Red Hat Linux 9 Guide de référence de Red Hat Linux
Contents
1. Apache Server Unleashed de Richard Bowen et al SAMS BOOKS Une source encyclop dique pour le Serveur HTTP Apache Apache Pocket Reference d Andrew Ford Gigi Estabrook O Reilly La derni re nouveaut de la collection O Reilly Pocket Reference redhat Chapitre 11 Courrier lectronique La naissance du courrier lectronique ou email remonte au d but des ann es 1960 La bo te lettres tait un fichier dans le r pertoire personnel d un utilisateur que seul ce dernier pouvait lire Les appli cation de courrier primitives ajoutaient des nouveaux messages de texte bas du fichier et l utilisateur devait parcourir tout le fichier qui ne cessait de grandir afin de retrouver un message particulier Ce syst me ne pouvait envoyer des messages qu aux utilisateurs du syst me Le premier transfert r seau r el d un courrier lectronique eu lieu en 1971 lorsqu un ing nieur infor matique du nom de Ray Tomlinson envoya un message test entre deux ordinateurs via ARPANET le pr curseur de l Internet La communication par email devint rapidement tr s populaire repr sentant 75 pour cent du trafic d ARPANET en moins de deux ans Au fil du temps les syst mes de courrier lectronique bas s sur des protocoles r seau standardis s ont volu s de telle mani re qu ils font partie de nos jours des services les plus couramment utilis s sur l Internet Red Hat Linux offre de nombreuses application2. false ou no indique que l horloge mat rielle est r gl e sur l heure locale ARC lt valeur gt O lt valeur gt correspond true ou yes indique que le d calage de 42 ans de la console ARC est activ Ce param tre ne s applique qu aux syst mes Aplha bas s sur ARC ou AlphaBIOS Toute autre valeur indique que l poque UNIX normale est la r f rence SRM lt valeur gt o lt valeur gt correspond true ou yes indique que l poque 1900 de la console SRM est activ e Ce param tre ne s applique qu aux syst mes Alpha bas s sur SRM Toute autre valeur indique que l poque UNIX normale est la r f rence e ZONE lt nom de fichier gt indique le fichier de fuseau horaire dans usr share zoneinfo dont etc localtime est une copie comme par exemple ZONE America New York Des versions pr c dentes de Red Hat Linux utilisaient les valeurs suivantes qui ne sont d sormais plus valables CLOCKMODE lt valeur gt O lt valeur gt correspond l une des valeurs suivantes 34 Chapitre 4 Le r pertoire sysconfig GMT indique que l horloge est r gl e sur l heure universelle UTC Universal Time Clock ou GMT Greenwich Mean Time ARC indique que le d calage de 42 ans de la console ARC est activ pour les syst mes bas s sur Alpha seulement 4 1 6 etc sysconfig desktop Le fichier etc sysconfig desktop sp cifie le gestionnaire d
3. procmail offre un aper u du fonctionnement de Procmail et des tapes de filtration du cour rier procmailrc explique le format de fichier rc utilis pour cr er des recettes procmailex donne des exemples pratiques utiles de recettes Procmail procmailsc explique la technique weighted scoring utilis e par Procmail pour v rifier s il y a concordance entre une recette donn e et un message usr share doc spamassassin lt num ro version gt Ce r pertoire contient de nom breuses informations sur SpamAssassin Remplacez lt num ro version gt par le num ro de version du paquetage spamassassin 11 6 2 Sites Web utiles _http www redhat com mirrors LDP HOWTO Mail Administrator HOWTO html Fournit un aper u du fonctionnement du courrier lectronique et examine les solutions et configurations possibles de messagerie lectronique tant du c t serveur que client _http www redhat com mirrors LDP HOWTO Mail User HOWTO Examine le courrier lec tronique du point de vue de l utilisateur analyse diverses applications client de messagerie tr s utilis es et offre une introduction sur des sujets vari s tels que les alias le r acheminement la r ponse automatique les listes d adresses les filtres de courrier et les spams _http www redhat com mirrors LDP HOWTO mini Secure POP SSH html Explique une fa on de r cup rer du courrier POP en utilisant SSH avec le r achemine
