139 EAE a AAE ihn EOS a a E sg cath i NENE back AN AAS E E S ENTE IA EONA nC wmtaRES 139 ANS e MEATA EE E lee AA A A AAT E A A NN mimi A E AAAA I E E rere 142 SE e NN ur EA AEA O AEA Y E AR a dun cael gh AATA AETA AOA SO AT 142 BNS BIND dere parie Serre lie Tache DNS icsse isda ieden e uidnadsicea ubiencaidlaaea temic genie aa adic AEREE 143 LE Vale ELA LE E bbe dealt N nd adc clark ps NEA NEA ETAN T NEA RR E E S A EE E T AT AE 143 Theorie foncionnemnem ci semie DNG eners eead iaden iadaaa anaa aie AONA basse A a e aAA RE AA Eai ENNER 143 aR Tsar ale oo TIDE lor sf aromates EAAS ED A eNA AANS SAES REEE Ver EEE NN SEATAKSE 143 ENS BIND 25me panie 5 Server Je ZONE ursii deisde iende aee kadadosaken Akand temic ENEAN Ices EREE 148 Unseren DNS Dour mon donnaient nedenin senai ai i adana ED aieka sul EES EEEREN aA ESENS EREADER 148 BS e SELE LS Eee ce E A AA NE AA EET AAE tated be E id VA EEE EATEN TEA T 148 leic do zane de MOmd mnaN
192. d un r seau 191 Debugage L a e G n ral Options emplacement des fichiers log e IP Access Control gestion des autorisations refus d acc s e Messages d finition des messages de bienvenue de votre serveur e User filters options de filtrage de message e Jabber modules modules charg s par le serveur e Administration users d finition des administrateurs et de leurs droits Le droit lire permet de lire les messages destin s l administrateur du serveur et de voir la liste des utilisateurs connect s Le droit crire permet d envoyer un message tous les utilisateurs e Karma traffic control r glage de la bande passante allou e au serveur taux de charge e Edit config file dition du fichier jabber xml Debugage ll est possible de tester le bon foctionnement de Jabber via Telnet Ouvrir une session telnet telnet jabber masociete com 5222 Le serveur doit vous r pondre Trying 127 0 0 1 Connected to jabber masociete com Escape character is Taper les instructions suivantes lt stream stream to jabber masociete com xmins jabber client xmlns stream http etherx jabber org streams gt Vous devez recevoir imm diatement une r ponse lt xml version 1 0 gt lt stream stream xmins stream http etherx jabber org streams id nombre aleatoire xmlIns jabber client from jabber masociete com gt Demander alors les informations n cessaires pour enregistrer un comp
193. de configuration obligatoire qu est server config d but du fichier profptd conf 124 Configurer les composants d un r se L a Configuration UseFtpUsers off fin du fichier proftpd conf d exemple pour info ce fichier en l tat n est pas valide On peut dire que tous les contextes de configuration sont forc ment inclus dans le contexte server config et que l on peut avoir un contexte comme lt Directory gt qui soit dans un sous contexte comme lt Anonymous gt C est un principe de configuration imbriqu e Les premieres directives que l on va avoir dans le fichier proftpd conf vont concerner le mode de lancement du serveur et les infos le concernant ServerName Server FTP du DuF ServerType standalone DefaultServer on ServerName gt je ne reviens pas dessus ServerType gt est important indispensable car il indique si le serveur est d marr par vos soins en faisant etc init d proftpd start ou etc rc d init d proftpd start Ou alors si il a la valeur inetd il est d marr par le meta daemon du m me nom qui peut selon les distributions tre xinetd au lieu d inetd mais il faut quand m me laisser inetd dans le fichier proftpd conf car xinetd sera interpr t comme un mauvais param tre DefaultServer gt cela est utile si vous faites des virtualhost si vous n utilisez qu un server config sans virtualhost alors ce n est pas utile de l indiquer En fait cette directive v rifie qu elle configuration du s
194. deny All Autorise tout le monde ou refuse lt Directory gt Indique la fin des r gles pour ce r pertoire A vous de placer vos r gles suivant le contenu de vos r pertoire accessibles par le Web Il existe les m mes r gles pour les fichiers lt Files gt lt Files gt et les locations lt Location gt lt Location gt Voir un exemple pour les fichiers file plus bas AccesFileName htaccess Nom du fichier des r gles d acc s pour les r gles AllowOverride Un conseil placez comme vu pr c demment une r gle file du style lt Files ht gt Order allow deny Deny from all lt Files gt pour interdire aux visiteurs la possibilit voir le contenu des fichiers ht qui contiennent les r gles de s curit CacheNegotiatedDocs Autorise ou pas les proxies mettre en cache les documents pour autoriser enlevez le commentaire en d but de ligne UseCanonicalName On Sur on remet l url par rapport aux valeurs Server et Port sp cifi plus haut dans le fichier httpd conf sur off utilise l url que le client a utilis e Attention mettre sur on si vous utilisez des CGI avec des variables SERVER_NAME car si l url du client n est pas la m me que celle du CGI votre script CGI ne marchera pas DefaultType text plain Type mime par d faut que le serveur renvoie aux clients Convient dans la plupart des cas Si par contre votre serveur web envoie principalement des images du streaming etc modifiez la valeur
195. depuis des serveurs FTP Cet article explique comment installer un serveur FTP File Transfer Protocol sur un serveur Mandrake Linux 10 sur lequel sont install s uniquement les paquetages de base sans interface graphiqe Il sera n cessaire d installer gcc pour compiler les sources Pour tester si votre serveur FTP fonctionne correctement il faudra un poste client reli votre serveur FTP quip d un logiciel client FTP comme FileZilla par exemple PureFTPd est bas sur le package original Troll FTPd et est distribu sous license BSD Un module webmin existe et permet d en assurer le controle distance PureFTPd est compatible IPv6 et supporte MySQL PostgreSQL PAM et LDAP pour le stockage des param tres utilisateurs et SSL TLS change de login mot de passe et des commandes FTP crypt es mais echange de donn es non crypt es entre clients et serveur ou SSH encryption totale Il est disponible pour de nombreuses distributions OpenBSD NetBSD FreeBSD Solaris MacOSX QNX AIX HPUX Nota La s curit de votre serveur surtout s il est connect Internet n est pas l objet de cet article elle n est donc pas forc ment assur e Installation A partir des sources T l charger les sources de ce logiciel sur le_site de PureFTPd version 1 0 18 au moment de la publication de cet article D compresser le paquetage tar zxvf pure ftpd 1 0 18 tar gz Se placer dans le r pertoire nouvellement cr cd pure ftpd
196. des mais dans 90 des cas cela n est pas n cessaire brctl sethello mon pont 1 brctl setfd mon pont 4 Pour v rifier que tout marche normalement toute machine du r seau doit pouvoir pinguer toutes les machines du r seau et inversement Et si vous faites un traceroute d une machine du r seau1 vers le r seau ou inversement vous ne verrez PAS le pont Il se comporte l comme un simple fil reliant les deux r seaux Par contre vous avez peut tre besoin d acc der en r seau la machine qui sert de pont pour faire du ssh ou autre il faut donc lui donner une adresse IP Mais comment faire tant donn que les deux interfaces r seaux servent au pont Il y a deux solutions Soit vous ajoutez une 3 me carte r seau a cette machine que vous configurez normalement avec une adresse IP etc Soit vous configurez le pont lui m me AVEC une adresse lp Le pont se comporte donc exactement comme une interface r seau et pour lui affecter une adresse IP on le fait de la m me mani re que pour une interface normale par exemple ifconfig mon pont 192 168 1 50 netmask 255 255 255 0 Et si vous refaites des traceroute vous ne le verrez toujours PAS sur le r sultat du traceroute Placez toute ces commandes dans un fichier de d marrage de votre machine bien sur pour ne pas avoir a tout retaper a chaque reboot Mise en place du Filtrage Maitenant que notre pont est op rationnel il ne reste plus qu lui appliq
197. dir iptables On utilisera pour cela l attribut redirect Syntaxe redirect adresseIP port Exemple Je dispose d une passerelle vers Internet et une machine sur le m me r seau local dont l adresse IP est 192 168 0 3 Je souhaite installer un serveur telnet sur cette derni re machine Je vais donc faire en sorte que les requ tes qui arrivent de l ext rieur pour mon serveur telnet soient redirig es vers cette machine root pingu cat etc xinetd d telnet service telnet server usr sbin in telnetd redirect 192 168 0 4 23 On teste maintenant la connexion root pingu telnet 217 11 12 13 Trying 217 11 12 13 Connected to 217 11 12 13 Escape character is Red Hat Linux release 8 0 Psyche Kernel 2 4 18 14 on an i586 login anne Password Last login Fri Nov 8 12 26 44 on 0 anne citrouille anne hostname citrouille La connexion telnet est tablie et la commande hostname nous confirme que je ne suis pas sur la passerelle mais sur la machine citrouille dont l adresse IP est 192 168 0 4 Attribution d un service 4 une adresse IP xinetd va vous permettre de lier un service une adresse IP grace l attribut bind Pour claircir la description de cet attribut nous allons nous appuyer sur un exemple Je vais reprendre mes 2 machines de l exemple pr c dent Mon objectif je veux construire 2 serveurs ftp bien diff renci s L un sera r serv mes machines en local serveur de fichiers inte
198. dire envoyer un mail d un utilisateur dont l IP n est pas une IP de la soci t Comment faire alors On a alors invent le POP before SMTP pour permettre le relaying Comment ca marche Tr s simple L utilisateur doit tout d abord popper sa bo te aux lettres c est dire relever ses mails c est la chose que vous faites chaque fois que vous regardez avec votre client mail si vous avez re us un nouvel e mail Lorsque l utilisateur poppe sa bo te au lettre il s identifie sur le serveur en fait le POP demande obligatoirement un nom d utilisateur et un mot de passe Si l identification est OK le serveur distribue les mails Comme l utilisateur est identifi on va alors se dire ok l utilisateur est connu il est de chez nous on va alors enregistrer son adresse IP actuelle et permettre a cette adresse IP d envoyer des mails pendant un certain temps que l on peut d finir voir plus bas dans l article Donc en r sum si vous n aviez rien compris si vous voulez que votre serveur de mail soit utilisable pour envoyer des mails partir de n importe o dans le monde partir du moment o l on aune bo te aux lettres sur votre serveur activez cette option Donc je vous redonne les options que nous utilisons ici configure enable clear passwd y enable valias y enable default domain lea linux org enable roaming users y Puis on le compile installe make make install strip Comme les headers de vpopmail sont n
199. dresse IP de votre serveur Jabber d conseill Si vous cr er un serveur jabber interne sans lien avec internet vous pouvez commenter cette ligne lt update gt lt jabberd cmdline flag h gt localhost lt jabberd cmdline gt lt update gt C est la commande permettant de contr ler automatiquement la pr sence de mise jour sur le serveur jabber org Configurer alors le r pertoire destin a stocker les fichiers de profils des utilisateurs mkdir p usr local jabber spool jabber masociete com en rempla ant jabber masociete com par le nom que vous avez indiqu ci dessus la place de localhost dans la balise lt host gt du fichier jabber xml D marrez Jabber et tester son fonctionnement sans cryptage ssl voir rubrique D marrer Arr ter le serveur Si tout fonctionne normalement on peut passer la suite Il faut maintenant cr er la cl de cryptage SSL Rester dans le r pertoire usr local jabber et rep rer l emplacement de l x cutable openssl which openssl Il r side normalement dans le r pertoire usr bin openss1 C est ce chemin qui devra figurer dans la premi re ligne du fichier keygen sh Cr er un fichier keygen sh vi keygen sh et taper le code suivant bin sh r gler le chemin ci desous sur le chemin de openssl OPENSSL usr bin openssl 188 Configurer les composants d un r se ABL a G n ration du certificat et de la cl OPENSSL req new x509 newkey rsa 1024 keyout privke
200. dresse de la machine qui est reli e aux autres r seaux par exemple la machine qui poss de le modem pour aller sur le net dans le dessin ci dessus PC1 est la passerelle de votre r seau local e Route par d faut default c est l adresse 0 0 0 0 e Localhost adresse IP 127 0 0 1 cela sert aux applications qui veulent acc der la couche TCP IP de la machine o elle tourne sans passer par le r seau si vous ne comprenez pas c est pas grave Avec a a devrait aller De la th orie la pratique Configuration statique sans serveur DHCP Dans cette partie je traite de la configuration d une carte r seau en statique c est dire la main Il existe un autre moyen par client DHCP c est a dire qu un serveur va s occuper d attribuer adresse masque et gateway passerelle automatiquement votre station c est ce que fait Votre provider Configurer les composants d un r seau 3 Configuration r seau de la carte L a chaque connexion pour la configuration IP de votre modem ou de votre carte pour des connexions modem c ble ou ADSL Pour l instant Voyons la mani re la main Dans cette partie on ne s occupe que du cas o l on n a qu une seule carte dans la station La carte est configur e au niveau HARD module qui se charge bien on a choisi obtenu une adresse IP de r seau on a d cid comment on adresse chaque machine on peut r ellement attribuer les adresses aux machines Des utilitaires comme netcfg netcon
201. dy User et group system avec lesquels le serveur est d marr Pour des questions de s curit laissez toujours ces options Ne jamais sp cifier root En fait si quelqu un arrive a exploiter votre serveur par exemple il arrive a faire ex cuter du code par le serveur apache il h rite des droits du serveur lui m me Donc si c est nobody il n a aucun droit sp cifique Si c est root ou un user r el il aura alors les droits de ce user group et pourra endommager grandement votre syst me ServerAdmin root localhost domainname Adresse E mail r elle de l administrateur du site Cette adresse est affich e par le serveur en cas d erreur par exemple pour que les utilisateurs puissent en avertir l administrateur Mettez votre E mail donc ServerName www domainname Adresse que le serveur va renvoyer au client Web Il est astucieux de mettre www au lieu du nom de la machine r elle comme cela les visiteurs ne voient pas le nom r el de votre machine utile pour la s curit aussi DocumentRoot var lib apache htdocs R pertoire racine ou se trouvent vos pages Web lt Directory gt Options FollowSymLinks AllowOverride None lt Directory gt Pour des questions de s curit laissez cela par d faut Cela laisse les permissions de tous les r pertoires par d faut et n autorise pas d acc s sp ciaux m me si un htaccess existe AllowOverride None De ce fait personne ne peux modifier les droits que vous avez impos s sur les
202. e un r pertoire etc xinetd d Celui ci 20 Configurer les composants d un r se amp L a Les services r seaux configur s sur ma contient un fichier par service configur La cause la plus fr quente de non fonctionnement d un service c est la d sactivation de celui ci d sactivation effectu e de base l installation du service pour des raisons de s curit Il suffit alors d ouvrir le fichier et de v rifier la valeur de la variable disable qui par d faut est yes Exemple root pingu vi etc xinetd d telnet service telnet flags REUSE socket_type stream wait no user root server usr sbin in telnetd log_on_failure USERID disable yes Dans ce cas de figure le service telnet est d sactiv Pour l activer 2 tapes 1 Modifier le fichier etc xinetd d telnet en rempla ant yes par no dans la variable disable 2 Relancer xinetd pour la prise en compte de ce nouveau param tre root pingu ps ef grep xinetd root 973 1 0 Oct09 00 00 00 xinetd stayalive reuse pidfil root pingu kill HUP 973 root pingu Service tournant en standalone Standalone votre service tourne sans tre lanc et contr l par le super d mon inetd ou xinetd e V rifier l tat d un service tous les scripts de lancement se situent dans etc rc d init d Selon le runlevel dans lequel on se situe le service est arr t ou d marr Pour cela consulter les r pertoires etc rc d rcN d o
203. e De plus ce script est ex cut avec un PATH minimal PATH donc vous devez pr ciser le chemin complet des ex cutables ip down De m me que pppa lance ip up la connexion il lance etc ppp ip down lorsque la connexion vient d tre interrompue Lorsque la connexion est rompue nous pouvons stopper le daemon fetchmail en effet fet chmail ne peut plus que retourner des messages d erreur de plus il faut remettre le fichier etc resolv conf sa Valeur par d faut Voici le script etc ppp ip down que j utilisais bin sh comme on n est plus connect au net on quitte fetchmail usr bin fetchmail quit Configuration du DNS D but echo fichier g n r par ip down mon domaine local est tux echo search tux gt gt etc resolv conf Configuration du DNS Fin gt etc resolv conf on est d connect on le dit export DISPLAY 0 opt apps bin Xdialog title Information center infobox La connexion est maintenant inactive 0 0 3000 Les m mes commentaires de prudence que pour ip up s appliquent ip down Script de connexion d connexion Pour se connecter il n est pas n cessaire de cr er un script mais nous allons en cr er un pour que la proc dure de connexion soit la m me que la proc dure de d connexion Voil les deux scripts e etc ppp scripts pppconnect bin sh usr sbin pppd call connexion0 e etc ppp scripts pppdisconnect Configurer le
204. e login du collecteur de mail vous devez pr ciser root car nous allons r cup rer les mails de tous les utilisateurs en m me temps et seul le root peut faire a Voil Normalement partir de maintenant sendmail fonctionne en local Vous pouvez m me apr s l avoir d marr par etc rc d init d sendmail start essayer d envoyer un mail l un des utilisateur Vous devez pr ciser localhost comme serveur smtp pour votre gestionnaire de courrier Configurer sendmail la main Pour ceux qui aiment tout faire la main les fous on peut cr er soit m me tous les fichiers voila le fichier sendmai1 mc g n r par install sendmail c est une bonne base de d part comment les commentaires sont en italique et commencent par dnl divert 1 dnl il faut que le g n rateur de macro sache o trouver les fichiers de configuration include usr lib sendmail cf m4 cf m4 dni comme identifiant 8 12 vous pouvez sans doute mettre ce que vous voulez define confDEF_USER_ID 8 12 dnl mon pc s appelle gros tux mettez le nom de votre machine VERSIONID gros tux nodns Cwgros tux localhost dnl vous utilisez linux oui ou non OSTYPE linux dnl on n utilise pas UUCP c est ant diluvien undefine UUCP_RELAY dnl quelqu un conna t bitnet 36 Configurer les composants d un r se L a Configuration de sendmail et fet undefine BITNET_RELAY dnl autant ajouter automatiquement l
205. e SmokePing cp etc smokemail dist etc smokeping smokemail vi etc syslog conf Rajouter la ligne en fin de fichier Save smokeping messages local0 info var log smokeping touch var log smokeping chmod 600 var log smokeping etc rc d init d syslog restart usr bin smokeping Une fois l ex cution termin e on peut visualiser le r sultat de votre travail mozilla http 127 0 0 1 cgi bin smokeping cgi Voici un exemple de ce l on peut faire avec Smokeping ici Ajout d un service smokepingd Un script est disponible ici pour lancer SmokePing au d marrage de votre systeme cp smokeping start script rh72 etc rc d init d smokepingd vi etc rc d init d smokepingd bin sh smokeping This starts and stops the smokeping daemon chkconfig 345 98 11 description Start Stop the smokeping daemon processname smokeping Source function library etc rc d init d functions SMOKEPING usr bin smokeping LOCKF var lock subsys smokeping CONFIG etc smokeping config Suite du fichier cd etc rc d init d chmod 755 smokepingd sbin chkconfig add level 345 smokepingd Pour finir J esp re vous avoir fait d couvrir ou red couvrir cet outil Pour ma part je compte l utiliser pour tester la qualit de liaisons a Relais de Trame ainsi que les services http de serveurs intranet Je vous encourage tr s fortement a consulter la documentation officie
206. e de votre serveur web est var www html Installez ACID dans la racine d apache COMMANDES REMARQUES cd var www html Placez vous dans la racine du serveur web tar xvzf acid D compactage de ACID tar xvzf adodb D compactage de AdoDB tar xvzf phplot D compactage de PHPlot vi var www html acid acid conf php Renseignez les champs suivants SDBlib_path adodb SChartlin_path phplot alert_dbname snort alert_host localhost alert_user user_snort alert_password snort_pwd Voil maintenant vous pouvez v rifier que ACID est bien configur allez voir sur_http localhost acid Si vous le souhaitez L acc s peut se faire via certificat SSL de mani re crypter l change entre vous et le d tecteur d intrusions Sachez que ce document a pour but de vous apporter quelques l ments de r ponse concernant l installation et la configuration de l IDS SNORT Il est loin d tre parfait Vos remarques sont les bienvenues Je pr vois de modifier le pr sent document suivant les remarques que vous y apporterez Pour me contacter quitarparts chez fr point st Configurer les composants d un r seau 179 SmokePing L a SmokePing par Dimitri Clatot Supervision de r seaux avec SmokePing SmokePing Pr sentation SmokePing permet de mesurer et d afficher sous forme graphique les temps de r ponse aux ping http https smtp d une machine ou d un groupe de machines et de d clencher des aler
207. e diagnostic s curit mais aussi un outil de d tection d anomalies de la configuration IP ou mat rielle Le fonctionnement en est relativement simple la commande sans aucun filtre permet d afficher le contenu des paquets et leur description qui transitent sur les interfaces r seau On peut ensuite laborer des filtres en fonction des informations recherch es En voici quelques uns e and or permet de combiner les filtres e src dst permet de choisir les paquets provenant de destination d une interface r seau host net port filtrer l affichage des paquets selon un nom de machine un r seau et ou un port De cette mani re vous pouvez utiliser tcpdump si vous essayez de diagnostiquer un probl me comme des erreurs de protocole ou des d connexions bizarres ceci car il vous permet de voir en temps r el ce qui arrive sur le r seau Pour bien utiliser t codump vous devez avoir quelques connaissances sur les protocoles et comment ils fonctionnent mais il est aussi utile pour quelques services simples comme v rifier que les paquets quittent bien votre machine par le bon port si vous essayez de diagnostiquer des probl mes de routage et pour voir si vous recevez des paquets en provenance de destinations loign es Exemple root pingu tcpdump i ethl port 23 tcpdump listening on ethl 00 53 58 230287 192 168 0 4 1497 gt pingu linuxeries org telnet S 1074459360 1074459360 0 win 16384 lt mss 1460 nop nop sackOK gt
208. e du script IPTABLES A INPUT p icmp m state state RELATED ESTABLISHED j ACCEPT IPTABLES A INPUT p icmp m state state NEW m limit limit 10 min j ACCEPT Vous pouvez remplacer 10 min par 1 s etc Envoyer une requ te entrante vers un autre PC Cette pratique s appelle le port forwarding Vous aurez besoin du port forwarding si vous avez un serveur qui ne fonctionne pas sur le poste qui partage la connexion Par exemple si le poste qui a un serveur http a pour IP 192 168 0 3 on utilisera cette commande pour que les requetes re ues lui soient automatiquement transmises iptables t nat A PREROUTING p tcp dport 80 j DNAT to destination 192 168 0 3 80 Cela vous sera aussi utile si vous voulez h berger un serveur de jeu crack attack freeciv etc sur une autre machine que le mur de feu qui peut de la sorte rester une machine de faibles capacit s Si a ne vous suffit pas r alisation d une zone d militaris e DMZ sera sans doute n cessaire mais cela sort du cadre de cet article Quels ports autoriser Il est un port que vous tes oblig d autoriser dans le sens r seau local vers internet le port domain aka 53 en udp ET tcp Sinon vous serez dans l impossibilit d utiliser la r solution de nom aka l identification d un nom de domaine avec son IP Sinon moi j autorise dans le sens reseau local vers internet en tcp e domain obligatoire e
209. e fa on que passwd que d ailleurs elle appelle Une autre utilisation de cette commande vous tes root et souhaitez qu un utilisateur particulier ait un mot de passe vide SWAT ne l acceptera pas En tant que root tapez smbpasswd n utilisateur Et modifiez le fichier etc smb conf de fa on que la section global contienne la ligne null passwords Yes Maintenant utilisateur a un mot de passe vide A propos de mot de passe si vous vous tes connect sous Win avec un nom d utilisateur qui n est pas reconnu par Linux mais que vous connaissez un login password du serveur SAMBA vous pouvez demander de vous connecter la ressource serveur ressource utilisateur Attention lt gt et lt gt S il y a un mot de passe il vous sera demand et dans tous les cas vous serez connect cette ressource comme si vous tiez utilisateur montage des ressources smb dans un syst me de fichier Linux Il est possible d utiliser une ressource smb SAMBA Win comme faisant parti du syst me de fichier Linux il suffit de monter la ressource Pour que cela fonctionne il faut que le noyau de Linux ainsi que SAMBA aient t compil s avec le support du syst me de fichiers smbfs c est la cas du noyau et des packages SAMBA de la Mandrake Sur le compte de root il suffit d entrer mount etoile noire ressource mnt o username truc password Puis vous pouvez utiliser votre ressource smb comme si c tai
210. e install le trio Apache PHP MySQL il y a un article sur Lea vous expliquant comment le faire C est ici Les tapes pour l installation de SNORT sont les suivantes e Installation de l outil SNORT e Installation des r gles SNORT e Liaison Mysql et SNORT e Mise en place de ACID Interface php pour visualiser les logs SNORT Installation de SNORT T l chargez la derni re release de SNORT l adresse suivante http www SNORT org dl La compilation de ce programme reste traditionnelle COMMANDES REMARQUES cd usr local snort ss tar xvzf SNORT 1 9 tar gz D compacte l application configure with mysql usr lib mysql Retirez l argument with mysql si vous ne souhaitez pas rediriger les logs SNORT vers une base de donn es mysql make Compilation make install Installation Pour l argument with mysql vous pouvez l adapter si vous utilisez une base de donn es autre que MySQL with odbc PATH_ODBC pour une base de donn es Microsoft SQL server e with postgresql SPATH_POSTGRE pour une base PostegreSQL e with oracle SORACLE_HOME pour une base de donn es Oracle Installation des r gles SNORT Maitenant il faut t l charger les r gles de SNORT En effet SNORT utilise des r gles pour d tecter les intrusions Il existe aujourd hui environ 1200 r gles diff rentes Ces r gles se caract risent par un ensemble de fichiers ftp rules p2p rules telnet rules etc Vous devez t l chargez les so
211. e l tat des tables de vos bases de donn es lorsqu il s aper oit qu une op ration de VACUUM devrait tre lanc e sur une table il s en occupe automatiquement cela vite d avoir automatiser ce processus sur une simple base de temps tous les jours toutes les trois heures etc e tsearch2 est un outil de recherche de mots contenus dans des champs d une ou plusieurs tables Beaucoup d autres outils existent dans ce r pertoire n h sitez pas les tester Profitons en pour rappeller l existence de deux sites de dev loppement d outils sp cifiques PostgreSQL l ancien appel GBorg et son rempla ant nomm PGFoundry Configuration de PostgreSQL La configuration par d faut de PostgreSQL n est pas optimale Elle est simplement tudi e pour correspondre aux machines les moins puissantes Des am liorations ont t apport es notamment pendant la cr ation du d p t des bases de donn es En effet la commande initdb va essayer de lancer le serveur avec plusieurs valeurs pour voir lesquelles sont les plus int ressantes pour votre serveur Ceci dit beaucoup d autres options de configuration sont v rifier tester voire modifier Les d veloppeurs de PostgreSQL vous encouragent vivement modifier les valeurs par d faut et tester vos modifications pour obtenir des performances optimales Ce fichier de configuration se trouve dans le r pertoire des donn es et a pour nom postgresql conf Le chemin complet par d
212. e la route par d faut sbin route add A inet6 2000 3 ppp0 Pour ajouter une adresse votre interface sbin ifconfig eth0 inet6 add 2001 7a8 2569 2 par exemple R installer Maintenant il vous reste r installer les logiciels dont vous vous servez avec le support ipv6 apache XChat En g n ral un enable ipv6 au script configure suffit mais il faut toujours lire les READMEs Mise en r seau Maintenant dans le cas o la machine qui vous sert vous connecter est une passerelle il faut la configurer en tant que tel normal en fait Sur le gateway hop un p tit forwarding des paquets echo 1 gt proc sys net ipv6 conf all forwarding Ensuite le routage des packets gateway lt gt clients on va se servir de ip comme on aurait pu se servir de ifconfig c est kif kif bourrico Sur le gateway ip 6 addr add 2001 mon bloc 1 dev ethO ip 6 ro add 2001 mon bloc 48 dev ethO ip 6 ro add 2000 3 dev ppp0 Sur le client ip 6 addr add 2001 mon bloc 2 dev ethO ip 6 ro add 2001 mon bloc 48 dev ethO ip 6 ro add 2000 3 via 2001 mon bloc 1 Pour ceux qui voudraient utiliser radvd voici un exemple de configuration interface ethO AdvSendAdvert on MinRtrAdvinterval 3 MaxRtrAdvinterval 10 prefix 2001 mon bloc 1 0 64 AdvOnLink on AdvAutonomous on De m me r installation pour les clients des softs avec le support ipv6 Conclusion Vous tes maintenant une autre personne Changez de trav
213. e les possibilit s de commande cf il suffit de taper cette commande sans argument et vous obtenez un cran quivalent au suivant gt cf Sas tae ea ae saa ce toes ic acs ces a ec Wc tae aes ts enc tas ass ae oem mea ea oe eee ee moe ees ow es os Ga ow ea ss ee es a es ee ee profxp configuration options aliases aliases to abbreviate commands chmod Site chmod del Dele new Site new mkdir Mkd who Site who rmdir Rmd cmode 0 connexion mode 0 direct_passive 1 direct_active 2 proxy_passive 3 proxy_active fmode 0 FXP mode 0 normal 1 alt listing display options for directory listings ie 0 mq showdot 0 pauselines 30 localif 0 0 0 0 the local interface to use for outgoing connexions noopemd NOOP anti idle command to send use NOOP or PWD noopdelay 60 anti idle interval in seconds skipdot 1 skip dot files skipempty 1 skip empty directories skipext file extensions to skip diz core skipsame 1 skip files present with same size skipzero 0 skip O byte files socks set SOCKS parameters ip 0 0 0 0 pass port 1080 type 4 user sortrev 0 sort files literally reverse on multifile xfers sortup file extensions to transfer lst in a listing nfot MSEV timeout various timeouts in seconds data 15 connect 1
214. e logiciel de messagerie favori aux ports 2025 pour le smtp et 2110 pour le pop pour recevoir correctement votre courrier et ce de mani re s curis e O se trouve quoi Le paquet OpenSSH fournit etc ssh etc ssh moduli usr bin scp usr bin ssh keygen usr libexec openssh lusr libexec openssh ssh keysign usr share doc openssh 3 5p1 usr share doc openssh 3 5p1 CREDITS lusr share doc openssh 3 5p1 ChangeLog lusr share doc openssh 3 5p1 INSTALL lusr share doc openssh 3 5p1 LICENCE usr share doc openssh 3 5p1 OVERVIEW lusr share doc openssh 3 5p1 README lusr share doc openssh 3 5p1 README privsep lusr share doc openssh 3 5p1 README smartcard usr share doc openssh 3 5p1 RFC nroff lusr share doc openssh 3 5p1 TODO lusr share doc openssh 3 5p1 WARNING RNG Configurer les composants d un r seau 77 Conclusion usr share man man1 scp 1 gz usr share man man1 ssh keygen 1 gz Le paquet OpenSSH client fournit etc ssh ssh_config usr bin sftp lusr bin slogin lusr bin ssh lusr bin ssh add lusr bin ssh agent lusr bin ssh keyscan usr share man man1 sftp 1 gz usr share man man1 slogin 1 gz usr share man man1 ssh add 1 gz usr share man man1 ssh agent 1 gz usr share man man1 ssh keyscan 1 gz usr share man man1 ssh 1 gz usr share man man5 ssh_config 5 gz Le paquet OpenSSH server fournit etc pam d sshd etc rc d init d sshd etc ssh etc ssh sshd_config lusr libexec openssh sftp server lusr sb
215. e nom de domaine qui va bien celui d un de nos providers FEATURE always_add_ domain dnl on utilise un fichier d alias FEATURE use_cw_file dnl FEATURE nocanonify dnl define confAUTO_REBUILD dnl define confTO_QUEUEWARN dnl on ne relaie que les h tes FEATURE relay_hosts_only dnl on utilise un fichier d alias define confCW FILE o etc mail sendmail cw dnl 2 define confCON_EXPENSIVE True dnl 2 define SMTP_MAILER FLAGS e dnl les acc s smtp sont restreint par ce fichier FEATURE access_db hash o etc mail access db dnl les domaines g n riques sont dans GENERICS_DOMAIN_FILE etc mail genericsdomain dnl on va changer les adresses venant de chez nous par celle de notre provider FEATURE redirect dnl si y a pas de nom de domaine c est MASQUERADE_AS free fr dnl tous les mails en provenance de gros tux sont chang s MASQUERADE_DOMAIN gros tux dnl tous les mails on a dit FEATURE masquerade_entire_domain dnl donc il faut changer l enveloppe FEATURE masquerade_envelope dnl on va utiliser procmail pour trier les mails des utilisateurs FEATURE local_procmail usr bin procmail dnl on mail en local MAILER local dnl en smtp MAILER smtp dnl et via procmail MAILER procmail dnl notre serveur de mail relais est smtp free fr define RELAY_HOST smtp smtp free fr define SMART_HOST smtp smtp
216. e perdez pas de vue que ceci n a rien d obligatoire Si vous le souhaitez chaque utilisateur ou seulement certains peuvent se connecter SAMBA avec leurs propres droits donc on cr e un groupe sp cifique groupadd smbusers Puis on peut cr e cet utilisateur sp cifique appartenant au groupe smbusers useradd g smbusers p passwd s bin false smbuser Comme le shell de cet utilisateur est bin false personne ne pourra pas se connecter sur votre Linux sous ce nom m me en connaissant le mot de passe je vous d conseille quand m me d utiliser password comme mot de passe G rer la configuration de SAMBA avec SWAT SAMBA est livr avec un outil de configuration assez puissant SWAT Son r le est l dition du fichier de configuration de SAMBA etc smb conf et le contr le de SAMBA Il fonctionne via un browser de page WEB par exemple netscape Utilisation de SWAT avec inetd Pour cela il faut autoriser les transactions de SWAT et donc modifier le fichier etc inetd conf de fa on que celui ci contienne la ligne swat stream tcp nowait 400 root usr sbin swat swat Il est judicieux de modifier cette ligne pour utiliser tcpa de fa on n autoriser les acc s au serveur SAMBA que depuis certains endroits en modifiant les fichiers etc hosts allow et etc hosts deny vous pouvez par exemple remplacer la ligne pr c dante par swat stream tcp nowait 400 root usr sbin tcpd usr sbin swat ll faut aussi modifie
217. e pourrait tre 1 ATZ OK ATDT0359602000 CONNECT Explications e on n attend rien on renvoie ATZ c est la cha ne d initialisation de la plupart des modems e en r ponse de ATZ on doit recevoir OK au quel cas on renvoie ATDT0359602000 c est la commande de num rotation tel 0359602000 de la majorit des modems e le modem doit r pondre CONNECT s il r ussi se connecter on ne renvoie rien C est relativement simpliste Un script plus complexe mais plus s r devrait tre ABORT BUSY ABORT ERROR ABORT NO CARRIER ABORT NO DIALTONE ABORT Invalid Login ABORT Login incorrect UT ATZ OK ATMOLO Configurer les composants d un r seau 33 Configuration de pppd amp L z OK ATDT0359602000 CONNECT TIMEOUT 5 Les s quences commen ant par ABORT ne signifient pas que l on attend ABORT mais que l on doit quitter chat en erreur s il l on re oit la cha ne qui suit Les s quences commen ant par TIMEOUT indiquent chat que l on doit attendre la r ponse du modem pendant le nombre de secondes qui suit Appelons ce script etc ppp chat connexion0 Comme vous pouvez vous en douter connexion0 peut tre chang en n importe quoi Pour tester ce script nous devons d abord configurer pppd Configuration de pppd ll existe plusieurs m thodes de configuration de pppd Nous allons en choisir une et passer sous silence l
218. e que possible 3 1 2 Cr ation du fichier des autorisations d acc s La premi re tape consiste cr er s il n existe pas encore le sous r pertoire etc httpd auth qui contiendra les autorisations md sous compte root Le fichier d autorisation lui m me se cr e et s entretient avec la commande htpasswd Attention la commande htpasswd peut tre lanc e aussi bien par un utilisateur de base que par l administrateur Toutefois les fichiers contenus dans etc tant tous la propri t de root je pr conise dans un but de coh rence de lancer cette commande uniquement sous compte root De toute fa on sauf imaginer que etc httpd auth soit propri t d un utilisateur non root le lancement de htpasswd depuis un login non root conduirait un chec l enregistrement des donn es Syntaxes e Pour la cr ation avec un premier utilisateur lambda htpasswd c etc httpd auth test users lambda htpasswd va alors vous demander le mot de passe de lambda avec confirmation e Pour l ajout d un utilisateur suppl mentaire htpasswd etc httpd auth test users lambda2 e Pour supprimer un utilisateur et ben le plus simple est de supprimer la ligne correspondante dans le fichier d autorisation La consultation de htaccess se fait chaque acc s du serveur Apache au sous r pertoire concern Avantage la nouvelle configuration entre en action imm diatement sans qu il soit n cessaire de relancer le serveur Apache pour recharger la
219. e queueing via NETLINK EXPERIMENTAL lt M gt IP6 tables support required for filtering masq NAT lt M gt limit match support lt M gt MAC address match support lt gt Routing header match support EXPERIMENTAL NEW lt gt Hop by Hop and Dst opts header match EXPERIMENTAL NEW lt gt Fragmentation header match support EXPERIMENTAL NEW lt gt HL match support NEW lt M gt Multiple port match support lt M gt Owner match support EXPERIMENTAL lt M gt netfilter MARK match support lt gt IPV6 Extension Headers Match EXPERIMENTAL NEW lt gt AH ESP match support EXPERIMENTAL NEW lt gt Packet Length match support lt M gt EUI64 address check EXPERIMENTAL lt M gt Packet filtering lt M gt LOG target support lt M gt Packet mangling lt M gt MARK target support Dans le menu Networking options mettez en module ou en dur dur int gr au noyau l option The IPv6 protocol EXPERIMENTAL et ensuite mettez en module ou en dur toutes les options du menu IPV6 Netfilter Configuration si vous n etes pas s r a ne risque rien D s que nous avons un noyau en tat d accepter l ipv6 c est dire apr s recompilation et reboot _http lea linux org kernel kernel php3 passons a la section 2 La configuration du syst me Les Net tools sont nos amis Il faut r installer les net tools ifconfig route Vous pouvez les trouver http www tazenda demon co uk phil net tools e
220. e r pertoire etc xinetd d L arborescence de xinetd L arborescence de la configuration de xinetd est relativement simple On en rencontre 2 types e un seul fichier de configuration etc xinetd conf qui comprendra la configuration g n rale de xinetd et la configuration des services g r s par xinetd exemple plus loin dans l article e un fichier r serv la configuration g n rale de xinetd nomm aussi etc xinetd conf La configuration des services est d port e dans des fichiers situ s dans le r pertoire etc xinetd d Ce r pertoire comprend un fichier de configuration par service g r par xinetd Le fichier porte le nom du service Pour utiliser ce deuxi me cas de figure le fichier etc xinetd conf doit contenir la ligne suivante includedir etc xinetd d C est ce deuxi me cas de figure qui est le plus couramment utilis dans les distributions Syntaxe g n rale d un fichier de configuration Le fichier de configuration de xinet a est un ensemble d une ou plusieurs directives dont la syntaxe est la suivante service nom du service 82 Configurer les composants d un r se L a configuration g n rale de x Le nom de la directive est soit defaults et la configuration porte alors sur l ensemble des services g r s par xinetd soit le nom d un des services g r par xinetd A l int rieur de chacune de ces directives on trouvera des attributs un par ligne crits de la mani re suivante lt attribu
221. e sert a rien avec Linux tablir une liaison internet c est relier votre ordinateur au r seau des r seaux via votre modem C est dire connecter le modem de votre PC celui de votre ISP par une liaison t l phonique en utilisant un protocole de communication particulier Le protocole retenu dans ce document se nomme Point to Point Protocol ou ppp c est le plus souvent employ l exception tant AOL Le programme charg d tablir cette connexion se nomme pppd pour ppp daemon ppp pour Point to Point Protocol Mais avant d tablir la liaison avec internet vous devez contacter votre fournisseur d acc s j utiliserai d sormais l abr viation ISP Internet Service Provider le programme charg de communiquer avec votre modem est chat Voyons comment configurer chat le programme qui discute to chat en anglais avec le modem Configuration de chat Ce n est pas obligatoire mais nous allons stocker le fichier de configuration de chat dans etc ppp chat pour cela vous devez cr er ce r pertoire mkdir etc ppp chat car il n existe pas par d faut Les scripts chat se composent d une s rie de paire de cha nes de caract re La premi re cha ne de chaque paire est ce que l on attend du modem la seconde ce que l on doit alors envoyer au modem Pour configurer tr s finement votre modem vous devez poss der la documentation technique de celui ci mais en g n ral ce n est pas n cessaire Un premier script l mentair
222. e user Mais l c est une autre affaire je sens que vous allez passer quelques heures sur l tude d taill e des droits d acc s MySQL 7 Le petit br viaire Je ne sais pas si vous tes comme moi mais j ai besoin de prendre des notes pour retrouver rapidement les informations vitales dans un document aussi touffu que celui ci Parmi les informations qu il me semble int ressant de r sumer ici je dresse toutes fins utiles la liste des fichiers et r pertoires qui ont t voqu s ci dessus dans leur ordre d apparition en sc ne CE Configuration de base de MySQL optionnel Je pr cise nouveau que ce document s applique au cas d une installation en environnement LINUX Mandrake 8 0 telle que d crite dans un document identifi plus haut Un syst me qui serait bas sur une autre distribution et ou qui utiliserait des versions d Apache PHP ou MySQL qui auraient t compil es par l utilisateur pourrait utiliser d autre r pertoires pour stocker les diff rentes informations L essentiel est d obtenir un ensemble coh rent 8 Conclusion L expos ci dessus devait vous mettre en situation d appr hender s rieusement la question assez complexe mais oh combien strat gique du contr le des acc s sur un serveur Apache PHP MySQL J esp re avoir atteint cet objectif en montrant comment structurer la r flexion e protection du serveur Apache e protection du serveur MySQL e mise en place de contr les d acc s via le lang