4. Cet exemple comporte deux listes de cont le d acc s black hats et red hats Les h tes de la liste black hats se voient d nier l acc s au serveur de noms alors que ceux de la liste red hats se voient donner un acc s normal Chapitre 12 Berkeley Internet Name Domain BIND 187 12 2 1 2 D claration include La d claration include permet des fichiers de faire partie d un fichier named conf Ce faisant des donn es de configurations critiques comme keys par exemple dans un fichier s par dot de permissions restreintes Une d claration include se pr sente sous le format suivant include lt nom fichier gt Dans cette d claration lt nom fichier gt est remplac par le chemin d acc s absolu vers un fichier 12 2 1 3 D claration options La d claration options d finit les options globales de configuration de serveur et tablit des valeurs par d faut pour les autres d clarations Cette d claration peut tre utilis e en autres pour sp cifier l emplacement du r pertoire de travail named ou pour d terminer les types de requ tes autoris s La d claration options se pr sente sous le format suivant options lt option lt option gt Dans cette d claration les directives lt option sont remplac es par une option valide Ci dessous figure une liste des options couramment utilis es e allow query sp cifie les h tes autoris interroger ce serveur de noms Par d
5. driver le pilote et la version utilis s pour contr ler le p riph rique geometry la g om trie physique et logique du p riph rique media le type de p riph rique comme par exemple disk model le nom ou le num ro de mod le du p riph rique settings un ensemble de param tres courants du p riph rique Ce fichier contient normale ment un certain nombre d informations techniques utiles Un exemple de fichier settings pour un disque dur IDE standard ressemble l extrait ci dessous name value min max mode bios_cyl 784 0 65535 rw bios_ head 255 0 255 rw bios_sect 63 0 63 rw breada_readahead 4 0 27 rw bswap 0 0 E current_speed 66 0 69 rw file_readahead 0 0 2097151 rw ide_scsi 0 0 rw init_speed 66 0 69 rw io 32b1t 0 0 3 rw keepsettings 0 0 rw lun 0 0 7 rw max_kb_per_request 64 1 27 rw multcount 8 0 8 rw nicel 1 0 rw nowerr 0 0 rw number 0 0 3 rw pio_mode write only 0 255 w slow 0 0 rw unmaskirq 0 0 rw using_dma 1 0 rw 5 3 6 proc irq Ce r pertoire est utilis pour param trer l association IRQ CPU qui permet de connecter un IRQ donn une seule unit centrale Vous pouvez galement emp cher qu une unit centrale g re un IRQ Chaque IRQ a son propre r pertoire ce qui permet une configuration individuelle de chacun d eux Le fichier proc irq prof_cpu_mask est un masque de bit qui contient les valeurs par d faut pour le fichier smp_affinity dans le r perto
6. 6 Message d information du noyau 7 Messages de niveau d bogage du noyau Le fichier printk comporte quatre valeurs 6417 Chacune de ces valeurs d finit une r gle diff rente de traitement des messages d erreur La pre mi re valeur appel e niveau journal de la console console loglevel sp cifie la plus basse priorit de messages qui sera affich e sur la console veuillez noter que plus la priorit est basse plus le num ro du niveau journal est lev La deuxi me valeur d finit le niveau journal par d faut pour les messages d pourvus de niveau journal explicite La troisi me valeur sp cifie la plus basse confi guration de niveau journal possible pour le niveau journal de la console La derni re valeur d finit la valeur par d faut pour le niveau journal de la console rtsig max configure le nombre maximum de signaux POSIX en temps r el que le syst me peut avoir mis simultan ment en file d attente La valeur par d faut est 1024 e rtsig nr indique le nombre actuel de signaux POSIX en temps r el mis en file d attente par le noyau sem repr sente le fichier configurant les param tres de s maphores dans le noyau Un s maphore est un objet IPC System V utilis pour contr ler l utilisation d un processus sp cifique shmall d finit la quantit totale de m moire partag e en octets qui peut tre utilis e un moment pr cis sur le syst me Par d faut cette v
7. nice D termine le niveau de priorit du serveur e disable D termine si le service est actif ou non 15 4 3 Modification des fichiers de configuration de xinetd De nombreuses directives existent pour les services prot g s de xinetd Cette section souligne cer taines des options les plus couramment utilis es 15 4 3 1 Options de journalisation Les options de journalisation suivantes sont disponibles aussi bien pour etc xinetd conf que pour les fichiers de configuration sp cifiques certains services stock s dans le r pertoire etc xinetd d Ci dessous figure une liste des options de journalisation les plus couramment utilis es ATTEMPT Enregistre une tentative qui a chou 10g_on_failure DURATION Enregistre la dur e d utilisation du service par un syst me distant 1og_on_success EXIT Enregistre le statut de sortie ou le signal de fin d un service 1og_on_success HOST Enregistre l adresse IP de l h te distant 10g_on_failure et log_on_success PID Enregistre l ID de processus du serveur recevant la requ te 1og_on_success RECORD Enregistre des informations sur le syst me distant dans le cas o le service ne peut pas tre d marr Seuls les services particuliers comme login et finger peuvent utiliser cette option 1og_on_failure USERID Enregistre l utilisateur distant selon la m thode d finie dans RFC 1413 pour tous les services