223. ectuant nouveau de fa on directe Bon a ne marche pas Ne vous affolez pas Je fais le pari que vous avez fait des essais de htaccess ou de httpd conf sur le sous r pertoire de phpMyAdmin et qu il reste des traces des essais effectu s pr c demment Supprimez ou renommez l ventuel fichier htaccess situ dans le sous r pertoire var www html phpMyAdmin et ou mettez des commentaires aux ventuelles lignes ajout es etc httpd conf httpd conf Attention de relancer Apache si vous modifiez httpd conf 6 2 Configuration avec adv_auth true L authentification avanc e diff re l g rement du cas pr c dent en ce que le login et le mot de passe de l utilisateur qui lance phpMyAdmin sont demand s au lancement Il n y a plus un login de connexion unique celui ci peut changer en fonction des informations donn es par l utilisateur qui lance phpMyAdmin Ces informations sont ensuite compar es la base de donn es des utilisateurs autoris s par MySQL La connexion est tablie si les informations sont correctes Il faut toutefois tablir une premi re connexion de fa on avoir un acc s temporaire la table user C est cette fin que la configuration pr voit un compte d fini par cfgServers 1 stduser et cfgServers 1 stdpass ces deux variables devant permettre la v rification des droits d acc s Il va sans dire que le stduser d sign ici devra avoir des droits suffisants pour lire la table user Cette
224. el de d compression des paquetages la notion d utilisateur d administrateur etc 2 Introduction La configuration de l ensemble Apache PHP MySQL n tait pas sp cialement ais e avec les distributions plus anciennes Un article tr s int ressant de la revue Linux pratique d crit dans le num ro 12 comment s y prendre pour r aliser cette op ration 9 pages d instructions de mises jour de fichiers conf etc Passionnant et p nible Depuis un certain nombre de versions de Mandrake il est possible de tout faire fonctionner sans retoucher le moindre fichier de configuration simplement en installant les rpm Et Mandrake 10 ne d roge pas ce constat Rappelons bri vement que e Apache est un serveur Web le logiciel qui envoie des pages html un navigateur Il s agit du serveur le plus utilis actuellement sur le Web puisqu il repr sente environ 2 3 des serveurs install s e PHP est un langage de programmation interpr t Correctement interfac avec Apache il permet au serveur de fournir des pages dynamiques g r es en fonction des besoins du client En clair la page n est plus un document statique mais peut voluer afficher des informations diff rentes selon les souhaits de l utilisateur e MySQL est un gestionnaire de bases de donn es assez puissant et rapide Il peut tr s bien fonctionner en utilisant son propre client en mode texte sans l utilisation d une quelconque interface graphique L utilisateur doit al
225. ement votre interface Beaucoup d informations int ressantes sont disponibles dans la FAQ administrateur de Horde Et en cas de probl me insoluble apr s avoir consult la documentation pr sente avec chaque paquetage dans le r pertoire docs associ le site Horde et les FAQ il y a encore la possibilit de poser vos questions sur la mailing list de Horde 168 Configurer les composants d un r se L a Client Serveur VN Client Serveur VNC par Jonesy Installer configurer et utiliser VNC Qu est que c est Une petite d finition VNC signifie Virtual Network Computing Cela permet de se connecter une machine distante de sa propre machine comme telnet ou openSSH mais la diff rence que vous tes sous l interface graphique du syst me h te et que vous avez la main sur le clavier et la souris Note de Jic On dit que VNC permet de d porter l affichage d une machine sur une autre Sachez qu entre 2 machines dot es de serveurs X VNC ne sert rien car c est une fonctionnalit native des serveurs X II suffit de lancer votre application sur la machine jouant le r le de serveur en lui sp cifiant sur quel cran elle doit s afficher Par exemple je lance xeyes depuis la machine taz avec affichage sur l cran 0 par d faut de la machine papoune jice taz jice xeyes display papoune 0 VNC rend ceci possible quelque soit le syst me d exploitation de la machine distante et ou le syst me de votre machine
226. en root etoile noire home etc rc d init d smb start Starting SMB services Starting NMB services On lance les deux d mons n cessaire au fonctionnement de SAMBA M me si SAMBA est d ja lanc e normalement il n y a pas d erreur root etoile noire home etc rc d init d smb status smbd pid 970 is running 110 Configurer les composants d un r se L a Lancement d finitif de SAN nmbd pid 972 is running On v rifie que SAMBA est bien en train de fonctionner Vous devez voir apparaitre les deux derni res lignes Si tout va bien ce qui devrait tre le cas vous pouvez passer la suite sinon vous pouvez tout recommencer A partir de maintenant SAMBA fonctionne sur votre machine Lancement d finitif de SAMBA En utilisant init Sys V SAMBA est maintenant correctement install autant le lancer chaque d marrage de Linux Pour la Mandrake et la RedHat aussi qui utilise les fichiers etc rc d init d pour lancer des programmes au d marrage de Linux il suffit de cr er les liens ad quats SAMBA ne doit pas fonctionner dans les runlevels 0 1 2 et 6 en effet dans ces runlevels le r seau n est pas activ s etc rc d init d smb etc rc d rc0 da K35smb s etc rc d init d smb etc rc d rc1 d K35smb s etc rc d init d smb etc rc d rc2 d K35smb s etc rc d init d smb etc rc d rc6 d K35smb se te H p55 58 SAMBA peut et devrait fonctionner dans les runlevels 3 4 et 5
227. en natif dans le kernel voir la rubrique kernel Configurer les composants d un r seau 29 Param trage de la connexion L a Bon maintenant plusieurs solutions s offrent vous Connexion en mode graphique Si vous tes sous KDE et que dans le menu Internet vous avez une application Kppp lancez l et configurez votre connexion comme indiqu ci dessous Si KDE n est pas votre environement pr f r mais qu il est quand m me install lancez le partir d un autre WM dans un terminal tapez kppp il marche m me en dehors de KDE Il vous reste plus qu mettre une ic ne sur le bureau pour y acc der Si kppp n est pas install vous pouvez aussi utilisez ezppp prononcez easy ppp surlequel kppp se base Recherchez ce logiciel sur le CD de votre distribution ou bien sur internet Freshmeat par exemple Les deux logiciels se configurent sensiblement de la m me fa on Configuration Cr ez un compte account ou compte ajoutez en un donnez lui un nom de votre choix remplissez le num ro de t l phone de votre fournisseur d acc s et laissez le type d authentification sur PAP Sur IP laissez dynamic ip et pour DNS ajoutez les adresses des serveur DNS de votre fournisseur d acc s Puis sur l onglet modem v rifiez que dev modem celui qu on a cr plus haut soit choisi Puis remplissez les champs user et password puis cliquez sur connect Tout devrait bien se passer la connexion internet doit s tablir A
228. endmail restart Ce script est un compromis je ne voulais pas crire plusieurs fois la lecture de etc ppp conf je ne sais pas crire de biblioth que en per1 pour des raisons videntes de maintenance donc j ai crit ce script qui fait pour chaque op ration bien plus que ce qui est n cessaire Mais cela ne doit tre p nalisant que si vous avez des dizaines de connexions Le script n appel pas de commentaire particulier si ce n est pour les 12 lignes en gras Ce sont ces lignes qui vont demander l isp des adresses de ses dns Les 9 premi res regardent si les variables d environnement DNS1 et DNS2 existent quand on est en mode autodns Les 3 derni res ajoutent au script de commande de pppd l option qui lui r clame ces information Pour que ce script puisse fonctionner il faut que vous cr iez un fichier etc sendmail1 BASE dont le nom de serveur smtp est MATLHOST la place du nom du serveur de mail sortant d un de vos isp Si votre serveur de sendmail est configur et fonctionne il suffit de copier etc sendmail cf dans etc sendmail BASE et cherchez dans etc sendmail BASE la ligne ou quelque chose de semblable DSsmtp smtp isp fr et vous la changez en DSsmtp MAILHOST Attention le fichier etc sendmail cf est tr s sensible ne le modifiez que si vous savez ce que vous faites Un fichier etc ppp ip up peine plus complexe que celui de la partie 3 bin sh le param tre 6 correspond au
229. ent c est comme d habitude Sachez tout de m me que si vous fermez votre session X avant de quitter le client il vous faudra relancer le serveur VNC pour la prochaine fois Si vous ne fermez pas votre session X et que vous quittez le client VNC avec Netscape ouvert la prochaine fois que vous vous connecterez a VNC vous retrouverez votre Netscape toujours ouvert Bien s r si la machine h te avec le serveur n a pas t arr t e Note N oubliez pas vous tes sur le serveur C est comme un telnet ou openSSH Donc vous n avez pas acc s votre disque dur local CDROM ou lecteur de disquette Sauf si le serveur y a acc s via le r seau Remarques Voici les probl mes que j ai pu rencontrer l utilisation du client VNC sous Windows vers un serveur VNC Linux e La d finition de l cran est celle du serveur Donc la taille de la fen tre du client d pend de la configuration vid o du serveur Il est possible d agrandir la fen tre du client mais la perte de qualit est importante La meilleure solution est donc d avoir la m me configuration vid o sur le serveur et sur le client votre machine e Pour je ne sais quelle raison il est impossible de faire ex cuter certains scripts Shell de facon automatique Par exemple le bashre e La configuration du clavier n est pas forc ment correcte Impossible de taper par exemple Voila c est enfin termin 170 Configurer les composants d un r se L a Le proxy Junkb
230. ent le contr le d acc s MySQL via un script PHP d coule directement de ce qui a t expos au chapitre pr c dent et s appuie directement sur les r gles d acc s MySQL d finies dans la base de donn es var lib mysqal mysql Il peut donc s av rer souhaitable de cr er un compte utilisateur MySQL sp cifique aux applications PHP qui tournent sur le serveur On pourrait aussi imaginer d en cr er plusieurs 1 par famille de scripts par exemple 6 Cas particulier de phpMyAdmin PhpMyAdmin est une petite merveille un ensemble de scripts PHP qui permet d acc der au serveur MySQL en utilisant une interface graphique plus avenante que le spartiate client MySQL en mode texte L installation par d faut conduit faire de phpMyAdmin un client MySQL avec un login root sans mot de passe d o l int r t de ne pas mettre dans un premier temps de mot de passe au compte root faute de quoi phoMyAdmin ne serait plus en mesure d acc der au serveur MySQL En fait le fonctionnement de phpMyAdmin est r gl par le fichier var www html phpMyAdmin config inc php3 Ce fichier assez court contient notamment les lignes suivantes The cfgServers array starts with cfgServers 1 Do not use cfgServers 0 You can disable a server config entry by setting host to SetqServers i ii nose i localhost MySQL hostname ScfgServers 1 port 1 MySQL port leave blank for default port 104 Configurer les composants d un r
231. ents physiques qui consiste bien brancher les c bles mais leurs attribuer les param tres IP La premi re carte la 3Com sera branch e l internet elle recevra automatiquement tous les param tres par un serveur DHCP situ chez le fournisseur internet Il faudra donc rajouter la ligne iface ethO inet dhcp au fichier etc network interfaces Note de Jic dans le cas du partage d une connexion par modem vous devez configurer de mani re classique cette connexion votre fournisseur d acc s La seconde carte la Digital sera branch e au r seau local Il faudra lui attribuer les param tres IP manuellement L adresse IP r serv e de classe A 192 168 1 1 sera celle choisie pour notre ordinateur Cela se configure galement dans le fichier etc network interfaces Voil donc de quoi aura l air le fichier etc network interfaces etc network interfaces configuration file for ifup 8 ifdown 8 The loopback interface iface lo inet loopback eth0 Reseau internet iface eth0 inet dhcp ethl local network iface ethl inet static address 192 168 1 1 netmask 255 255 255 0 broadcast 192 168 1 255 Pour brancher une carte r seau il faut se servir de la commande i fup pour la d brancher la commande ifdown sera d usure La commande ifconfig permettra de v rifier les param tres des cartes r seau branch es bash ifup eth0 bash ifup ethl 8 Configurer les composants d un r se L a Configurations princi
232. erveur X se fonde sur la variable d environnement DISPLAY exemple anne pingu echo SDISPLAY 20 A gauche des on trouve le hostname ici sous entendu localhost ou 127 0 0 1 soit la machine locale A droite on trouve le num ro de serveur X et parfois le num ro d cran Attention toute modification du hostname en cours de fonctionnement sous interface graphique risque fort de vous faire perdre la main L adressage IP Pour conna tre l adressage IP de la machine quelle que soit la nature du r seau une commande connaitre ifconfig la commande vous retourne quelque chose comme a ethO Lien encap Ethernet HWaddr 00 10 5A DA D3 47 UP BROADCAST RUNNING MULTICAST MTU 1500 Metric 1 RX packets 2006397 errors 0 dropped 0 overruns 0 frame 0 TX packets 1863082 errors 0 dropped 0 overruns 0 carrier 0 collisions 3679 lg file transmission 100 RX bytes 1283974990 1224 4 Mb TX bytes 590947572 563 5 Mb Interruption 10 Adresse de base 0xe800 ethl Lien encap Ethernet HWaddr 52 54 05 F5 BB 9B inet adr 192 168 0 3 Bcast 192 168 0 255 Masque 255 255 255 0 UP BROADCAST RUNNING MULTICAST MTU 1500 Metric 1 RX packets 1841782 errors 0 dropped 0 overruns 0 frame 48 TX packets 1984028 errors 0 dropped 0 overruns 0 carrier 0 collisions 6607 lg file transmission 100 RX bytes 579039163 552 2 Mb TX bytes 1261892485 1203 4 Mb Interruption 9 Adresse de base 0xe400 lo Lien encap Boucle locale inet adr 127 0 0 1 Masque 255 0 0 0 UP LOOPBACK RU
233. erveur sera prise en compte soit server config ou un des virtual hosts ou anonyme Si il n y aucune configuration de pr vue l inconnu aura le message suivant no server available to service your request et d connect Ensuite nous passons des options dont l utilit est tr s simple comprendre AllowStoreRestart on Port 45000 Umask 022 Maxinstances 30 AllowStoreRestart gt permet d autoriser les clients reprendre les uploads vers vous ce n est pas cette directive qui leur permet de reprendre quand ils t l chargent depuis votre serveur Donc cette option AllowStoreRestart n est utile que si vous autorisez au moins une personne crire chez vous Port gt je passe simple a comprendre sinon je me demandes ce que vous faites l c est bien videmment le num ro de port sur lequel le client se connecte Umask gt c est comme dans unix en g n ral 022 est une valeur qui est bien donc laissez la 022 si vous voulez en savoir plus sur umask en g n ral consultez notre ami tous www google fr linux MaxInstances gt comme c est indiqu dans le fichier par d faut de proftpd conf cela sert sp cifier le nombre de processus fils maximum que va g rer utiliser proftpd et comme indiqu au del d une valeur de 30 vous tre vuln rable a des attaques de type Ddos donc laissez 30 pour une utilisation sinc rement c est largement suffisant Ensuite viennent 2 param tres tr s important
234. es suppl mentaires peuvent contenir des bugs encore inconnus mais exploitables plus tard Si vous voulez une s curit accrue n autorisez que le web ainsi que le FTP surtout si vous tes sur un r seau d entreprise je ne vois pas pourquoi l IRC par exemple doit tre activ on n en a pas besoin pour travailler dans une entreprise Avant de continuer v rifiez bien que votre LAN r seau local est bien sur une adresse r serv e priv c est a dire du type 10 0 0 0 10 255 255 255 Classe A 172 16 0 0 172 31 255 255 Classe B 54 Configurer les composants d un r se L a Mise en place du filtrage du masquerading routage LAN lt gt NE 192 168 0 0 192 168 255 255 Classe C Pour plus de simplicit je consid re que votre LAN est sur l adresse r seau 192 168 1 0 et que votre passerelle le firewall Linux a comme adresse 192 168 1 1 Configurez aussi les autres machines de votre LAN avec bien s r une adresse IP valide de 192 168 1 2 jusqu 192 168 1 254 l adresse de passerelle et de DNS celle du Firewall 192 168 1 1 Bon maintenant sur le Firewall on va activer le masquerade avec ipchains P forward DENY ipchains A forward s yyy yyy yyy yyy x j MASO avec x qui correspond au masque et yyy yyy yyy yyy l adresse r seau de votre LAN ici 192 168 1 0 ae us Sd se a 5 16 255 255 255 0 24 255 255 255 256 Point point Si pour vous ce style de notation de masque vous g ne vous pouvez
235. es commandes Deny suivi des commandes Allow et interdire toute autre connexion ce qui peut tre pratique car dans ce cas l si jamais votre r gle n est pas infaillible ou que vous avez oubliez une possibilit et bien vous tes s rs que de toute fa on la connexion sera refus e A noter aussi qu il existe des options comme AllowGroup etc je vous invite visiter le site de proftpd pour plus de renseignements Sinon juste pour l exemple un autre virtualhost dans le cas ou le serveur est en type standalone et qu on a donc sur la m me IP plusieurs virtuelhost Configurer les composants d un r seau 127 Configuration L a mais sur des ports diff rents lt VirtualHost ftp serveur_proftpd com gt ServerName Mon serveur FTP virtuel Port 47000 MaxClients 3 MaxClientsPerHost 1 DefaultRoot a lt Limit LOGIN gt AllowUser Foo DenyAll lt Limit gt lt VirtualHost gt Les autres contextes de configuration Contextes de configuration lt Anonymous gt et lt Directory gt Le contexte de configuration lt Anonymous gt comme son nom l indique sert configurer un acc s anonyme au service FTP et le contexte de configuration lt Directory gt permet de d finir un contexte pour les r pertoires il est possible de les utiliser comme suit lt Anonymous home ftp gt MaxClients 5 Nombre de clients maximum atteints 5 User ftp Group ftp lt Limit WRITE gt DenyAll lt Limit gt lt Directory uploads lt Limit R
236. es autres via kppp ezppp etc et cr er nous m me avec nos petites mains les fichiers de configuration Nous allons cr er une connexion appel e connexion0 connexion z ro Pour pouvoir initialiser cette connexion pppd a besoin de 3 de mon point de vue fichiers de configuration au moins e etc ppp options lock la connexion est exclusive a la connexion est sur dev ttySO i e com1 en 115200 bauds avec contr le de flux mat riel c est le modem qui le fait noauth l isp ne doit pas s authentifier pour nous donner une adresse defaultroute ppp fourni la route par d faut usepeerdns pour que pppd demande les DNS au provider cela ne marche peut tre pas toujours mais chez moi si idle 300 pour demander a pppd de raccrocher votre t l phone au bout de 300 secondes d inactivit Si vous ne voulez pas utiliser cette option ne la mettez pas du tout e etc ppp peers connexion0 Si le r pertoire etc ppp peers n existe pas vous devez le cr er Le nom de ce r pertoire est imp ratif plus pr cis ment je ne sais pas comment le changer autrement qu en modifiant les sources de pppd connect usr sbin chat v f etc ppp chat connexion0 user lt login de connexion gt Ce fichier se passe de commentaire Il n est n cessaire que parce que c est celui que pppd va chercher quand on lui passe comme argument ca11 connexion0 e etc ppp pap secrets lt login de connexion gt
237. es en l autorisant interdisant totalement ou partiellement cf les fichiers etc hosts allow et etc hosts deny xinetd apporte des fonctionnalit s bien plus importantes et permet d affiner les param trages d acc s aux services On citera dans le d sordre e possibilit d affiner les logs des services g r s e param trage d acc s par service et non global e param trage des plages horaires de disponibilit des services e possibilit de chrooter les services ex ftp e possibilit de limiter les attaques de type deny of service contr le de la priorit d un serveur contr le de la charge CPU contr le du nombre de connexions par service e redirection de ports Passer de inetd xinetd Si votre distribution pr f r e utilise inetd et qu apr s avoir eu le courage de lire cet article vous souhaitez utiliser xinet a il existe un script qui vous permettra de transformer le fichier inetd conf en fichier xinetd conf utilisable par xinetd Ce script xconv p1 est un script perl fourni avec xinetd Attention si ce script peut vous donner la structure g n rale du fichier de configuration il ne vous permetira pas de profiter des apports de xinetd Rien de tel qu un bon diteur de texte et ce qui suit ci dessous configuration g n rale de xinetd On entre dans le vif du sujet Pour configurer xinetd vous aurez a connaitre la syntaxe commune de etc xinetd conf et selon les cas de figure les fichiers situ s dans l
238. es fichiers ou renommez le vers index php La m me URL que pr c demment affiche alors directement les contenu de index php Le contenu du sous r pertoire n est plus visible L acc s aux diff rents fichiers reste toutefois possible si vous tapez directement leurs noms respectifs e effacez le ficher index php l affichage de la liste des fichiers est nouveau possible C est pratique pour viter qu un visteur de passage puisse consulter le contenu d un sous r pertoire Bien s r c est un simple truc pas un rideau de fer contre un kracker exp riment mal intentionn et patient 6 Installation de MySQL 6 1 Mise en place des rpm L installation de mysql est elle aussi tr s simple Les packages suivants sont n cessaires ils devraient avoir t install s par d faut en cas de besoin les installer par la suite emysql common emysql client e mysql MySQL client n est pas indispensable Il s agit en fait de la partie client de l ensemble client serveur Ce client permet toutefois attention en mode texte c est plut t spartiate de faire quelques requ tes au serveur urpmi mysql Un des paquetages suivants est n cessaire 1 MySOL 4 0 18 1 1 100mdk i586 2 MySQL Max 4 0 18 1 1 100mdk i586 Que choisissez vous 1 2 1 Pour satisfaire les d pendances les paquetages suivants vont tre install s 18 Mo MySQL 4 0 18 1 1 100mdk i586 MySQL client 4 0 18 1 1 100mdk i586 MySQL common 4 0 18 1 1 100mdk i586 libmysgql12 4 0
239. es install s dans usr local share qmailadmin Pour que vous puissiez g rer les mails d un domaine vous devez configurer un MX dans le fichier de zone de ce domaine qui pointe vers votre serveur Lisez les documentions des serveurs DNS 158 Configurer les composants d un r se L a Interface graphique de messe Interface graphique de messagerie par Laurent DUBETTIER GRENIER Installer une interface graphique de messagerie IMP Introduction Ce guide est bas sur l excellent travail original en anglais de Olivier Schulze L site web http www geocities com oliversl imp pour distribution RedHat 9 Dans ce document nous allons d crire tape par tape les instructions n cessaires pour configurer une interface graphique pour un serveur local de messagerie postfix sur une distribution Mandrake Linux 9 1 Vous devez auparavant r cup rer les paquetages n cessaires l installation de l interface web sur le site de Horde II vous faut HORDE 2 2 4 Architecture PHP IMP 3 2 2 Client IMAP TURBA 1 2 Gestionnaire de contacts KRONOLITH 1 1 Calendrier Organiseur journalier MNEMO 1 1 Gestionnaire de note NAG 1 1 Gestionnaire de t che et PEAR 1 1 ou leurs versions plus r centes Le tout est diffus sous licence libre GNU GPL sauf Horde qui est en licence Lesser GNU GPL Si vous souhaitez autoriser le changement en ligne de mot de passe pour la bo te lettres ce guide d crit aussi l installation de POPPASSD CETI et
240. es pour toutes les commandes ci dessous sauf si je vous indique clairement de vous connecter de nouveau en tant qu utilisateur root Pour tout le reste du document je suppose que votre administrateur PostgreSQL est postgres vous d adapter suivant le nom que vous avez donn a ce compte R cup ration des sources et compilation Bon tout d abord r cup rez les sources sur_un des miroirs Au moment o j cris cet article la derni re version stable est la 7 4 2 R cup rez l archive tar postgresql 7 4 2 tar gz ou une autre version si une mise jour est disponible Une fois les sources r cup r es placez vous dans le r pertoire que nous venons de cr er placez y l archive tar compress e et lancez la d compression avec la commande cd usr src pgsql tar xvfj postgresql 7 4 2 tar bz2 Entrez dans le r pertoire cr et lancez l op ration de configuration cd ust src pgsql postgresql 7 4 2 configure options Dans cette commande options doit tre remplac par une ou plusieurs options de configuration En voici quelques unes parmi les plus int ressantes e prefix chemin chemin o vous voulez installer PostgreSQL sachant que celui ci s installe par d faut dans le r pertoire lusr local pgsal e enable n1s ajoute le support des locales support multi langues e with odbc compile le module ODBC e with jdbc compile le module JDBC e with per1 ajoute le support de
241. espondre a une attaque en bon et due forme d un man in the middle e La derni re et n anmoins plus plausible des solution n cessite que l administrateur du serveur distant ait chang les clefs La seule solution fiable demande de contacter l administrateur en question et lui demander ce qu il en est Dans la pratique peu de personnes usent de cette assurance de s curit ssh 127 0 0 1 CCCCCCCCCCCCCCCCCACCCAACCCCCACCCLCLCCRC WARNING REMOTE HOST IDENTIFICATION HAS CHANGED CECCCCCCCECECECECECECECECECECECEREREER IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY Someone could be eavesdropping on you right now man in the middle attack It is also possible that the RSA host key has just been changed The fingerprint for the RSA key sent by the remote host is 8b d5 26 a3 79 ed 25 0f 3b 6f fe 30 lf ed 89 ae Please contact your system administrator Add correct host key in home jop ssh known_hosts to get rid of this message Offending key in home jop ssh known_hosts 13 RSA host key for 127 0 0 1 has changed and you have requested strict checking Host key verification failed La copie s curis e Comme nous avons pu le voir plus haut ssh fournit un outil de copie s curis e en standard sous le nom de scp pour SecureCoPy Il remplace son anc tre rcp Son usage est tr s simple scp h te_d_ou_je_veux_copier source_copie hd te_destination cible Lorsque l h te correspond la machine o vous vous trouvez
242. et ou d un port Exemple je souhaite lister les informations li es au protocole TCP et au port 80 donc mon serveur web lsof i tcp 80 COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME httpd 1136 root 16u IPv4 1963 TCP http LISTEN httpd 1139 root 16u IPv4 1963 TCP http LISTEN httpd 1140 root 16u IPv4 1963 TCP http LISTEN httpd 1141 root 16u IPv4 1963 TCP http LISTEN Note Sur la remarque tout fait justifi e de Jic mais non je ne fayotte pas on peut en parall le la commande 1s0f citer fuser Elle est vous donnera moins d informations mais peut vous permettre d obtenir le m me genre de renseignements Une restriction toute fois sp cif e dans le man de fuser fuser ne dispose de toutes les informations que s il est ex cut avec les privil ges de root Ainsi des fichiers ouverts par des processus appartenant d autres utilisateurs n apparaitront peut tre pas Exemple je veux savoir quels sont les fichiers utilis s par mon serveur apache root pingu fuser auv n tcp 80 USER PID ACCESS COMMAND 80 top root 1136 httpd root 39 feeca httpd root 40 f httpd root AT 3 httpd root 42 f httpd root 44 f httpd root 45 f httpd root 46 f httpd root 47 f httpd root 6434 f httpd Le probl me ici est que httpd fonctionne avec l identit apache et non root D o le manque d informations sur les fichiers utilis s resolv conf Ce fichier permet la configuration d un clien
243. eur ci dessus tapez ces commandes qmail scanner queue pl g qmail scanner queue pl z Si vous avez eu l erreur lors de l installation les commandes alors sont celles ci qmail scanner queue g qmail scanner queue z Installation du gestionnaire de mailing list Ezmlm est le gestionnaire de mailing de Qmail Pour l installer d tarrez dgzippez ezmlm et ezmim idx Puis copiez le contenu de ezmim idx dans le r pertoire de ezmim tar zxvf ezmlm 0 53 tar gz tar zxvf ezmlm idx 0 40 tar gz mv ezmlm idx 0 40 ezmlm 0 53 Patchez alors ezmlm cd ezmlm 0 53 patch lt idx patch et compilez installez le tout make clean make make man Configuration des service mails Maitenant que le plus gros est install nous allons cr er le script de d marrage de ces services Cr ez un fichier rc startmail dans etc rc d comprenant bin bash 156 Configurer les composants d un r se 4 L a Installation d autorespor export PATH usr local bin var qmail bin var vpopmail bin usr local bin ezmlm SPATH echo Starting Qmail and Vpopmail daemons au export QMAILQUEUE var qmail bin qmail scanner queue pl var qmail rc amp usr local bin tcpserver v H R x etc tcp smtp cdb c20 u1033 g103 0 smtp usr local bin recordio var qmail bin qmail smtpd 2 gt amp 1 gt dev null amp usr local bin tcpserver v H R 0 pop3 usr local bin recordio var qmail bin qmail popup mailhub lea linux org var vpopmail
244. eurjabber name Annuaire des utilisateurs locaux gt lt ns gt jabber iq search lt ns gt lt ns gt jabber iq register lt ns gt lt service gt Red marrez jabber le service d annuaire devrait maintenant exister Depuis Gabber il faut choisir Actions Consultations des agents IM pour s inscrire dans l annuaire des utilisateurs locaux de jabber masociete com Liste des extensions serveurs e Conf rence multi utilisateurs _http mu conference jabberstudio org e JUD Jabber User Directory _http download jabber org dists 1 4 final e Passerelle AIM _http aim transport jabberstudio org e Passerelle ICQ _http icqv7 t sourceforge net e Passerelle MSN _http msn transport jabberstudio org e Passerelle Yahoo _http yahoo transport jabberstudio org Intranet Pour une utilisation en Intranet sans communication avec l ext rieur il faut r aliser les op rations suivantes e Interdire la communication entre serveurs pour cela fermer le port 5269 du firewall de votre organisation e Interdire la communication avec les clients ext rieurs fermer les ports 5222 et 5223 du firewall de votre passerelle internet e Commenter les sections lt service id dnsrv gt lt service gt et lt service id s2s gt lt service gt e Commenter la ligne lt update gt lt update gt mise jour automatique ce sera vous de la faire manuellement NB Pour bloquer des ports sur le firewall shorewall
245. fait cache Tout d abord il faut savoir que l on peut remplir la main un fichier qui s appelle etc host avec les correspondances adresse IP et nom DNS des machines Donc si l on a un petit r seau local de quelques machines on peut remplir ce fichier la main Mais dans le cas d un r seau beaucoup plus cons quent il vaut mieux installer un serveur DNS L ou un serveur DNS peut tre utile aussi c est si vous partagez une connexion internet sur votre r seau local Vous installez sur la machine qui partage la connexion internet un serveur DNS qui fait cache De ce fait toutes les machines qui vont se connecter via ce serveur l internet vont demander la r solution d adresse votre serveur en interne plut t qu aux serveurs DNS externes ce qui va permettre de r duire le traffic r seau sortant Bon en fait pour les premi res connexions cela ne va servir rien car comme votre serveur DNS sera presque vide celui ci va demander aux serveurs externes les r ponses afin de remplir sa base DNS Mais comme votre serveur va stocker les r ponses au bout d un moment cela va acc l rer les r ponses DNS car c est votre serveur local et non pas les serveurs externes qui vont r pondre ces requ tes DNS M me dans le cas o vous n avez qu une machine poste de travail sous linux et que vous vous connectez tr s souvent l internet le fait d installer l aussi un serveur DNS sur votre poste va acc l rer votre connexion ce qui e
246. fig ou Linuxconf permettent de configurer tr s facilement une carte r seau voir www linuxenrezo org mais bon je trouve plus ludique instructif de vous l apprendre la main comme a on sait ce que l on fait de plus des distribution comme la Slackware ne poss dent pas ces outils par d faut Supposons que l on souhaite attribuer l adresse X X X X la carte ethO sur le r seau dont le masque de sous r seau du LAN est Y Y Y Y c est pareil pour les autres cartes Rien de plus simple on tape en root ifconfig eth0 X X X X netmask Y Y Y Y et votre r seau est configur Il faut bien le reconna tre c est pas la mort Bon pour ne pas avoir configurer a chaque reboot ajoutez cette commande dans un script de d marrage comme par exemple etc rc d rc local Cependant la plupart des distributions ont des utilitaires pour configurer a et lancer un script automatiquement lancez par exemple netconfig ou netcfg O linuxconf Vous avez bien au moins l un de ces utilitaires sinon t l charger 1inuxconf sur rufus par ex Pour la Slackware placez ces commandes dans le etc rc d inet1 ditez le cherchez les lignes suivantes et renseignez les avec vos param tres IPADDR 192 168 1 1 NETMASK 255 255 255 0 NETWORK 192 168 1 0 BRODCAST 192 168 1 255 255 remplacez par l adresse de votre machine mettez votre masque de r seau ici classe C mettez votre adresse de r seau votre adresse de broadcast
247. fr org En fait quand un nom est recherch par exemple lea linux org la question est pos dans l ordre hi rarchique tout d abord on demande un serveur racine un serveur connu sur internet et d clar comme tant un serveur racine la liste des serveurs pouvant r pondre au TLD org puis on descend d une hi rarchie et on recommence Donc partir de la liste de serveurs obtenue on demande ceux qui r pondent lea linux org puis de m me pour lea linux org C est en gros le fonctionnement du service DNS Un serveur DNS qui fait cache Le fichier etc named On va voir ici une premi re configuration possible un serveur DNS qui fait cache Vous avez besoin de ce type de serveur si votre serveur DNS ne vous sert que pour acc l rer votre connexion internet tr s utile si vous tes connect via un modem RTC ou si vous partagez une connexion internet via votre machine Tout d abord ditons le fichier etc named conf cr ez ce fichier s il n existe pas Fichier etc named conf pour serveur DNS cache options R pertoire des fichiers de configuration directory var named Si vous traversez un firewall et que vous avez des probl mes DNS d commentez la ligne ci dessous Configurer les composants d un r seau 143 Un serveur DNS qui fait cache query source port 53 versi permet de masquer la version de Bind voir pr cisions ci dessous controls inet 127 0 0 1 al
248. ftp Configurer les composants d un r seau 175 Fin de script e ftp data e www e https e pop 3 e imap2 e imap3 e smtp e ircd e cvspserver e rsync e 7070 realaudio e 11371 keyserver e ssh e 1441 flux ogg de radio france Et en udp e domain obligatoire e 6970 et 7170 realaudio Et dans le sens _internet vers reseau local en tcp e auth acc l re l tablissement de la connexion plein de serveurs irc Rappel tous ces noms de ports se trouvent dans le fichier etc services Fin de script Pour finir on loggue tout via syslogd IPTABLES A FORWARD j LOG DROP IPTABLES A INPUT j LOG_DROP IPTABLES A OUTPUT j LOG_DROP Arr ter le mur pare feu Il n est en g n ral pas n cessaire d arr ter le mur pare feu mais sait on jamais Pour faire les tests il est n cessaire de l arr ter et de le red marrer parce que l ordre des r gles est important Voici un petit script pour arr ter le mur pare feu celui qui est propos ici il ne fonctionnera pas avec tous les murs de feu bin sh Script d arr t du mur pare feu mettez ici l emplacement d iptables IPTABLES sbin iptables echo On vide toutes les r gles IPTABLES F INPUT IPTABLES F OUTPUT IPTABLES F FORWARD IPTABLES t nat F POSTROUTING IPTABLES F LOG_DROP IPTABLES X IPTABLES P INPUT ACCEPT IPTABLES P OUTPUT ACCEPT IPTABLES P FORWARD ACCEPT echo On d charge les m
249. ge LAN lt gt NET et r gles de base L a Protocol specific masquerading support will be built as modules M P ICMP masquerading Protocol specific masquerading support will be built as modules Y P masquerading special modules support lt Choisir tout les modules en r pondant M y P optimize as router not host lt gt IP tunneling lt gt IP GRE tunnels over IP y P aliasing support y P TCP syncookie support not enabled per default it is safe to leave these untouched lt gt P Reverse ARP y P Allow large windows not recommended if lt 16Mb of memory lt gt The IPv6 protocol EXPERIMENTAL Cochez galement toutes les autres options n cessaires voir la rubrique noyau Bon vous recompilez le noyau make dep make clean make bzImage d placez votre ancien r pertoire de module mv 1ib module votre_ version lib module votre_version old puis compilez et instakllez les modules make modules make modules_instal1 copiez alors le nouveau kernel cp usr src linux arch i386 boot bzImage boot et si vous utilisez LILO reconfigurez le pour qu il pointe sur votre nouveau kernel editez etc lilo conf et relancez lilo sbin 1lilo sinon reconfigurez votre loader CHOS LOADLIN etc Enfin on reboute reboot Ouf Remarque V rifiez la configuration r seau assurez vous que l adresse de r seau de votre LAN est bien une des adresses r serv e 192 168 2
250. gent par l interm diaire de ssh add tous les h tes distants disposant de votre clef publique ne vous demanderons alors plus la passphrase puisque g r e par l agent ssh De m me en mode graphique Sssh agent startx Il vous suffit ensuite d ouvrir un terminal et de taper ssh add L agent sera actif pour toutes les applications utilis es en mode graphique Une derni re m thode consiste lancer l agent ssh qui fournit un certains nombre de variables exporter puis demander l action de ssh add Sssh agent On r cup re les variables fournies et on les exporte SSSH_AUTH_SOCK tmp ssh XXy0hiXW agent 2019 export SSH_AUTH_SOCK SSH_AGENT_PID 2020 export SSH_AGENT_PID Secho Agent pid 2020 On ajoute ssh add Pour tuer l agent ssh il suffit de faire ssh agent k unset SSH_AUTH_SOCK unset SSH_AGENT_PID echo Agent pid 2020 killed Configurer les composants d un r seau 75 La copie s curis e amp L s Invalidit des clefs d un h te connu Comme nous l avons vu pr c dement lors de votre connexion il vous est possible d enregistrer l emprunt fingerprint fournit par le serveur distant Dans le cas o celle ci serait modifi e vous seriez imm diatement pr venu Cela peut d couler de quatre choses e Vous vous tes fait pirater et l on a modifi les clefs pr sentes dans votre known_hosts e Le serveur distant c est fait pirater et la valeur de ses clefs a chang e La troisi me peut corr
251. gramme rndc La ligne controls d finit les adresses IP des machines autoris es contr ler le serveur de nom dans notre exemple il s agit de la machine 127 0 0 1 et la ligne keys d finit un couple algorythme clef qui est en fait une sorte de mot de passe pour autoris l aussi le contr le a distance Pour que la machine puisse alors s identifier il faut qu elle envoie ce mot de passe Pour cela il faut cr er un fichier etc rndc conf contenant la clef etc rndc conf key rndc_key algorithm hmac md5 secret c3Ryb25nIGVub3VnaCBmb3IgYSBt YW4gYnVOIGLhZGUgZm9yIGEgd2 9t YW4K options default server localhost default key rndc_key Faite bien attention ce que les informations entres les fichiers named conf et rncd conf soient coh rents c est dire que algorithm secret default key aient exactement les m me valeurs autrement l identification entre le serveur et rndc echouera Pour la valeur de default server dans le fichier rndc conf vous mettez l l adresse ou le nom de la machine que vous voulez controler distance dans notre exemple c est la m me machine Changez au moins la valeur de la key que je donne ici elle est issue du fichier exemple de BIND c est a dire que tout le monde poss de cette clef par d faut donc si vous ne voulez pas que quelqu un contr le votre serveur votre insu modifiez la rndc permet de stopper d marrer recharger la configuration du serveur BIND a dista
252. gt array phptype gt mysq hostspec gt localhost username gt horde password gt mon_mot_de_passe database gt horde table gt turba_objects Remarque mon_mot_de_passe est remplacer par le mot de passe de la base horde mysql choisi au paragraphe Configurer mysql Configurer MySQL pour Turba Cr er la base dans MySQL que Turba utilisera cd var www html mail horde turba scripts drivers mysql user root password D horde lt turba sql Tester Turba Vous pouvez tester la configuration initiale de Turba en allant avec un navigateur web sur 164 Configurer les composants d un r se L a Configurer poppassd optionnel non http mail example com horde Cr er une nouvelle entr e dans le carnet d adresse et aller dans IMP puis Options et choisissez d utiliser le carnet d adresses avec le nom My Address Book Configurer poppassd optionnel non s curis Maintenant que vous avez configur Horde avec IMP et Turba vous avez besoin de fournir a vos utilisateurs une m thode pour changer leur mot de passe au travers de Horde Installer poppassd ceti rpm ivh poppassd ceti 1 8 3mdk i586 rpm Activer le service poppassd chkconfig poppassd on service xinetd restart Installer passwd A partir du r pertoire o vous avez stock le paquetage PASSWD tar zxvf passwd 2 2 tar gz C var www html mail horde cd var www html ma
253. haitiez imprimer depuis votre machine qui tourne sous Linux sur une imprimante qui est partag par un serveur smb SAMBA ou Win il faut que vous sachiez quel est le type de l imprimante marque et num ro etc puis vous devez transformer les donn es que vous souhaitez imprimer pour cette machine puis envoyer le r sultat la ressource partag e par smbclient Comme ce n est pas d un grand int r t pour nous autres fans de Linux d imprimer sur un serveur NT d autant que je ne poss de pas NT je n ai jamais fait l exp rience mais la documentation de SAMBA pr tend que ce n est pas tr s compliqu voir la HOWTO On quitte smbclient par quit 116 Configurer les composants d un r se L a Quelques commandes ut Evidemment elle ne marche pas seulement avec les serveurs SAMBA vous pouvez avec cette commande rapatrier un fichier depuis une machine Win sans installer sur cette derni re un serveur ftp ce qui est probl matique si vous n avez que le CD de Win puisque Win ne fourni pas en standard de serveur ftp les rats smbpasswd Le programme smbpasswd sert modifier les mots de passe SAMBA en ligne de commande Vu que l on SWAT quoi cela peut il bien servir me direz vous Effectivement cela peut paraitre sans objet mais imaginons que nous souhaitions en tant qu utilisateur modifier notre mot de passe et bien point de SWAT Donc il n y a qu une solution smbpasswd Cette commande fonctionne de la m m
254. he pas lancer une GUI en QTKylix mv configure configure amp amp mv configure ori configure On peut alors configurer configure prefix usr mandir usr share man infodir usr share info amp amp echo define WITH_PPP gt gt config h amp amp echo define WITH_MODEM gt gt config h amp amp echo define WITH_TUNTAP gt gt config h amp amp echo define WITH_CABLE gt gt config h On cr e d avance les r pertoires requis mkdir p etc Pengaol chmod 770 etc Pengaol mkdir p usr share sound Et on installe simplement hum make INSTALL bin install c install amp amp cp peng PengMessages txt etc Pengaol amp amp cp peng Dns etc Pengaol amp amp chown root peng etc Pengaol PengMessages txt etc Pengaol Dns amp amp chmod 660 etc Pengaol PengMessages txt etc Pengaol Dns amp amp mv usr bin peng usr bin pengaol amp amp chmod 755 usr bin pengaol amp amp chmod s usr bin pengaol amp amp cp wavplay 1 4 wavplay usr bin amp amp cp wavplay 1 4 wav usr share sound Au besoin remplacez bin install c par usr bin install c On met les les permissions sur etc Pengaol comme ceci pour que lanc par un utilisateur normal peng puisse y crire lors de l activation du dns Pour que cela marche cr ez un nouveau groupe peng avec vigrp ou une autre commande pour avoir quelquechose dans ce go t l Configurer les composants d un r seau 3
255. hemin prendre pour aller sur un autre r seau et 127 x x x adresse interne de chaque machine pour les applications ne sont pas utilisables non plus bref m me si vous ne comprenez pas ce que je dis rappelez vous simplement qu elles sont tout simplement INUTILISABLES Utilisez les adresses dans les plages ci dessus i e correspondant aux classes A B et Chaque classe d adresse a aussi Son masque de sous r seau Classe A 255 0 0 0 Classe B 255 255 0 0 Classe C 255 255 255 0 2 Configurer les composants d un r se L a Configuration r seau de la Bon maintenant j explique Quand vous voulez faire un r seau local IP vous choisissez d abord une classe Bon laquelle choisir Ga va d pendre du nombres de machines que vous comptez connecter a votre r seau Pour comprendre on ne va s occuper que des r seaux de classe C i e ceux ne pouvant contenir que peu de machines mais tout ce qui va suivre s applique tr s simplement aux autres classes Le masque r seau de la classe C est 255 255 255 0 Cela veut dire que la partie Ww x y de l adresse W X Y Z sert adresser contacter le r seau i e toutes les machines du sous r seau auront le m me w X Y et le z sert adresser les machines La partie du masque contenant les 0 nous donne la partie de l adresse qui correspond la machine Donc cela nous donne Si le masque est 255 225 255 0 et que l adresse d une carte r seau est W X Y Z alors W X Y 0 est l adresse du
256. ible que A puisse passer les commandes ServerIdent gt Cette option permet d indiquer quel sera le premier message affich quand quelqu un essaiera de se connecter sur notre serveur et cela m me si sa connexion choue Si vous mettez cette option off le client verra le message suivant hostname FTP server ready Le hostname sera souvent localhost localdomain si vous ne l avez pas modifi Moi je vous invite mettre cette option on et mettre la chaine de 126 Configurer les composants d un r se L a Configuration caractere que vous souhaitez mais qui ne donne pas trop d indication non plus sur votre serveur Dans mon exemple j ai mis un message explicite mais c est juste un exemple un message comme Server Ready sera tout aussi bien AccessGrantMsg gt C est l que vous d finissez le message d accueil lorsque la connexion a r ussie donc si vous le mettez dans un contexte de configuration lt Global gt pas la peine de le mettre un autre endroit server config virtual host Voil pour la partie Globale avec d j toutes ces infos vous tes en mesure de partager gr ce votre serveur FTP des donn es en ayant bien le contr le de ce qui se passe Et surtout vous pouvez donnez l acc s des donn es qui sont sur des partitions FAT32 mais aussi n importe quel type de patition ext2 reiserfs etc partitions qui normalement vous emp che de d finir une strat gie utilisateur car si vous avez besoin d
257. iel utilis pour tracer les connexions est ethereal Etablissons la connexion sur un serveur te netd fonctionnant sous GNU Linux Apr s quelques changes de paquets nous obtenons la banni re d accueil 6000 00 00 00 00 00 00 00 00 00 00 00 00 08 O0 45 10 4 000 64444 0010 00 SF 7d 65 40 00 40 06 bf 21 7f 00 00 O1 FF 00 y_Fe l 0020 00 01 00 17 86 10 2c fc 06 ta 2c 1a b3 30 80 18 u s574 03s 0030 7f FF f7 2c 00 00 01 01 08 Oa 00 23 78 ca 00 23 Ut 4 xELF 0040 78 ca 44 65 62 69 61 6e 20 47 de 55 2f 4c 69 Ge xEDebian GNU Lin 0050 75 78 20 74 65 73 74 69 Ge 67 2f 75 Ge 73 74 61 ux testi ng unsta 0060 62 6c 65 20 63 65 6e 74 61 75 72 Od Oa ble cent aur on constate que la connexion s effectue sur le port 23 en 22 et 23 dans la trame Les donn es quant elles commencent clairement en 42 avec la banni re d accueil Debian GNU Linux testing unstable centaur Les donn es ont t envoy es en clair et la banni re permet de d finir le syst me d exploitation sur lequel nous sommes accueillis Continuons notre tude la demande d identification est propos e par le syst me distant 0000 00 00 00 00 00 00 00 00 OO 00 00 00 08 00 45 10 444 see es Es 0010 00 43 7d 66 40 00 40 06 bf 3c 7f 00 00 O1 7F 00 CHFR 8 amp lt 0020 00 01 00 17 86 10 2c fe 06 45 2c 1a b3 30 80 18 E 0 0030 7f ff 66 8b 00 00 01 01 08 Oa 00 23 78 ce 00 23 f x1 0040 0050 ll faut maintenant se fai
258. iers L a 192 168 1 1 24 192 168 2 1 24 Si vous n avez qu une seule carte ethernet vous pouvez ne rien mettre SAMBA la trouvera tout seul comme un grand aera s lectionnez le mode SHARE c est le mode de fonctionnement de Win 9 eo e lt Yes gt sauf cas tr s particuliers Win 95 avant l OSR2 et ses bogs multiple de s curit s es ec mettez ftp ou un nom d utilisateur valide sur votre syst me ce sera le compte sur lequel seront connect s guest account les invit s si vous les autorisez II faut donc mettre un compte qui poss de tr s peu de droit comme ftp ou nobody mettez les adresses IP des machines ou des r seau s par e par des espaces que vous souhaitez autoriser se connecter votre serveur essayez de faire cela avec Win 9 par exemple pour autoriser les machines du r seau 192 168 1 0 ttapez 192 168 1 le point final est important Vous pouvez autoriser toutes les machines de ce r seau sauf 192 168 1 10 en tapant PAS eee Pr dr 192 168 1 EXCEPT 192 168 1 10 Note avec SAMBA 2 0 7 j ai des probl me faire fonctionner cette option avec SWAT je la rajoute la main dans etc smb conf Je ne sais pas encore pourquoi mais d s que cette ligne est activ e SWAT refuse de se lancer pr textant que l hote n est pas autoris ce qui n est manifestement pas le cas encrypt encrypt passwors Yes mettez les adresses IP des machines auxquelles vous souhaitez interdire l acc s a votre serveur SAMB
259. ificit s pour les LOGS 1log 1evel Level niveau de log Exemple Cf chapitre 3 log prefix Permet de sp cifier un pr fixe pour les logs Exemple Cf chapitre 3 2 2 3 Quelques exemples Les exemples qui suivent supposent que vous tes reli s internet par modem via l interface ppp0 mais en rempla ant ppp0 par ethO par exemple on peut adapter les exemples pour d autres type de liaisons et que votre r seau local est 192 168 1 0 24 classe C e Pour fixer les politiques par d faut cad ce qui se passe quand aucune r gle ne correspond ne matche pas ici on refuse tout normal on fait un firewall oui ou non iptables P INPUT DROP iptables P OUTPUT DROP iptables P FORWARD DROP e Pour logguer tout ce qu on jette iptables N LOG_DROP iptables A LOG_DROP j LOG log prefix IPTABLES DROP iptables A LOG_DROP j DROP Configurer les composants d un r seau 61 2 Pr sentation Et ensuite plut t que de mettre j DROP il faut mettre j LOG_DROP et les trois derni res r gles doivent tre iptabl iptabl iptabl e Pour accepter tout ce qui se iptabl iptabl e Pour accepter tout ce qui se iptabl iptabl iptabl e Pour accepter les iptabl iptabl iptabl iptabl es A FO es A IN es A IN RWARD j LOG_DROP PUT j es A OUTPUT j LOG_DROP passe sur l interface 10 sinon ce n est pas la peine d activer le r seau LOG_DROP PUT i lo j ACC
260. il horde mv passwd 2 2 passwd cd var www html mail horde passwd config Renommer tous les fichiers for fichier in dist do cp v fichier basename fichier dist done Configurer Horde pour Passwd Modifier le fichier var www html mail horde config registry php this gt applications passwd array fileroot gt dirname __FILE__ passwd webroot gt this gt applications horde webroot passwd icon gt this gt applications horde webroot passwd graphics lock gif name gt _ Password allow_guests gt false status gt active Configurer IMP pour Passwd Configurer l ic ne Passwd dans IMP Modifier le fichier var www html mail horde imp config conf php conf menu apps array turba basswd Configurer le fichier de config de Passwd Configurer l ic ne pour IMP dans Passwd Modifier le fichier var www html mail horde passwd config conf php conf menu apps array imp Editer le fichier var www html mail horde passwd config backends php backends poppassd array name gt nom de votre organisation preferred gt password policy gt array driver gt poppassd params gt array host gt localhost port gt 106 Configurer les composants d un r seau 165 Configurer poppassd optionnel non s curis
261. il horde imp config conf php conf menu apps array turba passwd kronolith cd var www html mail horde kronolith config Renommer tous les fichiers for fichier in dist do cp v fichier basename fichier dist done Configurer l ic ne IMP dans Kronolith et les param tres d acc s la base MySQL Modifier le fichier var www html mail horde kronolith config conf php utiliser MySQL pour stocker les donn es de Kronolith confl calendar driver sql conf calendar params phptype mysql conf calendar params hostspec localhost conf calendar params username horde conf calendar params password mon_mot_de_passe conf calendar params database horde conf calendar params table kronolith_events conf menu apps array imp Remarque mon_mot_de_passe est remplacer par le mot de passe de la base horde mysql choisi au paragraphe Configurer mysql Installer Mnemo Cr er la base dans MySQL que Mnemo utilisera cd var www html mail horde mnemo scripts drivers mysql user root password D horde lt mnemo_memos sql Modifier le fichier var www html mail horde config registry php this gt applications mnemo array fileroot gt dirname __FILE_ mnemo 166 Configurer les composants d un r se ABL a webroot gt this gt applications horde web
262. ilit de chaque programme d composons les diff rents paquets ainsi que l usage fait des ex cutables M mo sshd Serveur ssh scp Copie distante s curis e ssh keygen g n ration de clefs d authentification management et conversion sftp Transfert s curis de fichiers slogin ssh Client ssh ssh add Ajoute les identit s DSA ou RSA l agent d authentification ssh agent Agent d authentification ssh keyscan Recueille les clefs publiques ssh Nous traiterons chacune de ces applications afin de comprendre dans quels conetxte elles peuvent tre utilis s Connexion un h te Le client ssh op re selon un ordre d fini 1 les param tres en ligne de commande 2 les informations sp cifiques l utilisateur du fichier ssh config 3 la configuration globale du syst me dans le fichier usr local etc ssh_config ou etc ssh ssh_config cela d pendant de la distribution que vous utilisez 72 Configurer les composants d un r se amp L a La solution propose Le fichier ssh config Ce fichier repr sente la configuration du client ssh SOpenBSD ssh_config v 1 15 2002 06 20 20 03 34 stevesk Exp Ceci est le fichier de configuration par d faut des clients ssh du syst me Voir ssh_config 5 pour de plus amples informations Ce fichier fournit les param tres par d faut pour les utilisateurs ces valeurs peuvent tre chang es pour chaque utilisateur dans leur propre fichier de configuration ou sur la ligne de
263. in sshd lusr share man man5 sshd_config 5 gz lusr share man man8 sftp server 8 gz usr share man man8 sshd 8 gz var empty sshd Les documentations sont r pertori es en bordeaux Les fichiers de configuration en vert Les ex cutables en bleu Conclusion Georges Orwell crivait 1984 bien des ann es plus t t et nommait un ennemi invisible Big Brother en avangant le slogan Big Brother is watching you Non loin de cette r alit nous avons atteint avec Internet l ouverture de l outil informatique aux masses Ne pouvant tre en mesure de s assurer que personne ne s introduit dans votre intimit le conseil reste d tre prudent avec vos donn es sensibles et personnelles Oubliez donc les vieux protocoles non s curis s et travaillez en toute s curit Bibliographie RFCs Telnet num ro 854 SSH Groupe de travail IETF SSH SCP SFTP Alix Mascret Secure Shell Denis Bodor Formation Linux Debian Alexis de lattre Logiciel OpenSSH Secure Shell OpenSSL Secure Socket Layer Ethereal sniffeur OpenOffice org suite bureautique The gimp Traitement d image Ksnapshot Impression d cran Je remercie tout particuli rement Anne pour le temps qu elle a pass la relecture de cet article ainsi qu sa correction et sa mise en forme 78 Configurer les composants d un r se amp L a Les ponts filtrant Les ponts filtrants Tchesmeli serge Un firewall totalement invisible Introduction
264. ion Pour automatiser le login MySQL pour un utilisateur lambda en se basant sur le mod le medium proc der comme suit e Copier usr share mysql my medium cnf vers my cnf fichier cach e Editer my cnf et modifiez la rubrique client la premi re qui soit propos e apr s l ent te de telle sorte faire appara tre une ligne password mot de passe remplacer mot de passe par le mot de passe MySQL en clair de l utilisateur Dans le fichier exemple cette ligne est affect e d un signe commentaire qu il faudra effacer Pour simplifier vous pouvez m me supprimer toutes les autres ligne de ce fichier et ne laisser que le paragraphe client De la sorte vous vitez d craser des configurations ajust es qui auraient t mises en place ou pourraient l tre ult rieurement dans etc my conf ou var lib mysql my conf e Sauvegardez et modifiez les droits d acc s du fichier sauvegard en tapant chmod 700 my cnf pour limiter les droits d acc s Il serait en effet d testable qu on puisse lire votre mot de passe MySQL Le tour est jou A la prochaine connexion avec le client MySQL celui ci trouvera le mot de passe et tablira une connexion directe en utilisant le login LINUX de l utilisateur et le mot de passe m moris dans my cnf Pour v rifier tapez simplement mysql pour lancer un client MySQL La connexion devrait tre imm diate V rifiez sous quel login vous tes entr en tapant mysql gt select user ce q
265. ion Votre serveur DNS doit pour pouvoir fonctionner avoir une adresse IP fixe sur l Internet De plus votre domaine doit tre enregistr chez un registar Gandi Namebay ou tout autre registar et lors de l enregistrement du domaine vous devez fournir l IP du serveur de nom en serveur primaire et l IP du serveur secondaire Nous d taillons en 1er la configuration du serveur primaire celle du secondaire tant triviale voir plus bas dans l article Le fichier etc named On reprend le fichier d j cr dans l article dns cache Pour rappel voici ce qu il doit donc d ja contenir Fichier etc named conf pour serveur DNS cache options R pertoire des fichiers de configuration directory var named Si vous traversez un firewall et que vous avez des problemes DNS d commentez la ligne ci dessous query source port 53 version SECRET permet de masquer la version de Bind voir pr cisions ci dessous E controls inet 127 0 0 1 allow localhost keys rndc_key F key rndc_key algorithm hmac md5 secret c3Ryb25nIGVub3VnaCBmb3lgYSBtYW4gYnVOIG1hZGUgZm9yIGEgd29tYW4k h Zone racine root we zone type hint file root Zone locale zone 0 0 127 in adr arpa type master file Zone 127 0 0 E On ajoute alors dans ce fichier l entr e pour notre fichier de zone lea linux org 148 Configurer les composants d un r se L a Le fichier de zo
266. ion actuellement la 1 2 8 est la derni re version stable pour l installer c est comme d habitude tar zxvf proftpd 1 2 8 tar gz Ensuite on se place dans le r pertoire nouvellement cr on lit bien le fichier d installation INSTALL ou README et on lance les commandes habituelles ll est possible de r cuperer le package proftpd sous la forme de package il n est pas la peine d expliquer cela Configuration Tout d abord dans la configuration de proftpd il n y a qu un seul fichier qui rentre en ligne de compte c est etc proftpd conf le chemin peut tre diff rent suivant votre distribution et ou distribution C est dans ce fichier que vous allez tout d finir enfin presque concernant la configuration du serveur Mais attention cela concerne la configuration du serveur ce n est pas ici que vous allez d finir les utilisateurs qui ont acc s ou non au serveur du moins en parti Occupons nous tout d abord des utilisateurs Les utilisateurs Attention tous les utilisateurs se connectant sur le serveur proftpd doivent exister r ellement sur le syst me avec un uid Il est cependant de faire un alias d un utilisateur n existant vers un utilisateur existant pour cela regarder l exemple concernant le contexte de configuration anonyme avec l explication sur le UserAlias Noter aussi que pour ma part j ai fait le choix de cr er les utilisateurs avec un faux shell plut t que de faire des alias mais j explique cela juste apr
267. ion Preferences Default Language remplacer en_US par fr FR e Server Settings Domain exemple net e General Options Data Directory var squirrel data e General Options Attachment Directory var squirrel attachement e Themes pour choisir celui qui vous plait e Plugins pour installer un plugins parmi ceux disponibles Available Plugins e S sauve ces modifications Q quitte l application de configuration Puis partir d un navigateur sur un poste distant se rendre l url http 192 168 0 1 squirrelmail ou http mail exemple net squirrelmail si vous avez un serveur DNS correctement configur L interface de squirrelmail apparait Remarque Si vous n avez pas de serveur DNS avec un poste Windows distant il faut configurer le fichier hosts situ dans le r pertoire C WINNT SYSTEM32 DRIVERS ETC et rajouter la ligne 192 168 0 1 mail exemple net Sur un poste Linux distant il faut rajouter la m me ligne dans le fichier etc hosts Plugins Une fois que tout est install et en tat de fonctionnement vous aurez peut tre envie d tendre les fonctionnalit s de votre interface graphique de messagerie Pour cela il faut installer un ou plusieurs plugins et le choix est vaste Il en existe plus de 170 diff rents Par d faut 16 plugins sont d j install s mais non activ e Abook_take pour r cup rer facilement l adresse de l exp diteur d un mail dans votre carnet d adresse e Administrator
268. ion pur et dur des utilisateurs vous pouvez faire un adduser ou useradd pour plus d options c est tr s simple il faut faire man adduser ou sinon maintenant il existe des outils graphiques qui le font aussi donc en r capitulant vous cr ez les users par exemple user1 et user2 et vous les mettez dans le groupe ftptest Voil d j pour la partie sp cifiques aux utilisateurs users je vais en reparler dans la partie du fichier proftpd conf Le fichier Proftpd conf Contexte de configuration Server Config On entre dans le vif du sujet Tout d abord le fichier proftpd conf se divise en plusieurs parties qui ne sont pas toutes n cessaires vitales Je vais essayer pour garder une coh rence avec la documentation en ligne du site www proftpd org de reprendre les m mes terminologies on a donc plusieurs contextes de configuration server config lt Global gt lt Anonymous gt lt VirtualHost gt lt Limit gt lt Directory gt ftpaccess Donc pour r sum sur les contextes de configuration on peut avoir un fichier proftpd conf avec seulement le contexte server config Si le contexte server config n est pas entre lt gt c est tout simplement qu il est implicite ce n est pas utile de le mentionner Notez aussi que les options qui sont l int rieur des contextes de configuration sont les directives Les directives les plus courantes On commence par un fichier proftpd conf ne contenant qu une directive et le contexte
269. ir une documentation sur une instruction Linux man instruction exemple man chkconfig A propos de la configuration des services consulter galement l article sur la_gestion des d mons e Pour savoir o vous vous situez dans l arborescence de linux pwd e Enfin n oubliez pas que l appui sur la touche de tabulation tab permet de compl ter un nom cd v tab donne automatiquement cd var Configurer Apache Le r pertoire d installation sera var www html mail Lancer le service imap d pendant de xinetd chkconfig imap on service xinetd restart Modifier php ini Modifier le fichier etc php ini file_uploads On short_open_tag On ligne commenter extension_dir usr lib php extensions Fichiers de configuration Modifier le fichier etc httpd conf httpd conf DocumentRoot var www html mail ServerName mail example com Modifier le fichier etc httpd conf commonhttpd conf lt directory var www html mail gt Ajouter la ligne suivante dans le fichier etc hosts 92 168 10 1 mail example com Remarque une autre m thode consiste a configurer un VirtualHost Cr ation r pertoire mkdir p var www html mail Tester Apache Tester la configuration puis red marrer Apache pour que les changements prennent effet service httpd configtest service httpd restart Cr er un fichier temporaire touch var www html mail essai html Puis l aide d un navigateur aller l adresse Internet http mai
270. is fred here warnings 3600 antispam 471 571 550 501 554 user machin there with password xxxxx is bibi here warnings 3600 antispam 471 571 550 501 554 d autres comptes sur un autre serveur pop poll pop wanadoo fr with proto POP3 user sympal there with password xxxxx is fred here warnings 3600 antispam 471 571 550 501 554 Pour pouvoir utiliser un tel fichier de configuration il faut imp rativement avoir le droit d crire dans le compte mail var spool mail de tous les utilisateurs indiquer ici bibi et fred le mieux est d tre root et donc que le fichier ci dessus soit en fait root fetchmailrc ll est bien entendu possible chaque utilisateur de se cr er un fichier home user fetchmailrc m me syntaxe pour r cup rer son courrier sur des comptes non connus du root Mais il devra r cup rer lui m me son mail On pourrait imaginer chaque connexion de cr er le fichier root fetchmailrc pour le compte de root avec les fichiers fet chmailrc des diff rents utilisateurs du syst me mais cela permettrait n importe qui de mettre des mails sur le compte de n importe qui d autre Une autre solution serait d utiliser su user c fetchmail pour chaque utilisateur chaque connexion sans doute une bonne solution si l on a beaucoup d utilisateurs La solution propos e ici est pratique si seulement quelques personnes on acc s a un serveur genre moins de 10 Pour ceux que install sendmail
271. istribution mais il y a des chances pour que vous ne sachiez pas exactement ce que fait etc ppp ip up moi je n aime pas a Ces consid rations philosophiques tant tenues passons aux choses s rieuses Que souhaitons nous qu il se passe chaque connexion Je vois plusieurs choses e que les mails soient automatiquement rapatri s sur tous les comptes e que les mails que nous recevrons pendant que nous sommes connect s soient eux aussi rapatri s sur les comptes idoines e que le DNS de notre ISP soit activ e que les mails en attente soient envoy s e pr venir l utilisateur que la liaison est effectivement active il se passe toujours un certain temps avant que la liaison ne s tablisse Comme nous utilisons X Window nous allons faire en sorte d utiliser des boites de dialogues en mode graphique cela fera plus pro Comme nous ne sommes pas des programmeurs avertis nous allons nous contenter du langage bin sh c est dire le shell bash Pour lui faire afficher des boites de dialogue je vous propose d utiliser l excellent Xdialog un utilitaire qui permet d ouvrir une bo te de dialogue depuis un script shell installation par configure prefix opt apps make make install Je n expliquerai pas comment il fonctionne essentiellement comme dialog pour conna tre les options tapez opt apps bin Xdialog Voila ce que l on peut mettre dans etc ppp ip up bin sh le param tre 6 correspond
272. it galement office de proxy gr ce par exemple a un squid install dessus On va donc accepter que le proxy ait une connexion internet directe Tant qu a faire on va mettre des tats pour que a soit bien s curis iptables A OUTPUT o ppp0 m state state NEW ESTABLISHED p tcp dport 80 j ACCEPT iptables A INPUT i ppp0 m state state ESTABLISHED p tep sport g0 ACCEPT Maintenant on va faire en sorte que le proxy soit totalement transparent pour le LAN b n ficiant de la connexion internet L astuce consiste a rediriger toutes les requ tes ayant un port de destination 80 vers le port 3128 du proxy ici c est le firewall qui est sur le firewall et qui a l adresse IP 192 168 2 1 je Une r gle de NAT suffira largement pour faire a iptables t nat A PREROUTING i ethl p tcp dport 80 J DNAT to destination 192 16872 MS128 Bon c est pas trop compliqu Maintenant on sait que l on a un serveur web sur la DMZ la machine d adresse IP 192 168 1 2 sur le port 80 On souhaite que toutes les requ tes provenant d internet arrivant sur l adresse IP publique du serveur ici 42 42 42 42 soit redirig es sur le serveur web de la DMZ Rien de bien compliqu Dans l exemple on peut retirer le 80 de la target to destination iptables t nat A PREROUTING d 42 42 42 42 p tep dport 80 DNAT Lo destunatiom 192 168 1 2780 C est bien tout a mais
273. l example com essai html Remarque On peut utiliser un navigateur texte comme Lynx pour tester la configuration si l on n a pas install d interface graphique sur le serveur ou si aucun poste distant n est connect au serveur lynx mail example com essai html Configurer Horde Une fois Apache configur vous avez besoin d installer et de configurer Horde Installer Horde A partir du r pertoire o vous avez stock les paquetages Horde tar zxvf horde 2 2 4 tar gz C var www html mail cd var www html mail mv horde 2 2 4 horde Installer Pear Si vous avez install le paquetage rpm php pear il faut rajouter les modules Pear Date HTML Common et HTML Select Pour cela t l charger ces paquetages et les d compresser dans un r pertoire quelconque tar zxvf nom_du_paquetage II faut ensuite copier le contenu de ces paquetages dans le r pertoires usr share pear en respectant l arborescence suivante 160 Configurer les composants d un r se L a Paquetages Date mkdir usr share pear Date lusr share pear Date php lusr share pear Date Calc php lusr share pear Date Human php lusr share pear Date TimeZone php Paquetage HTML Common mkdir usr share pear HTML lusr share pear HTML Common php Paquetage HTML Select lusr share pear HTML Select php Si vous n avez pas install php pear voici comment installer Pear partir du paquetage original PEAR 1 1 tar zxvf pear 1 1 tar gz C usr share cd usr sha
274. l o auto _split o par substdio a error a str a fs a auto qmail o auto _split o env a De m me ditez le fichier qmail c et ajoutez en dessous de la ligne 8 include env h en dessous de la ligne include auto qmail h remlacez la ligne 10 static char binggargs 2 bin qmail queue 0 parstatic char binggargs 2 0 0 Ajoutez juste au dessous de la ligne que vous venez de modifier les lignes suivantes static void setup_qqargs if binqqargs 0 binggargs 0 env_get OMAILQUEUE if bingqgargs 0 binggargs 0 bin qmail queue et enfin au dessous des lignes vers la ligne 23 int gqmail_open qq struct qmail dd ink pim 2 7 int pie 2 152 Configurer les composants d un r se RL a R cup ration des sources et com vous ajoutez setup_qqargs Remarque Ce patch est uniquement n cessaire pour pouvoir utiliser qmail scanner qui va nous permettre de scanner tout mail entrant la recherche de virus En fait ce patch ajoute une variable d environnement QMAILQUEUE Si cette variable est vide Qmail utilise son propre programme de queue file d attente des mails entrant et sortant autrement cette variable contient le nom du programme de queue de remplacement utiliser Nous utiliserons alors la queue de qmail scanner qui appellera notre programme antivirus F PROT pour scanner tous les mails Maitenant que Qmail est patch nous allons pouvoir le compiler Mais a
275. l sendmail conseill R cup rer install sendmail d compresser l archive o vous le souhaitez On se place dans le r pertoire dans lequel on a d compress install sendmail et on lance le programme attention il ne faut pas tre root pour lancer ce programme par compte il faut conna tre le mot de passe du root car le script le demande cd install sendmail xxxxx install sendmail c La premi re chose que l on vous demande c est la langue que vous souhaitez utiliser parmi 8 choisissez le danois si c est votre langue maternelle La plupart des questions sont simples on vous demande le nom de domaine de votre ISP i e internet service provider etc toutes choses que vous a fourni votre provider s il est poli sinon demandez les lui e La premi re question qu il nous pose le nom de domaine dont nous souhaitons que tous email en provenance de notre machine aient Il faut r pondre le nom de domaine que nous pr f rons par exemple moi je pr f re free fr donc je mets free fr e Ensuite est ce que tous les emails sont stock s sur cette machine Bien s r que non puisqu ils proviennent de nos deux providers ainsi que de netcourrier qui nous fournit quelques autres adresses Donc il faut r pondre non e Voulez vous que votre mail sortant soit exp di par un serveur de mail ext rieur Et bien oui nous utiliserons le serveur smtp de notre provider e Quel est votre serveur de mail sortant Il nous faut met
276. l serait temps d upgrader si tu ne l as pas d j fait profites en pour passer au 2 4 ce sera r gl Les packages Les packages sur ma Debian sont enfs common enfs user server pour le serveur Tu peux toujours r cup rer les sources qui se trouvent sur http nfs sourceforge net On va aussi installer le wrapper TCP pour un minimum de s curit Toujours sur ma Debian le paquet s appelle t cpd Les sources se trouvent ici Le serveur Les 3 fichiers de configuration principaux sont etc exports etc hosts deny et etc hosts allow letc exports Le fichier etc exports est tr s simple r pertoire machinel optionll optionl2 machine2 option21 option22 par exemple home 192 168 0 10 rw 192 168 0 25 ro signifie que l on autorisera la machine 192 168 0 10 acc der notre r pertoire home en lecture et criture rw ainsi que la machine 192 168 0 25 mais uniquement en lecture ro e r pertoire le r pertoire du serveur partager 120 Configurer les composants d un r se L eo Le serveur e machine Une liste de machines s par e par des virgules et autoris es monter ce r pertoire utilisez des adresses IP plut t que des noms cause des probl mes de dns spoofing e options ro C est la valeur par d faut lecture seule erw La machine un acc s en lecture criture au r pertoire no_root_squash Les acc s par l utilisateur root sur le serveur se font sous l identit root au
277. lance le serveur VNC celui ci vous retourne un num ro sous cette forme New X desktop is pingouin pingouin fr 1 Starting applications specified in home jonesy vnc xstartup Log file is home jonesy vnc pingouin pingouin fr 1 log Ici le num ro est 1 Gardez le bien car vous en aurez besoin Configurer les composants d un r seau 169 Utilisation du serveur sous Windows L a Pour lancer le serveur VNC vncserver Pour arr ter le serveur VNC vncserver kill X x tant le num ro renvoy lorsque vous avez lanc le serveur La premi re fois que vous lancerez le serveur pour un utilisateur il vous demandera un mot de passe pour des raisons de s curit videntes n utilisez pas le mot de passe du compte Linux Et il cr era sous le HOME de l utilisateur le r pertoire vnc avec diff rents fichiers Dont xstartup qu il est int ressant de modifier afin de choisir votre environnement graphique et d autres petites choses Chez moi SHOME vnc xstartup ressemble a ceci bin sh xrdb SHOME Xresources xsetroot solid grey rxvt ls title SVNCDESKTOP Desktop amp starticewm amp rxvt ls title SVNCDESKTOP Desktop amp Lance automatiquement un terminal rxvt a la connexion starticewm amp Je choisis iceWM comme environnement graphique Pour Gnome ou KDE il suffit de modifier la derni re ligne comme ceci startgnome amp ou startkde amp Pour que les modifications de xstartup soient prises en
278. lancer les services sur ma Debian je lance etc init d nfs server start La commande rpcinfo p permet de v rifier que les services fonctionnent Elle devrait produire un r sultat dans cet esprit cacahuete rpcinfo p program vers proto port 00000 2 tcp 111 portmapper 00000 2 udp 111 portmapper 00024 els udp 737 status 00024 1 tcp 739 status 00011 1 udp 851 rquotad 00011 2 udp 851 rquotad 00003 2 udp 2049 nfs 00003 2 tcp 2049 nfs 00005 d udp 872 mountd 00005 2 udp 872 mountd 00005 I tcp 875 mountd 00005 2 tcp 875 mountd cacahuete Pour recharger les services NFS par exemple apr s une modification du fichier de config cacahuete killall HUP nfsd le serveur est pr t Configurer les composants d un r seau 121 Le client Le client Pour utiliser NFS v3 il faut au minimum la version 2 10m du programme mount Pour voir sa version taper cacahuete mount V mount mount 2 11h cacahuete On va maintenant pouvoir monter notre partage cacahuete mount mon serveur nfs home mnt home cacahuete En principe tout devrait bien se d rouler Pour monter ce partage d finitivement chaque d marrage de la machine ditons notre etc fstab device mountpoint fs type options dump fsckorder master foo com home mnt nfs rw 0 0 Liens e Cet article est principalement bas sur le NFS howto e Les sources des logiciels NFS sur_http nfs sourceforge net e LDAP howto e NIS howto e
279. le pour donner l illusion qu ils sortent de la gateway elle m me par un port allou dynamiquement lorsque la gateway recoit une r ponse sur ce port elle utilise une table de correspondance entre le port et les machines du r seau priv qu elle g re pour lui faire suivre le paquet policy ACCEPT permet d accepter un paquet gr ce la r gle v rifi e policy DROP Rejet d un paquet sans message d erreur si la r gle est v rifi e non j en veux pas mais je dis rien l expediteur policy REJECT Rejet avec un retour de paquet d erreur l expediteur si la la r gle est verifi e un paquet recommand de La Poste refus par son destinataire 2 2 Les commandes IpTables n est pas livr avec une interface graphique les commandes et les r gles sont pass es en ligne de commande Le mieux est d crire des scripts rajouter dans etc rc d init d qui permettent d appliquer toutes les r gles d un seul coup d s le d marrage du Linux Configurer les composants d un r seau 59 2 Pr sentation amp L eo 2 2 1 Commandes principales A append Ajoute la r gle a la fin de la cha ne sp cifi e Exemple iptables A INPUT D delete Permet de supprimer une cha ne On peut la matcher de 2 mani res soit en sp cifiant le num ros de la cha ne a supprimer soit en sp cifiant la r gle a retirer Exemples iptables D INPUT dport 80 j DROP iptables D INPUT R replace Permet contrairement
280. lle afin de d couvrir les nombreuses possibilit s offertes par cette application 184 Configurer les composants d un r se L a Configurer l IPv6 Ne Configurer l IPv6 Natif par Franck Paillaret Ou comment installer sa connexion IPv6 Introduction Bienvenue dans un monde parall le un monde en 128bits Vous allez maintenant affronter la configuration de votre machine Cachez vos peurs ignorez votre flemmardise et chaussez vos bottes nous y allons Si jamais vous avez des probl mes ou quoi que ce soit n oubliez pas que les newsgroups et irc sont les meilleurs rem des Les tests de grossesse Je suppose la base que vous avez d j configur vos interfaces voir votre r seau en ipv4 ou que vous savez le faire http lea linux org reseau lan php3 La premi re chose faire est de configurer le noyau pour qu il prenne en charge le v6 Je me baserai sur un noyau 2 4 x D tectons d j si l ipv6 est configur ce qui doit tre le cas pour la plupart des distributions r centes Je ne parlerai pas galement des kernel USAGI ni Vanilla tout casser allez voir_http www linux ipv6 org test f proc net if_inet6 amp amp echo IPv6 ca roule ma poule S il est compatible passez la section 2 Sinon continuez lire La config du noyau Networking options gt lt M gt The IPv6 protocol EXPERIMENTAL IPv6 Netfilter Configuration gt IPv6 Netfilter Configuration lt gt Userspac
281. lle celle ci avec l url www domain2 com Pour que cela fonctionne il faut bien sur qu un serveur DNS soit configur pour faire pointer www domain1 com et www domain2 com sur l IP 80 10 20 30 Les directives ErrorLog et Customlog permettent de d finir les fichier logs de chaque h te virtuel autrement les logs s ajouteront aux logs principaux du serveur d fini dans les directives en dehors de la directive lt VirtualHost gt ServerAlias permet d indiquer sous quel autre nom l h te virtuel peut etre appel ici domainX com en plus de www domainX com bien sur l aussi le serveur DNS doit tre configur pour faire pointer domainX com sur 80 10 20 30 Une autre facon de faire des h tes virtuels si on n a pas plusieurs noms de domaine est de la faire par IP ou par IP et Port Par IP il suffit de faire des lt VirtualHost ip1 gt et lt VirtualHost ip2 gt etc et par port il suffit de faire des lt VirtualHost ip port1 gt lt VirtualHost ip port2 gt Il faut aussi des directives de Bind et Listen sur chaque IP et port suppl mentaire voir les directives Listen et Bind plus haut dans ce document Dans chaque virtualhost vous pouvez aussi ajouter d autres directives comme les directives de ScriptAlias pour l ex cution de cgi de Directory option des r pertoires du site En gros toutes les directives peuvent tre red finies dans chaque VirtualHost pour configurer le site web virtuel Voir pour cela la documentation officielle
282. ln s etc rc d init d smb etc rc d rc3 d S91smb ln s etc rc d init d smb etc rc d rc4 d S91smb ln s etc rc d init d smb etc rc d rc5 d S91smb A partir de maintenant d s que vous d marrerez Linux SAMBA sera d marr par init C est la m thode a pr f rer si votre serveur SAMBA doit etre toujours actif Pour ceux qui utilisent une distribution Mandrake voire peut tre d autres c est a tester chez vous vous pouvez remplacer toutes ces commandes par chkconfig level 0126 smb off chkconfig level 345 smb on C est un peu plus simple En utilisant inetd On peut aussi faire en sorte que ce soit le super d mon inetd qui lance smbd et nmbd quand il faut pour cela editez le fichier etc service et v rifiez qu il contient les lignes netbios ns 137 tcp NETBIOS Name Service netbios ns 137 udp netbios dgm 138 tcp NETBIOS Datagram Service netbios dgm 138 udp netbios ssn 139 tcp NETBIOS session service netbios ssn 139 udp ainsi que le fichier etc inetd conf qui doit contenir netbios ssn stream tcp nowait root usr sbin smbd smbd netbios ns dgram udp wait root usr sbin nmbd nmbd puis vous red marrez le super d mon inetd par etc rc d init d inet restart Et c est tout Le probl me de cette m thode c est que le serveur SAMBA tr s peu de chance de devenir le MASTER BROWSER du r seau si ce n est pas n cessaire pour vous cette m thode convient tr s bien Si votre serveur SAMBA n a
283. local si le masquerading est activ ainsi que votre serveur mur pare feu se connecter un port sur internet il faut proc der de la mani re suivante dans l exemple j autorise la connexion au WEB www suite du script IPTABLES A INPUT i EXTERNAL_IF p tcp sport www m state state ESTABLISHED RELATED j ACCEPT IPTABLES A OUTPUT o EXTERNAL_IF p tcp dport www m state state NEW ESTABLISHED RELATED j ACCEPT Chaque commande IPTABLES doit tre tap e sur une seule ligne depuis le IPTABLES jusqu au j ACCEPT ou j DENY dans la suite Une petite explication la r gle SIPTABLES A INPUT s applique au traffic entrant tous les paquets IP entrant seront soumis cette r gle Comme on a pr cis p tcp la r gle s applique aux paquets utilisants le protocol tcp On a aussi pr ciser sport www donc la r gle s applique au paquet qui proviennent sport est mis pour source port le port d entr e du port www le web quoi Puis on a mis m state state ESTABLISHED RELATED pour pr ciser que cette r gle ne s applique qu aux paquets IP qui proviennent soit d une liaison tablie ESTABLISHED soit d une liaison en relation RELATED avec une liaison d j tablie Enfin on pr cise j ACCEPT pour dire qu on accepte tous les paquets qui v rifient toutes ces conditions les paquets venant d une liaison WEB d ja tablie La seconde r gle est sym trique de la premi re elle autorise la paque
284. low localhost key rndc_key on SECRET algorithm hmac md5 secret c3Ryb25nIGVub3VnaCBmb3IgYSBtYW4gYnVOIG1LhZGUgZm9yIGEgd2 9t YW4K i Zone racine root zone type file Zone locale zone 0 0 127 in adr type file Explication de ce fichier hint root arpa mas ter zone 127 0 0 keys rndc_key Toutes les lignes qui d butent par sont des lignes de commentaires elles ne sont la que pour documenter le fichier La ligne directory indique named o il doit trouver tous ses fichiers de configurations Tous les autres fichiers auront donc un chemin relatif a celui ci On a ensuite la d claration de la zone la zone racine root en anglais avec son fichier de description que l on va voir plus bas Ensuite on a la zone qui peut vous para tre bizarre la zone 0 0 127 in adr arpa En fait la zone in adr arpa est une zone sp ciale qui nous permet de faire des recherches inverses c est dire trouver le nom d une machine partir de son adresse IP cette fois ci Ce fonctionnement est identique a celui qui permet de trouver les noms Pour trouver une machine d adresse IP 192 168 1 1 par exemple la requ te va tre de trouver en premier in adr arpa en quelque sorte le root puis 192 in adr arpa puis 168 192 in adr arpa etc En fait dans notre fichier on d clare ici la zone de recherche inverse sur le domaine 127 0 0 qui est la zone de
285. lt mot de passe de connexion gt Ce fichier doit contenir votre login de connexion et votre mot de passe fourni par votre ISP Prenez garde au fait que le mot de passe est stock en clair dans ce fichier Pour que tout cela fonctionne il faut que vous seul ayez les droits de lire ces fichiers mettez par exemple l utilisateur qui doit activer la connexion internet dans le groupe pppusers et faites appartenir ces fichiers a ce groupe voir l article sur les permissions Ensuite pour activer la connexion il suffit de faire usr sbin pppd call connexion0 Pour voir comment tout cela ce passe faite tail f var log messages Vous devez suivre au fur et mesure l tablissement de la connexion ainsi que l affection de votre nouvelle adresse IP Si tout fonctionne vous tes maintenant connect Internet mais vous ne pouvez pas encore vous en servir Linux ne sait toujours pas comment faire le lien entre les noms www trucs org et leur adresse IP 111 222 333 444 Pour cela nous allons configurer la r solution des noms Configuration de resolv conf Le programme charg de la r solution des noms faire la correspondance entre nom et adresse s appelle un serveur de nom Pour indiquer a Linux quel serveur de nom nous devons utiliser il faut pr ciser celui ci dans etc resolv conf 34 Configurer les composants d un r se L a Etablissement et coupure de la co search org nameserver XXX XXX XXX XXX nameserver yyy VYY Y