8. no la souris a d j trois boutons XMOUSETYPE lt valeur gt o lt valeur gt fait r f rence au type de souris utilis lors de l ex cution de X Window Les options dans ce cas sont les m mes que les param tres MOUSETYPE contenus dans ce m me fichier DEVICE lt valeur gt o lt valeur gt indique p riph rique de souris De plus dev mouse est un lien symbolique qui pointe vers le vrai p riph rique de souris 4 1 21 etc sysconfig named Le fichier etc sysconfig named est utilis pour transmettre des arguments au d mon named au moment du d marrage Le d mon named est un serveur Domain Name System DNS qui met en oeuvre le Berkeley Internet Name Domain BIND version 9 Ce serveur maintient une table dont les noms d h tes sont attach s des adresses IP sur le r seau Actuellement seules les valeurs suivantes peuvent tre utilis es ROOTDIR lt quelque part gt o lt quelque part gt fait r f rence au chemin d acc s du r pertoire d un environnement chroot sous lequel named sera ex cut Cet environnement chroot doit pr alablement tre configur Tapez info chroot pour obtenir de plus amples informations sur la mani re de proc der OPTIONS lt valeur gt o lt valeur gt correspond toute option list e dans la page de manuel relative named l exception de t Au lieu de t utilisez la ligne de commande ROOTDIR ci dessus Pour obtenir de plus a
9. no_access Emp che les h tes sp cifi s d utiliser le service access_times Sp cifie la fourchette de temps pendant laquelle un service particulier peut tre utilis Cette dur e doit tre stipul e dans une notation sur 24 heures et selon le format HH MM HH MM Les options only_from et no_access peuvent utiliser une liste d adresses IP ou noms d h te ou peuvent sp cifier un r seau entier Comme le font les enveloppeurs TCP la combinaison du contr le d acc s xinetd avec une configuration de journalisation am lior e permet d accro tre la s curit non seulement en emp chant les requ tes provenant d h tes bannis mais en enregistrant galement des informations d taill es sut chaque tentative de connexion Par exemple le fichier suivant etc xinetd d telnet peut tre utilis pour non seulement bloquer l acc s Telnet partir d un groupe de r seau sp cifique mais galement limiter la fourchette de temps g n rale pendant laquelle m me les utilisateurs autoris s peuvent se connecter service telnet disable no flags REUSE socket_type stream wait no user root server usr sbin in telnetd log_on_failure USERID no_access 10 0 1 0 24 log_on_success PID HOST EXIT access_times 09 45 16 15 Dans cet exemple lorsque tout syst me client provenant du r seau 10 0 1 0 24 tel que 10 0 1 2 essaie d acc der au service Telnet il recevra un message au
10. tant donn l immense vari t de donn es disponibles dans proc et les diff rentes fa ons dont ce r pertoire peut tre utilis pour communiquer avec le noyau un chapitre entier a t consacr ce sujet Pour plus d informations consultez le Chapitre 5 3 2 1 7 Le r pertoire sbin Le r pertoire sbin est con u pour les fichiers ex cutables qui ne sont utilis s que par les utilisateurs racine Les fichiers ex cutables dans sbin ne sont utilis s que pour d marrer et monter usr et ex cuter des op rations de remise en tat du syst me FHS indique ce qui suit sbin contient g n ralement des fichiers essentiels pour le d marrage du syst me en plus des fichiers binaires figurant dans bin Tout ce qui est ex cut apr s usr est suppos mont lorsqu il n y a pas de probl me et doit tre plac dans usr sbin Les fichiers binaires d administration du syst me exclusive ment locaux doivent tre plac s dans le r pertoire usr local sbin Au minimum les programmes suivants doivent tre pr sents dans sbin arp clock getty halt init fdisk fsck grub ifconfig lilo mkfs mkswap reboot route shutdown swapoff swapon update 3 2 1 8 Le r pertoire usr Le r pertoire usr est destin aux fichiers pouvant tre partag s sur l ensemble d un site Le r pertoire usr a g n ralement sa propre partition et devrait tre montable en lecture seule Les r pertoires suivants
11. tre seulement pr c d par des guillemets comme c tait le Serveur HTTP Apache 1 3 Pour transf rer un param tre ErrorDocument vers le Serveur HTTP Apache 2 0 utilisez la structure suivante ErrorDocument 404 The document was not found Notez bien la pr sence des guillemets la fin de l exemple de directive ErrorDocument ci dessus Pour plus d informations sur le sujet reportez vous la documentation suivante sur le site Web d Apache Software Foundation _http httpd apache org docs 2 0 mod core html errordocument 10 2 3 Configuration des h tes virtuels Le contenu de tous les r pertoires lt VirtualHost gt devraient tre migr s de la m me mani re que la section du serveur principal comme cela est d crit dans la Section 10 2 2 Dan Notez que la configuration d un h te virtuel SSL TLS a t supprim e du fichier de configuration du serveur principal et ajout e dans le fichier etc httpd conf d ss1 conf Pour plus d informations sur le sujet reportez vous au chapitre intitul Configuration du serveur s curis HTTP Apache du Guide de personnalisation de Red Hat Linux et la documentation en ligne disponible l adresse _http httpd apache org docs 2 0 vhosts 10 2 4 Modules et Serveur HTTP Apache 2 0 Dans la version 2 0 du Serveur HTTP Apache le syst me des modules a t modifi afin de per mettre aux modules d tre li s ensemble ou combin s de fa ons nouvelles
12. Dan N utilisez pas d h tes virtuels nomm s de concert avec un serveur Web s curis car le protocole de transfert SSL intervient avant que la requ te HTTP n identifie l h te virtuel nomm appropri Les h tes virtuels nomm s ne fonctionnent qu avec un serveur Web non s curis Les directives de configuration pour du serveur s curis se trouvent entre des balises d h te virtuel dans le fichier etc httpd conf d ssl conf Par d faut les deux serveurs Web s curis et non s curis partagent le m me DocumentRoot Il est cependant recommand que DocumentRoot soit diff rent pour le serveur Web s curis Afin que le serveur Web non s curis n accepte plus de connexions commentez la ligne qui se trouve dans httpd conf et stipule Listen 80 en ajoutant un symbole di se au d but de la ligne Une fois cette op ration termin e le ligne ressemblera l extrait ci dessous Listen 80 Pour plus d informations sur la configuration d un serveur Web utilisant SSL reportez vous au cha pitre intitul Configuration du serveur HTTP Apache s curis du Guide de personnalisation de Red Hat Linux Pour obtenir des astuces de configuration avanc es consultez la documentation d Apache Software Foundation disponible en ligne aux adresses suivantes _http httpd apache org docs 2 0 ss _http httpd apache org docs 2 0 vhosts 10 9 Ressources suppl mentaires Pour en savoir plus sur Serveur HTTP Apache v
13. DontZap lt bool en gt La valeur de lt bool en gt d finie comme vrai true emp che l utilisation de la combinaison de touches Ctrl Alt Retour arri re pour terminer instantan ment le serveur XFree86 DontZoom lt bool en gt La valeur de lt bool en gt d finie comme vra i true em p che la commutation entre r solutions vid os configur es par les combinaisons de Ctrl Alt Plus et Ctrl A t Moins 7 3 1 3 ServerLayout La section ServerLayout lie les p riph riques d entr e et de sortie contr l s par le serveur XFree86 Au minimum cette section doit sp cifier un p riph rique de sortie et au moins deux p riph riques de sortie un clavier et une souris L exemple suivant illustre une section ServerLayout typique Section ServerLayout Identifier Default Layout Chapitre 7 Le syst me X Window 93 Screen 0 Screen0 0 0 InputDevice Mouse0 CorePointer InputDevice Keyboard0 CoreKeyboard EndSection Les entr es suivantes sont couramment utilis es dans la section ServerLayout Identifier sp cifie un nom unique utilis pour cette section ServerLayout Screen sp cifie un nom d une section Screen utiliser avec le serveur XFree86 Il est possible de pr ciser plus d une option Screen Ci dessous figure un exemple d entr e Screen typique Screen 0 Screen0 0 0 Dans cette exemple d entr e le premier nombre S