286. ltrer les adresses IP clientes le nombre d instances du serveur mais vous pouvez aussi limiter le nombre de connexions un serveur donn provenant d une m me adresse IP Ceci est une limite non n gligeable aux attaques dues a des connexions multiples sur vos serveurs accessibles Configurer les composants d un r seau 85 Autres fonctionnalit s de xinetd L a e Blacklister des adresses IP Il vous est possible blacklister des adresses IP qui tenteraient des connexions sur des services que vous avez d sactiv s mais qui constituent la cible pr f r e des hackers exemple telnet On utilisera 2 attributs de mani re combin e flags SENSOR deny_time minutes SENSOR emp che toute connexion au service concern et stocke l adresse IP pendant un temps d termin par l attribut deny_time Si cette m me adresse tente de se connecter n importe quel service g r par xinetd il sera automatiquement bloqu Le temps est d termin en minutes mais vous pouvez utiliser galement la valeur FOREVER l IP restera blacklist e jusqu au prochain red marrage de xinetd Autres fonctionnalit s de xinetd Je ne verrai pas ici toutes les possibilit s offertes par xinetd mais 2 en particulier la redirection de port et l attribution d un service une interface r seau Redirection de ports M me si ce n est pas sa fonction principale xinetd peut vous permettre de faire de la redirection de port si vous ne souhaitez pas approfon
287. m c ble ou ADSL voir rubrique ADSL et si vous comptez surfer sur la toile un jour UTILISEZ une des adresses r seau ci dessus Vous voulez que l une de vos machines soit sur le net avec un beau site etc il vous faut alors acheter une adresse IP votre fournisseur d acc s soit pour un r seau complet et l vous n avez pas le choix on vous impose l adresse soit juste pour une machine l votre machine connect e au NET a l adresse que votre fournisseur vous impose et votre r seau local une des adresses r serv es vue plus haut En plus il va falloir faire du masquerading pour pouvoir utiliser l acc s au NET depuis toute les machines voir pour cela la rubrique masquerade ou le HOWTO vu d internet toutes les machines de votre r seau local ont l adresse de la seule machine connect e au net en fait vu d internet on ne voit que cette machine _ _ tanh PC2 INTERNET lt gt PEL lt s t gt PCS _ Sees gt PCA En fait vous pouvez aussi utilisez le syst me pr c dant pour cr er des sous r seaux l int rieur d un sous r seau de classe A B ou C Bon je ne vais pas expliquer a ici non plus reportez vous au site www linuxenrezo org pour plus de d tail de toute fa on si vous devez faire de telles choses c est que vous savez ce que vous faites Bon maintenant on va apprendre d autres termes utile une configuration r seau TCP IP e Passerelle par d faut ou GATEWAY c est l a
288. m4 cf m4 sendmail mc gt sendmail cf de cette fa on sendmail se basera sur le champ MX de votre DNS ie celui de votre FAl fournisseur d acc s internet pour le relai des mails c est tr s utile dans le cas ou vous avez plusieurs fournisseurs d acc s a vite d utiliser un script perl pour rechercher modifier la ligne fautive dans sendmail mc Configuration de fetchmail la main La configuration de fetchmail est beaucoup plus compr hensible Voila mon fichier root fet chmailrc comment mots de passe remplac s par XXXX Configuration created Sat Mar 11 11 52 47 2000 by fetchmailconf le postmaster c est postmaster en fait dans etc aliases il y a un alias postmaster gt root set postmaster postmaster pour que les erreurs de distributions aillent l envoyeur set bouncemail set properties pour r cup rer les mails sur pop free fr en pop3 poll pop free fr with proto POP3 le nom du compte sur pop free fr est sympa son mot de passe est xxxxx il s appelle fred sur ce pc user sympa there with password xxxxx is fred here warnings 3600 on n accepte pas les mails rep r s comme des spams antispam 471 571 550 501 554 un autre compte sur le m me serveur pop user machin there with password xxxxx is bibi here warnings 3600 antispam 471 571 550 501 554 d autres comptes sur un autre serveur pop poll mail netcourrier com with proto POP3 user topsympa there with password xxxxx
289. mposants d un r seau 17 Conclusion L a clic droit sur Connexion au r seau local et choisir propri t s de TCP IP renseigner la passerelle et les DNS Conclusion Ce document a tent de d crire aussi simplement que possible les diff rentes tapes suivre afin de b tir votre machine passerelle sans pour autant vous carter de diff rentes explications Le but principal tait de vous aider configurer un petit ordinateur pour qu il puisse s occuper correctement d un petit r seau local Le syst me d exploitation trait dans ce document a t Linux distribution Debian 2 2 son installation a donc t expliqu e avant d entamer la configuration des serveurs DNS DHCP Samba ainsi que l utilisation d ipchains Notes modules Pour qu une carte r seau soit utilisable il faut d abord charger son driver Sous Linux les drivers se pr sentent sous la forme de modules des fichiers o ou o gz Il s agit de code compil qui peut tre charg et d charg dans le noyau votre guise Il est galement possible d incorporer ces modules directement dans le noyau lors de la compilation du noyau voir les kernel howtos Un module se charge l aide de la commande insmod ou modprobe et se d charge l aide de la commande rmmod Il est possible de lister les modules charg s ainsi que leurs tats d utilisation l aide de la commande 1smod Pour voir ce qu il se passe au niveau du noyau utilisez la commande dmesg qui
290. n 1 1 Pr requis IpTables est install en standard sur de nombreuses distributions Linux r centes En particulier il est install sur Linux RedHat 7 1 et sur la plupart des distributions bas es sur un kernel 2 4 x IpTables a besoin d un kernel de g n ration 2 4 compil avec des options sp ciales Ceci ne pose pas de probl mes avec les noyaux 2 4 g n riques des principales distributions bas es sur cette g n ration de kernel 1 2 Options de compilation du kernel Si vous d sirez re compiler votre kernel il faut sp cifier les options n cessaires au fonctionnement d iptables Les options suivantes doivent tres activ es en module M ou dans le kernel x CONFIG_PACKET CONFIG_NETFILTER CONFIG_IP_NF_CONNTRACK CONFIG_IP_NF_FTP CONFIG_IP_NF_IRC CONFIG_IP_NF_IPTABLES CONFIG_IP_NF_FILTER CONFIG_IP_NF_NAT CONFIG_IP_NF_MATCH_STATE CONF IG_IP_NF_TARGET_LOG CONFIG_IP_NF_MATCH_LIMIT CONF IG_IP_NF_TARGET_MASQUERADE et ventuellement CONF IG_IP_NF_COMPAT_IPCHAINS pour garder la compatibilit avec ipchains CONF IG_IP_NF_COMPAT_IPFWADM pour garder la compatibilit avec ipfwadm CONFIG_IP_NF_TARGET_REDIRECT indispensable pour les proxies transparents par exemple CONFIG_IP_NF_MATCH_MAC permet de matcher avec les adresses MAC Ne pas oublier le support r seau et TCP IP et compiler le kernel comme d habitude make dep amp amp make clean amp amp make bzImage amp amp
291. n France choisissez un clavier azerty par exemple Partition a Hard Disk Cette sous partie fait appel au programme cfdisk assez simple d utilisation Si vous tes d rout au d part il y a le menu help votre disposition N oubliez pas de cr er une partition de swap Initialize and Activate a Swap Partition Appuyez la touche entr e jusqu la prochaine sous partie Initialize a Linux Partition Personnellement parmi les questions pos es je ne retiens pas la compatibilit avec les noyaux 2 0 Si vous utilisez plus d une partition le logiciel d installation vous demandera d abord d initialiser votre partition mont sur Configurer les composants d un r seau 5 Installation de Linux L s Install Operating System Kernel and Modules L installation se fait partir d un CDROM les choix par d faut propos s sont corrects Configure Device Driver Modules Dans un premier temps il n est pas n cessaire de modifier ce qui est propos par d faut En effet apr s l installation tous les modules seront pr sent dans le r pertoire 1ib modules 2 2 17 Vous pouvez quitter la configuration des modules pour le moment Configure the hostname Entrez ici le nom que portera votre ordinateur sur votre r seau Dans mon cas j ai choisi headquarters Install the Base System Les options par d faut sont bonnes appuyez la touche entr e jusqu la prochaine sous section Configure the Base System Il vous est ici demand de choisir
292. n Workgroup o WORKGROUP est le nom du group de travail de votre serveur SAMBA Les autres options de la boite de dialogue s expliquent toutes seules Puis sauvez la configuration cliquez sur l onglet lt Programs gt et choisissez la version de SAMBA que vous utilisez Sauvez la configuration Cliquez sur l onglet lt Post Mount gt choisissez un gestionnaire de fichier pr d fini en cliquant sur la fl che noire ou bien d finissez le votre Sauvez une derni re fois la configuration Et quittez la boite de dialogue de configuration A partir de l vous pouvez depuis la fenetre de LinNeighborhood parcourir le r seau comme vous le feriez avec Win ou presque Mais vous allez etre confront un probl me pour acc der une ressource r ellement LinNeighborhood vous envoie le message smbmount not found la raison est simple smbmount ne peut fonctionner qu avec les privil ges de root Donc pour que cela fonctionne depuis un compte utilisateur il faut rendre SUID les programmes smbmount smbumount et smbmnt chmod s usr sbin smbmount chmod s usr sbin smbmnt chmod s usr sbin smbumount Mais cela ne suffit pas le programme smbmount essaie de lancer le programme smbmnt mais celui ci ne ce trouve pas dans le PATH d un utilisateur standard il est dans usr sbin Solution cr er un petit script que vous metterez dans un r pertoire de votre PATH bin sh export PATH SPATH usr sbin smbmount que vous appelere
293. n des disquettes d amor age Avant de commencer l installation telle quelle il faudra d abord s assurer qu il nous est possible d amorcer l installation C est dire soit un BIOS permettant de booter sur un cdrom soit dans le cas contraire des disquettes d amor age tant donn e qu un 486 et encore moins un 386 ne poss dent de bios supportant des cdroms bootables il faudra dans ce cas cr er les disquettes d amor ages La distribution Debian 2 2 demande la cr ation de deux disquettes l une nomm e rescue et l autre root Sous Windows ou m me sous DOS allez dans le r pertoire D boot de votre premier cdrom Debian et lancez le programme rawrite2 exe Cr ez dans un premier temps une disquette partir de l image rescue bin et dans un second temps une disquette l aide de l image root bin D install gt rawrite2 exe enter image file rescue bin enter target drive a Vos deux disquettes en main il est maintenant possible de commencer l installation Ins rez la disquette rescue et lancez l ordinateur Apr s avoir d marr le processus d amor age il vous sera demand d ins rer la disquette root contenant les programmes d installation Configuration du syst me Toutes les sous sections de l installation vont tre pr sent es ci dessous avec un bref descriptif de ce qui a t effectu Configure the keyboard Le clavier par d faut est choisi qwerty us Note de Jic selon la disposition de votre clavier e
294. n n oubliant pas de pr ciser bien s r le support ipv6 Module es tu l Lancer le module ipv6 si jamais vous avez configur le kernel avec le support ipv6 en module avec modprobe ipv 6 pour v rifier 1smod grep w ipv6 amp amp echo IPv6 a roule ma poule PPPd Il faut recompiler en d commentant HAVE_INET6 dans pppd Makefile linux pour les flemmards perl pi e s HAVE_INET6 HAVE_INET6 pppd Makefile linux ensuite un configure amp amp make amp amp make install Ensuite pour une connexion pppd simple il vous faut changer les chap secrets pap secrets avec votre login et ajouter a votre etc ppp options ipv6 Attention la virgule est tr s importante Configurer les composants d un r seau 185 La configuration du systeme amp L z Pour une connexion pppoe vous devez aussi diter votre chap secrets pap secrets avec votre login login net1 dual nerim par exemple puis ditez votre etc ppp pppoe conf et la aussi remettez votre login et ajoutez l option PPPD_EXTRA ipv6 Nous voil d j bien avanc s poil au nez La Connexion Lan ons la connexion comme vous avez l habitude de faire Si tout se passe bien en faisant un ifconfig ppp0 grep inet6 vous devriez avoir un truc du genre inet6 addr fe80 fc75 ecb8 7e35 1c75 10 Scope Link Puis il faut attribuer l adresse ipv6 l interface avec sbin ifconfig ethX inet6 add votre bloc 48 2001 7a8 6ee8 48 par exemple Enfin mettr
295. n nouveau domaine que votre serveur de mails va h berger var vpopmail vadddomain domaine com Vous allez devoir rentrer le mot de passe du postmaster c est dire de l administrateur mails de ce domaine Pour cr er les comptes pop utiliser qmailadmin Tapez l url dans votre navigateur pour pointer sur le cgi de qmailadmin dans user laissez postmaster dans domaine mettez le domaine que vous voulez g rer et pour le mot de passe mettez le mot de passe du postmaster Dans l interface se trouvent tout les liens pour cr er les mails etc Effacer un domaine var vpopmail vdeldomain domaine com Quand vous configurez votre client mail pour lire les mails re us faites attention dans la partie nom utilisateurs de mettre de la forme utilisateur domaine com car les logiciels de mail mettent par d faut utilisateur tout court Si lors du d marrage des services vous avez des erreurs du style unable to bind adresses in use ou quelque chose de similaire c est que vous avez d j un serveur de mail et ou pop3 de lanc D sinstallez tout autre serveur de mail pop3 sendmail gnu pop3d v rifiez aussi dans etc inetd conf ou dans etc xinet d que les services smtp pop3 ne sont pas utilis s par d autres programmes Lisez les documentations d utilisation de ezmlm ezmlm idx pour la gestion des mailing lists Qmailadmin vous permet de fabriquer vos propres pages d administration mail etc avec de nombreux exempl
296. n reste une proc dure complexe pour l utilisateur moyen Rappel des pisodes pr c dents Nous savons nous connecter Internet par la commande usr sbin pppd call connexion0 Nous savons nous d connecter d Internet par la commande kill cat var run ppp pid qui doit tre lanc e par l utilisateur qui a tabli la connexion Nous savons r cup rer nos mails par la commande fetchmail v qui elle doit tre lanc e depuis le compte de root Nous savons comment envoyer nos mails en attente usr sbin sendmail q Comment faire pour automatiser tout cela ip up Lorsque la connexion est s tablit pppa lance le script s il existe etc ppp ip up Donc pour que quelque chose se passe lorsque vous vous connectez il suffit de cr er un script ayant ce nom Souvant votre distribution fournit d j un tel script qui se charge d executer etc ppp ip up 1ocal Si c est le cas lisez le contenu du script vous pouvez pour faire ce qui va suivre e ou bien effacer le fichier etc ppp ip up pr existant ainsi que etc ppp ip up local et cr er celui que je vais vous indiquer et que j esp re vous comprendrez plut t que d effacer renommez ces fichiers avec par exemple un suffixe bak cela vous permettra de revenir en arri re le cas ch ant e ou bien effacer etc ppp ip up local et faire ce que je vais d crire pour etc ppp ip up sur etc ppp ip up local la place c est plus s r du point de vue de la d
297. n vers l email d finit plus haut dans ce fichier Alias faux_nom nom_r el permet de faire des alias de r pertoires des liens en quelque sorte ScriptAlias cgi bin chemin_complet_des_cgi Alias pour les scripts CGI AddType type extensions Permet de d finir des extensions de fichiers pour des applications mime type Si on veut ajouter le support PHP4 on doit ajouter ici AddType application x httpd php php AddType application x httpd php source phps Ou pour du PHP3 AddType application x httpd php3 php3 AddType application x httpd php3 source phps Il faut en plus que vous ayez compiler PHP en module DSO module dynaique et ajouter les lignes modules comme d crit plus haut pour activer le support PHP voir la doc d installation de PHP AddHandler cgi script cgi Pour utiliser les scripts CGI Et enfin les d finitions de virtual host pour faire des serveurs virtuels suivant des r pertoires etc lt VirtualHost ip_ ou adresse _virtuelle gt ServerAdmin email webmaster hoste virtuel DocumentRoot racine hote virtuel Configurer les composants d un r seau 97 Configuration d apache httpd conf L a ServerName nom server _ virtuel ErrorLog chmein complet _errorlog lt VirtualHost gt Explication sur les VirtualHost Les virtualhosts permettent de mettre plus d un site web par IP en les appelant par nom de domaine ou par IP Ce qui permet d avoir des centaines de sites sur un serveur n ayant qu une seule I
298. nce Voir la documentation de rndc ou les autres parties de ce document Configuration des fichiers syst mes Bon maintenant que votre DNS est configur en tant que serveur cache il reste encore deux fichiers systemes a configurer pour indiquer a notre machine que nous avons un serveur DNS et que nous pouvons nous en servir Commen ons par etc resolv conf search votre_domaine votre_TLD nameserver 127 040 1 Remplacez votre domaine votre_TLD par les valeurs de votre machine bien s r par exemple icebox org Ne pas mettre que votre TLD sans sp cifier le domaine En fait quoi sert ce fichier Lorsqu une application va lancer une requ te DNS elle ne fait pas appel directement votre serveur DNS mais au r solveur Celui ci lit ce fichier et regarde la ligne search pour savoir dans quel domaine chercher en premier Cela peut para tre stupide mais quand vous lancez une requ te sur www netscape com via le r solveur vous allez chercher en premier www netscape com votre_domaine votre_TLD Pourquoi me demanderez vous Tout simplement parce que les personnes qui ont invent cela pensaient que la plupart des requ tes de noms seraient en interne sur un r seau et rarement vers l ext rieur donc par d faut il cherche en premier dans votre nom de domaine La ligne nameserver indique l adresse laquelle on peut contacter un serveur de nom Aussi bien pour search que pour nameserver on peut sp cifier plusieurs entr es de ce
299. ne de mon don zone lea linux org type master file zone lea linux org L ajout de zone est tr s simple comme vous pouvez le voir Il suffit de dire quelle zone ce serveur va servir mot clef zone d indiquer si nous si sommes le serveur d autorit pour cette zone mot clef type master et d indiquer le fichier contenant les informations de la zone mot clef file Voyons maintenant ce que doit contenir ce fichier de zone Le fichier de zone de mon domaine Nous devons donc cr er le fichier de zone de notre domaine lea linux org Voyons le fichier puis expliquons le TTL 3D IN SOA _ ns1 kilio com serge kilio net 2003091801 serial 86400 refresh 3600 retry 3600000 expire 604800 default_ttl IN NS ns1 kilio com IN NS ns2 kilio com IN MX 50 ns1 kilio net IN MX 10 nice kilio net IN A 80 245 32 131 irc IN A 80 245 32 129 www IN CNAME linuxmutuel kilio fr wiki IN A 80 67 179 10 vizu IN A 195 202 0 21 devel IN A 80 67 179 10 sniper IN A 62 212 100 216 ftp IN A 80 245 32 131 beta IN CNAME linuxmutuel kilio fr Cela peut vous paraitre tr s barbare mais en fait rien n est tres compliqu On peut d couper ce fichier en deux parties L en t te qui commence au d but du fichier TTL et se finit la Les enregistrements de la zone le reste du fichier D tail de l en t te Nous l avons d j vu dans l article pr c dent mais voici ce qu elle doit contenir obligatoirement TTL l indi
300. net multi co Connexion Internet multi comptes Partie 1 Configuration de pppd Par Fred Avant de pouvoir nous connecter internet via tous nos providers voyons d j comment tablir une connexion Internet Introduction Cette s rie de 4 articles va nous permettre d utiliser une connexion internet avec plusieurs fournisseurs d acc s on dit aussi ISP ou FAI de fa on transparente pour la gestion du mail notamment Les conseils qui sont donn s ici peuvent tout aussi bien s appliquer d autres logiciels que ceux donn s en exemple il suffira alors d adapter les scripts donn s On peut aussi utiliser ces articles pour configurer sa connexion avec un seul FAI Un peu de technique Vous voulez vous connecter internet donc vous avez contact un fournisseur d acc s qui doit vous avoir fourni les renseignements suivants e un num ro de t l phone e un login parfois appel identifiant e un mot de passe parfois appel code d acc s e deux dns aussi appel s nameserver serveur de noms sous la forme de deux num ros du type 123 123 123 123 e un identifiant de messagerie si vous n en avez pas c est que c est votre login e un mot de passe de messagerie si vous n en avez pas c est le m me que le pr c dant e le nom du serveur de messagerie sortant souvent smtp isp com ou mail isp com e le nom du serveur de messagerie entrant souvent pop sp com Tout ce qui vous a t fourni en plus n
301. ngu ln s etc rc d init d bidule etc rc d rc0 d K05bidule root pingu ln s etc rc d init d bidule etc rc d rci d K05bidule root pingu In s etc rc d init d bidule etc rc d rc2 d K05bidule root pingu ln s etc rc d init d bidule etc rc d rc3 d S95bidule root pingu ln s etc rc d init d bidule etc rc d rc4 d S95bidule root pingu ln s etc rc d init d bidule etc rc d rc5 d S95bidule root pingu In s etc rc d init d bidule etc rc d rc6 d K05bidule e Configurer le d marrage d un service la commande chkconfig Cette commande fort pratique est sp cifique aux distributions Redhat et Mandrake L ensemble des services est int gr une base de donn es g r e par chkconfig Gr ce cette commande vous pouvez ajouter supprimer modifier les niveaux auxquels sont d marr s ou arr t s un service Ajout d un service la base root pingu chkconfig add service Suppression d un service de la base root pingu chkconfig del service Configurer les composants d un r seau 21 Les principaux outils de diagnostic r seau L a Configuration des niveaux auxquels le service doit d marrer s arr ter root pingu chkconfig level lt niveaux gt service on off Pour tout compl ment d information consulter l article sur la gestion des services Les principaux outils de diagnostic r seau arp Permet de visualiser et modifier la table arp stock e en cache La table arp est une table de correspondance entre adresse
302. nnect e au webmail Pour l installer il suffit de t l charger le paquetage show_user_and_ip 2 2 3 tar de le copier dans le r pertoire plugins var www html squirrelmail plugins de le d compresser tar xvf show_user_and_ip 2 2 3 tar et de l activer par l interm diaire de l interface conf p1 rubrique plugins On peut difficilement faire plus simple Utilisateurs Seul les utilisateurs ayant un compte sur votre serveur de mail auront la possibilit d utiliser SquirrelMail Pour cr er un compte uniquement destin la messagerie sans possibilit de connections sur votre serveur il faut d abord cr er un groupe d utilisateur d di l utilisation de SquirrelMail groupadd squirrelmail Puis cr er chaque utilisateur par l instruction suivante useradd c nom_utilisateur ou commentaire s bin false g squirrelmail nom_utilisateur Enfin d finir le mot de passe pour chaque compte nouvellement cr passwd nom_utilisateur Pour tester le fonctionnement essayer d envoyer des mails un autre compte et vous m me Utiliser d abord une adresse mail du type utilisateur mail exemple net Postfix Pour utiliser une adresse du type utilisateur exemple net il faut configurer Postfix Sinon lorsque machin mail exemple net envoie un mail truc mail exemple net l adresse de r ponse est machin exemple net Si truc essaie de r pondre machin Postfix ne peut envoyer la r ponse Pour que cela fonctionne correctement il
303. nous allons voir comment utiliser votre connexion ADSL PPPOE via le support libre sous Linux rp pppoe T l chargez celui ci cette adresse http www roaringpenquin com pppoe J explique ici son installation partir des sources tarball tar gz car cela est applicable toutes les distributions On d tarre d gzip les sources dans un r pertoire de votre choix et on lance le script go qui s occupe de tout tar xvfz rp pppoe 3 3 tar gz cd rp pppoe 3 3 go partir de ce moment r pondez juste aux questions que l on vous pose En cas de probl me avec le script go vous pouvez essayer de compiler installer la main comme dans les anciennes versions de rp pppoe 50 Configurer les composants d un r se L a Connexion ADSL via le protocole tar xvfz rp pppoe 2 8 tar gz cd rp pppoe 2 8 configure make amp amp make install usr sbin adsl setup aE SEE HE V rifiez apr s dans le fichier etc pppoe conf les lignes ETH ethx mettre l interface sur laquelle est reli e votre modem ADSL USER login mettre le login fourni par le FAI Configuration de la carte ethernet ll ne faut pas cette fois ci configurer votre carte ethernet c est dire que vous devez quand m me charger le module de votre carte mais n affectez pas d adresse a cette carte C est les scripts de connexion qui s en chargeront N oubliez pas non plus de configurer votre etc resolv conf pour qu il contienne les adresses de
304. nous loguer Ce qui est inqui tant c est que la m me chose va galement se produire pour notre mot de passe cens tre priv et inviolable Configurer les composants d un r seau 71 La solution propos e amp L z 0000 00 00 00 00 00 00 00 00 00 00 00 00 08 00 45 10 4 E 0010 00 35 94 19 40 00 40 06 a8 97 7F 00 00 O1 7F 00 5 8 8 0020 00 01 87 20 00 17 e3 Se dc 53 e3 2d 4b 8a 80 18 a US8 K 0030 7f FF 75 08 00 00 01 01 08 Oa 00 34 Sa b6 00 34 u 429 4 0040 50 e9 62 P b 0000 00 00 00 00 00 00 00 00 00 00 00 00 08 00 45 10 4 E 0010 00 35 94 1a 40 00 40 06 ag 96 7F 00 00 O1 7F 00 5 8 8 0020 00 01 87 20 00 17 e3 Se dc 54 e3 2d 4b 8a 80 18 4 T K 0030 7f FF Se 23 00 00 01 01 08 Oa 00 34 Ga c9 00 34 U 42 4 0040 Sa ba 6f 220 0000 00 00 00 00 00 00 00 00 00 00 00 00 08 00 45 10 440 4E 0010 00 35 94 1b 40 00 40 06 a8 95 7f 00 00 01 7F 00 5 8 8 0020 00 01 87 20 00 17 e3 Se dc 55 e3 2d 4b 8a 80 18 U amp K 0030 7f FF Ba F1 00 00 01 01 08 Oa 00 34 Sa eb 00 34 YF 428 4 0040 Sa c9 62 Z b 0000 00 00 00 00 00 00 00 00 00 00 00 00 08 00 45 10 4 E 0010 00 35 94 1c 40 00 40 06 a8 94 7F 00 00 O1 7F 00 5 8 8 0020 00 01 87 20 00 17 e3 Se dc 56 e3 2d 4b 8a 80 18 4 DV K 0030 7f ff Sd a9 00 00 01 01 08 Oa 00 34 5b 10 00 34 u B 4 4 0040 Sa eb 6f z o 0000 00 00 00 00
305. nouvel ISP Ce n est pas tr s souple De plus il nous faut modifier pour chaque ISP le fichier etc sendmail cf en effet dans celui ci nous avons mis l adresse de notre serveur de mail sortant mais le serveur de mail sortant n accepte pas en g n ral de connexion depuis un PC qui n est pas relier localement au r seau local de l ISP Il est assez vident que la modification de ce fichier devra se faire depuis etc ppp ip up car elle doit se faire chaque connexion Note tout ce qui suit sauf indication contraire est ex cut avec les droits de root Le principe retenu Voici la solution que j ai retenue Toutes les informations relatives toutes les connexions sont stock es dans le m me et unique fichier etc ppp conf Le fichier est en ASCII pur pour que l on puisse l diter facilement L tablissement de la connexion Internet se fera par un seul script etc ppp scripts pppconnect Celui ci devra ouvrir une boite de dialogue dans laquelle on pourra choisir l une quelconque des connexions configur es dans etc ppp conf La rupture de la liaison se fera via le script etc ppp scripts pppdisconnect Syntaxe du fichier etc ppp conf Comme un dessin vaut mieux qu un long discours voici mon fichier etc ppp conf free name Free max 20h free smtp smtp free fr free search free fr free autodns free login yyyyyyyyyyy free password xxxxxxxx free telephone 0359602000 wanadoo name wanadoo max 36h wanadoo
306. ns en pour donner un exemple de scp sur lequel nous reviendrons ult rieurement Sscp ssh id dsa pub jop scipc jpg home jop ssh dsa2connex Warning Permanently added scipc jpg RSA to the list of known hosts jop scipc jpg s password id_dsa pub 100 FERRER EKER RON AN ER ER EU ERREUR ERERE 613 00 00 Mon fichier est maintenant copi sur l h te distant il me reste inclure la clef dant le fichier authorized_ keys Une simple commande suffira cat dsa2connex gt gt authorized_keys Je peux maintenant me connecter l h te distant me reconna t Je peux me connecter sans mot de passe et avec une passphrase si j en ai d sir une L agent d authentification Nous savons maintenant nous connecter un h te distant connaissant notre identit par l interm diaire de notre clef publique Nous avons vu pr c demment que nous tions libre de mettre ou non une passphrase afin de chiffrer notre identification et compliquer l usurpation qui pourrait en tre faite mode parano on S il para t fastidieux d ins rer un mot de passe chaque connexion cela l est d autant plus lorsque l on doit rentrer une phrase enti re L agent ssh est l pour nous simplifier la vie Lanc au d but de la session terminal ou graphique il retient la passphrase le temps o ssh agent sera actif le temps d une session Pour une session en mode terminal Sssh agent screen ssh add Apr s avoir lanc l agent ssh on ajoute la passphrase l a
307. ns la partie 3 nous allons utiliser Xdialog pour nous permettre ce choix Voici le script usr bin perl open PPPCONF etc ppp conf opt apps bin Xdialog title Erreur msgbox impossible d ouvrir etc ppp conf nchangez les droits de ce fichier nou bien cr ez le 00 die etc ppp conf illisible n on cherche les lignes connexion name isp while lt PPPCONF gt if tag name name Scnx S tag name Scmdline num 0 foreach key sort keys cnx Scmdline Skey Scnx Skey false Snum Scnx opt apps bin Xdialog stdout radiolist Connexion 0 0 num cmdline chop Scnx if Scnx ne initialisation sauf le dns qui est fait par ip up etc ppp scripts initcnx cnx connexion usr sbin pppd call auto ce qui suit n est pas n cessaire mais agr able attendons l tablissement de la liaison sleep 60s et rapatrions les mails de l utilisateur pour peu qu il ai configur fetchmail fetchmail ceci permet un utilisateur de se configurer un compte que le root ne connait pas else opt apps bin Xdialog title Information infobox Aucune connexion n a t s lectionn e 0 0 1500 note pour jcc je ne me rappelle plus si perl comprend la continuation des lignes par note saisissez les lignes termin s par sur une seule ligne n
308. ns les parties graphiques s expliquent par le fait que l affichage a t demand en direct au lieu de passer par le serveur Apache Si vous pr f rez utiliser Lynx un navigateur en mode texte ultra rapide puisqu il ne charge pas les parties graphiques vous pouvez m me vous contenter de taper lynx localhost Lynx ajoutera automatiquement ce qui manque Merveilleux de simplicit non 5 Installation de PHP 5 1 Mise en place des paquetages rpm L installation de PHP doit contenir elibphp common432 php ini emod_php L installation de ces packages ne devrait pas poser de probl me particulier Sauf erreur ils s installent automatiquement avec l option d installation recommand e de Mak V rifiez toutefois la pr sence de mod_php rpm qa grep php urpmi php Un des paquetages suivants est n cessaire 1 apache2 mod_php 2 0 48 4 3 4 1mdk i586 2 mod_php 4 3 4 1mdk i586 3 php cli 4 3 4 4mdk i586 4 php cgi 4 3 4 4mdk i586 Que choisissez vous 1 4 1 Pr paration AAA HE AE AE AE AE FE HE AE AE AE FE FE FE FE AE E AE EEE AE HE AE FE FE AE FE FE FE HE E FE FE FE FE EE HE HE HE E E 1 apache2 mod_php FEFE AE FEAE AE AE AE AE FE AE HE AE AE AE FE FE FE FE HE HE E AE FE FE FE FE FE FE HE E FE FE FE FE FE FE HE E FE FE FE FE FE FE HE HE E E FE Shutting down httpd2 OK Checking configuration sanity for Apache 2 0 OK Starting httpd2 OK L installation des rpm se termine par un red marrage de Apache afin de
309. ns rlogin ou telnet PasswordAuthentication yes Si l indicateur est positionn yes la demande de passephrase ou de mot de passe sera annul e Cette option est utilis e dans le cas o seul des scripts interviennent et o il n y a pas d utilisateur pr sent pour ins rer le mot de passe BatchMode no V rification de l adresse IP de l h te qui se connecte dans le fichier known_hosts CheckHostIP yes Cette option permet de g rer l ajout et le changement des clefs h tes dans known_hosts Si la clef a chang la connexion vous sera refus e vous indiquant le motif StrictHostKeyChecking ask Localisation des fichiers identity id rsa id dsa IdentityFile ssh identity IdentityFile ssh id rsa IdentityFile ssh id dsa Port de connexion l h te distant Configurer les composants d un r seau 73 Cr ation de paire de clefs KL s Port 22 Version des protocoles support s et d sir s Ici on pr f rera employer la deuxi me version si elle est disponible Protocol 2 1 Protocole de chiffrement ssh v1 et protocoles disponibles par ordre de pr f rerance ssh v2 Cipher 3des Ciphers aes128 cbc 3des cbc blowfish cbc cast128 cbc arcfour aes192 cbc aes256 cbc Caract re d chappement EscapeChar Il existe diff rentes options pour se connecter un h te via ssh Libre vous de les utiliser ou non l login Identifiant de l utilisateur v vv vvv Mode
310. ntenant aucune information strat gique mais qui mettrait la disposition des utilisateurs des informations relativement banalis es L objectif de s curit est relativement sommaire viter que des manipulations non souhait es ne d truisent une partie ou la totalit des informations limiter les droits d acc s certaines informations plus sensibles un nombre limit d utilisateurs identifi s 2 Introduction Ce texte est la suite naturelle d un document d crivant l installation de la trilogie Apache PHP MySQL en environnement LINUX MANDRAKE 8 0 voir l article L installation d crite dans ce premier document est la plus simple possible son seul objectif tait d aboutir un syst me qui soit fonctionnel Dans l installation de MySQL par exemple j avais pr cis de faire l impasse sur la mise en place d un mot de passe administrateur afin de ne pas bloquer le fonctionnement ult rieur de phpMyAdmin dans son installation de base Il est temps maintenant de faire le pas suppl mentaire qui verrouillera un peu mieux le site Pour plus d informations on pourra se reporter l importante litt rature qui existe sur la question notamment Pratique de MySQL et PHP dition O REILLY ll importe de comprendre que la protection d un site Apache PHP MySQL prend des facettes multiples chaque logiciel ayant ses protections propres De plus comme nous le verrons bient t avec phpMyAdmin ces syst mes de protections di
311. nux org Address 80 67 179 10 La commande vous donne les infos suivantes Server Address le serveur DNS qui effectue la r solution Non authoritative answer si la ligne est pr sente cela signifie que l adresse tait pr sente dans le cache du serveur DNS Name Addresse r sultat de la commande dig la commande nslookup tombant en d su tude elle est remplac e aujourd hui de plus en plus par dig Elle dispose de fonctionnalit s suppl mentaires Exemple dig www lea linux org DiG 9 2 0 www lea linux org 77 global options printcmd 7 Got answer HEADER opcode QUERY status NOERROR id 25724 flags qr aa rd ra QUERY 1 ANSWER 1 AUTHORITY 2 ADDITIONAL 2 7 QUESTION SECTION www lea linux org IN A ANSWER SECTION www lea linux org 86400 IN A 80 67 179 10 Configurer les composants d un r seau 27 Le Mot de la fin r lea linux org 604800 IN NS nsl tuxfamily net lea linux org 604800 IN NS ns2 tuxfamily net r r AUTHORITY SECTION ADDITIONAL SECTION nsl tuxfamily net 86400 IN A 80 67 177 2 ns2 tuxfamily net 86400 IN A 80 67 179 2 r r r r r r r Query time 325 msec SERVER 194 149 160 9 53 194 149 160 9 WHEN Fri Oct 11 00 12 30 2002 MSG SIZE revd 132 La sortie standard de la commande est sensiblement la m me avec quelques pr cisions suppl mentaires dur e de r alisation de la requ te DNS du domaine host sans opti
312. obtenir des informations d taill es sur l tat des interfaces r seau Exemple root pingu netstat i Table d interfaces noyau Iface MTU Met RX OK RX ERR RX DRP RX OVR TX OK TX ERR TX DRP TX OVR Flg eth0 1500 0 20103 0 0 0 18666 0 0 0 BMRU ethl 1500 0 18453 0 0 0 19879 0 0 0 BMRU lo 16436 0 466 0 0 0 466 0 0 O LRU ppp0 1492 0 20056 20103 0 0 18619 0 0 0 MOPRU Rx paquetsregus rx paquets envoy s transmis ox_ paquets re us envoy s correctement ERR paquets re us envoy s avec des erreurs pre paquets re us envoy s dropp s TX love paquets re us envoy s retransmis D autres options de la commande permettent notamment de visualiser les ports ouverts netstat tu tcp et udp Exemple root pingu netstat tu Connexions Internet actives sans serveurs Proto Recv Q Send Q Adresse locale Adresse distante Etat tcp 0 0 pingu linuxeries 32771 132 248 32 28 46503 ESTABLISHED tcp 0 0 pingu linuxeries 32773 64 12 25 127 5190 ESTABLISHED tcp 0 0 pingu linuxeries 33012 217 174 201 37 ircd ESTABLISHED tcp 0 0 192 168 0 3 netbios ssn ouaichland 1177 ESTABLISHED tcp 1231 0 pingu linuxeries 34140 193 201 103 96 http ESTABLISHED tcpdump Il s agit d un outil r server aux utilisateurs avertis il n cessite quelques connaissances sur les protocoles qui va vous permettre de visualiser les paquets qui circulent vers et ou partir d une interface r seau et ce en temps r el C est la fois un outil d
313. odules rmmod Ismod grep E ip cut d f 1 Conclusion Ce mur pare feu n est certainement pas parfait mais j espere qu il vous permettra de mieux comprendre comment sont fabriqu s les murs de feu que vous trouvez dans des scripts tous faits 176 Configurer les composants d un r se amp L a Installation de l IDS SNC Installation de l IDS SNORT par julien Lecubin Introduction Ce document va tenter d expliquer les diff rentes tapes pour mettre en place le d tecteur d intrusions SNORT partir des sources Un d tecteur d intrusions s appelle aussi IDS pour Intrusion Detection System SNORT est un syst me de d tection d intrusions r seau en OpenSource capable d effectuer l analyse du trafic en temps r el On l utilise en g n ral pour d tecter une vari t d attaques et de scans tels que des d bordements de tampons des scans de ports furtifs des attaques CGI des scans SMB des tentatives d identification d OS et bien plus Avant de commencer l installation de SNORT vous devez avoir install PACKAGES REMARQUES MySQL La base de donn es MySQL MySQL client La partie cliente de mysql connexion BD php mysql le module php de mysql Apache Le serveur web Apache mod_php Le module php pour Apache libpcap libpcap0 devel Librairie utilis e par SNORT pour capturer les paquets rpm t l chargeable sur rpmfind net gcc indispensable pour compiler les sources de SNORT Si vous n avez pas encor
314. ommande la commande c1 cette commande permet de fermer la connexion avec le serveur en cours Pas la peine d piloguer dessus ss La commande ss permet d enregistrer une connexion sous un nom plus parlant en gros vous tapez votre commande on lt hostname IP gt port user pass et une fois connect vous faites ss lt sitename gt slotname et cela va enregistrer votre connexion sous le nom que vous aurez donn dans lt sitename gt Il est possible aussi de classer les sites que vous enregistrez en d finissant un slotname cela vous permet par exemple de regrouper un ensemble de sites ayant un lien dans un m me slotname sl Si vous commencez a avoir beaucoup de sites d enregistr s la commande s1 est la pour vous aider elle affiche la liste de tous les sites que vous aurez enregistr op La commande op sert rendre la commande ss tr s utile en effet admettons que vous ayez enregistr votre site ftp sous le nom bidule en faisant un ss bidule auparavant et bien maintenant lorsque vous lancez profxp pour vous connectez votre site bidule il suffit de faire op bidule Il n y a pas plus enfantin sd La commande sa permet de supprimer un site de votre liste de sites exemple sd bidule Vous le remarquez l utilisation des commandes est relativement simple Passons aux commandes li es la navigation une fois connect un site Is Et bien c est en gros la m me commande que sous votre shell favori s
315. ommunication jusqu quelques machines moins de 10 et pour des applications non critiques c est a dire des partages de fichiers un petit intranet local Il suffit pour cela d une carte r seau par machine avec connecteur BNC un c ble coaxial entre deux machines de 50 Ohms avec un T BNC pour chaque machine et deux bouchons r seaux de 50 Ohms chaque extr mit du support c est dire pour la premi re et la derni re machine de la cha ne a ne revient pas cher cartes et cables compris on arrive en gros 200 fr par machine maximum II faut quand m me respecter les normes c est dire pas plus de 500m de c ble pas moins de 50 cm entre deux stations bien mettre les bouchons chaque extr mit et c est bon e Cablage en toile RJ45 C est un peu plus cher mais ce type de c blage a de bien meilleures performances on peut esp rer aller jusqu 100 Mb s avec du mat riel fait pour contre 10 Mb s pour le BNC on peut enlever une machine sans rompre le support c est dire que les stations qui ne sont pas en relation avec la station qui vient d tre d connect e continueront de fonctionner comme si de rien n tait Bref c est beaucoup mieux et c est le standard pour des r seaux avec des applications gourmandes un grand nombre de machines etc Le c blage est diff rent on utilise alors des paires torsad es en cuivre chaque c ble doit faire 100m maximum on passe par un l ment actif Hub ou Switch pour connecter le
316. ompiler le noyau pour qu il puisse accepter des modules exp rimentaux Veuillez pour cela vous referez a des kernel howtos ou l article sur le noyau ce n est pas si sorcier que a peut en avoir l air Pour que toutes ces r gles soient prises en compte d s le d marrage il faudra cr er un script de d marrage dans le r pertoire etc init d Cr ons par exemple le fichier etc init d ip_masquerade bin sh ip_masquerade setup ip_masquerade Herve J Lombaert 01 05 2001 Rules start_rules ipchains P forward DENY ipchains A forward j MASQ s 192 168 1 0 24 d 0 0 0 0 0 return 0 Install modules install_modules insmod ip_masq_ftp insmod ip _masq_icq insmod insmod i i ip_masq_irc insmod ip_masq_quake i i i 0 p_masq_cuseeme insmod ip_masq_raudio insmod ip_masq_user insmod return p_masq_vdolive Flush rules flush_rules pchains F input pchains F output pchains F forward eturn 0 Bo H H H Remove modules remove_modules rmmod ip_masq_ftp rmmod ip_masq_icq rmmod ip_masq_irc rmmod rmmod rmmod p_masq_cuseeme p_masq_quake p_masq_raudio rmmod ip_masq_user rmmod ip_masq_vdolive return 0 H He H H H H be H case 1 in start echo ne 033 1 32m Starting ip_masquerade 033 0m n start_rules install_modules rr 16 Configurer les composants d un r se L a Utilisation d ipchains et de ipma stop echo ne
317. omposants d un r seau 115 Test de votre installation depuis Win L a Server Comment ETOILE NOIRE Serveur Linux Samba WINDAUBE98 Workgroup Master WORKGROUP WINDAUBE98 Hourra Hourra Et dire que certains pensent encore que Linux est plus compliqu que Win Le nom de l imprimante que vous devez voir apparaitre est celui qui est dans etc printcap qui doit tre configur de fa on que depuis Linux les commandes lpr 1pq 1prm fonctionnent correctement vous pouvez par exemple utiliser l utilitaire printtool pour ce faire Il n est pas important que Linux sache g rer votre imprimante il suffit que Linux sache comment envoyer un fichier sur cette imprimante m me s il ne connait rien a cette imprimante si a se trouve ce pourrait m me tre une imprimante Win Printing System v rifier une bonne me heureux possesseur d une telle imprimante Test de votre installation depuis Win Maintenant que tout semble fonctionner il faut passer l preuve du feu d marrons une machine Win appelons la WINDAUBE sur notre r seau prions pour que cette pollution ne d teriore pas les cables Tout est plus simple si vous vous connectez sur WINDAUBE en mettant un nom d utilisateur reconnu par votre serveur SAMBA donc faites cela nous verrons plus tard comment nous affranchir de cette limitation Allez dans le voisinage r seau puis dans le Workgroup correspondant votre serveur SAMBA puis sur vot