14. Les directives BindAddress et Port n existent plus leur fonctionnalit est d sormais fournie par une directive plus flexible nomm e Listen Si vous aviez mis Port 80 dans votre fichier de configuration version 1 3 vous devrez le remplacer par Listen 80 dans le fichier de configuration version 2 0 Si Port avait une valeur autre que 80 vous devez ajouter le num ro du port au contenu de la directive ServerName L extrait ci dessous repr sente un exemple de la directive du Serveur HTTP Apache version 1 3 Port 123 ServerName www example com Pour migrer ce param tre vers la version 2 3 du Serveur HTTP Apache utilisez la structure suivante Listen 123 128 Chapitre 10 Serveur HTTP Apache ServerName www example com 123 Pour plus d informations sur le sujet reportez vous la documentation suivante sur le site Web d Apache Software Foundation http httpd apache org docs 2 0 mod mpm_ common html listen http httpd apache org docs 2 0 mod core html servername 10 2 1 2 R gulation de la taille du Server pool Dans la version 2 0 du Serveur HTTP Apache la responsabilit de l autorisation des demandes et l envoi des processus fils pour les traiter a t synth tis dans un groupe de modules multi t ches nomm s Multi Processing Modules ou MPM Contrairement d autres modules seul un module du groupe MPM peut tre charg par le Serveur HTTP Apache Trois modules MPM sont charg s dans la ve
15. The lt num ro s rie gt est incr ment e chaque fois que vous changez le fichier de zone afin que named sache qu il doit recharger cette zone La valeur lt temps actualisationY gt indique tout serveur esclave combien de temps il doit attendre avant de demander au serveur de noms ma tre si des changements ont t effectu s dans la zone La valeur lt num ro s rie gt est utilis e par le serveur esclave pour d terminer s il est en train d utiliser des donn es de zone p rim es et doit donc les rafra chir La valeur lt temps nouvel essai gt pr cise au serveur de noms esclave l intervalle pendant lequel il doit attendre avant d mettre une autre requ te de rafra chissement au cas o le serveur de noms ma tre ne r pondrait pas Si le serveur ma tre n a pas r pondu une requ te de rafra chis sement avant que la dur e indiqu e dans lt temps expiration gt ne se soit coul e le serveur esclave cesse de r pondre en tant qu autorit pour les requ tes au sujet de cet espace de nom La valeur lt TTL minimum gt demande que d autres serveurs de noms placent en cache les infor mations pour cette zone pendant au moins cette dur e en secondes Dans BIND tous les dur es sont exprim es en secondes Toutefois vous pouvez aussi utiliser des abr viations pour des unit s de temps autres que des secondes comme les minutes M heures H jours D et semaines w Le tableau de la Tableau 12 1 montre u
16. Un des points forts de iptables r side dans la possibilit d utiliser des tables multiples pour d cider du sort d un paquet donn Gr ce la nature flexible de iptables des tables sp cifiques peuvent tre cr es et enregistr es dans le r pertoire 1ib modules lt version du noyau gt kernel net ipv4 netfilter o lt version du noyau gt correspond au num ro de version du noyau 244 Chapitre 16 iptables La table par d faut appel e filter contient les cha nes standard int gr es INPUT OUTPUT et FORWARD Ceci est assez semblable aux cha nes standard en usage avec ipchains Toutefois iptables poss de aussi par d faut deux tables suppl mentaires qui effectuent des op rations de filtrage de paquets sp cifiques La table nat peut tre utilis e pour modifier les adresses d origine et de destination enregistr es dans les paquets alors que la table table mangle permet de modifier des paquets selon des m thodes particuli res Chaque table contient certes des cha nes par d faut dont le but est d ex cuter des t ches selon l objectif m me de la table mais il est galement possible de d finir de nouvelles cha nes dans chaque table 16 3 2 Structure Beaucoup de commandes iptables ont la structure suivante iptables t lt nom de table gt lt commande gt lt nom de cha ney gt lt param tre 1 gt lt option 1 gt lt param tre n gt lt option n gt Dans cet exemple l option lt nom