318. on 69 Installation 69 Administration at SSh la s curisation par le chiffrement aTi Pr ambule issus aTi La solution propos e ate Connexion un h te ate Cr ation de paire de clefs 14 La copie s curis 76 Le transfert de fichier s curis Le tunnel et le Xforwarding att O se trouve quoi al Conclusion 18 Bibliographie ate Les ponts filtrants 79 Introduction 79 PT PEQUIS iseasi iani me 79 Configuration du pont lui m me Mise en place du Filtrage XINETD sous toutes ses coutures 2 configuration g n rale de xinetd Affiner les logs avec xinetd Xinetd pour contr ler les acc s votre machine 84 Xinetd pour limiter les attaques de type Deny of Service 105 Autres fonctionnalit s de xinetd 86 Exemples de configuration Le mot de la fin Installation Apache PHP MySQL 1 Objectif de ce document PATES Se Eee ee 89 3 Rappel Utilisation de la commande rpm 4 Installation d Apache 5 Installation de PHP 6 Installation de MySQL 7 Synth se 92 Conclusion 92 Remerciement 92 CMU A 92 Configuration d apache httpd conf 93 MO CUICUION asen a 93 Configuration du fichier httpd cont Protection d un serveur Apache PHP MySQL 99 1 Objectif de ce document 99 2 AVOJ CUO MN
319. on la sortie est extr mement simple il s agit uniquement de la r solution Exemple host www lea linux org www lea linux org has address 80 67 179 10 Le Mot de la fin Mon objectif en crivant cette contribution tait de d broussailler quelque peu la jungle des outils de configuration et diagnostic r seau J esp re qu il vous donnera envie d approfondir encore plus ce domaine passionnant N h sitez pas m envoyer vos remarques ou ajouts ventuels Remerciements Un grand merci Fred Prae et Jice qui ont accept de prendre du temps pour relire et corriger cet article Jice je promets de faire des efforts en html P 28 Configurer les composants d un r se L a Param trer sa connexion internet pa Param trer sa connexion internet par modem par Serge et JCC tout savoir sur la connexion de Linux avec l Internet Installer son modem Avant tout il faut param trer le modem et ou v rifier qu il est bien reconnu ATTENTION Si vous avez un modem interne lisez ceci si votre modem est un WinModem voir glossaire son nom sur la bo te de l emballage ou un mod le PCI toutes marques sauf Olitec qui devrait dans un futur que l on esp re proche faire quelque chose pour Linux ainsi que quelques modems internes bas s sur certains chipsets voir_http Awww linmodems org votre modem ne pourra pas tre install sous Linux C est pas la faute Linux mais celle du constructeur qui ne fournit
320. on se sert de l une des fonctionnalit s d iptables 2 Pr sentation 2 1 Les tables e Table NAT Network Address Translation Table utilis e pour la translation d adresse ou la translation de port Il a 2 types de cha nes PREROUTING qui permet de sp cifier a l arriv e du firewall et la cha ne POSTROUTING qui permet de sp cifier la sortie du firewall Il existe 3 targets ou cibles DNAT SNAT et MASQUERADE e Table FILTER C est la table par d faut lorsque l on en sp cifie pas Cette table contient toutes les r gles de filtrage il existe 3 types de cha nes FORWARD pour les paquets passant par le firewall INPUT pour les paquets entrant et OUTPUT pour les paquets sortants Les cibles disponibles sont ACCEPT DENY DROP REJECT e Table Mangle C est la table qui contient les r gles pour la modification de paquets Elle est peu utilis e et ne sera pas d crite dans cet article A noter Les r gles sont match es dans l ordre par d faut la table FILTER est vide et donc accepte tout Aucune r gle de translation d adresse n est pr sente par d faut cha ne une cha ne est une suite de r gles qui sont prises dans l ordre d s qu une r gle matche un paquet elle est d clench e et la suite de la chaine est ignor e SNAT permet de modifier l adresse source du paquet DNAT permet de modifier l adresse destination du paquet MASQUERADE Une gateway transforme les paquets sortants passant par el
321. onc cela ne peut que prouver sa stabilit et ses performances S il est tr s souvent disponible en standard sur les distributions mais on doit souvent le configurer pour ses propes besoins Je vais donc essayer de vous d tailler le fichier httpd conf fichier de configuration d apache Attention Utilisez une version r cente d apache car De nombreux bugs de s curit ont t corrig Cette documentation traite de la configuration des derniers serveurs apaches Dans les anciennes versions il y avait trois fichiers httpd conf srm conf access conf mais maitenant tous sont regroup s dans un m me fichier httpd conf M me si la compabilit avec les anciennes versions a t conserv e on peut toujours utiliser les anciens fichiers je ne traite ici QUE du fichier httpd conf De plus cette documentation n est pas encore tout fait compl te il manque encore quelques options expliquer mais certaines me semblent obscures je ne connais pas tout ou difficiles expliquer J esp re compl ter ce document assez vite de m me si vous voulez ajouter vos connaissances a ce document n h sitez pas a me_mailer Je ne traite pas de l installation d apache car il est pr sent dans toutes les distributions De plus son installation et sa compilation ne sont pas ais es du tout suivant le support que l on veut lui int grer Il existe en effet plusieurs dizaines de facons de le compiler suivant les options que l on veut lui passer
322. onctionne vous auront permis de mieux ma triser votre syst me en entier alors que les quelques heures qui auraient t n cessaire la configuration de NT ne vous auraient rien apris sur le fonctionnement opaque de celui cil Configurer les composants d un r seau 119 Installation d un serveur NFS L a Installation d un serveur NFS Guillaume Pierronnet NFS ou le partage des ressources selon Unix Introduction NFS signifie Network File System C est comme son nom l indique un syst me de fichiers en r seau qui permet de partager ses donn es principalement entre syst mes UNIX A la diff rence de SAMBA NFS g re les permissions sur les fichiers et on peut donc l utiliser de mani re totalement transparente dans son arborescence Linux ATTENTION Comme toute application r seau NFS ouvre des trous dans la s curit du syst me Je t invite donc consulter les liens la fin de cet article pour des pr cisions sur la s curit Les softs Les modules du noyau Dans la configuration du noyau on va dans la section File systems gt Network File Systems e Pour le client NFS file system support et Provide NFSv3 client support CONFIG_NFS_FS y ou m CONF IG_NFS_V3 y e Pour le serveur NFS server support et Provide NFSv3 server support CONFIG_NFSD y ou m CONFIG_NFSD_V3 y A partir du noyau 2 2 18 les modules supportent enti rement la version 3 du protocole ainsi que diff rentes corrections de bug I
323. onn Ne comptez pas il ya4 Y et 10 N Vous venez de cr er un nouvel utilisateur nomm lambda et dont le mot de passe est mdp_lambda vous mettez bien s r ce qui vous convient La syntaxe de cette ligne m rite quelques commentaires e Insert into user donne l ordre de cr er une nouvelle ligne dans la table user e Une ligne insert compl te avec toutes les options SQL pr ciserait la liste des champs compl ter dans ce cas particulier nous donnons exactement autant de valeurs values qu il y a de champs dans la table l affectation des valeurs aux champs devient donc implicite et la ligne plus simple e La liste values contient exactement 17 valeurs s par es par des virgules Les cha nes de caract res sont plac es entre guillemets simples QE e La composition de cette liste refl te pr cis ment la structure de la table user mise en vidence pr c demment avec mysql gt desc user e Le nouvel utilisateur dispose de 4 droits simples s lection insertion de nouvelles lignes modifications de lignes existantes et effacement de lignes Il ne peut ni cr er une nouvelle table ni en effacer une existante Toutes les fonctions d administration lui sont interdites e Password est une fonction texte qui transforme un mot de passe donn en clair en une cha ne cod e Vous pouvez maintenant quittez le client mysql en tapant mysql gt quit 4 1 3 Rechargement de la table des autorisations par MySQL ll reste a v rifier l
324. onnues il nous manque cependant l exportation des applications distantes En effet l aide de telnet vous pouviez utiliser un logiciel non pr sent sur votre machine mais pr sent sur l ordinateur distant Il suffisait de taper Sexport DISPLAY mon_adresse 0 0 Comme par magie l application arrivait plus ou moins rapidement selon votre connexion sur votre cran C est ce qu on appelle du Xforwarding L avantage une fois de plus d utiliser ssh r side dans la connexion chiffr e et l impossibilit un agresseur ventuel de lire ce que vous faites via le r seau ssh jop scipc jpg gedit Dans l exemple donn nous demandons d ouvrir la connexion ssh pour inscrire Gedit l int rieur bloc notes de Gnome En fermant Gedit nous fermerons la connexion ssh Pour que cela soit r alisable n oubliez cependant pas d activer l option X11Forwarding dans les fichiers de configuration Toujours dans la m me id e de tunneler des applications ssh vous permet d encapsuler des protocoles Cela est tr s int ressant lorsque vous avez recours des protocoles tels que smtp pop Vous courriers pour l exemple ne serons plus l indiscr tion de vos fournisseurs ni des fouines du r seau ssh L port_local h te_distant port_distant nom utilisateur nom h te Mettons que je veuille encapsuler les ports 25 smtp et 110 pop ssh L 2025 scipc jpg 25 jop scipc jpg Sssh L 2110 scipc pg 110 jop scipc jpg Il vous suffit de configurer votr
325. ont rang es dans var lib mysql Chaque base de donn es correspond un sous r pertoire Exemple var lib mysal mysal contient les tables qui d finissent les droits d acc s MySQL Ce sous r pertoire n est videmment accessible que pour l administrateur syst me Si vous cr ez une nouvelle base de donn es avec phpMyAdmin ou directement en utilisant le client MySQL le serveur cr era un nouveau sous r pertoire var lib mysql test par exemple si votre nouvelle base s appelle test Conclusion La description ci dessus avait pour but de vous conduire disposer d un serveur Apache qui soit op rationnel et qui puisse mettre en oeuvre des bases de donn es MySQL via PHP Ce but tant atteint il convient maintenant d tre modeste Le vrai travail commence juste Lisez les docs les man pages Il existe aussi d excellents bouquins sur la question Pour ma part j tudie actuellement Pratique de MySQL et PHP dition O Reilly Je le trouve tr s bien fait Enfin lisez l article suivant concernant la s curisation de l environnement que l on vient de cr er Remerciement Lors d une installation il est courant de progresser un peu t tons par essais successifs Apr s quelques heures de bagarre qui peuvent tre r parties sur plusieurs jours il faudrait tre un sur homme pour se souvenir de tout ce qu on a fait La mise au point d un document comme celui ci ne peut donc se faire qu apr s plusieurs installations r ussies Id
326. or local loopback interface IN SOA headquarters ch19231 rez root ch19231 rez Configurer les composants d un r se L a Configurations principa 1 Serial 604800 Refresh 86400 Retry 2419200 Expire 604800 Negative Cache TTL F NS headquarters ch19231 rez 1 0 0PTR localhost Et galement modifier le fichier etc bind db local BIND data file for local loopback interface STTL 604800 IN SOA localhost root localhost 1 Serial 604800 Refresh 86400 Retry 2419200 Expire 604800 Negative Cache TTL IN NS localhost IN A 127 0 0 1 F NS localhost localhost A 127 0 0 1 headquarters A 192 168 1 1 A partir de ce moment il est possible de cr er les fichiers etc bind db ch19231 rez et etc bind db 192 168 1 Voici le premier fichier 7 db ch19231 rez Herve J Lombaert 01 05 2001 configuration file for the local network This file puts names on various IPs IN SOA headquarters ch19231 rez root ch19231 rez 1 8H 2H 1W 1D NS headquarters headquarters computer the gateway localhost A 127 0 0 1 headquarters A 192 168 1 1 headquarters HINFO Pentium 166MHz Linux 2 2 17 hosts on the network using dhcp comp one A 192 168 1 11 comp two A 192 168 1 12 comp three A 192 168 1 13 comp four A 192 168 1 14 comp five A 192 168 1 15 comp six A 192 168 1 16 comp seven A 192 168 1 17 comp nine A 192 168 1 18 comp height A 192 168 1 19 comp ten A 192
327. ors ma triser le langage SQL de MySQL proche de la norme ANSI et se servir de la ligne de commande pour adresser des requ tes au serveur Spartiate on se croirait revenus la grande poque de DBase sous DOS nostalgie 3 Rappel Utilisation de la commande rpm ll existe de nombreux utilitaires tels que Kpackage GnoRPM Midnight Commander etc qui permettent d installer et de g rer les packages au format Red Hat RPM Pour ma part je trouve plus rapide et au moins aussi efficace de travailler en mode ligne de commande en utilisant directement la commande rpm Voir l article rom sur L a Encore plus simple URPMI permet aujourd hui une gestion compl te des d pendances Je vous laisse le soin de consulter la documentation 4 Installation d Apache Note pr lable la plupart des distributions proposent aujourd hui les versions 1 3 x et 2 x de Apache Si Apache 2 x pr sente plus d option pour la configuration avanc e du serveur et d autres caract ristiques li es sa performance le groupe de d veloppement PHP n a toujours pas valid la plate forme sous cette version On peut raisonnablement dire que pour un serveur personnel ou ne n cessitant pas de fonctionnalit s particuli res Apache 1 3 x fait parfaitement l affaire C est ce que nous utiliserons 4 1 Mise en place des rpm L installation d Apache ne pose pas de probl mes L objectif est de disposer en fin d installation des packages suivants e apache2 common fichier
328. ote en lieu et place de opt apps bin pr cisez le path complet de Xdialog Vous pouvez d s maintenant v rifier que l tablissement est fonctionnel si vous avez un fichier etc ppp conf en tapant etc ppp scripts pppconnect Si vous aviez des mails en attente et si vous aviez configur fetchmail ce script doit tablir la connexion envoyer les mails en attente et rapatrier vos mails et ceux de vos utilisateurs Configurer les composants d un r seau 47 etc ppp scripts pppdisconnect amp L eo etc ppp scripts pppdisconnect La d connexion est semblable ce que nous avons d ja fait bin sh if e var run ppp pid then kill cat var run ppp pid 2 gt 81 gt dev null fi opt apps bin Xdialog title Informations infobox La liaison internet est maintenant coup e 0 0 2000 Sans commentaire Les permissions Pour l instant cet ensemble de script ne fonctionne que si vous tes root C est un peu limitatif Pour arranger les choses je vous conseille de cr er un groupe pppusers auquel vous ferez appartenir les utilisateurs ayant le droit de choisir leur connexion Puis dans le r pertoire etc ppp faites pour faire appartenir tout ce que contient etc ppp pppusers chown R root pppusers etc ppp pour autoriser les membres du groupe pppusers a modifier les fichiers etc ppp peers auto etc chmod R g rwx etc ppp scripts etc ppp chat etc ppp pap secrets pour que le
329. p 127 0 0 1 phpinfo php Vous devez obtenir une page donnant les caract ristiques compl te de votre installation de PHP et de ces modules additionnels Si cela fonctionne correctement vous pouvez effacer le fichier phpinfo php ll faut ensuite configurer etc php ini notamment session use_cookies 1 file_uploads On pour autoriser les fichiers attach s upload_max_filesize 2M r gle la taille maxi des fichiers attach s register_globals off il est plac par d faut sur On par la distribution Mandrake expose_php Off s curit n expose pas le fait que votre serveur h berge PHP Configurer les composants d un r seau 195 Installation L a Le param tre session save_path doit pointer vers un r pertoire lisible uniquement par le serveur web var squirrel session par exemple mkdir p var squirrel session chgrp apache var squirrel session chown apache var squirrel session chmod 730 var squirrel session Red marrer le serveur Apache service httpd restart SquirrelMail Pour installer SquirrelMail il faut t l charger la derni re version squirrelmail 1 4 2 tar gz 2 74 Mo la d compresser dans un r pertoire lisible par le serveur web var www htm1 par exemple changer le nom du r pertoire mv squirrelmail 1 4 2 squirrelmail cr er les deux r pertoires de stockage des donn es et des fichiers joints mkdir p var squirrel data chown apache var squirrel data chgrp apache var squirrel d
330. pa bash ifconfig Serveur DHCP Le serveur DHCP permettra tout ordinateur connect au r seau local de pouvoir se procurer automatiquement les param tres IP n cessaires tel que son adresse IP ou les adresses de passerelles ou encore les masques de r seau Tout ceci est configur dans le fichier etc ahcpa conf Pour conna tre toutes les possibilit s offertes par le serveur DHCP il y a les pages man dhcpd conf Voil un exemple de fichier dhcpd conf dhcpd conf Herve J Lombaert 01 05 2001 default lease time 600 max lease time 7200 option subnet mask 255 255 255 0 option broadcast address 192 168 1 255 option domain name M ch19231 rez option domain name servers 192 168 1 1 option routers 192 168 1 21 subnet 192 168 1 0 netmask 255 255 255 0 range 192 168 1 11 192 168 1 20 subnet 132 204 210 0 netmask 255 255 254 0 Notre r seau nomm ch19231 rez il s agit dans mon cas de la chambre 19231 d une r sidence universitaire poss de l adresse 192 168 1 0 Notre ordinateur principal nomm headquarters poss de l adresse IP 192 168 1 1 Il est possible de monter 10 ordinateurs sur notre r seau les adresses IP disponibles vont de 192 168 1 11 192 168 1 20 Le masque tant de 255 255 255 0 pour ne tenir compte que du dernier triplet de l adresse IP Apr s la configuration du serveur il faudra l activer Il est possible de l activer manuellement l aide de l appel au serveur dhcpd L option d
331. par application octet stream pour viter que les clients essaient de visualiser du binaire ce qui va leur donner comme r sultat des kfdPmm au lieu d afficher une video par exemple Le client doit pouvoir prendre en compte alors le fichier grace a un plugin et il doit avoir ses types mimes 96 Configurer les composants d un r se L a Configuration d apache httpc configur s pour lancer l application associ e HostNameLookups off Indique si le serveur enregistre le nom sur on du client ou l adresse IP sur off ErrorLog var log error_log Chemin complet du fichier o les erreurs apaches seront enregistr es LogLevel warn Niveau d enregistrement des erreurs avec comme valeurs possibles Enregistre seulement les erreurs qui rendent le serveur emerg FR inutilisable emerg erreurs n cessitant une intervention ermerg Alert Crit error erreurs non bloquantes pages mal cod es scripts comportant des erreurs non ermerg Alert Crit error Warn toutes les informations g n r es Enregistre TOUT ce qui peut se passer sur le serveur un client demande une page on enregistre La plupart du temps le niveau warn suffit info et debug fournissent trop d informations ServerSignature on Si on ajoute la signature version OS du serveur lorsqu il g n re des pages lui m me index manquant erreur de script etc off ne nontre que l erreur et sur Email ajoute un lie
332. pas mieux ni plus simple avec Linux qu avec Win Pour ce qui est du plus simple c est tr s discutable Par contre il existe un programme LinNeighborhood qui fait tout et m me plus que l explorateur de Win pour ce qui est des connexions via smb R cup ration et installation du paquetage LinNeighborhood La version que j utilise est la 0 4 4 On peut la trouver sur le site de Hans Schmid R cup rez la version que vous voulez Je vais d crire la proc dure d installation depuis les sources On r cup re le paquetage LinNeighborhood 0 4 4 src tar gz Puis on le d conpresse et l installe par tar xzf LinNeighborhood 0 4 4 src tar gz cd LinNeighborhood 0 4 4 srce sre make cp LinNeighborhood quelque part dans le path Et voila c est tout ce n est pas la mer boire et la version que vous avez maintenant sur votre machine est compil sp cialement pour elle a lui fait une belle jambe Evidemment vous pouvez pr f rer installer une version pr compil e en ce cas reportez vous l installation d un paquetage pour votre distribution Configuration de LinNeighborhood La configuration de LinNeighborhood en elle meme reste triviale mais pour une utilisation confortable il faut lui apporter quelques petits raffinements Pour commencer lancez LinNeighborhood par la commande LinNeighborhood La configuration se fait en utilisant le bouton lt Prefs gt Le plus simple est de pr ciser WORKGROUP dans la zone Sca
333. path mode chown own path Change le propri taire du fichier path par own help Affiche ce message d aide get remote path local path T l charge le fichier lls ls options path Affiche le listing du r pertoire local ln oldpath newpath Cr e un lien symbolique du fichier distant Imkdir path Cr e un r pertoire local lpwd Affiche le r pertoire courant ls path Affiche le listing du r pertoire distant lumask umask Positionne l umask local a umask 76 Configurer les composants d un r se L a mkdir path put local path remote path pwd exit quit rename oldpath newpath rmdir path rm path symlink oldpath newpath version command Cr e le r pertoire distant Charge le fichier Affiche le r pertoire courant distant Quitte sftp Quitte sftp Renomme le fichier distant Supprime le r pertoire distant Supprime le fichier distant Cr e un lien symbolique du fichier distant Affiche la version de sftp Ex cute la commande dans un shell local Sort vers un shell local Le tunnel et le Xforwarc Affiche ce message d aide sftp jop scipc jpg Connecting to scipc jpg Ssftp gt lpwd Local working directory home jop Ssftp gt lcd download Ssftp gt lpwd Local working directory home jop download Ssftp gt put iptables Uploading iptables to home jop iptables Ssftp gt quit Le tunnel et le Xforwarding Tout au long de cet article vous avez pu d couvrir des applications c
334. permettra d afficher l cran ce qu il se passe au niveau de ce serveur bash dhcpd d ethl Lancez un ordinateur sur votre r seau local et vous vous remarquerez que le serveur DHCP affecte une adresse IP l ordinateur du r seau Lors du d marrage du syst me le serveur est lanc par etc init d dhcp Lorsqu on d marre le serveur un message explique qu il faut modifier le fichier de lancement etc init d dhcp la ligne 11 afin de mettre l option run_dhcpd 1 Par la m me occasion il faudra sp cifier sur quelle interface le serveur DHCP doit couter Dans les modes start et restart l interface eth1 sera donc sp cifi ligne 10 Set run_dhcpd to 1 to start dhcpd at boot or 0 to disable it ligne 11 run_dhcpd 1 ligne 35 exec usr sbin dhcpd ethl ligne 44 exec usr sbin dhcpd eth1 pr sent lorsque le script etc init d dhcp est red marr l aide du param tre start le serveur DHCP se met en route Serveur DNS Voici peut tre la parti la plus ardue il faut manipuler diff rents fichiers de configuration passer au travers de la compr hension de diff rentes notions de bases sur les serveurs de nom de domaine DNS Il est possible de passer au travers de cette tape en entrant tous les ordinateurs pr sents sur le r seau local dans le fichiers etc hosts mais il est souhaitable de mettre en route un serveur DNS pour que chacun des ordinateurs sur le r seau puisse communiquer entres eux l aide de noms
335. port PS1l h w s umask 022 You may uncomment the following lines if you want ls to be colorized export LS_OPTIONS color auto eval dircolors alias 1s ls SLS_OPTIONS alias 11l ls LS OPTIONS 1 alias 1 ls LS_OPTIONS Some more alias to avoid making mistakes alias rm rm i alias cp cp i alias mv mv i vous ensuite de rajouter les alias que vous souhaitez L alias clean rm f pourra par exemple tre utile pour supprimer les fichiers de sauvegarde Le mat riel L ordinateur en tant que tel n a pas besoin d tre du dernier cri personnellement j utilise un Pentium 166 mais un 486 ou m me un 386 pourrait tr s bien faire l affaire Et pour ceux qui douteraient des capacit s d un 386 l ordinateur ne fait que rediriger des paquets d information vers vos ordinateurs locaux ce n est tout de m me pas la r solution de syst mes d quations diff rentielles quinze inconnues qui lui est demand Mis part l ordinateur vous vous doutez bien qu il faut deux cartes r seau ou une carte r seau et un modem dans le cas d un partage de connexion internet par modem Les explications suivantes se baseront sur mon mat riel vous aurez donc v rifier les drivers ou modules respectifs utiliser dans votre cas 1 carte r seau La premi re carte une 3Com 3C905B sera utilis e pour recevoir la connexion internet Elle est branch e soit un r seau d entreprise d universit ou
336. pour pouvoir tre utilis Voici la liste des modems support s par ce driver modems bas s sur le chipset Globespan Un article sur L a explique maintenant comment installer ce modem Modem ADSL Bewan PCI St Voir l article correspondant sur L a Configurer les composants d un r seau 51 Firewall L eo Firewall par Serge l g rement modifi par Jic Prot gez vous derri re un mur de feu Ce document a t inspir du_Firewall HOWTO de l IPCHAINS HOWTO et du IP Masquerade HOWTO C est la synth se de ces trois documents pour permettre la mise en place des techniques de Firewalling Je vous conseille quand m me de lire ces HOWTO pour plus de compr hension Je suppose que vous savez configurer un r seau IP au cas o jeter un coup d oeil sur la rubrique r seau local Il se peut que des erreurs se soient gliss es dans cette pr sentation de plus je ne pourrai tre tenu responsable d une mauvaise configuration de votre syst me La s curit est un sujet vaste toujours en volution et je ne pr tends pas vous fournir ici une solution exempte de tout danger Ce document est prendre comme une pr sentation de ces techniques ATTENTION rubrique non finie le filtrage plus fin et les techniques de proxy ne sont pas encore d crits Explications Bon qu est un Firewall Si on traduit cela nous donne pare feu vous allez me dire ha bon mon micro me prot ge du feu bien s r que non un Firewall ser
337. prendre en compte le module PHP 5 2 Premier script PHP ll importe maintenant de r aliser le premier test Cr ez un sous r pertoire var www html test puis cr ez dans ce sous r pertoire un fichier test php contenant lt html gt lt echo premier test php lt br gt lt br gt phpinfo gt lt html gt Sauvegardez et chargez dans un navigateur URL http localhost test test php Voila votre premi re page web dynamique Vous avez en quelques lignes cr du code html les balises lt html gt et lt html gt faite g n rer du htm par PHP echo premier test php lt br gt lt br gt les lt br gt sont des retours chariots et fait appel l une des nombreuses fonctions de PHP phpinfo qui donne les principales informations sur le configuration actuelle de PHP 90 Configurer les composants d un r se KL a 6 Installation de MyS Vous pourrez r aliser d autres tests l aide n cessaire est a votre disposition dans les bouquins les revues et sur le net Lorsque vous aurez constitu un petit groupe de fichiers de test vous pourrez alors faire l exp rience suivante e tapez simplement http localhost test dans la barre d URL de votre navigateur celui ci affiche la liste des fichiers cr s en fait le contenu du sous r pertoire var www html test Si vous cliquez sur l un des fichiers vous lancez le serveur Apache qui va interpr ter le code PHP contenu dans le fichier choisi e copiez l un d
338. produite vous risquez de rendre inacessible le serveur apache pour trop de temps toujours d sagr able d attendre 30s pour rien KeepAlive on Autorise ou pas les connexions persistantes plusieurs requ tes par connexion En fait cela permet aux utilisateurs de votre serveur de lancer plusieurs requ tes la fois Cela permet d acc l rer les r ponses du serveur Laissez cette valeur par d faut la plupart du temps Mais dans un environement tr s sollicit serveur Web tr s fr quent cela peut rendre le serveur indisponible pour d autres utilisateurs ou faire monter le syst me en ressource En gros pour de petits serveurs laissez cette option sur on Pour un serveur tr s sollicit dont le syst me ralenti norm ment ou devient indisponible asez souvent essayez avec la valeur off Mais avant essayez de baisser la valeur de l option suivante MaxKeepAliveRequests 100 En combinaison avec l option pr c dente indique le nombre de requ tes pour une connexion Laissez cette valeur assez haute pour de tr s bonnes performances Si vous mettez 0 comme valeur vous autorisez en fait un nombre illimit attention donc Laissez la valeur par d faut l aussi KeppAliveTimeout 15 Valeur en seconde d attente pour la requette suivante d un m me client sur une m me connexion avant de renvoyer un timeout L aussi laissez la valeur par d faut MinSpareServers 5 MaxSpareServer 10 Ces valeurs servent l autor gulation de
339. que celle ci puisse partager ces ressources avec d autres machines dans un r seau h t rog ne Mais laisser cette t che Win vous d plait ne le faites pas Une nouvelle fois les logiciels libres viennent votre secours ils sont plus souples et gratuits Les informations contenues dans cette page ne sont aucunement garanties J appr cierai grandement toutes les critiques constructives en particulier celles li es mon orthographe d plorable ma syntaxe difficile suivre et aux erreurs qui se sont certainement gliss es subrepticement au sein de ce texte Si vous voyez quelque chose ajouter je vous serais reconnaissant de bien vouloir me mailer les modifications que vous voulez apporter ce document Ce document concerne l installation d un serveur SAMBA au sein d un r seau TCP IP h t rog ne des machines Linux UN X et Win Il d crit uniquement les param trages l mentaires Pour ce qui est de la s curit allez sur les newsgroup Nous supposerons ici que vous n tes pas reli s l internet Pour installer un serveur SAMBA sous Linux vous aurez besoin de e Des ordinateurs reli entre eux au sein d un r seau TCP IP fonctionnel ce document ne d crit pas cela allez voir linuxenrezo je supposerai que toutes les machines sont sur le m me r seau bien que je ne sache faute de l avoir exp riment si cela a une importance c est le cas chez moi e Une distribution contenant les packages SAMBA
340. quels sont les ports ouverts et donc potentiellement vuln rables grace aux options ss et le syst me d exploitation de la machine test e gr ce l option 0 nmapfe est quant lui une interface graphique front end nmap lsof La commande Isof list opened files permet de lister les fichiers ouverts par les processus tournant sur le syst me On peut aussi l utiliser pour ce qui nous concerne et ce de diff rentes mani res La encore le traitement ne sera pas exhaustif Voir les fichiers utilis s par un processus r seau root pingu lsof grep proftpd COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME proftpd 2136 root cwd DIR 22 2 4096 2 proftpd 2136 root rtd DIR 22 2 4096 2 proftpd 2136 root txt REG 22 2 236456 244504 usr local sbin proftpd proftpd 2136 root mem REG 22 2 89547 1661383 lib 1d 2 2 5 so proftpd 2136 root mem REG 22 2 23575 1661394 lib libcrypt 2 2 5 so proftpd 2136 root mem REG 22 2 35340 1661460 lib libpam so 0 75 proftpd 2136 root mem REG 22 2 12102 1661396 lib libdl 2 2 5 so proftpd 2136 root mem REG 22 2 45415 1661416 lib libnss_files 2 2 5 so proftpd 2136 root mem REG 22 2 46117 1661424 lib libnss_nisplus 2 2 5 s0o proftpd 2136 root mem REG 22 2 89424 1661400 lib libns1 2 2 5 so proftpd 2136 root mem REG 22 2 16051 1661413 lib libnss_ dns 2 2 5 so proftpd 2136 root mem REG 22 2 68925 1661428 lib libresolv 2 2 5 so proftpd 2136 root mem REG 22 21401027 651528 lib i686 libc 2 2 5 so0 proftp
341. r interdire un service Dans la plupart des distributions les services install s et g r s par xinetd sont d sactiv s d office pour des raisons de s curit D autre part vous pouvez pour un temps choisir de d sactiver compl tement un service Tout ceci est li l utilisation de l attribut disable Syntaxe disable yes no Exemple Je veux d sactiver telnet service telnet disable yes Xinetd pour limiter les attaques de type Deny of Service e Contr le de la charge CPU rlimit_cpu seconds Cet attribut vous permet de limiter le temps CPU utilis par un ou plusieurs services Un des effets induits par une attaque de type Deny Of Service e Priorit accord e au processus serveur nice level Fonctionnant comme avec la commande nice l attribut permet de fixer une priorit d ordonnancement pour le serveur Le level peut prendre les valeurs de 20 le plus prioritaire 19 le moins prioritaire Cela vous permet par exemple de passer en process moins prioritaire un serveur ftp par rapport aux process de vos applications courantes Apr s tout c est votre machine 5 e Limite du nombre de connexions par service instances value L attribut d termine le nombre d instances simultan es du serveur qui seront autoris es Pr ciser un nombre Sans pr cision le nombre d instances pourra tre illimit e Limite du nombre de connexions ayant la m me origine per_source value Non seulement vous pouvez fi
342. r root server usr sbin nmbd only_from 192 168 0 0 disable no Hormis les param tres g n riques de configuration de smbd et nmbd on a configur samba de mani re ce qu il ne soit utilisable que sur le r seau interne 192 168 0 0 Le mot de la fin Je n ai pas explor ici l int gralit des possibilit s de xinetd La meilleur des choses faire pour cela est de se reporter au man Si vous disposez encore une distribution utilisant inetd et au vu de toutes les fonctionnalit s de xinetd il semble opportun d abandonner le premier pour le deuxi me Bien exploit il devient v ritablement un outil de s curisation de votre syst me d s lors que vous mettez en place un certains nombres de serveurs qui ouvrant votre machine sur l ext rieur ouvre galement la voie aux vilains hackers N h sitez pas me faire parvenir vos remarques et ajouts divers sur le contenu de cet article 88 Configurer les composants d un r se Al Installation Apache PHP M Installation Apache PHP MySQL Jean Marc LICHTLE Mise a jour par Anne Installation d un serveur Apache PHP MySQL en environnement Mandrake 1 Objectif de ce document L objet de ce document est de guider les premiers pas d un utilisateur d butant dans l utilisation de la trilogie Apache PHP MySQL On suppose que les bases de LINUX sont connues en particulier que l utilisateur est familiaris avec l arborescence des fichiers la manipulation d un logici
343. r etc services de fa on que celui ci contienne la ligne swat 901 tcp Maintenant que SWAT est correctement configur il faut red marrer le super daemon inetd pour recencer ses services Note SWAT est correctement configur parce que l installation via paquetage RPM copie un fichier etc smb conf de base Si a ne marche pas c est que celui ci est corrompu r installez le paquetage Pour r demarrer inetd avec la Mandrake il faut taper root etoile noire home etc rc d init d inet restart Utilisation de SWAT avec xinetd Tout comme mentionn plus haut il est fr quent que votre distribution fournisse plut t xinet a Il vous faudra donc modifier etc xinetd d swat pour activer le service 2 tapes a suivre 1 modification de etc xinetd d swat root pingu cat etc xinetd d swat 112 Configurer les composants d un r se L a G rer la configuration de SAMBA ave service swat port 901 socket_type stream wait no only_from 127 0 0 1 user root server usr sbin swat log_on_failure USERID disable yes 2 Red marrer xinetd root pingu etc rc d init d xinetd restart ou root pingu service xinetd restart G n rer et modifier smb conf avec SWAT Maintenant on peut utiliser SWAT Pour cela lancer un navigateur Net scape fonctionne mais Lynx aussi ainsi que w3m et dans la zone adresse tapez si vous utilisez Lynx enlevez le lt root gt car lynx ne le reconnait pas http
344. r pertoires ou apache a acc s Voir plus bas les explications de chaque option pass e lt Directory var lib apache htdocs gt Options Indexes FollowSymlinks Multiviews AllowOverride None Order allow deny allow from all lt Directory gt Bon l ce qu on a fait c est qu on d finit cette fois les r gles pour le r pertoire var 1ib apache htdocs pour notre exemple c est le repertoire racine des pages Web on autorise le serveur apache a suivre les liens symboliques FollowSymlinks on emp che quiconque de changer ces r gles AllowOverride None puis on d finit dans quel ordre appliquer les r gles d autorisation refus de connexion order allow deny et on autorise les connexions venant de n importe quel h te Allow from all Bon d taillons un peu comment a marche On commence toujours par lt Directory xx gt Pour d finir sur quel r pertoire xx on applique ces r gles Options on d finit les options pour ce r pertoire qui sont pour les plus importantes D sactive toutes les options Al Active toutes les options SAUF Multiviews Permet aux utilisateurs d avoir des indexes g n r s par le serveur C est dire si l index du r pertoire index htm le souvent est manquant cela autorise le serveur a lister le contenu du r pertoire dangereux suivant les fichiers contenus dans ce r pertoire FollowSymLinks Autorise a suivre les liens symboliques ExecCGl Autorise a ex cuter des scripts CGI a p
345. r seaux 192 168 0 0 local et 213 30 139 0 public il faut alors diter le fichier etc tcp smtp et y mettre 127 allow RELAYCLIENT 192 168 0 allow RELAYCLIENT 213 30 139 allow RELAYCLIENT l adresse 127 doit absolument y tre autrement le serveur ne peut pas fonctionner Construisez alors la base de donn es de ces adresses tcprules etc tcp smtp cdb etc tcp smtp tmp lt etc tcp smtp Installation d autoresponder Ce programme permet de r pondre automatiquement aux mails re us pour signaler une absence par exemple Pour l installer c est tr s simple tar zxvf autorespond 2 0 2 tar gz cd autorespond 2 0 2 make make install Installation de Qmailadmin ll nous reste plus qu installer l interface cgi Web de la gestion des comptes mails Pour cela tar zxvf qmailadmin 1 0 2 cd qmailadmin 1 0 2 configure enable htmldir var www Configurer les composants d un r seau 157 Utilisation question courantes etc L a make make install Attention Remplacez enable htmldir var www par le chemin de votre racine web Je suppose que vous savez configurer apache pour que le r pertoire de cgi soit valide et fonctionnel Utilisation question courantes etc Je vous donne ici bri vement les commande pour cr er un nouveau domaine mails les comptes etc Je suppose bien s r que vous savez g rez vos DNS pour que le champ MX du domaine pointe vers le serveur de mails Ajouter u
346. r donne un bout d adresse en commun Puis comme on classe les maisons par rues et num ros on classe les r seaux par adresse de r seau le bout d adresse en commun et adresse de carte adresse compl te comprenant l adresse de r seau ainsi qu une partie sp cifique la carte Comment cela s exprime t il Par une adresse qui comporte une partie r seau et une partie h te la partie sp cifique la carte tout cela sur 4 octets si vous savez pas ce qu est un octet ce n est pas grave dites vous que c est un nombre compris entre 0 et 255 On repr sente alors l adresse compl te comme ceci W X Y Z o chaque lettre peut prendre une valeur entre 0 et 255 donc Bon d accord j ai une adresse mais comment je reconnais le r seau et l h te Et bien on a coup en classe de r seau toutes les adresses possibles suivant les valeurs de W Je vous donne ce d coupage puis je l explique Classe A adresse comprise entre 1 0 0 0 126 255 255 255 Classe B adresse comprise entre 128 0 0 0 191 255 255 255 Classe C adresse comprise entre 192 0 0 0 223 255 255 255 ll existe la classe D aussi mais qui n est pas utilisable elle sert en fait au protocole lui m me dans son fonctionnement pour atteindre plusieurs machines la fois on appelle a le multicast on ne va pas d tailler a ici Si vous avez bien suivi vous avez pu constater que les adresses 0 x x x utilis es pour l adresse de route par d faut c est a dire le c
347. r les composants d un r seau 125 Configuration L a Contexte de configuration lt Limit gt appliqu notre cas Maintenant on va indiquer un_contexte de configuration Limit qui va s appliquer au_ contexte de configuration server config partie g n rale du serveur plus concr tement c est dire tous ceux qui vont se connecter et qui ne seront pas concern s par un virtualhost En fait ce contexte de configuration est utile tr s important pour tous ceux qui souhaitent partager des donn es sur des partitions FAT32 par exemple tout en limitant les possibilit s criture cr ation de repertoires Pour cela j ai utilis le contexte de configuration Limit avec les directives suivantes lt Limit MKD RNFR RNTO DELE RMD STOR CHMOD SITE_CHMOD SITE XCUP WRITE XRMD XPWD gt DenyAll lt Limit gt Bon moi j en ai mis beaucoup pour l exemple je vais juste en expliquer certaines e MKD cr ation de r pertoire RNFR rename from emp che de pouvoir renommer RNTO rename to c est la suite de RNFR en fait donc si RNFR est interdit ce n est pas util de le mettre mais bon DELE suppression de fichiers STOR criture de fichiers depuis un client vers notre serveur proftpd CHMOD changement de permission sur les fichiers et r pertoires RMD suppression de r pertoire ll est aussi possible d utiliser des mots clefs comme READ et WRITE qui englobent plusieurs commandes et vont limiter l acc s en le
348. r pare feu pas p Mur pare feu pas pas par Fred Ce document explique comment constuire un mur pare feu pas pas sans th orie sans blabla Introduction I n est pas question d expliquer ici le fonctionnement d iptables il existe pour cela de tr s bons articles dont celui de L a Le mur pare feu que je vous propose de construire sera adapt vos besoins Il ne comportera aucun gadget aucune optimisation du r seau Ce sera un mur pare feu rien qu un mur pare feu On commence Vous devrez mettre dans le fichier usr bin start firewall tout ce qui va suivre Comme tout script le script de notre mur pare feu doit commencer par l bin sh Mais pour tre facilement modifiable nous allons d finir en plus quelques variables suite du script mettez ici l emplacement d iptables IPTABLES sbin iptables mettez ici le nom de l interface r seau vers internet EXTERNAL_IF pppo mettez ici le nom de l interface r seau vers votre lan INTERNAL_IF eth0 Ensuite il nous faut charger les modules dont nous aurons besoin suite du script si vous voulez pouvoir autoriser les connexions ftp modprobe ip_conntrack_ftp si vous voulez pouvoir autoriser le DCC sous IRC modprobe ip_conntrack_irc Suivant votre configuration il peut tre n cessaire de charger un autre module pour en avoir la liste Is lib modules uname r kernel net ipv4 netfilter Politique par d faut Un mur pa
349. ram tre DNS doit tre 192 168 1 1 Carte Orange adresse IP statique 192 168 0 1 diff rente de la verte Les serveurs et machines en zone orange doivent utiliser une adresse IP fixe comprise entre 192 168 0 2 et 192 168 0 254 Carte rouge r gler sur DHCP si l adresse IP et l adresse DNS sont fournies par votre fournisseur d acc s e Mot de passe 3 utilisateurs root setup admin Nota L utilisateur root a le control total du firewall L utilisateur setup peut r aliser la mise a jour du firewall ou toute configuration post installation L utilisateur admin peut changer les param tres du firewall effectuer le contr le journalier du firewall et des fichiers de log changer le mot de passe de l utilisateur dial d marrer ou arr ter un service L utilisateur dial a l autorisation de lancer une connexion a Internet mais est configur ainsi que son mot de passe par l interface web de management du firewall Une fois l installation termin e il faut red marrer le firewall apr s avoir retir cdrom et disquette d installation Administration Votre firewall est alors autonome et peut tre administr distance par une interface web partir d un poste reli au r seau vert en vous connectant comme utilisateur admin https 192 168 1 1 445 acc s s curis http 192 168 1 1 81 non s curis ll est alors n cessaire de t l charger les patchs disponibles et cela peut se faire partir de l interface
350. re mv pear 1 1 pear chown root root R pear Cette proc dure sera alors a effectuer a chaque mise a jour de php Configurer MySQL Tester si MySQL est lanc service mysql restart Choisissez un mot de passe pour la base Horde vi mysql_create sql D finir le mot de passe pour l acc s la base de donn es horde Cr er la base Horde cd var www html mail horde scripts db mysql user root password lt mysql_create sql Le mot de passe demand est celui d acc s root MySQL Red marrer MySQL service mysql restart Tester si vous pouvez vous connecter la base mysql h localhost D horde u horde p Un mot de passe vous est demand rentrer celui choisi ci dessus Quitter mysql avec la commande exit Modifier les fichiers de config Horde cd var www html mail horde config Renommer tous les fichiers for fichier in dist do cp v fichier basename fichier dist done Modifier le fichier var www html mail horde config horde php utiliser la compression Mandrake PHP supporte zlib conf compress_pages true utiliser IMAP pour authentifier les utilisateurs conf auth driver imap conf auth params dsn localhost 143 imap INBOX utiliser MySQL pour stocker les donn es de Horde confl prefs l driver sql conf prefs params phptype mysql conf prefs params hostspec localhost conf prefs params u
351. re feu correctement configur se doit de rejeter tout ce qui n a pas t explicitement autoris C est le r le de la politique par d faut default policy Pour fixer celle ci nous utilisons les 3 r gles suivantes suite du script IPTABLES P INPUT DROP IPTABLES P OUTPUT DROP IPTABLES P FORWARD DROP La derni re r gle peut tre omise si vous souhaitez tout transmettre aux depuis les machines de votre r seau local Les r gles locales Pour ne pas tre ennuy il faut tout autoriser pour ce qui est du traffic r seau local sur 10 et S INTERNAL_IF aka eth0 suite du script On accepte le traffic sur lo IPTABLES A INPUT i lo j ACCEPT IPTABLES A OUTPUT o lo j ACCEPT IPTABLES A FORWARD i lo j ACCEPT IPTABLES A FORWARD o lo j ACCEPT On accepte le traffic sur le r seau local IPTABLES A INPUT i INTERNAL_IF j ACCEPT IPTABLES A OUTPUT o INTERNAL_IF j ACCEPT IPTABLES A FORWARD i INTERNAL_IF j ACCEPT IPTABLES A FORWARD o INTERNAL_IF j ACCEPT Configurer les composants d un r seau 173 Suivre son mur pare feu AL s Suivre son mur pare feu Ceci n est pas vraiment obligatoire Si vous ne regardez pas r guli rement les logs de votre mur pare feu celui ci a toutes les chances de devenir inefficace Nous allons donc logguer une partie des connexions que nous refuserons suite du script On loggue les packets DROP s IPTABLES A LOG_DROP
352. re reconna tre aupr s du syst me Nous supprimerons tout echo local doublant l envoi de caract res un pour le syst me distant 70 ce 63 65 Ge 74 61 75 20 72 20 6c 6f 67 69 Ge 3a xIcentau r logint et un pour voir ce que nous crivons Il en r sulte une suite d change avec notre interlocuteur 0000 00 00 00 00 00 00 00 00 00 00 00 00 08 00 45 10 4 44 0010 00 35 ca b7 40 00 40 06 71 F9 7F 00 00 01 7F 00 5E B qu 0020 00 01 86 10 00 17 2c la b3 4f 2c fc 06 c2 80 18 O 4 0030 7f ff e7 e2 00 00 01 01 08 Oa 00 23 86 db 00 23 0 0040 86 63 ba cj 0000 OO 00 00 00 00 00 00 00 00 00 00 00 08 00 45 10 soso s0 E 0010 00 35 ca b9 40 00 40 06 71 f7 7F 00 00 O1 7F 00 5E B B gq 0020 00 01 86 10 00 17 2c da b3 50 2c fc 06 c3 80 18 P A4 0030 7f FF e2 65 00 00 01 01 08 Oa 00 23 86 de 00 23 e P 0040 86 d 6F 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 08 00 45 10 44 E 0010 00 35 ca bb 40 00 40 06 71 F5 7F 00 00 O1 7F 00 5 0 0 q 0020 00 01 86 10 00 17 2c la b3 51 2c fc 06 c4 80 18 O U A 0030 7f FF el 55 00 00 01 01 08 Oa 00 23 86 ed 00 23 YAU 4 0040 86 de 70 Pp Nous envoyons notre identifiant la machine distante les trames ne sont pas utilis es l conomie puisque chaque paquet contient seulement un et un seul caract re comme donn es data On retrouve ici notre identifiant jop envoy pour
353. re serveur et magie toutes les ressources que vous avez partag e aparaissent chez moi avant que le serveur aparaisse je suis parfois oblig d ouvrir et fermer la fen tre de voisinage r seau de multiple fois et quand je d connecte le serveur parfois Win continue de l afficher dans le voisinage r seau c est bien les caches mais parfois a ralentit Je suis m me parfois obliger de red marrer WINDAUBE quand je modifie le fichier etc smb conf Note Ce probl me semble du l election d un MASTER BROWSER pour le Workgroup en question en fait il suffit d attendre suffisamment longtemps genre une demi heure Si vous ne voyez pas votre machine c est que WINDAUBE est mal configur e vous devez l avoir configur e pour qu elle utilise TCP IP comme protocole r seau Il faut par exemple que le masque de r seau soit le m me que celui de votre serveur SAMBA Ce n est peut tre pas une obligation mais je n ai pas assez de PC pour faire le test Voil c est tout Lisez des fichiers essayez d crire l o vous avez le droit installez l imprimante comme d habitude en cliquant avec le bouton droit sur la ressource imprimante imprimez des fichiers depuis votre traitement de texte favoris des images depuis votre programme de dessin ch ri tout doit fonctionner Attention Les ressources d impression de SAMBA n effectue aucune traduction elle envoie directement l imprimante les donn es re ues du client Si
354. rebute qui veulent configurer fetchmail s par ment ou qui veulent ajouter des comptes pop il existe un programme de configuration graphique relativement compr hensible fet chmailconf pensez a installer le paquetage correspondant Utilisation Sendmail C est tr s simple Tant que vous n tes pas connect a Internet tous vos mails sont mis en attente sans que vous ayez rien de particulier faire A la connexion par contre vous devez envoyez tous les mails en attente en utilisant la commande usr sbin sendmail q Avant d utiliser cette commande vous pouvez v rifier qu effectivement vous avez des mails en attente par mailq Fetchmail Pour recevoir les mails des diff rents comptes pop que vous avez configur depuis le compte de root faites fetchmail v 38 Configurer les composants d un r se L a Conclusion l option v n est pas obligatoire mais elle permet de voir que tout va bien Et c est tout Conclusion videmment tout cela n est pas tr s pratique Nous allons voir dans l article suivant comment automatiser ce que nous venons d expliquer Configurer les composants d un r seau 39 Connexion a Internet multi comptes Partie 3 Automatisation partielle ip up et ip down L a Connexion Internet multi comptes Partie 3 Automatisation partielle ip up et ip down par Fred Jusqu maintenant nous avons vu comment nous connecter Internet et comment recevoir nos mail mais la connexio
355. rique module et kernel Configurer les composants d un r seau 1 Le HARDWARE carte r seau amp L a e Carte ISA PnP apr s avoir mis la prise en charge du PnP dans votre machine rubrique PnP il suffit de mettre dans etc isapnp conf les ressources de votre carte r seau attention a ne pas craser les ressources d une autre carte en faisant un pnpdump gt etc isapnp conf D commentez alors dans ce fichier les ressources voir la rubrique PnP Le reste de la configuration est identique celle des cartes PCI faites un test en chargeant le module ad hoc c est dire modprobe ne e Carte ISA non PnP a e Serge exag re le plus dur Soit vous avez de la chance et il suffit de configurer votre carte via des cavaliers jumpers et puis de tester en chargeant le module en indiquant les ressources en option du module rubrique module Soit vous avez pas de chance il faut passer sous DOS par exemple avec une disquette de boot FreeDOS utiliser le programme de configuration fourni avec la carte affecter les ressources de la carte une seule fois heureusement quand vous avez fait attention a ne pas entrer en conflit avec d autres cartes et lors du chargement du module passez l aussi les options genre append macarte iobase irg etc a ne marche pas Bon pas de panique V rifiez que les ressources de votre carte n crase pas celle d une autre typique si lors du chargement du module vous obtenez device
356. rite gt Cela permet de remplacer d anciens fichiers par les nouveaux option inutile si vous interdisez l criture J indique diff rentes possibilit s pour l option mais c est vous d tre coh rent De toutes fa ons si vous interdisez l criture cette option ne prendra pas le dessus vous ne pourrez pas craser les fichiers MaxClients gt C est pour dire le nombre de clients diff rents qui peuvent se connecter en m me temps sur le serveur si vous avez une connexion ADSL pas la peine de mettre 50 MaxClientsPerHost gt Option que je trouve tr s utile elle limite le nombre de clients pour la m me personne si vous utilisez l option MaxClients il faut forc ment que MaxClientsPerHost soit strictement inf rieur ou lt MaxClients sinon cela ne sert rien UseFtpUsers gt C est dire que l on utilise ou non le fichier etc ftpusers pour savoir qui a le droit d utiliser le service FTP Par d faut proftpd utilise le fichier donc l option n est pas utile si on la met on mais moi j ai pr f r la mettre c est un choix AllowForeignAdress gt Alors cette option sert autoriser ou non le fait que quelqu un envoie ou t l charge des fichiers sur notre serveur FTP depuis un autre ordinateur que le sien Pour faire simple on va dire que la personne A veut transf rer des fichiers entre le serveur B et notre serveur C car n a pas de serveur mais il a acc s B Sans cette option mise on cela n est pas poss
357. rne l autre mettra a disposition d autres fichiers sur un serveur ftp r serv aux connexions externes Apr s tout je ne partage pas tout Ma machine pingu ma passerelle a 2 interfaces r seau avec les adresses IP respectives 192 168 0 3 et 217 11 12 13 Je vais donc effectuer les attributions gr ce au fichier suivant root pingu cat etc xinetd d proftpd service proftpd id ftp_ public server opt proftpd proftpd bind 217 11 12 13 service proftpd id ftp_ priv 86 Configurer les composants d un r se L a Autres fonctionnalit s de xi server opt proftpd proftpd bind 192 168 0 3 L attribut id sert uniquement diff rencier les 2 configurations du service Tout ceci bien s r doit s accompagner d une configuration de votre serveur ftp xinetd parle vos visiteurs Pour finir xinetd vous permet galement d afficher des messages lors de la connexion un service gr ce aux attributs suivants e banner fichier affiche le contenu de fichier si l acc s est autoris et avant m me authentification banner_succes fichier affiche le contenu de fichier en cas de r ussite de l authentification banner fail fichier affiche le contenu de fichier en cas d chec de l authentification Exemples de configuration Ci dessous quelques exemples de fichiers de configuration de services issus entre autres du man de xinetd conf Exemple 1 Le 1er exemple est un fichier de configuration du
358. roblems encrypt passwords yes It s always a good idea to use a WINS server If you want this server to be the WINS server for your network change the following parameter to yes Otherwise leave it as no and specify your WINS server below note only one Samba server can be the WINS server Read BROWSING txt for more details wins support no If this server is not the WINS server then specify who is it and uncomment next line wins server 172 16 0 10 Please read BROWSING txt and set the next four parameters according to your network setup There is no valid default so they are commented out os level 0 domain master no local master no preferred master no What naming service and in what order should we use to resolve host names to IP addresses name resolve order lmhosts host wins bcast This will prevent nmbd to search for NetBIOS names through DNS dns proxy no Name mangling options preserve case yes short preserve case yes This boolean parameter controlls whether Samba attempts to sync the Unix password with the SMB password when the encrypted SMB password in the Configurer les composants d un r seau 13 Configurations principales L z etc samba smbpasswd file is changed unix password sync false For Unix password sync to work on a Debian GNU Linux system the following parameters must be set thanks to Augustin Luton lt al
359. root mnemo icon gt this gt applications horde webroot mnemo graphics mnemo gif name gt _ Memos allow_guests gt false status gt active Configurer l ic ne Mnemo dans IMP Modifier le fichier var www html mail horde imp config conf php conf menu apps array turba passwd kronolith mnemo cd var www html mail horde mnemo config Renommer tous les fichiers for fichier in dist do cp v fichier basename fichier dist done Configurer l ic ne IMP dans Mnemo et les param tres d acc s la base MySQL Modifier le fichier var www html mail horde mnemo config conf php utiliser MySQL pour stocker les donn es de Mnemo conf storage driver sql conf storage params phptype mysql conf storage params hostspec localhost conf storage params username horde conf storage params password mon_mot_de_passe conf storage params database horde conf storage params table mnemo_memos conf menu apps array imp Kronolith Mnemo et N Remarque mon_mot_de_passe est remplacer par le mot de passe de la base horde mysql choisi au paragraphe Configurer mysql Installer Nag Cr er la base dans MySQL que Nag utilisera cd var www html mail horde nag scripts drivers mysql user root password D horde lt nag_task
360. routeur n est travers l adresse de destination est donc atteinte directement root pingu traceroute lea linux org traceroute to lea linux org 80 67 179 10 30 hops max 38 byte packets 1 loopback1l 1ns103 tip telehouse nerim net 62 4 16 253 152 218 ms 51 991 ms 48 179 ms hsrpl telehouse nerim net 62 4 16 9 77 410 ms 48 695 ms 66 830 ms feth0 0 julo nerim net 62 4 16 37 135 323 ms 55 336 ms 47 656 ms placenet freeix net 213 228 3 223 48 269 ms 144 190 ms 54 287 ms charon placenet org 80 67 178 242 115 933 ms 58 049 ms 55 553 ms web t2 tuxfamily net 80 67 179 10 1079 365 ms 949 915 ms 578 333 ms a O1 FWD On a ici une adresse situ e l ext rieur tous les routeurs travers s sont indiqu s et num rot s L o traceroute devient un outil de diagnostic Exemple root pingu traceroute 192 168 0 5 traceroute to 192 168 0 5 192 168 0 5 30 hops max 38 byte packets 1 192 168 0 3 192 168 0 3 2999 119 ms IH 2994 720 ms IH 2999 823 ms IH Configurer les composants d un r seau 23 Les principaux outils de diagnostic r seau L a Cette fois ci la commande nous donne des informations diff rentes il lui est impossible de trouver la route et il affiche directement la destination avec un des codes d erreur suivant H host unreachable N network unreachable P protocol unreachable netstat On a d j vu la commande netstat dans le cadre de l affichage de la table de routage La commande permet galement d
361. rs Le contenu repose sur mon exp rience personnelle c est pourquoi seules les configurations avec le mat riel qui m tait disponible seront trait es Un langage aussi clair que possible sera utilis sans pour autant se limiter aux commandes que vous aurez a taper Il ne s agit pas de recopier des commandes l cran mais de comprendre ce que vous faites C est donc ainsi que sera abord dans un premier temps l installation de linux et en un second temps sa configuration La configuration passe par celle du mat riel puis des serveurs dhcp DNS et samba Finalement l utilisation d ipchains et de ipmasqadm seront expliqu es pour rediriger l internet Installation de Linux Choix d une distribution Plusieurs distributions sont actuellement disponibles ce jour Il faut donc choisir la distribution la plus ad quate l utilisation d un gateway ou passerelle en fran ais Le gateway id al aura comme r le principal la redirection de l internet vers les ordinateurs locaux Il ne s agit donc pas d un ordinateur de bureau La distribution choisir devra tre alors l g re autant en espace m moire qu en ressources mat rielles Une installation graphique ainsi que d autres gadgets superflus ne feraient qu alourdir inutilement l exploitation du gateway Le choix s est donc dirig vers la distribution Debian Potato Elle a t choisie pour sa l g ret sa robustesse et surtout pour la rigueur demand e par sa configuration Pr paratio
362. rs l ext rieur m me pas un modem vers le net vous utilisez l adresse que vous voulez en respectant son masque et la num rotation r seau machine Comme on a vu que les adresses sont attribu es sur le net que ce passe t il si vous utilisez une adresse d j utilis e sur le net Et bien dans un premier temps toutes les machines de votre r seau qui vont vouloir aller sur les sites internet qui poss dent la m me adresse de r seau IP que vous ne pourront pas y acc der car pour elles c est l adresse de chez vous donc elles ne vont pas chercher l adresse sur le Net Dans un second temps vous allez tre en relation avec d autres machines qui vont forc ment confondre votre r seau avec celui qui est enregistr sur internet Mais alors quelle adresse je choisis afin de ne pas entrer en conflit avec d autres machines sur Internet Et bien l organisme international a r serv des adresses qui ne seront JAMAIS utilis es tous les routeurs du monde les ignorent sur le net pour que vous puissiez les utiliser en local Elle est pas belle la vie Ces adresses sont classe A 10 0 0 0 classe B 172 16 0 0 172 31 0 0 classe C 192 168 0 0 192 168 255 0 Comme aucun site du net n a cette adresse si vous l utilisez chez vous vous ne risquez pas de ne pas pouvoir atteindre un site parce qu il poss de cette adresse vu qu il n en existe pas Donc pas de conflit entre votre r seau et le r seau des r seaux Donc si vous avez un modem ou mode
363. s Avec proftpd on a le choix dans sa strat gie J ai choisi d utiliser le fichier etc ftpusers pour d finir tous les utilisateurs qui n ont pas acc s au service FTP Tous les utilisateurs pr sent dans ce fichier ne pourront donc en aucun cas se connecter au service FTP Vous pouvez indiquer proftpd d utiliser le fichier etc ftpusers avec la directive UseFtpUsers Mais par d faut il le fait donc vous pouvez vous servir de etc ftpusers sans dire explicitement dans le fichier proftpd conf que vous souhaitez vous en servir sans utiliser la directive UseFtpUsers donc j espere que vous suivez toute fa on j y reviendrai apr s Pour ma part j ai laiss le fichier etc ftpusers comme il tait en ajoutant tous les utilisateurs qui ont un shell sur ma machine voici un exemple de fichier etc ftpusers Exemple de fichiers ftpusers root bin Configurer les composants d un r seau 123 Configuration L a daemon adm Ip sync shutdown halt mail news uucp operator games gopher postgres squid gdm htdig dhcpd nobody anonymous DuF ftp Vous remarquerez que l utilisateur anonymous est indiqu c est tout simplement que je ne souhaite pas donner un acc s anonyme si vous n avez pas utilit d un acc s anonyme je vous conseille d ajouter vous aussi anonymous dans le fichier etc ftpusers Sinon comme je l ai dit plus haut j ai choisi que tous mes utilisateurs ayant un shell ksh bash n aient pas acc s
364. s Le dernier c est blockfile c est une liste de sites l o sont les banni res bloquer Ecrire ce fichier serait ridicule puisqu on le trouve tout pr t sur internet Evidemment vous devrez voir comment il marche pour ventuellement ajouter des sites Je vous en laisse un en t l chargement cliquer ici enregistez le aussi dans etc junkbusters Voil maintenant il faut qu il se lance automatiquement chaque boot de Linux Pour cela ditez etc rc d rc local et ajoutez ces lignes echo junkbusters loadling usr sbin junkbusters etc junkbusters config Pour que a marche copiez l executable junkbusters dans usr sbin Bien c est presque fini il faut juste dire votre navigateur d utiliser le proxy Pour Netscape Ouvrez les p f rences et choisissez proxy Puis configuration manuelle du proxy Entrez localhost pour la machine et 8080 pour le port Configurer les composants d un r seau 171 Le proxy Junkbusters amp L a Si vous utilisez un autre navigateur r glez le de fa on utiliser le proxy de la m me fa on Voil c est tout pour v rifier que Junkbusters fonctionne rebootez votre machine et ouvrez Netscape sans tre connect tapez une adresse et regardez si vous voyez le message de Junkbusters tout marche c est bon les pubs seront filtr es c 2001 BRARD Emmanuel emman agat net Ce document est sous license GNU FDL 172 Configurer les composants d un r se L a Mu
365. s trangers le reste chmod R o rwx etc ppp etc ppp conf etc sendmail BASE Attention seuls les utilisateurs ayant tabli la connexion auront le droit de la coup e ce qui est somme toute assez logique Le root ayant lui comme toujours tous les droits Utilisation Chez moi j ai mis deux ic nes sur mon bureau une vers pppconnect et l autre vers pppdisconnect Comme a je peux tablir et couper la liaison a Internet de mani re tr s simple Voil bon surf Reste le probl me des spammers La suppression automatique des mails dits spam mails de publicit non sollicit s fera l objet d un prochain article 48 Configurer les composants d un r se L a Configuration d une connexion Configuration d une connexion ADSL par Serge r visions par Jice L acc s internet haut d bit sous Linux Introduction ll existe trois protocoles diff rents pour les connexions ADSL PPTP Point to Point Tunneling Protocol PPPOE PPP Over Ethernet modems ethernet et PPPOA PPP over ATM modems USB Les kits founis jusqu au d but de l ann e 2001 environ par France T l com ou autre taient bas s sur PPTP Maintenant ils sont g n ralement bas s sur PPPOE ou PPPOA Si vous avez une debian lisez plutot ce document Ce document traite principalement des modems ADSL avec interface ethernet pour les modems USB voir la fin du document Il existe aussi des modems PCI pour se connecter avec ADSL e Bewan
366. s IP et adresses mat rielles ou MAC Elle est g n r e au fur et mesure gr ce au protocole ARP et stock e en cache La commande permet de d tecter 2 types de probl mes le fonctionnement au niveau hardwarede la carte et la bonne correspondance entre une adresse IP et une carte r seau au moyen de son adresse MAC cf double attribution d une adresse IP sur un r seau spoofing Exemple Vous voulez v rifier que la seconde carte r seau appel e et h1 est op rationnelle Dans un 1er temps on va pinger la carte ce qui va permettre d alimenter la table arp root pingu ping 192 168 0 4 Une fois la table aliment e on v rifie son contenu la pr sence de l adresse IP ET de l adresse MAC root pingu arp a 192 168 0 4 at 52 54 05 F5 AD 0C ether on ethl 192 168 0 1 at 00 04 76 8E B2 90 ether on ethl En cas d erreur dans la table il est inutile de pousser plus avant le diagnostic On est face un probl me mat riel certainement le plus p nible a d tecter ping V ritable outil tout faire connaitre absolument Il permet de d tecter bon nombre de probl mes concernant votre configuration IP adressage de votre carte r seau adresse IP adresse de r seau routage configuration de la r solution de nom Exemple Mon r seau ne fonctionne pas Je vais donc tester l adresse avec la commande ping root pingu ping 192 168 0 3 PING 192 168 0 5 192 168 0 5 from 192 168 0 3 56 84 bytes of d
367. s PHP qui va vous permettre via un navigateur d administrer vos premi res bases de donn es de lire les bases de donn es systeme MySQL celles qui d finissent les droits des utilisateurs d en cr er d autres urpmi phpmyadmin Pr paration 4 HEHEHE AHHH EAE AEH EA EEE AEH AEH AE EH HH 1 phpMyAdmin HEHEH HEHEHEH HHEH H HHHH HHHH HHHH HHHH HHHH H HHHH HEH HHHH HHHH 6 3 Premier test Une fois l installation faite utilisez votre navigateur pr f r et tapez http localhost admin phpMyAdmin dans la barre d URL Vous devriez voire appara tre une page html Bienvenue a phpMyAdmin 2 5 4 Connexion Il vous reste a modifier le fichier var www html admin phpMyAdmin config inc php et le param tre cfg blowfish_secret Exemple cfg blowfish_secret ma phrase secrete Rechargez la page de votre navigateur voila vous tes pr ts l utiliser 7 Synth se Vous venez de cr er deux ensembles de donn es les r pertoires contenant les pages HTML PHP et les r pertoires contenant les bases de donn es MySQL e Les pages PHP HTML sont rang es dans var www html La page d accueil Apache est l adresse var www html index shtml rappel Le sous r pertoire var www html admin phpMyAdmin contient le script de connexion MySQL Vous pourrez cr er d autres sous r pertoires contenant vos premiers essais par exemple var www html test qui sera accessible l URL http localhost test e Les donn es MySQL s
368. s composants d un r se L a Les principaux outils de diagnostic root pingu telnet 192 168 0 3 21 Trying 192 168 0 3 telnet connect to address 192 168 0 3 Connexion refused La connexion est impossible le service n est pas disponible whois Vous avez r cup r des informations sous forme d IP ou de nom dans vos logs ou sur une sortie cran de tcpdump vous voulez savoir qui se cache derri re cette IP Exemple root pingu whois lea linux org Whois Server Version 1 3 Domain names in the com net and org domains can now be registered with many different competing registrars Go to http www internic net for detailed information Domain Name LEA LINUX ORG Registrar GANDI Whois Server whois gandi net Referral URL http www gandi net Name Server NS1 TUXFAMILY NET Name Server NS2 TUXFAMILY NET Updated Date 11 feb 2002 Last update of whois database Tue 8 Oct 2002 05 00 23 EDT The Registry database contains ONLY COM NET ORG EDU domains and Registrars autres outils d identification Ci dessous trois autres outils qui vous permettront de faire de la r solution de nom ou de la r solution inverse avec des informations compl mentaires sur l identit du serveur e nslookup utilisable en mode interactif ou non a partir d une adresse IP ou d un nom Exemple root pingu nslookup gt lea linux org Server 194 149 160 9 Address 194 149 160 9 53 Non authoritative answer Name lea li
369. s composants d un r seau 41 42 Conclusion L a bin sh kill cat var run ppp pid Conclusion Bon jusqu maintenant nous n avons pas fait grand chose pour la connexion multicomptes C est l objet de la prochaine partie Configurer les composants d un r se L a Connexion Internet multi comptes Partie 4 connexior Connexion Internet multi comptes Partie 4 connexion multi comptes par Fred Nous allons dans ce chapitre voir comment il est possible de rendre simple pour l utilisateur la gestion de plusieurs connexions plusieurs ISP internet Pr requis Introduction Pour pouvoir comprendre ce chapitre vous devez savoir comment tablir une connexion internet comment r cup rer du courrier d internet sur plusieurs comptes en m me temps et savoir quels sont les scripts qui sont lanc s lors de l tablissement de la connexion Tous ces points sont le sujet des articles pr c dents voir les parties 1 2 et 3 Avec la prolif ration actuelle des ISP notamment les gratuits nous sommes souvent tent s de nous connecter via un nouvel ISP ne serait ce que pour l essayer v rifier l tat de sa ligne sa rapidit etc En utilisant ce que nous avons vu il n est pas tr s difficile de cr er plusieurs scripts de connexion Internet Mais cette m thode oblige l administrateur modifier ou cr er plusieurs scripts en tout au moins 4 par fournisseur d acc s pour pouvoir ajouter un
370. s d crite ci dessus s applique l ensemble d un sous r pertoire En fait vous pouvez diff rencier si vous le souhaitez les acc s aux fichiers La syntaxe de htaccess s en trouve l g rement modifi e par exemple pour prot ger un fichier nomm common php lt Files common php gt AuthName Acc s limit au fichier common php par htaccess AuthUserFile etc httpd auth common users AuthType Basic require valid user lt Files gt L int r t de libeller Aut hName de fa on explicite appara t ici de fa on nette Lors des essais vous pourrez en effet savoir imm diatement quels sont les contr les d acc s qui sont en place Vous pouvez souhaiter prot ger plus sp cifiquement l acc s un fichier particulier La solution consiste cr er un fichier htaccess libell comme suit Exemple pour prot ger un fichier common php lt Files common php gt Order Deny Allow Deny from All lt Files gt Pour prot ger plusieurs fichiers il suffit de cr er plusieurs rubriques lt Files gt lt Files gt Attention cette m thode interdit l acc s via le serveur Web pour tout le monde y compris le propri taire du fichier l administrateur etc 3 5 Rendre le contenu d un sous r pertoire invisible L astuce qui suit consiste simplement faire afficher par le serveur Web une page html qui signale au visiteur qu il n a rien faire dans ce sous r pertoire Lorsque Apache acc de un sous r pertoire pour satisfaire la demande d
371. s d installation pour Apache et apache mod_perl e apache2 modules ensemble des modules pour Apache e apache conf fichiers de configuration de Apache e apache2 le d mon Apache apache manuel pas obligatoire mais peut se r v ler utile urpmi apache2 Pour satisfaire les d pendances les paquetages suivants vont tre install s 1 Mo apache conf 2 0 48 2mdk i586 apache2 2 0 48 6mdk i586 apache2 common 2 0 48 6mdk i586 apache2 modules 2 0 48 6mdk i586 Est ce correct O n Pr paration HEH AE FE E AE FE AE AE HEE AE AE FE E HEE HE EEE AE AE EE HRA EH aE HR HARE 1 apache conf HAR HE HH A EH REE EE HE EA E AE EAE AE E AE a RAE HE 2 apache2 modules HAT EH FE E AE HE AE E HEE HEE EH EE RA A RA EH RE 3 apache2 common HET AE AE FE E HE FE AE AE HEE AE AE AE FE AE AE FE AE AE FE EEE AE AE EE AE EEE E AE EEE EE 4 apache2 HEE E AE FE E HE FE E AE AE E AE AE E AE AE AE FE AE AE AE E AE FE AE AE E AE AE FE E AE E AE AE E AE AEE AE AEE EH RE Configurer les composants d un r seau 89 4 Installation d Apache L a Le package apache conf contient en particulier les fichiers de configuration etc httpd conf httpd conf et etc httpd conf commonhttpd conf qui d finissent les param tres de fonctionnement du serveur pois 4 2 Premier test d Apache Le fonctionnement d Apache est mat rialis par la mise en route d un d mon nomm httpd Pour mettre en route arr ter v rifier etc ce service tapez letc rc d init httpd option o
372. s de ports et le protocole utilis par le serveur que vous voulez rendre accessible l ext rieur de votre r seau local L exemple d un serveur de page web sera pris Il fonctionne sur le port 80 et utilise le protocole TCP Voici donc la ligne de commande que vous aurez taper bash ipmasqadm portfw a P tcp L 132 204 210 10 80 R 192 168 1 11 80 Ceci aura pour but de retransmettre tout ce qui arrive sur le port 80 de votre gateway sur la machine 192 168 1 11 galement sur le port 80 Vous pourriez rajouter vos r gles dans un fichier plac dans etc init d ou galement le placer dans le fichier cr etc init d ip_masquerade Utilisation d iptables noyaux 2 4 Ci dessous les tapes suivre pour partager sa connexion au moyen de iptables Pour plus d infos sur iptables conulter iptables par l exemple Pour partager sa connexion avec iptables rien de plus simple II suffit de suivre les 2 tapes ci dessous e C t passerelle activer le forwarding dans le noyau echo 1 gt proc sys net ipv4 ip_ forward cacher les machines forward es par le firewall iptables A POSTROUTING t nat o ppp0 j MASQUERADE e C t client ne pas oublier de renseigner etc resolv conf avec les DNS fournis par votre provider ajouter votre passerelle en route par d faut route add default gw ip_de_ votre passerelle si votre client est sur Windows clic droit sur Favoris r seau et choisir propri t s Configurer les co
373. s machines les prises sont du type RJ45 un peu comme les prises t l phoniques am ricaines En fait chaque carte r seau est reli e par un c ble un l ment actif d ou le nom de c blage en toile partant de l l ment actif On distingue deux types d l ment actif e les HUBS qui en fait mulent une connexion en bus en envoyant sur chaque cable toutes les informations du r seau qu ils re oivent Ceux ci laissent la machine destinataire des requ tes r seau le soin de les prendre en compte ou de les ignorer si elle n est pas destinataire e les SWITCH qui sont beaucoup plus intelligents que les HUBS ils envoient les informations du r seau UNIQUEMENT vers la machine destinataire donc on gagne en performance et en s curit car il devient plus difficile de sniffer le r seau c est pour cela que le c blage en RJ45 est plus performant que le BNC Entre le 10 Mb ou le 100 Mb il suffit d avoir le mat riel qu il faut c est a dire carte r seau HUB ou SWITCH 100 Mb Seul les SWITCH permettent effectivement un vrai r seau en toile Certains HUBs ou SWITCH permettent de m langer les deux types de vitesse alors qu en g n ral une carte 10 Mb s oblige toutes les machines communiquer en 10 Mb s Remarque On trouve maintenant sur le march des KITS carte r seau HUB c blage pour pas cher du tout 3 cartes 1 HUB les c bles pour 400 fr si vous devez faire un achat prenez plut t a attention quand m me
374. s sql Modifier le fichier var www html mail horde config registry php this gt applications nag array fileroot gt dirname __FILE_ nag webroot gt this gt applications horde webroot nag icon gt this gt applications horde webroot nag graphics nag gif name gt _ Tasks allow_guests gt false status gt active Configurer l ic ne Nag dans IMP Modifier le fichier var www html mail horde imp config conf php conf menu apps array turba passwd kronolith mnemo nag cd var www html mail horde nag config Renommer tous les fichiers for fichier in dist do cp v fichier basename fichier dist done Configurer l ic ne IMP dans Nag et les param tres d acc s la base MySQL Modifier le fichier var www html mail horde nag config conf php utiliser MySQL pour stocker les donn es de Mnemo conf storage driver sql conf storage params phptype mysql conf storage params hostspec localhost conf storage params username horde conf storage params password mon_mot_de_passe conf storage params database horde conf storage params table nag_tasks conf menu apps array imp Remarque mon_mot_de_passe est remplacer par le mot de passe de la base horde mysql
375. s to install en simple mode ce stade il faudra bien installer les logiciels choisissez les cat gories de logiciels voulus Packages to install en advanced mode Ce mode vous permettra de choisir les logiciels installer l aide du programme dselect Dans ces deux modes il faudra installer un serveur DHCP DNS et Samba II faudra installer les logiciels de forwarding ipchains et ipwadm Par la suite je vous laisse d couvrir les diff rentes manipulations que vous devrez effectuer afin d avoir tout ces serveurs install s C est a vous de voir quels programmes vont tre install s il est impossible de choisir a votre place et de fournir dans ce document toutes les manipulations pas a pas que vous aurez effectuer Gardez en t te que les choix par d faut font l affaire la plupart du temps et que chaque choix est correctement expliqu Configurations principales Pr paratifs Avant de commencer les configurations des diff rents serveurs la configuration de la console et de son aspect devra tre effectu e pour faciliter la suite du travail Tout commence par de la couleur lors des listages des dossiers il est pr f rable de diff rencier les fichiers des r pertoires des liens symboliques ou des fichiers ex cutables Il faudra donc d commenter certaines lignes du fichier root bashrc Voici quoi devra ressembler le fichier root bashrc apr s modifications bashrc executed by bash 1 for non login shells ex
376. s tout en bas de cette page De m me un lien est fourni pour obtenir une liste de client permettant de se connecter sur un serveur avec le mod_t 1s activ Exemple de fichier proftpd conf Pour finir sur le fichier proftpd conf voici en grande partie le mien modifi Je rappelles que moi je cherchai a la base il y a longtemps maintenant pouvoir donner acc s par service FTP a des ressources sur partition de type FAT32 et cela la fois en lecture pour certains et en criture pour d autres et que je me suis vu confront au probl me qu il n est pas possible de d finir de droits pour les utilisateurs sur les partitions FAT32 Exemple de fichier proftpd conf This is a basic ProFTPD configuration file rename it to proftpd conf for actual use It establishes a single server It assumes that you have a user group nobody for normal operation ServerName ProFTPD Linux DuF Service ServerType standalone DefaultServer on Pour autoriser les clients r sumer les t l chargements tr s utile Remember to set to off if you have an incoming ftp for upload AllowStoreRestart on 130 Configurer les composants d un r se L a Configuration Port 21 is the standard FTP port Port 45000 Umask 022 is a good standard umask to prevent new dirs and files from being group and world writable Umask 022 Limitation de la bande passante en lecture TransferRate RETR 11 To prevent DoS attacks set the maximum num
377. s vont tre install s 9 Mo postgresql 7 4 1 2mdk 1i586 postgresql server 7 4 1 2mdk i586 Est ce correct O n Pr paration HAH HE AE AE AE AE AE AE HE EE HRA HPT EEE EEE EEE HAE RAE EEE l postgresql HEHE HEE HH ETH HEH PTH RTH PAE HR EH FE AE AE HEH RAE RARER REE 2 postgresql server HAH AE AE E AE AE AE AE PE AE HE HRA HRT EE EEE EE EE AE EEE Configuration du syst me Passez en utilisateur root pour ces commandes On va ajouter dans la variable d environnement PATH les binaires de PostgreSQL les pages man les donn es et ajouter au syst me les biblioth ques PostgreSQL pour activer le d marrage de PostgreSQL en automatique Pour cela ditez le fichier etc profile et ajoutez les lignes suivantes PATH PATH usr local pgsql bin MANPATH MANPATH usr local pgsql man PGLIB usr local pgsql lib PGDATA usr local pgsql data export MANPATH PGLIB PGDATA Remarque l aussi remplacez usr local pgsql par le r pertoire d installation sp cifi avec l option prefix si vous en avez sp cifiez un Editez le fichier etc Id so conf et ajoutez la ligne lusr local pgsql lib Pour que cette modification soit prise en compte lancez alors la commande ldconfig Puis copiez le fichier usr src pgsql postgresql 7 4 2 contrib start scripts linux dans le r pertoire etc init d sous le nom de postgresql cp usr src pgsal postgresql 7 4 2 contrib start scripts linux etc init d postgresql Il vous sera possible de lancer
378. sans cran sans souris sans clavier SmoothWall supporte les cartes r seaux les plus courantes 3com Realtek NE 2000 et les modes de connexion internet les plus courants Modem ISDN ADSL USB ADSL Ethernet Nota une liste des cartes r seaux support es fichiers avec extensions o est disponible dans le fichier lib tar gz du cdrom SmoothWall il faut conna tre le chipset quipant votre carte r seau rlt8139 0 est pr sent dans l archive lib tar gz et indique que les cartes quip es d un chipset Realtek 8139 sont support es ll est possible de d finir trois zones r seaux diff rentes verte Zone totalement s re votre r seau local orange Zone partiellement s re DMZ De Militarised Zone c est sur cette branche du r seau que sera branch votre serveur HTTP par exemple et rouge Internet et ses pirates Ceci veut dire que vous pouvez avoir jusqu trois cartes r seaux sur votre Firewall une verte sur laquelle seront reli s votre r seau local et votre serveur local de fichier par exemple une orange sur laquelle sera reli votre serveur web Apache ou votre serveur de jeu en r seau et la derni re rouge sur laquelle sera reli votre modem ethernet ADSL par exemple La configuration requise est vraiment minimale e Processeur 486DX4 e 16 Mo de RAM e Disque dur de 200 Mo SmoothWall n occupe qu environ 60 Mo e Carte r seau 10 Mb Ceci est le minimum pour faire fonctionner une connexion par
379. se L a 6 Cas particulier de phpMyA ScfgServers 1 adv_auth false Use advanced authentication ScfgServers 1 stduser root MySQL standard user only needed with advanced auth ScfgServers 1 stdpass MySQL standard password only needed with advanced auth ScfgServers 1 user root MySQL user only needed with basic auth ScfgServers 1 password MySQL password only needed with basic auth ScfgServers 1 only_db If set to a db name only this db is accessible ScfgServers 1 verbose Verbose name for this host leave blank to show the hostname Le texte de ce fichier semble assez explicite Il n cessite toutefois une analyse plus d taill e pour bien en comprendre certaines finesses cfgServers 1 d signe le premier serveur MySQL le seul qui nous int resse ici il semblerait qu il y ait des vicieux qui d marrent plusieurs serveurs imaginez un peu Le param tre important est adv_auth Il peut prendre deux valeurs false d faut l installation et true 6 1 Configuration avec adv_auth false Avec false l authentification se fait selon une ancienne m thode qui utilise les valeurs de cfgServers 1 l user et cfgServers 1 l password pour s identifier aupr s de MySQL L installation de base r sum e ci dessus refl te cette authentification En clair phpMyAdmin s enregistre sous compte root et sans mot de passe C est pr cis ment l
380. seau local 198 168 2 0 INTERNET lt gt Fire ppp0lwall Na __ lt DMZ serveurs 198 168 1 0 eth0 WEB NEWS FTP gt 4 ASCIIArt c Jice La classe d adresse IP 192 168 2 0 correspond au r seau interne sur l interface eth1 La classe d adresse IP 192 168 1 0 correspond a la DMZ sur l interface et ho L interface de la connexion Internet est ppp0 sur l interface eth2 DMZ ou zone d militaris e Sous r seau dans lequel des serveurs accessibles depuis internet sont en adressage priv classe d adresse IP r serv e comme 192 168 x x derri re un firewall 3 1 Le script init d Nous allons crire un script qui permettra de charger automatiquement au d marrage de la machine ou sur demande les r gles du firewall qui seront stock es dans le fichier etc firewall sh Le script de d marrage sera nomm etc init d firewall Bien s r on n oubliera pas d ex cuter un chmod x sur les 2 scripts que nous allons cr er au long de ce chapitre Go Fichier de chargement etc init d firewall bin bash Lancement du script de Firewall Arnaud de Bermingham etc init d functions RETVAL 0 Fonction pour le lancement du firewall stare Oi echo n Application des r gles IpTables etc firewall sh RETVAL eq 0 amp amp touch var lock subsys firewall echo Fonction pour arr ter le firewall on flush stop Configurer les composants d un r seau 6
381. sername horde conf prefs params password mon_mot_de_passe conf prefs params database horde conf prefs params table horde_prefs Le SMTP postfix pour envoyer les emails conf mailer type smtp Configurer Horde Remarque 1 mon_mot_de_passe est remplacer par le mot de passe de la base horde mysql choisi au paragraphe Configurer mysql Remarque 2 Si vous souhaitez utiliser sendmail la place de postfix il faut remplacer smtp par sendmail ci dessus Il faudra alors aussi ajouter dans Configurer les composants d un r seau 161 Configurer Horde le fichier etc mail trusted users le mot apache pour l autoriser envoyer des mails par l interm diaire de sendmail Modifier le fichier var www html mail horde config lang php p gt nls defaults language fr_FR Tester Horde Vous pouvez tester la configuration initiale de Horde en allant avec un Puis essayer http mail example com horde VERIFICATION DE SECURITE Vous ne devez pas pouvoir acc der avec un navigateur http mail example com horde config Configurer IMP Installer IMP A partir du r pertoire o vous avez stock le paquetage IMP tar zxvf imp 3 2 2 tar gz C var www html mail horde cd var www html mail horde mv imp 3 2 2 imp Configurer Horde pour IMP D clarer IMP dans Horde Modifier le fichier var www html mail horde config registry php
382. ses only_ from valeur valeurs La connexion au service ne sera possible qu partir de la liste fournie cet attribut Elle peut contenir e des adresses IP facile comprendre je ne m tends pas e des adresses r seau 192 168 0 0 par exemple Seules les adresses IP de ce r seau pourront acc der au service e des hostnames Ce sont des noms de machine A utiliser si et seulement si le fichier etc hosts est correctement renseign La r solution de nom se fait au moment de l acc s e des noms de domaine lea linux org par exemple Seul le domaine de L a pourra alors acc der votre service Vous pouvez bien s r panacher les valeurs Exemple configuration des acc s ftp sur ma machine service proftpd only_from citrouille 192 168 1 0 lea linux org Les seuls autoris s utiliser mon serveur ftp seront la machine citrouille les machines du r seau 192 168 1 0 et celles du domaine lea linux org 84 Configurer les composants d un r se L a Xinetd pour contr ler les acc s votre Un attribut qui a galement pour effet de filtrer les acc s estno_ access valeur valeurs Il fonctionne exactement de la m me fa on que only_from sauf qu il d termine les machines adresses IP hostnames adresses r seaux et ou noms de domaine pour lesquels vous voulez interdire l acc s votre service Attention encore une fois xinetd utilis seul ne vous garantira pas la s curit de votre syst me Il est e
383. seur d acc s etc resolv conf search nom_domain_local com nameserver adresse_ip_dns_primaire nameserver adresse_ip_dns_secondaire Cr ation des scripts de connexion d connexion Nous allons cr er maitenant les scripts de connexion d connexion Script de connexion appelons le adsl start il contient bin bash usr sbin pptp 10 0 0 138 sleep 20 echo Ajout de la route par d faut sbin route add net 0 0 0 0 netmask 0 0 0 0 dev ppp0 Et un adsl stop bin bash killall pptp sleep 1 killall pppd rm rf var run pptp ll suffit alors de lancer les scripts pour se connecter d connecter Vous pouvez aussi mettre dans etc rc local une ligne appelant adsl start pour lancer la connexion au boot de la machine Ou alors faites un script pour g rer la connexion d connexion en sysVinit Connexion ADSL via le protocole PPPOE Connexion via le logiciel fourni par FT France T l com vous fournit normalement un CD contenant le support pppoe pour votre modem sous Linux Comme ce logiciel n est ni libre ni gratuit je ne d taille pas ici comment s en servir Sachez juste qu il faut en gros copier le binaire pppoed 2 x x d pendant de la version de votre kernel 2 0 x ou 2 2 x dans usr sbin ainsi que les scripts ppoe start et ppoe stop et le fichier de configuration ppoe options dans etc Un fichier d aide est fourni avec ce logiciel Installation de rp pppoe Comme nous sommes dans le monde du logiciel libre
384. sources mais celle du Firewall et la protection s arr te juste a une authentification d utilisateur Ce type de Firewall en fait ne filtre absolument rien et peut donc tre sujet la moindre attaque ext rieure En fait il n est plus utilis on va dire que c est le Firewall pr historique en quelque sorte Voyons maintenant les types de Firewall utilis s Les Firewalls filtrage de paquets Ils travaillent sur les paquets r seaux eux m me Pour les personnes qui ont des connaissances r seaux ce type de Firewall travaille sur la couche r seau du mod le OSI Ils analysent les paquets entrants sortants suivant leur type leurs adresses source et destination et les ports Comme ils travaillent directement sur la couche IP ils sont tr s peu gourmands en m moire Avec Linux ce style de filtrage au niveau de la couche IP est int gr directement dans le noyau il suffit donc d avoir un 486 avec 8 Mo de m moire et d une distribution Linux avec juste un kernel de base et la couche IP pour faire un tel Firewall De plus ils sont totalement transparents pour les utilisateurs pas d authentification pour aller vers l ext rieur et pas de param trages sp cifiques sur les machines des utilisateurs Un d savantage c est qu il n y a pas d authentification possible par utilisateur mais par adresse IP C est dire que si l on veut en interne interdire certaine personnes d aller vers l ext rieur ce n est possible que si l on conna t
385. sous toutes ses coutures L a XINETD sous toutes ses coutures par Anne O comment utiliser xinetd pour s curiser encore plus votre pingouin pr f r Avant propos Cet article a pour objectif d expliquer le fonctionnement et la configuration du super d mon xinetd Pourquoi particuli rement celui ci Parce qu il est utilis fr quemment pour l acc s nombre de services r seau et devient un outil non n gligeable de s curisation de celui ci en plus d un bon firewall bien s r Cet article n a pas pour objectif d tre compl tement exhaustif mais de pr senter les configurations les plus courantes de xinetd Pour plus d infos consulter le man on s en serait dout Inetd ou Xinetd Selon la distribution vous trouverez soit un d mon inetd soit un d mon xinetd La tendance est tout de m me d utiliser de plus en plus ce dernier D finition Dans l absolu inetd et xinetd ont le m me r le savoir de piloter l acc s un ou plusieurs services r seaux Ils agissent comme une standardiste lls re oivent des requ tes de clients ext rieurs pour la plupart qui demandent un acc s un service r seau d termin ex ftp telnet ssh Le super d mon va en fonction des instructions qu on lui aura donn es fichiers de configuration transmettre ou rejeter l appel Ce qu apporte xinetd inetd jusque l utilis permettait gr ce au fichier etc inetd confet au wrapper tcpa de param trer l acc s aux servic
386. sql Variante de la pr c dente l espace apr s p va provoquer une demande de mot de passe comme ci dessus l indication de mysql va indiquer au serveur d utiliser la base de donner mysql quivalent mysql gt use mysql Ce qui ne marche pas e mysql u lambda MySQL va protester parce que l utilisateur lambda est connu comme tant valid par un mot de passe Le message sera assez explicite puisqu il se termine par Using password YES Nota voir plus loin le chapitre Automatisation des connexions il sera possible d automatiser l indication du mot de passe et donc de se connecter en utilisant cette syntaxe Voil vous tes maintenant en mesure de modifier efficacement le fichier user pour accorder et retirer des droits chacun des utilisateurs de votre syst me Ce chapitre n a simplement fait que soulever un coin du voile sur la question L tude de l utilisation des autres fichiers de var lib mysql mysql vous permettra de d finir encore mieux ces droits et de cr er des droits diff renci s par BDD et par utilisateur voire m me par table ou par champ L tape suivante s articulerait autour de la table db Cette tude de d tail sortirait toutefois du cadre fix ici 4 2 Automatisation des connexions A ce stade nous pouvons d finir autant d utilisateurs que souhait Chacun devra se connecter MySQL avec la syntaxe mysql u utilisateur p utilisateur tant remplacer par le login En r ponse MySQL demandera le mo
387. ssai de fonctionnement du serveur MySQL en utilisant simplement le client MySQL en mode texte mysql p Enter password Welcome to the MySQL monitor Commands end with or g Your MySQL connection id is 4 to server version 4 0 18 log Type help or h for help Type c to clear the buffer mysql gt Tapez alors quit l invite mysql et vous voila sorti ll va falloir faire fonctionner tout ce petit monde ensemble Apache et PHP sont d j op rationnels Ils communiquent ensemble l essai a t fait MySQL est en route galement Pour que PHP puisse entrer en contact avec MySQL il lui faut un minimum de connaissances qui lui sont apport es par le module php mysql urpmi php mysql Pr paration AE AE AE AE HE AE AE AE AE AE AE HE E AE AE EEE HE HE E AE EEE EEE FE AE FE EEE EE EEE E E E H 1 php mysql AE RE AE AE AE AE AE AE AE FE FE FE FE HE E AE FE FE FE FE FE FE HE E AE FE FE FE FE FE FE HE AE E FE FE FE FE FE HE E HE E E E E E EE H Pensez donc l installer lui aussi sinon pas de langue commune Red marrez Apache Configurer les composants d un r seau 91 6 Installation de MySQL L a 6 2 Installation du script phpMyAdmin Plut t que de vous lancer dans la r daction d un premier script php qui va s adresser au serveur MySQL pour lui dire quoi Rien n existe encore ou si peu je vous sugg re de r cup rer sur le net un ensemble de scripts nomm phpMyAdmin Il s agit tout simplement d un ensemble de script
388. ssentiel d y adjoindre un bon firewall Contr ler le moment des acc s Vous pouvez choisir le moment auquel vous autoriserez les acc s tout ou partie de vos services r seaux On utilisera l attribut access_times Il vous permet de d finir une ou plusieurs plages horaires pendant lesquelles la connexion sera possible Syntaxe access times interval interval L intervalle de temps s crit heures minutes heures minutes Exemple Je veux limiter l acc s de mon ftp de 9h 12h et de 14h 16h service proftpd access_time 9 00 12 00 14 00 16 00 Contr ler l exposition du syst me pendant l acc s chroot V ritable couteau suisse de la configuration de services r seau xinetd vous permet de chrooter un service Rappel la commande chroot permet de lancer un programme en restreignant ses acc s disques une sous arborescence En fait pour le processus la racine du disque est la racine de l arborescence dans laquelle il a t restreint L attribut server_args Va nous permettre d automatiser le chroot la commande chroot est consid r e comme le serveur et le service est pass en argument Exemple Je veux chrooter mon serveur ftp service proftp server usr sbin chroot server_args opt proftpd proftpd Lorsqu un client tente un acc s ftp chroot est ex cut en tant que serveur et proftpd en tant qu argument ce qui revient la commande connue usr bin chroot opt proftpd proftpd Autorise
389. st assez agr able surtout si vous tes en RTC connexion via le t l phone De plus mon FAI avait fr quemment des probl mes de serveurs DNS ce qui m emp chait r guli rement d atteindre certains sites alors je me suis d cid installer un serveur DNS qui fait cache des serveurs DNS de r f rence de l internet Depuis je n ai plus aucun probl me Pr requis Bon avant de configurer le tout il faut v rifier que vous avez sur votre machine ce qu il faut pour faire votre serveur DNS c est dire le package bind V rifiez donc que ce package est install sur la machine qui va faire serveur DNS dans le cas d une Mandrake ou Red Hat v rifiez avec un utilitaire pour les RPM dans le cas d une Slackware v rifiez avec pkgtool ou dans tous les cas rechercher un fichier nommer named qui se trouve dans la plupart des cas dans usr sbin named Si vous ne trouvez pas de package Bind ou si vous ne trouvez aucun fichier named installez alors le package Bind qui doit s rement se trouver sur le CD d install de votre distribution Th orie fonctionnement du service DNS Pour comprendre la configuration d un serveur DNS un minimum de th orie sur le fonctionnement de celui ci est n cessaire Tout d abord il faut savoir que les noms DNS sont organis s de fa on hi rarchique Le haut de la hi rarchie est le root la racine d sign par puis viennent les Top Level Domains TLD que vous connaissez com net
390. t 443 De mani re g n rale le num ros de port se trouvent dans etc services e Pour le ftp c est un peu plus complexe D abord il faut charger le module ip_conntrack_ftp c est lui qui suit track en anglais les connexions ftp et si vous natez en utilisant le masquerading par exemple vos connexions ftp vers d autres postes le module ip_nat_ftp modprobe ip_conntrack_ftp ventuellement modprobe ip_nat_ftp Ensuite il faut taper les commandes suivantes iptabl iptables A INPUT i ppp0 p tcp sport 21 m state state ESTABLISHED j ACCEPT es A OUTPUT o ppp0 p tcp dport 21 m state state NEW ESTABLISHED j ACCEPT Cela pour que la connexion puisse s tablir Ensuite et c est la qu on a besoin de ip_conntrack_ftp ACCEPT iptabl Pour que serveur puisse tablir la connex iptabl ESTABL iptabl iptables A INPUT i ppp0 p tcp sport 20 m state state ESTABLISHED RELATED j es A OUTPUT o ppp0 p tcp dport 20 m state state ESTABLISHED j ACCEPT ion pour les donn es en mode actif Et enfin es A INPUT i ppp0 p tcp sport 1024 65535 dport 1024 65535 m state state ISHED j ACCEPT es A OUTPUT o ppp0 p tcp sport 1024 65535 dport 1024 65535 m state state ESTABLISHED RELATED j ACCEPT Pour que le serveur puisse tablir la connexion pour les donn es en mode passif Ici aussi ip_conntrack_ftp est n cessaire e Pour par
391. t DNS C est lui qui permet l utilisation de serveurs DNS pour la r solution de noms en adresse IP ce qui vous permet par exemple de taper une URL dans un navigateur et non une adresse IP Un fichier mal configur vous emp chera notamment de surfer Rappel de la syntaxe root pingu cat etc resolv conf domain nom_de_domaine nameserver adresseIP_DNS_Primaire nameserver adresseIP_DNS_Secondaire Attention nameserver est un mot cl a recopier tel que domain contient le nom de domaine du provider qui vous a fourni les DNS ou celui de votre domaine si vous disposez d un serveur DNS telnet On connait telnet en tant qu outil prise de contr le distance Ce n est pas l sa seule utilit il est aussi tr s utile pour tablir un diagnostic et v rifier le fonctionnement ou non d un service en se connectant sur son port Il permet galement de v rifier la validit d une r gle de firewall La syntaxe telnet lt adresse IP ou nom de machine gt lt num ro de port du service tester gt Exemple Je souhaite v rifier le bon fonctionnement de mon service ftp Apr s v rification dans etc services je sais que le port correspondant au serveur ftp est le 21 e ter cas de figure root pingu telnet 192 168 0 3 21 Trying 192 168 0 3 Connected to 192 168 0 3 Escape character is 220 ProFTP Linuxerie s Server Ready La connexion est r ussie le serveur est op rationnel e 2e cas de figure 26 Configurer le
392. t accessible tel utilisateur aux plus pointues la n i me colonne de telle table est accessible pour tel utilisateur mais seulement pour telle op ration Ces droits sont diff renci s consultation mise jour etc La base de donn es qui d crit la structure des autorisations d acc s est contenue dans var lib mysql mysql dans l installation Mdk8 0 Cette BDD est cr e automatiquement par le script d installation du package MySQL Vous pouvez consulter la liste des tables de cette base par mysql gt show tables Cette commande affiche la liste des tables constituant la BDD L objet du pr sent document tant de constituer une aide de d part et non de remplacer la documentation sp cialis e nous ne nous int resseront dans ce qui suit qu une seule table de cette base de donn es la table user qui d fini les droits d acc s globaux des utilisateurs l ensemble des BDD De m me nous n tudierons que le cas d une machine isol e servant la fois de serveur et de client La configuration en r seau n est gu re plus complexe mais d passerait le cadre de la pr sente tude 4 1 1 Structure de la table user La structure de la table user est assez simple Elle contient les champs suivants EL o Update priv i e peretepriv ooo o Process priv O Process_priv References_priv Alter _priv Cette structure peut tre consult e tr s simplement par mysql gt desc user Son contenu peut tre affich parm
393. t de passe correct Il peut para tre lourd alors que LINUX vous a d j demand de vous identifier correctement au login de se re identifier nouveau chaque lancement d un client MySQL Cette proc dure est heureusement contournable A chaque lancement d un client MySQL celui ci va en effet v rifier la pr sence des fichiers suivants e etc my conf Configurer les composants d un r seau 103 5 Contr le des acc s MySQL initi s par des scripts PHP L a e var lib mysql my conf e my conf tant le r pertoire home de l utilisateur LINUX d ment logu et identifi D s qu il trouvera un fichier le client MySQL lira les donn es de configuration qui y sont rang es et ira la recherche du fichier suivant dans la liste et dans cet ordre Les donn es les plus r centes iront chaque fois craser les plus anciennes ce qui permet de personnaliser tr s finement le comportement du client MySQL en fonction des besoins de l utilisateur Et parmi ces donn es mais vous l aurez d j devin figurent le mot de passe de connexion au serveur MySQL Dans une installation de base aucun de ces fichiers n existe Par contre le sous r pertoire usr share mysql contient un certain nombre de fichiers exemples nomm s my small cnf my medium cnf etc qui correspondent des propositions de fichiers de configuration pour diff rents cas d utilisation Les premi res lignes de chacun de ses fichiers pr cisent les domaines d applicat
394. t en fait prot ger un r seau vis vis d un autre ou d autre r seaux Plusieurs types de Firewall existent et ne travaillent pas de la m me fa on et n offrent pas les m mes s curit s Les Firewall sont de plus en plus utilis s pour prot ger les r seaux locaux d entreprises vis vis de l internet Il s agit en fait d une machine qui est reli e vers l ext rieur Internet et vers le r seaux local aussi et qui en quelque sorte analyse le trafic r seau qui la traverse pour savoir si oui ou non elle laisse passer ce trafic que a soit dans un sens ou dans l autre nn ae gt PC2 l l l INTERNET lt gt FIREWALL lt gt PC3 l l gt PC4 Les diff rents types de Firewall Le Firewall le plus simple est une machine qui poss de une connexion vers l ext rieur et une autre sur le r seau local et qui ne transmet pas le trafic r seau d un r seau l autre Si une machine du r seau local veut acc der vers l ext rieur elle ouvre en fait une session sur le Firewall et travaille directement sur cette machine pour acc der vers l ext rieur De ce fait aucun trafic r seau de l ext rieur ne peut rentrer sur le r seau local Vous avez compris les probl mes que cela engendre on travaille directement sur le Firewall donc chaque utilisateur qui va par exemple naviguer sur le web vas lancer un nouveau processus navigateur e on n a pas acc s directement sa machine avec ses res
395. t gt lt assignement gt lt valeur gt lt valeur gt Les attributs seront d taill s plus loin Les assignements peuvent prendre diff rentes valeurs Exemple root pingu cat etc xinetd d telnet service telnet server usr sbin in telnetd avec attribut server assignement valeur usr sbin in telnetd Pour reprendre l arborescence de xinetd et les 2 cas de figure expos s ci dessus on obtiendra les fichiers suivants un seul fichier de configuration un fichier de configuration par service etc xinetd conf etc xinetd conf defaults defaults service servicel etc xinetd d servicel service servicel service service2 etc xinetd d service2 service service2 Ecriture des fichiers attributs obligatoires Nous allons lister les diff rents attributs utilisables pour configurer xinetd Certains sont facultatifs et vous permettent d affiner son r le Toutefois d autres sont obligatoires et s ils ne sont pas pr sents emp cheront tout ou partie des services de fonctionner Avant de les lister petit point de vocabulaire on distingue les services dits internes et externes A quoi A xinetd bien sur Les services internes comme servers services xadmin sont des services propres xinetd qui fournissent des informations sur le fonctionnement du super d mon Il vaut mieux ne pas utiliser ces services car ils exposent la machine inutilement et les fichiers de log
396. t pas lanc soit vos fichiers syst mes sont mal configur s Pour le savoir lancez la commande suivant pour voir si named tourne en tache de fond ps aux grep named 146 Configurer les composants d un r se L a Un serveur DNS qui fait cz Si named ne tourne pas en t che de fond ditez alors le fichier var log messages et rep rez les lignes qui comporte namedf xxxx elles devraient vous indiquez les erreurs de configuration que vous avez faites fichier de zone non trouv etc Si named tourne v rifiez alors que le r solveur se connecte bien votre serveur DNS et pas sur un autre Pour cela quand vous lancez nslookup celui ci doit vous r pondre que le serveur par d faut est bien localhost avec comme adresse 127 0 0 1 Si ce n est pas le cas rev rifiez les fichiers etc resolv conf et etc host conf V rifiez aussi le fichier de zone 127 0 0 Remarques sur un serveur DNS cache e Un serveur DNS cache n crit pas dans un fichier les diff rentes adresses qu il r cup re il les stocke en m moire ce qui veut dire qu partir du moment o vous teignez votre machine ou que vous stoppez le service named vous perdez toutes les adresses en m moire Donc si vous utilisez votre serveur DNS juste pour acc l rer votre connexion internet ne stoppez pas votre serveur DNS et ne rebootez pas votre machine o vous n utiliserez en fait jamais votre cache Le seul b n fice dans ce cas est que vous utilisez vo
397. t une adresse IP un masque de sous r seau une passerelle par d faut etc hop passez au_paragraphe suivant pour les autres lisez la suite autrement votre r seau ne marchera pas c est s r La lecture d un bon livre sur TCP IP est certainement utile si vous comptez installer un r seau de plusieurs milliers de machines Le protocole TCP IP Bon je ne vais pas d tailler a fond le protocole TCP IP mais juste les bases n cessaires pour comprendre comment on configure un r seau TCP IP Adresse classe d adresse et masque r seau Bon vous devez s rement vous demander comment deux machines entre elles arrivent communiquer Et bien tout simplement avec une adresse C est comme pour le courrier escargot merci la francophonie quand quelqu un veut vous envoyer un courrier il envoie une lettre et le facteur vous trouve gr ce l adresse que vous avez pris soin d crire sur celle ci Bon et bien pour comprendre ce qui suit vous gardez a en t te en rempla ant trame r seau par courrier et carte r seau par bo te lettres Si notre analogie n est pas trop farfelue elle ne l est pas chaque carte doit avoir une adresse r seau i e adresse IP mais comme pour les grandes villes o il y a beaucoup de maisons on d coupe souvent un r seau en plusieurs sous r seaux le meilleur exemple est Internet lui m me qui est constitu de divers et nombreux r seaux plus locaux pour permettre de les reconna tre facilement on leu
398. t une partie normal de votre syst me de fichier Evidemment le syst me des permissions UN X ne fonctionne pas sur ce type de montage ne perdons pas de vue que la base on utilise un protocole destin Win pr f rez leur un montage nfs qui permet de monter un vrai syst me de fichiers Linux testparm Le programme testparm sert v rifier la validit des entr es du fichier etc smb conf Lorsque vous ditez la main ce fichier n h sitez pas l utiliser il vous dira les erreurs que vous avez peut tre commises en l ditant La syntaxe d appelle est simple testparm S il vous dit que tout est Ok vous pouvez relancer SAMBA pour prendre vos modifications en compte Ce programme sert aussi v rifier les deux entr es hosts allowethosts deny si vous voulez savoir si la connexion une ressource particuli re sera accept ou pas par SAMBA depuis la machine machine il suffit de taper testparm etc smb conf machine Et vous saurez tout Note Avec SAMBA 2 0 7 j ai un probl me tesparm me r pond que l hote depuis lequel j utilise SWAT est autoris mais SWAT refuse la connexion alors je ne comprends pas si quelqu un connait la r ponse ce mist re Autres programmes utiles en vrac e findsmb permet de savoir quelles sont les machines accessible par smbclient proposant des partages de ressources via smb e smbstatus permet de conna tre l tat du serveur ce moment pr cis tat disponible dans
399. t utilisable la place de Postfix Le nom de domaine du serveur est mail example com Vous pouvez v rifier le nom de domaine votre machine avec l instruction hostname Les paquetages et leurs d pendances suivants doivent tre pr sents e apache2 2 0 44 11mdk e apache2 mod_php 2 0 44_4 3 1 2mdk e php pear 4 3 0 3mdk php imap 4 3 0 3mdk e php ldap 4 8 0 3mdk e php mysql 4 3 0 2mdk e php xmi 4 3 0 2mdk e mysql 4 0 11a 5mdk e mysqal client 4 0 11a 5mdk e imap 2002a 2madk e postfix 2 0 6 1mdk etcp_wrappers 7 6 22mdk e poppassd ceti 1 8 3mdk e xinetd 2 8 10 1mdk Quelques rappels e Pour visionner les paquetages install s sur votre syst me rpm qa less Taper q pour quitter Si vous n avez pas tout il faut installer les paquetages manquants rpm Fvh nom _ du_paquetage rpm pour mettre jour un paquetage d j install rpm ivh nom du paquetage rpm pour installer un nouveau paquetage e Vous devez avoir les services httpd mysql postfix xinetd activ s Pour visionner les services fonctionnant chkconfig list less e Pour mettre en marche un service exemple avec apache service httpd stop Arr t d Apache service httpd start Mise en marche d Apache service httpd restart Red marrage d Apache e Pour faire en sorte qu chaque d marrage de votre poste le service Apache fonctionne chkconfig apache on Configurer les composants d un r seau 159 Configurer Apache amp L a e Pour avo
400. tager une connexion il faut que le forwarding soit activ dans le noyau echo 1 gt proc sys net ipv4 ip_forward puis il faut autoriser iptable a faire le forwarding iptables F FORWARD iptables A FORWARD j ACCEPT et enfin cacher les machines forward es par le firewall iptables A POSTROUTING t nat o ppp0 j MASQUERADE Sur chaque machine devant tre cach e par le firewall ou devant partager la connexion avec la machine qui est connect e a internet il faut ajouter une route par defaut Configurer les composants d un r se amp L a 3 Application par l exen route add default gw 192 168 1 1 Si la machine connect e internet a comme ip 192 168 1 1 Il suffit avec une redhat mandrake d diter etc sysconfig network et d ajouter dedans GATEWAY 192 168 1 1 puis de red marer le r seau etc rc d init d network restart 3 Application par l exemple Nous allons mettre en place un firewall proxy Pour cet exemple le firewall aura la connexion a Internet interface eth2 et disposera de 2 pattes sur des r seaux priv s eth0 et eth1 e il fait office de proxy sur le port 3128 pour un r seau qui aura ainsi un acc s internet e et une DMZ zone d militaris e sur laquelle il y a un ensemble de serveurs disponibles de l ext rieur dont un serveur web qui a pour adresse 192 168 1 2 coutant sur le port 80 en TCP ethl gt t 3128 PCI PC2 PC3 eth2 lt r
401. tall Jabber a partir du fichier rom pour d marrer arr ter red marrer votre serveur Jabber tapez service jabber start stop restart et le mode debug option D service jabber stop usr sbin jabberd h jabber masociete com c etc jabber jabber xml B D Pour v rifier que le serveur Jabber est effectivement en service tapez ps ax grep jabber Vous devez obtenir un r sultat ressemblant aux deux lignes suivantes 3052 S 0 00 usr sbin jabberd h jabber masociete com c etc jabber jabber xml B gt 3053 S 0 00 usr sbin jabberd h jabber masociete com c etc jabber jabber xml B ou jabber masociete com est remplac par le hostname de votre serveur Le serveur jabber utilise les ports 5222 connexion normale avec le client 5223 connexion s curis e avec le client et 5269 connexion entre serveurs En tapant netstat an grep E 5222 vous devez obtenir la ligne suivante qui vous indique que le serveur Jabber coute le port 5222 tcp 0 0 0 0 0 0 5222 0 0 0 0 LISTEN De m me pour 5223 et 5269 Pour g rer le d marrage vous pouvez utiliser chkconfig chkconfig list less liste des services d marr s chkconfig add jabber ajouter jabber la liste des services chkconfig jabber off inhibition du d marrage automatique chkconfig jabber on d marrage automatique au d marrage 190 Configurer les composants d un r se RL eo Passerelles Passerelles Il exis
402. te lt iq id reg1 type get gt lt query xmins jabber iq register gt lt iq gt Vous devriez recevoir quelque chose du type lt iq id reg1 type result gt lt query xmins jabber iq register gt lt instructions gt Choose a username and password to register with this server lt instructions gt lt name gt lt email gt lt username gt lt password gt lt query gt lt iq gt Envoyer alors vos informations d enregistrement lt iq id reg2 type set gt lt query xmins jabber iq register gt lt username gt jabberuser lt username gt lt password gt secret lt password gt lt name gt Votre Nom lt name gt lt email gt votre email domaine com lt email gt lt query gt lt iq gt Si tout fonctionne correctement vous devez recevoir lt iq id reg2 type result gt Si le r pertoire de spool usr local jabber spoll jabber masociete com n est pas configur correctement lt error code 500 gt Password Storage Failed lt error gt lt iq gt 192 Configurer les composants d un r se L a Debugage Si votre nom d utilisateur existe d j lt error code 409 gt Username Not Available lt error gt lt iq gt Avant de vous logger sur votre compte nouvellement cr demander au serveur quelles infos sont n cessaires lt iq id auth1 type get gt lt query xmins jabber iq auth gt lt username gt jabberuser lt username gt lt query gt lt iq gt
403. te ligne comme elle est c est dire comment e pour 90 des cas devant PidFile var run httpd pid V rifiez bien que cette ligne soit d comment e Elle indique au script de d marrage d enregistrer le num ro de process d apache pour que lors de l arr t du syt me apache soit stopp correctement ScoreBoardFile var run httpd scoreboard Idem Cette ligne doit exister ce fichier stocke des informations pour le bon fonctionnement d apache lui m me RessourceConfig conf srm conf AcessConfig conf acess conf Les anciens fichiers de configuration d apache qui ne sont plus utilis s maitenant en fait tout est maintenant int gr dans httpd conf pour simplifier Ces options sont normalement comment es devant Timeout 300 Temps en millisecondes avant que le serveur n envoie ou recoive un timeout En fait quand le serveur attend une r ponse d un programme externe parseur PHP script CGI etc si au bout de 3s il ne recoit pas cette r ponse il Configurer les composants d un r seau 93 Configuration d apache httpd conf L a va envoyer un timeout au programme pour l arr ter et renvoyer un timeout l utilisateur pour le pr venir d une erreur Laissez cette valeur par d faut moins que vous vous aperceviez que des traitements prennent plus de temps que 3s et que le serveur n attend pas assez longtemps Ne montez pas trop haut cette valeur non plus car si le programme externe a plant ou si une erreur s est
404. te plusieurs briques additionnelles au serveur jabber de base mu conference conf rence multi utilisateurs jud Jabber User Directory r pertoire des utilisateurs et les passerelles pour les utilisateurs de AIM ICQ MSN et Yahoo Les paquetages sont distribu s avec la Mandrake 9 1 et peuvent donc tre install s facilement Configuration Paquetages Installer des logiciels Il faut ensuite les d clarer dans le fichier jabber xml c est g n ralement expliqu dans le fichier README du paquetage pour savoir ou il est rpm ql nom_du_paquetage et le fichier jabber xml est abondamment comment L exemple suivant s applique au paquetage jabber jud Une fois le paquetage install il existe un fichier jud so dans le r pertoire usr 1ib jabber jud Pour activer ce service il faut ins rer les lignes suivantes dans le fichier jabber xml dans la zone o sont d fini les services lt service id jud gt lt host gt jud monserveurjabber lt host gt lt load gt lt jud gt jud jud so lt jud gt lt load gt lt jud xmins jabber config jud gt lt vcard gt lt fn gt Annuaire des utilisateurs locaux lt fn gt lt desc gt Ce service est un annuaire des utilisateurs locaux lt desc gt lt url gt lt url gt lt vcard gt lt jud gt lt service gt Et la place du jud existant qui d clare l annuaire du serveur jabber org users jabber org dans la zone lt browse gt lt service type jud jid jud monserv
405. te quelle distribution Linux Il est m me possible de l installer depuis un serveur ftp http distant Que demander de plus Pour installer Smoothwall Il faut ins rer le cdrom dans votre lecteur puis rebooter la machine Les tapes sont e Choix du langage e Fen tre de bienvenue e Choix du mode d installation cdrom Configurer les composants d un r seau 69 Administration L a e Pr paration du disque dur partition et formatage toutes les donn es pr sentes sur le disque sont effac es e Configuration r seau carte verte IP statique 192 168 1 1 e Installation de SmoothWall e Configuration clavier latin et zone horaire e Hostname le nom donn votre firewall e Configuration ISDN Choisir disable si vous n utilisez pas ce mode de connexion Internet e Configuration USB ADSL idem e Configuration Ethernet Nota Vous pouvez choisir la configuration de votre firewall vert modem vert orange modem vert rouge vert orange rouge puis configurer chaque carte r seau pour une configuration constitu e d un modem reli au port s rie du firewall et une carte r seau reli e par un cable crois a votre PC choisir la configuration verte GREEN Conseils de configuration Carte Verte adresse IP statique 192 168 1 1 Etendue DHCP 192 168 1 100 a 192 168 1 200 Les clients de votre reseau local vert doivent tre configur pour obtenir une adresse IP automatiquement par DHCP Leur pa
406. tes si une machine ne r pond pas aux tests Cet article se veut seulement tre un moyen de mise en place rapide de cet outil et non un substitut la documentation officielle Installation des pr requis de SmokePing Voici la liste de ces programmes e RRDTool 1 0 x e FPing 2 4b2 e echoping e Apache e Perl 5 6 1 e SpeedyCGI Je vais d tailler l installation de tous ces programmes l exception d Apache et de Perl qui sont fournis g n ralement avec votre distribution Il est noter que les programmes FPing IPV6 et le module perl Socket6 seront installer si vous souhaitez g rer l IPV6 non d velopp ici Installation de RRDtool RRDtool permet de stocker les r sultats des mesures faites et de les afficher sous forme graphique wget http people ee ethz ch oetiker webtools rrdtool pub rrdtool 1 0 42 tar gz tar zxvf rrdtool 1 0 42 tar gz cd rrdtool 1 0 42 configure make su Password make install In s usr local rrdtool 1 0 42 usr local rrdtool Installation de FPing FPing est une version am lior e de la commande ping wget http people ee ethz ch oetiker webtools smokeping pub fping 2 4b2_to tar gz tar zvxf fping 2 4b2_to tar gz cd fping 2 4b2_to configure make su Password make install Installation de echoping echoping permet de tester les services echo http https smtp d une machine wget ftp ftp internatif org pub unix echoping echoping 5
407. the alias function it rocks Type he for help Please use cf to see a list of configuration Configurer les composants d un r seau 139 Utilisation L a flags set your local interface IP cf localif lt ipaddr gt if you want to use active transfer modes disconnected no path disconnected no path Comme vous le remarquez vous avez deux fois la ligne disconnected no path En fait cela est tr s simple pour pouvoir FXP il faut tre connect a 2 serveurs FTP en m me temps lorsque vous allez vous connecter au premier serveur la ligne du bas va changer pour devenir quelque chose du genre ftp dufbusiness com Shares L vous me dites mais comment je me connectes au deuxi me site Toute l astuce r side l il suffit d appuyer sur la touche entr e pour basculer sur l autre prompt si on peut dire Donc en ne tapant aucune commande dans la zone pr vue cet effet et en appuyant seulement sur la touche entr e on bascule du serveur 1 au serveur 2 et vice versa Enfantin me direz vous Commandes de base on La toute premi re commandes celle qui permet de se connecter a un serveur FTP on lt hostname IP gt port user pass Exemple on ftp serveurftp com 21 nom_user mot_de_passe pour se connecter sur un serveur ftp anonyme qui utilise le port 21 standard il suffit de faire on ftp serveur com et vous vous connectez directement sans sp cifier le port ou le mot de passe el Seconde c
408. tions sp cifiques par admettons que le mod_t1s soit d sactiv pour l ensemble du serveur mais que vous voulez juste l activer pour un virtualhost pr cis vous aurez alors une configuration proche de celle qui suit lt VirtualHost ftp duf_tls com gt ServerName FTP duf Port 6240 MaxClients 2 MaxClientsPerHost 1 TransferRate APPE STOR 63 AllowForeignAddress on AllowStoreRestart on DefaultRoot TLSRSACertificateFile home proftpd certs cert rsa duf pem lt lfModule mod_tls c gt TLSEngine off TLSLog var log proftpd tls log lt IfModule gt lt Limit LOGIN gt AllowUser user_tls DenyAll lt Limit gt lt LIMIT MKD RNFR RNTO DELE RMD STOR WRITE SITE XCUP gt AllowAll lt Limit gt lt VirtualHost gt Vous remarquez donc que la valeur de TLSProtocol n est pas indiqu dans le contexte virtualhost car comme j ai dit sa place est exclusivement dans le contexte Server Config Sinon comme vous pouvez le constater afin de chiffrer une communication FTP cela ne demande pas une grosse configuration dans le fichier proftpd conf Attention cette partie est tr s tr s succinte sur le sujet et moins que vous ne soyez pas d j familier avec la cr ation de certificats l utilisation de mod_tls avec apache par exemple cette partie sera tr s grandement insuffisante Donc ne vous aventurez dans cette configuration que si vous vous y connaissez d j un minimum et documentez vous au maximum avec les liens fourni
409. tls html http www tldp org HOWTO SSL Certificates HOWTO index html http www castaglia org proftpd doc contrib ProFTPD mini HOWTO TLS html Clients ftp ayant le support SSL TLS Configurer les composants d un r seau 133 vsFTPD serveur FTP gL a vsFTPD serveur FTP par Acid vsFTPd un serveur ftp ultra s curis et simple Il existe de nombreux serveurs ftp dont les plus connus sont wu ftp proftp mais qui sont souvent soit de v ritables trous de s curit comme l on en voit quasiment tous les jours sous wu ftp soit tr s gourmands en m moire comme c est le cas pour ProFTP Mais une solution existe elle est rapide s curis e et fait la joie d Alan cox d IBM et de bien d autres Et il se paye m me le luxe d tre plus s curis qu ftod BSD le serveur ftp d OpenBSD C est vsFTPd Very Secure File Transfert Protocol deamon En effet l auteur Chris Evans est parti de la constatation suivante il n y a pas de programmeur parfait et faire un applicatif r pondant toutes les normes de s curit est difficile surtout quand cela n a pas t pens la cr ation du projet Donc Chris a pris en compte tous ces probl mes avant m me de commencer coder son application Et il en est ressorti ceci e le respect de la gestion des droits et processus en respectant les r gles d Unix e La mise en cage des l ments cf chroot indispensable e la lutte n cessaire contre les buffer overflows Pour ce
410. tre ici le nom du serveur smtp de notre provider pour moi c est smtp free fr pour ceux qui ont lu la suite c est ici qu il faut pr ciser MAILHOST e Voulez vous mettre les mails dans la file d attente Comme nous ne sommes pas connect en permanent a internet nous r pondons oui cette question e Etes vous le serveur de mail d un serveur local Ce pourrait tre le cas mais dans le cadre de cet article nous supposerons que non e Support pour les domaines virtuels Avez vous besoins de a A vous de voir mais je ne d taillerai pas cela donc non e Voulez vous remapper des adresses locales en d autres Comme notre r seau ne fait pas partie d internet il faut r pondre oui e Pour la section 5 de install sendmail cr er les alias que vous souhaiter la proc dure est suffisamment explicite e Voulez vous utiliser le support de Fetchmail oui nous utiliserons fetchmail pour r cup rer les mails venant de l ext rieur de tous nos comptes pop3 e La configuration des diff rents compte pop3 est suffisamment simple pour ne pas tre explicit e Attention toutefois dans la partie login entrez bien l adresse email sans le isp fr correspondant au serveur pop e Ensuite install sendmail g n re les fichiers n cessaires sendmail et fetchmail fet chmailrc access access db sendmail mc sendmail cf et sendmail cw Puis il vous demande le mot de passe du root pour les copier o il faut dans etc et root ainsi que l
411. tre serveur DNS qui fait cache avec les serveurs root d internet ce qui vous garantit des r ponses fiables e Dans le cas o vous partagez votre connexion internet modem cable adsl ou m me simple modem il est tr s utile d utiliser un serveur DNS cache Par contre pour que vos stations qui utilisent cette connexion partag e se servent de ce serveur cache DNS n oubliez surtout pas de configurer toutes les stations pour qu elles utilisent comme serveur DNS votre serveur et pas un autre Pour cela donnez comme adresse de serveur DNS l adresse interne c t LAN donc de votre serveur Configurer les composants d un r seau 147 DNS BIND 2 me partie serveur de Zone L a DNS BIND 2 me partie serveur de Zone Par Serge Pour cet article je consid re que vous avez lu la 1 re partie sur les serveurs DNS cache qui permet d j de comprendre les fichiers de zones et donne la configuration minimale d un serveur DNS Sans cette configuration minimale votre serveur DNS ne fonctionnera pas J explique dans cet article comment configurer une zone personnelle pour un serveur primaire et secondaire Je n explique pas les zones inverses ni la s curit que l on peut ajouter sur les zones que notre serveur va contenir Ces parties seront vu dans un 3 me article configuration avanc e Un serveur DNS pour mon domaine Nous prenons ici un exemple de configuration pour le domaine org Remplacez bien s r avec votre propre domaine Attent
412. ts allant n importe o 0 0 0 0 sur 0 bit Son tat est MASQ pour masquer le paquet c est dire que l ent te du paquet IP trait sera modifi pour contenir la place de l adresse IP locale l adresse IP de votre gateway ce stade vous pourrez v rifier que vous tes bien capable d acc der l ext rieur depuis un ordinateur sur votre r seau local Pinger par exemple un ordinateur quelconque bash ping info polymtl ca PING info polymtl ca 132 207 12 85 56 data bytes 64 bytes from 132 207 12 85 icmp_seq 0 tt1 250 time 4 7 ms 64 bytes from 132 207 12 85 icmp_seq 1 tt1l 250 time 2 7 ms Ceci montre bien qu il est possible d acc der l ext rieur Les modules ipchains Informations sur la redirection de donn es Vous remarquerez que si vous vous contentez seulement de cette r gle beaucoup de logiciels fonctionneront Netscape ICQ pour les messages plus au moins les sites FTP Mais vous remarquerez galement que tout ne marche pas comme il faut Les transferts de fichier via ICQ ne fonctionnent pas le listing des r pertoires d un site FTP ne fonctionne pas galement Pour comprendre cela il faudra comprendre ce que fait ipchains Ipchains ne fait simplement que remplacer l adresse IP locale situ e dans l ent te des paquets par l adresse IP de votre gateway Imaginez maintenant qu un programme place l adresse IP dans le corps du paquet c est dire dans les informations qu il veut envoyer Ipchains n tant p
413. ts IP sortir A OUTPUT sauf qu elle pr cise en plus que les paquets sortants ont le droit d initier une nouvelle connexion state NEW Sinon la premi re r gle aurait tr s peu de chance de fonctionner aucune liaison ne serait jamais tablie Pour autoriser plusieurs ports en m me temps on peut soit taper plusieurs r gles comme la pr c dente une par port ou alors utiliser la syntaxe exemple pour le http et le https suite du script IPTABLES A INPUT i EXTERNAL_IF p tcp m multiport sports www https m state state ESTABLISHED RELATED j ACCEPT IPTABLES A OUTPUT o EXTERNAL_IF p tcp m multiport dports www https m state state NEW ESTABLISHED RELATED j ACCEPT Cas g n ral internet vers r seau local Pour autoriser les machines d internet se connecter votre serveur local dans l exemple j autorise la connexion votre serveur WEB www 174 Configurer les composants d un r se L a Autoriser des connexic suite du script IPTABLES A OUTPUT o EXTERNAL_IF p tcp sport www m state state ESTABLISHED RELATED j ACCEPT IPTABLES A INPUT i EXTERNAL_IF p tcp dport www m state state NEW ESTABLISHED RELATED j ACCEPT Si vous voulez autoriser une connexion d internet vers l un des serveurs de votre r seau local la place du serveur qui joue le r le de mur pare feu alors il faut faire du port forwarding en utilisant les cibles SNAT et DNAT en plus d ACCEPT mais cel
414. tte fa on Configurer les composants d un r seau 145 Un serveur DNS qui fait cache L s search domainel tldl domaine2 tld2 nameserver adressel nameserver adresse 2 nameserver adresse 3 Attention tout de m me ne pas surcharger en nombre d entr es dans la ligne search car ca va prendre du temps chercher dans tous les domaines sp cifi s Diff rentes entr es sur cette ligne ne servent que si vous tes sur un r seau local avec plusieurs noms de domaines et que vous avez l habitude d appeler les machines juste par leurs noms d h te Dans le cas d une machine reli e au net mettre juste le nom de domaine de votre machine et rien de plus ll reste encore un fichier configurer le fichier etc host conf ditez ce fichier et v rifiez que la premi re ligne de ce fichier comporte order hosts bind Cette ligne oblige le r solveur regarder en premier les entr es du fichier etc hosts puis de faire appel au serveur de nom qui est sp cifi dans etc resolv conf Test de la configuration Nous allons tester maintenant que la configuration fonctionne Lancez votre connexion l internet V rifiez que le serveur DNS n est pas d j d marr par un ps aux grep named Si la seule ligne que vous renvoie cette commande est grep named c est que named n est pas lanc Sinon relevez le num ro de PID de named et killez le kill num ro_du_PID Relancez ou lancez named par la commande usr sbin ndc start
415. tte raison galement de nombreuses commandes utilis es par vsFTPd font partie de l application et ne font pas appel au syst me pour le Is par exemple ceci a pour cons quence de s curiser encore un peu plus le syst me et d acc l rer le traitement des informations Pour cette raison sa conception est modulaire chaque partie tant trait e de mani re ind pendante r duisant ainsi le nombre d erreurs de programmation possible et son optimisation importante Pour cette raison aussi il ne fonctionne pas en mode autonome comme c est le cas de ProFTPd mais doit tre appel partir d inetd ou de xinetd Exemple de configuration xinetd service ftp socket_type wait user server server_args log_on_success log_on_failure nice disable stream no root usr local sbin vsftpd DURATION USERID USERID 10 no Ceci permet en outre de pouvoir r guler la bande passante utilis e Par d faut vsFTPd la configurera en standard interdit tout ou presque c est vous et seulement avec quelques lignes de configuration d finir quelles seront les capacit s et les acc s autoris s ou interdits l utilisateur pour vous en convaincre voici mon fichier standard de configuration de vsFTPd anonymous_enable NO connexion en tant qu anonyme interdite local_enable YES connexion pour les utilisateurs locaux auoris s write_enable NO criture interdite anon_upload_enable NO Upoad pour anonyme interdit
416. u a dire au firewall d autoriser a transmettre des paquets TCP a destination du port 80 provenant de l adresse IP publique i e d internet vers le serveur web de la DMZ que nous avons nat pr c demment iptables A FORWARD i ppp0 o eth0 p tcp destination port 80 m state state NEW ESTABLISHED j ACCEPT iptables A FORWARD o ppp0 i eth0 p tcp source port 80 m state state ESTABLISHED j ACCEPT Maintenant il ne reste plus grand chose a faire 11 faut permettre l ensemble du LAN de dialoguer sur internet avec la m me adresse IP sinon bien videmment a ne marchera pas moins que vous ayez 30 adresses ip Une petite r gle de NAT avec un j MASQUERADE suffira masquerade dialoguer avec l adresse IP publique sur firewall iptables t nat A POSTROUTING He s 192 168 2 0 24 j MASQUERADE Il faut galement que le serveur web de la DMZ soit masquerad sinon le serveur dialoguera sur internet avec son IP priv e iptables t nat A POSTROUTING He s 192 168 1 0 24 j MASQUERADE Toutes les r gles qui n ont pas pass les r gles du firewall seront refus es et logu es facile iptables A FORWARD j LOG_DROP iptables A INPUT j LOG DROP iptables A OUTPUT j LOG_DROP Configurer les composants d un r seau 3 Application par l exerr 67 3 Application par l exemple amp L a Pour faire zoli echo Termine c est enfin fini Et voila le
417. u est charg Attention si vous lancez un ping sur un serveur et que celui ci ne r pond pas cela ne signifie pas forc ment qu il y ait un probl me En effet les firewalls peuvent bloquer toute r ponse un ping et faire chouer toute tentative de ping sur eux 22 Configurer les composants d un r se L a Les principaux outils de diagnostic route Permet d afficher la table de routage en cache Une commande quivalente est netstat r La commande affiche la table de routage et effectue la r solution de nom d s que possible Les commandes route n ou netstat rn affichent le table de routage sans r solution de nom Exemple root pingu route Table de routage IP du noyau Destination Passerelle Genmask Indic Metric Ref Use Iface loopbackl 1ns10 255 255 255 255 UH 0 0 0 ppp0 thepingu 255 255 255 0 U 0 0 0 ethl 127 0 0 0 255 0 0 0 U 000 lo default loopbackl 1ns10 0 0 0 0 UG 0 0 0 ppp0 root pingu route n Table de routage IP du noyau Destination Passerelle Genmask Indic Metric Ref Use Iface 62 4 16 253 0 0 0 0 255 255 255 255 UH 0 0 O ppp0 192 168 0 0 0 0 0 0 255 255 255 0 U 0 0 O ethl 127 0 0 0 0 0 0 0 255 0 0 0 U 000 lo 0 0 0 0 62 4 16 253 0 0 0 0 UG 0 0 0 ppp0 Pour info U routeur install et op rationnel G passerelle distante H destination est un h te et non un r seau Un examen de la table de routage vous permet de v rifier par exemple que la machine sur laquelle vous travaillez et qui se
418. u option peut prendre les valeurs start stop restart status ou extendedstatus selon votre besoin En clair pour d marrer Apache tapez etc rc d init d httpd start Note 2 Sur Mandrake vous pouvez galement utiliser la commandeservice service httpd start par exemple En principe l installation d Apache a modifi les fichiers de configuration du lancement de LINUX Le d mon httpd devrait donc d marrer syst matiquement et automatiquement chaque boot L installation a par ailleurs d marr imm diatement ce d mon il n est donc pas n cessaire de rebooter comme on le ferait avec un autre syst me d exploitation tr s connu avec lequel le moindre changement de mulot passe par un reboot Nous pouvons par ailleurs passer imm diatement au test du serveur sans passer par la moindre phase de configuration Pour cela chargez votre navigateur pr f r pour ma part j utilise Konqueror Saisir http 1ocalhost dans la barre d URL Vous voyez appara tre apr s quelques instant une page de pr sentation d Apache En fait le serveur Apache vient d envoyer la page var www html index shtml affirmation que vous pourrez facilement v rifier en tapant file var www html index shtml dans la barre d URL de votre navigateur Attention il n y a qu un slash apr s file alors que par habitude vous pourriez tre tent s comme moil d en mettre deux La page affich e dans ce cas est bien la m me que la premi re Les diff rences d affichage da
419. uer les r gles de filtrage que l on souhaite Comme le traffic r seau ne fait QUE le traverser les r gles de filtrage ne sont que des r gles de forwarding bien s r pas de INPUT ni OUPUT On applique les r gles comme pour un firewall de type gateway sauf la chaine FORWARD Je vous donne ici un exemple de filtrage vous d adapter suivant votre r seau vos applications voir la rubrique iptable pour cela Appeler ce fichier rc firewall par exemple et lancez le au boot de la machine bin bash Script Firewalling exemple PATH usr sbin PATH On vide les chaines iptables F On efface toute les chaines utilisateurs iptables X Notre r seau que l on s curise LANS 192 168 0 0 255 255 255 0 Adresse de notre serveur web et ftp WEB 192 168 0 10 FTP 192 168 0 20 On cr la chaine KEEP_STATE pour suivre l tat des connexions iptables N KEEP_STATE iptables F KEEP_STATE On drop les paquets non valides iptables A KEEP_STATE m state state INVALID j DROP On accepte les paquets provenant bien d une connexion et dont l etat est correct iptables A KEEP_STATE m state state RELATED ESTABLISHED j ACCEPT On drop et log tout paquet dans un tat incorect et qui permet des scans Denial of service iptables A FORWARD p tcp tcp flags ALL FIN URG PSH m limit limit 5 minute j LOG log level notice log prefix NMAP XMAS iptables A FORWARD p tcp tcp flags ALL FIN UR
420. uf com gt ServerName Mon serveur FTP virtuel numero 2 Port 47000 MaxClients 3 MaxClientsPerHost 1 DefaultRoot S lt Limit LOGIN gt AllowUser Foo DenyAll lt Limit gt lt VirtualHost gt Configurer les composants d un r seau 131 Utilisation de proftpd amp L a Voila pour ce qui est du fichier proftpd conf Utilisation de proftpd Alors l c est plutot simple deux cas de figure Soit vous avez indiqu dans le fichier proftpd conf que le serveur d marre en standalone ou par inetd Si c est en inetd il faut relancer le d mon inetd ou xinetd suivant votre distribution Pour le red marrer faites etc rc d init d xinetd restart ftp localhost Si votre serveur est en standalone vous faites simplement etc init d proftpd start Sachez que vous pouvez passer les commandes start restart stop status a etc init d proftpd Sinon pour ceux qui veulent utiliser proftpd avec xinetd voila une marche a suivre il faut copier le fichier ftp d vers proftpd en faisant cp etc xinet d wu ftpd etc xinet d proftpd Ensuite il faut diter le fichier etc xinet d proftpd comme l exemple suivant service ftp disable no flags REUSE socket_type stream instances 10 wait no protocol tcp user root server usr local sbin in proftpd Cette partie l je ne l ai pas test donc si vous avez un probl me renseignez vous sur l utilisation de xinetd personnellement je n en sais pas plus Pro
421. ui devrait provoquer l affichage d un tableau une seule cellule titr e user et contenant une information du genre lambda localhost 5 Contr le des acc s MySQL initi s par des scripts PHP Un script PHP qui acc de une base de donn es MySQL le fait dans des conditions fix es par la syntaxe de la commande de connexion En PHP on obtient une connexion un serveur MySQL au moyen de la commande mysql_connect Celle ci utilise trois arguments host user password et renvoie une valeur TRUE 1 si la connexion est tablie FALSE 0 si celle ci a chou Le login de connexion ainsi que le mot de passe apparaissent donc en clair dans le script de connexion ce qui est moyennement satisfaisant Aspect positif le script lui m me n est jamais envoy au client puisque PHP s ex cute enti rement sur le serveur contrairement JAVA Il n y a donc aucune raison pour qu un visiteur puisse lire ce mot de passe Oui mais il n y a pas que des visiteurs normaux Une protection suppl mentaire et aussi une simplification si on r dige beaucoup d applications PHP est de d finir ses variables host user et password dans un fichier ext rieur au script lui m me et d incorporer ces valeurs au moyen d une directive include Avantage le fichier qui contient les variables peut tre stock en dehors des sous r pertoires consult s normalement par Apache hors de l arborescence var www html et prot g par un fichier htaccess Finalem
422. um ro de version on le compose par la suite des chiffres de l ann e en cours mois jour et le nombre de changements effectu s ce jour l AAAAMMJJNN Donc par exemple si je modifie la zone le 10 juillet 2003 je vais mettre 2003071001 puis je m aper ois que je me suis tromp donc je la modifie a nouveau le m me jour donc ce serial devient 2003071002 et si je la modifie ensuite le 15 ao t de la m me ann e le serial devient alors 2003081501 Cette r gle n est pas du tout obligatoire vous pouvez utiliser votre propre r gle du moment que le nombre soit incr ment et que ce nombre ne comporte pas plus de 10 chiffres Refresh Temps en secondes d attente du serveur secondaire avant de contr ler si le serveur primaire a subi une modification au niveau de sa zone Sur 8 chiffres max Retry Temps d attente du serveur secondaire avant de faire nouveau une demande si le serveur primaire n a pas r pondu une requ te Sur 8 chiffres max Expire Temps pendant lequel le serveur secondaire va conserver les donn es en cache Si ce d lai est d passe et que le serveur secondaire n a pas pu contacter le serveur primaire il va alors consid rer que les donn es qu il a en cache ne sont plus fiable et ne pourra plus servir de serveur secondaire pour la zone tant qu il n aura pas r ussi a contacter le serveur primaire Sur 8 chiffres max Ttl Valeur par d faut de ttl des enregistrements On peut sp cifier les ttls au niveau de chaque
423. un modem c ble Elle est activ e par l appel de son module 3c59x o l aide de la commande bash insmod 3c59x Aucun param tre suppl mentaire n est n cessaire l IRQ et le port IO seront trouv s automatiquement Sous Debian pour que ce module soit charg automatiquement au d marrage il faudra rajouter une ligne contenant 3c59x au fichier etc modules bash echo 3c59x gt gt etc modules Configurer les composants d un r seau 7 Configurations principales KL 4 bash cat etc modules ou bien utilisez un diteur de texte quelconque pour rajouter votre ligne vous m me N oubliez pas de mettre jour votre fichier etc modules conf l aide de la commande bash update modules Note de Jic pour un partage de connexion par modem le modem remplace cette premi re carte Il faut donc s assurer de la pr sence du support PPP dans le noyau ainsi que du paquetage pppd 2 carte r seau Pour ce qui concerne la deuxi me carte cela a t un peu plus d licat pour ma part En effet tant donn qu avec 5 dollars on ne peut trouver facilement que des cartes ISA il m a fallu fournir le canal IRQ et le port IO manuellement a la ligne de commande Apr s avoir cherch un moment sur l internet les manuels de ma carte r seau ISA une digital DE201 il a finalement t possible de comprendre comment utiliser les cavaliers jumpers pour les semi francophones En v rifiant le fichier oroc interrupts et pro
424. un mot de passe invalide Corrigez cela et tout devrait rentrer dans l ordre Et c est tout Recommencez pour tous les utilisateurs auxquels vous souhaiter autoriser les connexions SAMBA sur votre serveur A partir de maintenant les utilisateurs que vous avez ajout seront connus de SAMBA et ils ont donc la possibilit d s que nous les y autoriserons de se connecter au serveur Ne quittez pas SWAT pas encore Configuration de SAMBA en tant que serveur de fichiers Configurations des partages de types HOMES Lancez SWAT Cliquez sur lt GLOBALS gt Puis remplisser les zones saisie en suivant les conseils de ce tableau Zone de saisie Valeur Commentaire mettez ce que vous voulez Sachez simplement que c est plus agr able de mettre un nom connu de vos workgroup WORKGROUP s qu p q p g machines Win Par exemple vous pouvez laisser WORKGROUP serveur strii Serveur Libre mettez ce que vous voulez C est un commentaire un truc du style Serveur Libre Linux Samba sera le 3 Linux Samba bien venu interfaces rien il faut indiquer les adresses IP des interfaces qui serviront tablir la liaison entre SAMBA et les machines clientes ainsi que le masque r seau par exemple si vous avez deux cartes ethernet adresses 192 168 1 1 et 192 168 2 1 connect es respectivement aux r seaux 192 168 1 0 et 192 168 2 0 mettez Configurer les composants d un r seau 113 Configuration de SAMBA en tant que serveur de fich
425. un navigateur client il commence par v rifier les autorisations d acc s voir ci dessus S il ne rencontre pas de veto alors il part la recherche d un ventuel fichier index html ou index php si PHP est install S il ne trouve pas ce fichier alors il affiche le contenu du sous r pertoire qui appara t donc en clair pour le visiteur Pour viter que le contenu du sous r pertoire ne s affiche il suffit donc de cr er un fichier index html ou index php Concevoir le contenu de ce fichier de telle sorte qu il r ponde votre attente du simple message d avertissement au script PHP qui va renvoyer de force le visiteur dans le droit chemin C est simple et relativement efficace pour un environnement non critique La solution la plus simple consiste simplement cr er un fichier index html vide Le navigateur recevra donc une page blanche Pas tr s explicite mais simple et efficace Attention il s agit l simplement de cr er une dissuasion Nous ne sommes plus dans le domaine de la protection g r e comme ci dessus Un utilisateur qui conna trait un ou plusieurs noms de fichiers contenus dans ce sous r pertoire pourrait y acc der sans le moindre probl me en tapant simplement leurs URL complets De gr ce ne construisez pas un site central de banque avec de telles m thodes 4 Protection du gestionnaire de bases de donn es MySQL Un peu comme dans le cas d Apache cette section est sp cifique MySQL Il importe peu pour ce qui va suivre
426. une machine gateway il faudra trouver un moyen de charger des r gles de fonctionnement pour ipchains d s le lancement de l ordinateur Le programme ipmasa est fourni dans la distribution Debian 2 2 mais il est bien trop complexe pour d buter correctement s il est install d sinstallez le pour le moment Un petit script de lancement tap la main fera tr s bien l affaire Avant toute chose il faudra s assurer que la redirection de paquet d information est possible il faudra donc que le fichier proc sys net ipv4 ip_forward contiennent le chiffre 1 et non 0 qui le d sactive Pour que ce fichier soit toujours 1 il faudra galement modifier le fichier etc network options pour que la modification soit prise en compte chaque d marrage de l ordinateur Voici de quoi aura l air le fichier etc network options ip_forward yes spoofprotect yes syncookies no Pour rendre possible la redirection nous avons expliqu qu il fallait modifier le fichier oroc sys net ipv4 ip_forward bash echo 1 gt proc sys net ipv4 ip_forward La seule et unique r gle ipchains n cessaire a la redirection d internet consiste a forwarder les paquets d information provenant du r seau vers l ext rieur Ceci ce fait l aide de la commande bash ipchains A forward j MASQ s 192 168 1 0 24 da 0 0 0 0 0 La r gle s inscrit dans la cha ne forward elle s applique aux paquets d information provenant de votre r seau local 192 168 1 xxx sur 24 bi
427. ur installer pptp tar zxf pptp linux 1 0 2 patched tar gz cd pptp linux 1 0 2 make install b pptp pptp_callmgr usr sbin Et voil nous avons le support pptp Configuration de ppp Comme je l ai indiqu plus haut pptp se sert de ppp et d une interface ethernet donc il est logique de configurer ppp Nous allons donc modifier les fichiers de configuration de ppp les fichiers etc ppp options et etc ppp pap secret Pour etc ppp options noauth name login mettre ici le login que vous a fourni votre provider noipdefault defaultroute mtu 1492 mru 2400 Et pour etc ppp pap secret Configurer les composants d un r seau 49 Connexion ADSL via le protocole PPTP ZL 2 login password login et password fourni par votre provider mettre entre guillemets Configuration de l interface ethernet Il nous reste maintenant configurer l interface ethernet qui est reli e au modem ADSL Je n explique pas comment la prendre en charge par le noyau voir la rubrique connexion r seau local de cette m me section pour a Je suppose que cette interface est eth0 adaptez suivant votre configuration bien s r Affectons l adresse IP 10 0 0 10 cette interface attention bien mettre une adresse de ce r seau IP priv et pas d un autre ifconfig eth0 10 0 0 100 Et voil N oubliez pas non plus de configurer votre etc resolv conf pour qu il contienne les adresses de serveurs DNS serveurs de nom de votre fournis
428. ur v rifier si le serveur fonctionne comme il faut on peut utiliser le programme nslookup En entrant diff rents noms de domaine le programme nous retourne l adresse IP du nom de domaine entr bash nslookup comp six Server localhost Address 127 0 0 1 Name comp six ch19231 rez Address 192 168 1 16 N oubliez pas non plus de tester la conversion d adresse IP vers des noms de machine la place d entrer comp five entrez par exemple 192 168 1 15 vous devriez avoir une r ponse ad quate Pour de plus amples informations sur nslookup vous pouvez consulter ses pages man man nslookup vous y d couvrirez par exemple qu en entrant set query ANY vous aurez tous les d tails possibles fournis par le serveur de noms Serveur Samba Le serveur Samba permettra des ordinateurs sous windows dans votre r seau local d utiliser de l espace disque ou l imprimante de votre ordinateur gateway Il sera ainsi possible de mettre disposition de tout le monde une imprimante La configuration du serveur samba est rien de plus simple le fichier de configuration etc samba smb conf par d faut contient tous les commentaires n cessaires la compr hension du serveur Voici un exemple de fichier etc samba smb conf etc smb conf Sample configuration file for the Samba suite for Debian GNU Linux Please see the manual page for smb conf for detailed description of every parameter global Interface configuration interf
429. urces de ces r gles a l adresse suivante http Awww SNORT org dl signatures Cr ez le r pertoire de configuration SNORT et installez y les r gles COMMANDES REMARQUES mkdir etc snort Cr ation du r pertoire contenant la configuration SNORT cp usr local snort etc snort conf etc snort Copie du fichier de config snort dans etc snort cp snortrules tar gz etc snort Mise en place des r gles dans le r pertoire de configuration SNORT cd etc snort On se place dans le r pertoire de configuration SNORT tar xvzf snortrules tar gz D compactage des r gles Les r gles SNORT sont alors plac es dans le r pertoire etc snort rules Maintenant II faut diter le fichier de configuration snort etc snort snort conf et sp cifier le r seau sur lequel l IDS travaille Il faut pour cela modifier la variable HOME_NET Configurer les composants d un r seau 177 Lancement de SNORT var HOME_NET 10 1 1 0 24 var HOME_NET 10 1 1 0 24 192 168 1 0 24 ABL a SNORT travaille sur le r seau 10 1 1 0 Si votre carte r seau poss de 2 alias Dans le fichier de configuration de SNORT etc snort snort conf vous avez toute une s rie de include Il s agit des r gles utilis es par SNORT pour d tecter d ventuelles intrusions Il y a des r gles de telnet ICMP FTP Bref commentez celles que vous ne voulez pas et d commentez celles qui vous parait utile Conseil D commentez les r gles ICMP car elles ne cessent p
430. urer les composants d un r seau 129 Configuration L a L nous avons donc sp cifier les diff rents chemins n cessaires vers le certificat le protocole utilis l activation du moteur TLS le chemin vers le log sp cifique au mod_tls et quel type de requ te le client doit r pondre TLSProtocol Cela sert d finir quelle version de protocole mod tls doit utiliser A noter que cette directive ne peut tre utiliser que dans le contexte de configuration Server Config Les choix possibles ici sont TLSv1 autorise seulement TLSv1 SSLv3 autorise seulement SSLv3 et SSLv23 qui autorise les deux SSLv3 et TLSv1 TLSEngine Cela permet d activ ou non le mod_t1s avec on pour actif et off pour inactif naturellement Par d faut il est d sactiv la fois pour le serveur principal et les virtualhosts TLSLog Chemin vers le fichier log sp cifique au mod tls TLSRequi red Cela sert d finir une politique s curitaire basique si il est ctrl alors SSL TLS est requis sur le canal de contr le si il est data alors SSL TLS est requis sur le canal de donn es transfert des donn es si il est on alors SSL TLS est requis sur les 2 canaux donn es et contr le et si il est off alors SSL TLS n est requis sur aucun des 2 canaux Voil pour la partie configuration par d faut dans le contexte Server Config maintenant si vous avez en plus des virtualhosts et que vous voulez faire des configura
431. uste Le proxy Junkbusters BRARD Emmanuel Installer le proxy Junkbusters Introduction Junkbusters est un proxy http web qui bloque les banni res de publicit des sites web ll est facile mettre en oeuvre et est tr s pratique puisque vous ne perdez plus de temps t l charger ces banni res Pr requis Vous pouvez trouver Junkbusters cette adresse _http www junkbusters com Mise au Point Un proxy est une passerelle entre vous et le web pour le http ll g re les requ tes http et pour Junkbuster bloque les requ tes ind sirables Installation T l chargez le puis d compressez le o vous le voulez Compilez les sources si vous n avez pas l ex cutable par configure amp make amp make install Vous pouvez si vous le souhaitez effacer le fichier junkbusters exe puisque c est la version pour Windows 9x Bien maintenant on a 3 fichiers de configuration a crire eblockfile ecookiefile e config On va commencer par cookiefile puisqu on veut recevoir TOUS les cookies Ouvrez votre diteur et mettez y x Enregistrez votre fichier en cookiefile Maintenant config listen address localhost 8080 machine locale port 8080 blockfile etc junkbusters blockfile o est le fichier blockfile cookiefile etc junkbusters cookiefile o est le fichier cookiefile Comme vous le voyez les fichiers sont tous dans etc junkbusters cr ez ce repertoire et d posez y les fichiers que vous avez cr
432. uter des nouvelles cibles qui auront la possibilit de loguer ce qui se passe La on logue et on refuse le paquet on rajoute un pr fixe pour pouvoir s y retrouver dans les logs iptables N LOG_DROP iptables A LOG_DROP j LOG log pretis IPTABLES DROP iptables A LOG_DROP j DROP Configurer les composants d un r seau 65 3 Application par l exemple L a ici on logue et on accepte le paquet on rajoute un pr fixe pour pouvoir s y retrouver dans les logs iptables N LOG_ACCEPT iptables A LOG_ACCEPT j LOG log prefix IPTABLES ACCEPT 3 1 iptables A LOG_ACCEPT j ACCEPT On veut faire un firewall efficace donc la politique a appliquer est de tout refuser par d faut et rajouter une a une les r gles que l on autorise Bien sur on a RTFM un peu et on a vu que l option P permet de d finir la cible par d faut Se OH OSE OSE HEHEHE iptables P INPUT DROP iptables P OUTPUT DROP iptables P FORWARD DROP Pour viter les probl mes on va tout accepter sur la machine en local interface lo Je d conseille de retirer cette r gle car a pose pas mal de probl mes et a peut faire perdre la main sur la machine Se Se SE OSE HE iptables A INPUT i lo j ACCEPT iptables A OUTPUT o lo J ACCEPT Bon la partie initialisation et pr paration est termin e passons aux choses s rieuses Comme on l a dit dans la pr sentation de l architecture r seau le firewall fa
433. utilisateur celui avec lequel vous vous loguerez pour une utilisation normale de l ordinateur Pcmcia package moins d utiliser un ordinateur portable ce qui n est pas pratique pour partager l ordinateur d ailleurs r pondez oui la question demande de supprimer les package pcmcia PPP Si vous utilisez un modem installez le support PPP Ce document ne traite pas de partager une connexion t l phonique internet Note de Jic Pour partager une connexion par modem la d marche est quasiment la m me Scan another CD C est cet endroit o vous ferez scanner vos CD pour que debian sache ce qu il peut installer Add another apt source Il est possible ici de rajouter une source de programme d installation sur l internet C est votre choix personnellement pour ne pas tre attard par des d lais de download je ne choisis pas cette option 6 Configurer les composants d un r se L a Installation de Lint Simple Advanced L option simple vous pr sentera plusieurs profils a installer ne vous laissant pas le choix de choisir les programmes a installer au d but Tandis que le mode expert vous permettra de choisir les programmes que vous voulez installer N oubliez pas que vous pouvez rajouter vos logiciels par la suite a l aide du logiciel dselect Le choix de l option simple vous pargnera du temps pour le moment vous pourrez toujours rajouter ou supprimer vos logiciels par la suite Installations des logiciels Package
434. uton hybrigenics fr gt for sending the correct chat script for the passwd program in Debian Potato passwd program usr bin passwd u passwd chat Enter snew sUNIX spassword n n Retype snew sUNIX spassword n n The following parameter is useful only if you have the linpopup package installed The samba maintainer and the linpopup maintainer are working to ease installation and configuration of linpopup and samba message command bin sh c usr bin linpopup Sf Sm Ss rm s amp The default maximum log file size is 5 MBytes That s too big so this next parameter sets it to 1 MByte Currently Samba rotates log files var log smb nmb in Debian when these files reach 1000 KBytes A better solution would be to have Samba rotate the log file upon reception of a signal but for now on we have to live with this max log size 1000 homes comment Home Directories path home browseable yes By default the home directories are exported read only Change next parameter to no if you want to be able to write to them read only no File creation mask is set to 0700 for security reasons If you want to create files with group rw permissions set next parameter to 0775 create mask 0700 Directory creation mask is set to 0700 for security reasons If you want to create dirs with group rw permissions set next parameter to 0775 directory mask 0700
435. vant cela nous devons cr er des comptes utilisateurs qui de plus vont servir pour le chemin d installation de Qmail Dans cet article le chemin d installation est celui par d faut c est dire var qmail Nous cr ons ces comptes utilisateurs par les commandes en root bien sur groupadd nofiles useradd g nofiles d var qmail alias alias useradd g nofiles d var qmail qmaild useradd g nofiles d var qmail qmaill useradd g nofiles d var qmail qmailp groupadd qmail useradd g qmail d var qmail qmailq useradd g qmail d var qmail qmailr useradd g qmail d var qmail qmails Remarque Si vous souhaitez installer Qmail dans un autre r pertoire que var qmail modifiez les commandes ci dessus avec le chemin souhait Il nous reste plus qu compiler Qmail make setup check Configurons maintenant Qmail via la commande config fast hostname fqdn Vous devez voir appara tre quelque chose du style Your fully qualified host name is mailhub lea linux org Putting tarsier lea linux org into control me Putting lea linux org into control defaultdomain Putting lea linux org into control plusdomain Si avez une erreur ou autre insulte de la sorte essayez en rempla ant hostname fqdn par votre nom d h te complet par exemple config fast mailhub lea linux org Qmail utilise deux styles de mailbox bo te aux lettres diff rents le mbox traditionel comme sendmail un fichier nomm comme le login de
436. verbeux permet d obtenir les messages de debugage plus ou moins complets plus il y a de v plus vous obtenez d information le nombre maximum tant 3 1 ou 2 version de ssh employ Il est d conseill d employer la version 1 du protocole Bien qu aucun exploit public ne circule les faiblesses cryptographique du protocole ont t prouv e De plus la version 2 est reconnue par l IETF p port Num ro du port distant Exemple d utilisation ssh vv 1 utilisateur p port 1 2 h te ou ssh utilisateur h te L h te distant doit avoir un serveur ssh nomm sshd qui permet la connexion Cr ation de paire de clefs Ssh s appuie sur des algorithmes paire de clefs ce qui signifie que vous disposez d une clef publique disponible pour tout un chacun et une clef priv e dont vous gardez jalousement l entr e Ce syst me va nous permettre de nous identifier aupr s des h tes que nous d sirons contacter Il nous faut au pr alable cr er le trousseau ssh keygen t dsa Generating public private dsa key pair Enter file in which to save the key home jop ssh id_dsa Enter passphrase empty for no passphrase Enter same passphrase again Your identification has been saved in home jop ssh id_dsa Your public key has been saved in home jop ssh id_dsa pub The key fingerprint is 4a 0b 3b eb ed 05 47 56 cb 23 28 d3 d7 81 69 08 ssh keygen t rsa Generating public private rsa key pair Enter file in which to s
437. vpopmail Pour ma part pour des questions de coh rence avec Qmail je l installe dans var vpopmail De plus je trouve logique de l installer dans var car c est le repertoire o l on trouve normalement tout les fichiers qui varient en permanence mail logs pid etc Donc nous faisons en root bien sur groupadd g 89 vchkpw useradd g vchkpw u 89 d var vpopmail vpopmail Remarque changez le chemin var vpopmai1 par le chemin d installation que vous d sirez bien sur Vous devez cr er le r pertoire de Vpopmail avant de continuer pour notre exemple mkdir var vpopmail Vpopmail poss de un script de configuration avant la compilation le bien connu configure auquel nous allons passer les options n cessaires a notre cas Voici les options que nous allons utiliser avec une br ve explication pour chaque option prefix var vpopmail R pertoire de base de vpopmail enable clear passwd y Ce qui permet de stocker une copie des mots de passe POP des utilisateurs en clair C est peut tre moins s curis mais c est toujours pratique pour retrouver le mot de passe de l un de vos utilisateurs qui l aurait perdu Si vous tes parano n activez pas cette option enable valias y Permet d utiliser les alias mails plusieurs noms possibles pour un m me compte POP enable default domain votre domaine Indique le domaine primaire de votre machine A mettre absolument autrement vous allez devoir cr er le compte
438. w Voici un autre exemple qui n est pas dans notre zone mais qui d finit le type TXT info IN TXT Zone du fabuleux site linux entre amis Indique que info comme valeur Zone du fabuleux site Linux entre amis Aucune application n a besoin de ce type d enregistrement mais il peut tre utile pour donner des infos sur une zone etc Il existe d autres types d enregistrements que ceux vu ci dessus mais ils sont tr s rarement utilis s sur l Internet Consultez les RFC sur les DNS si vous souhaitez les conna tre Serveur secondaire Tout ce que nous avons vu au dessus concerne la configuration du serveur primaire de votre zone II faut g n ralement d clarer lors de l enregistrement de votre domaine chez un registar un serveur secondaire et parfois des tertiaires etc mais la configuration est exactement identique celle d un serveur secondaire et seul le secondaire et obligatoire Il faut donc vous vous en doutez le configurer lui aussi Le serveur secondaire sert tout simplement a r pondre aux requ tes a la place du primaire pour ne pas surcharger le serveur primaire ou si le serveur primaire est hors service temporairement Il doit contenir tout d abord la configuration de base vue dans l article serveur cache comme n importe quel serveur DNS qu il soit primaire ou secondaire Et il doit aussi contenir dans son fichier named conf les zones pour lesquelles il est serveur secondaire sous la forme zone lea linux org type
439. x Master Key C8C25C17D5B4312E1440DBC956FF5738829C50E16E8E704010B84B1A8D33C405995D8B7FB02E06988890C7ED400ACF32 Key Arg None Start Time 991792771 Timeout 300 sec Configurer les composants d un r seau 189 Installation simplifi e AL z Verify return code 0 ok Ouvrir le fichier usr local jabber jabber xm1 et valider la prise en charge du mode SSL en rep rant la ligne lt ip port 5222 gt et en ajoutant la ligne suivante a la suite lt ssl port 5223 gt 192 168 0 1 lt ssl gt De m me rep rer la ligne lt ssl gt lt key ip 192 168 0 1 gt usr local jabber key pem lt key gt lt ssl gt Red marrez le serveur et tester avec cryptage ssl voir rubrique D marrer Arr ter le serveur Installation simplifi e Si compiler les sources vous para t trop compliqu sous Mandrake 9 1 et KDE 3 1 il suffit d utiliser l interface graphique Configuration Paquetages Installer des logiciels Le paquetage actuel est jabber 1 4 2a 6mdk i586 rpm Le fichier principal de configuration est alors etc jabber jabber xml Les seules modifications effectuer sont celles indiqu es ci dessus concernant ce fichier La cl SSL est g n r e automatiquement D marrage Arr t du serveur Si vous avez install Jabber depuis les sources fichier tar gz pour d marrez le serveur tapez usr local jabberd jabberd Il y a un mode debug usr local jabber jabberd jabberd D Si vous avez ins
440. y pem out key pem effacement de la phrase servant de mot de passe OPENSSL rsa in privkey pem out privkey pem Assemblage cat privkey pem gt gt key pem Effacement rm privkey pem Enregistrer et rendre ex cutable ce fichier chmod u x keygen sh Ex cuter ce fichier keygen sh Configuration R pondre aux questions pos es A la fin de l x cution vous devez trouver dans le r pertoire usr local jabber un fichier key pem Tester alors le mode ssl openssl s_client connect 192 168 0 1 5223 en rempla ant 192 168 0 1 par l adresse ip de votre serveur Vous devez recevoir une r ponse du type CONNECTED 00000003 depth 0 C FR ST FRANCE L Departement O organization OU Jabber CN contact name Email email address verify error num 18 self signed certificate verify return 1 depth 0 C FR ST FRANCE L Departement O organization OU Jabber CN contact name Email email address verify return 1 Certificate chain 0 s C FR ST FRANCE L Departement O organization OU Jabber CN contact name Email email address i C FR ST FRANCE L Departement O organization OU Jabber CN contact name Email email address Server certificate MIIDdDCCAt2gAwIBAgIBADANBgkqhkiG9wOBAQQFADCBiTELMAkGA1UEBhMCVVMx EDAOBgNVBAgTBOFyaXpvbmExEDAOBgNVBAcTB1 Bob2VuaXgxETAPBgNVBAoTCERJ TExJROFGMQ8wDQYDVQQLEwZKYWJiZX IxFZAVBgNVBAMTDkNocmizlE1jRG9uUYWxk MRkwFwYJKoZlhvcNAQkBFgpwaHgtamFiYmVyMB4XDTAxMDYwNjAxNTMwNloxXDTAx MDcwNjAxNTMwNlowgYkxCzAJBgNVBAYTA
441. ymes e autorise seulement la connection d utilisateurs anonymes j cr ation automatique d un r pertoire utilisateur si celui qui se connecte n en a pas d j un l puredb etc pureftpd pdb specifie le chemin vers la base de donn es des utilisatuers virtuels R interdit l utilisation de la commande chmod par les clients u 1 n accepte pas les uids inf rieur 1 root en l occurence X interdit aux utilisateurs l acc s aux fichiers ou r pertoires cach s ceux qui commencent par un point H pas de r solution DNS utiliser si connexion tr s lente Pour notre exemple nous allons utiliser la commande suivante usr local sbin pure ftpdd A b B c 15 C 2 E j 1 puredb etc pureftpd pdb R u 1 X F usr share games fortunes fr amusantes H Pour avoir un fonctionnement correct des petits messages lors de la connexion des clients il faut auparavant avoir charg le programme fortune mod urpmi fortune mod Il y a un choix assez vaste de messages Ils sont situ s dans le r pertoire usr share games fortunes S il n y a pas d erreur pour viter de retaper chaque d marrage du serveur cette longue ligne de commande il suffit de l ins rer la fin du fichier etc rc local en utilisant votre diteur de texte favori vi par exemple Utilisateurs virtuels Avec PureFTPd les utilisateurs enregistr s n existent pas en tant qu utilisateurs syst mes ils n ont pas tre cr avec la comm
442. ysql gt select from user 4 1 2 Mise jour de la table user Cette table contient d origine apr s l installation d crite dans le document pr c dent 4 enregistrements qui d finissent les droits de l administrateur depuis localhost et localhost localdomain et ceux d un utilisateur non nomm depuis les m mes h tes L administrateur root dont vous utilisez le compte actuellement a tous les droits l utilisateur non nomm aucun si ce n est celui d acc der la base de donn es mais sans pouvoir faire la moindre op ration Vous constaterez galement que root n a pas de mot de passe voir plus haut cette partie du script a t saut e au moment de l installation de fa on ne pas bloquer le fonctionnement de phpMyAdmin La premi re tape va consister supprimer les lignes qui sont inutiles de telle sorte ne conserver qu une seule ligne celle qui correspond l administrateur root depuis localhost Tapez donc mysql gt delete from user where Host localhost localdomain mysql gt delete from user where User mysql gt select from user Cette fois la liste devrait contenir le seul enregistrement relatif a root depuis localhost Pour ajouter un utilisateur lambda proc dez comme suit mysql gt insert into user values localhost lambda password mdp_lambda Yr TY ty ty NON ONT INT UNE NY INT INT IN INT 102 Configurer les composants d un r se L a 4 Protection du gestionnaire de bases de d
443. z smbmount user Et un autre bin sh export PATH S PATH usr sbin smbumount que vous appelerez smbumount user Puis vous cliquez nouveau sur le bouton lt Prefs gt de LinNeighborhood et dans l onglet lt Programs gt vous modifiez les entr es concernant smbmount et smbumount de fa on ce qu elles deviennent respectivement smbmount user et smbumount user Et l tout fonctionnera comme sur des roulettes Utilisation de Konqueror Konqueror est maintenant un bon moyen d acc der un serveur smb et donc Windows il suffit pour cela dans la zone URL smb user serveur ou smb user password serveur 118 Configurer les composants d un r se L a Conclusion pour acc der au serveur serveur en tant que user Conclusion Ainsi s ach ve la configuration de notre serveur Les possibilit s de SAMBA sont beaucoup plus grandes que celles que j ai survol es dans cette indroduction D apr s ce que j ai lu SAMBA peut muler l ensemble des possibilit s de Win NT et bien plus Si vous souhaitez en savoir plus la lecture des divers manpages ainsi que de l ensemble de la documentation de SAMBA est un point de passage oblig Sachez qu on peut faire en sorte que SAMBA cr e les utilisateurs Linux la demande que SAMBA utilise un serveur de mot de passe etc Alors plut t de que de se battre avec celui qu il est charg de remplacer utilisez SAMBA les nombreuses heures que vous aurez passez comprendre comment il f
Download Pdf Manuals
Related Search