17. l administrateur de l ordinateur d activer et de d sactiver imm diatement des fonctions du noyau y Vo Soyez prudent lorsque vous modifiez les param tres sur un syst me de production l aide des diff rents fichiers du r pertoire proc sys La modification d un mauvais param tre peut rendre le noyau instable et n cessiter le red marrage du syst me Pour cette raison avant de changer une valeur dans proc sys assurez vous que les options de ce fichier sont bien valides Pour savoir si un fichier donn peut tre configur ou s il est uniquement con u pour fournir des informations vous pouvez l afficher dans le terminal l aide de l option 1 entr e l invite du shell option at the shell prompt Si le fichier peut tre modifi vous pouvez alors l utiliser pour configurer le noyau Ci dessous figure un exemple d affichage partiel de proc sys fs Sete 1 root root 0 May 10 16 14 dentry state Chapitre 5 Le syst me de fichiers proc 71 SNS T 1 root root 0 May 10 16 14 dir notify enable E E FR ET 1 root root 0 May 10 16 14 dquot nr y wfe 1 root root 0 May 10 16 14 file max E ae 1 root root 0 May 10 16 14 file nr Dans cet exemple les fichiers dir notify enable et file max peuvent tre modifi s et par cons quent peuvent tre utilis s pour configurer le noyau Les autres fichiers ne fournissent que des informations sur les param tres actuels Pour changer une valeur dans un fi
18. ou GRUB est un programme permettant l utilisateur de s lectionner le syst me d exploitation ou noyau install s charger au d marrage du syst me Il permet galement l utilisateur de transmettre des arguments au noyau 2 2 1 GRUB et le processus de d marrage x86 Cette section examine de fa on plus d taill e le r le sp cifique que GRUB joue lors du d marrage d un syst me x86 Pour obtenir un aper u du processus de d marrage global reportez vous la Section 1 2 GRUB se charge en m moire en suivant les tapes suivantes Le chargeur de d marrage tape 1 ou primaire est lu en m moire par le BIOS partir du MBR Le chargeur de d marrage primaire existe sur moins de 512 octets d espace disque dans le MBR et peut charger aussi bien le chargeur de d marrage Etape 1 5 que le chargeur de d marrage Etape 2 2 Le chargeur de d marrage tape 1 5 est lu en m moire par le chargeur de d marrage si cela est n cessaire Certains mat riels requi rent une tape interm diaire pour arriver au chargeur de d marrage tape 2 Ceci peut tre le cas si la partition boot se situe au dessus de la t te de cylindre 1024 du disque dur ou lorsque le mode LBA est utilis Le chargeur de d marrage tape 1 5 se trouve sur la partition boot ou sur une petite portion du MBR et de la partition boot 3 Le chargeur de d marrage tape 2 ou secondaire est lu en m moire Le chargeur de d mar rage seconda
19. peut tre retransmis au moyen de votre serveur de messagerie tant donn que etc mail access db est une base de donn es vous devez utiliser makemap pour activer toute modification Pour ce faire tapez la commande suivante en tant connect en tant que super utilisateur makemap hash etc mail access lt etc mail access Comme vous pouvez l imaginer cet exemple ne fait qu effleurer la surface du potentiel de Sendmail en termes d autorisation ou d interdiction d acc s Reportez vous au document usr share doc sendmail README c pour obtenir de plus amples renseignements et d autres exemples tant donn que Sendmail fait appel I ADC Procmail pour la livraison de courrier il est galement possible d utiliser un programme de filtrage de pourriel comme SpamAssassin pour identifier et clas ser ce type de courrier la place de l utilisateur Reportez vous la Section 11 4 2 6 pour obtenir de plus amples informations sur l utilisation de du programme SpamAssassin 11 3 1 6 Utilisation de Sendmail avec LDAP L utilisation de Lightweight Directory Access Protocol LDAP est une fa on tr s rapide et puissante de trouver des informations sp cifiques sur un utilisateur particulier appartenant un grand groupe Par exemple un serveur LDAP peut servir chercher une adresse lectronique sp cifique dans un r pertoire d entreprise partir du nom de famille de l utilisateur Pour ce genre de mise en
20. server localhost key lt nom cl gt Ohscntion Assurez vous que seul le super utilisateur ou root ne puisse effectuer des op rations de lecture ou criture dans le fichier etc rndc conf 12 4 3 Options de ligne de commande Une commande rndc se pr sente sous le format suivant rndc lt options gt lt commande gt lt options commande gt Lors de l ex cution de rnac sur un h te local configur de fa on appropri e les commandes suivantes sont disponibles halt arr te imm diatement le service named querylog D clenche la journalisation ou logging de toutes les requ tes effectu es par des clients vers le pr sent serveur de noms e refresh rafra chit la base de donn es du serveur de noms reload recharge les fichiers de zone mais conserve toutes les r ponses pr c demment plac es en cache Cette command permet galement d op rer des changements sur les fichiers de zone sans perdre toutes les r solutions de nom stock es Si vos changements n affectent qu une zone particuli re rechargez seulement une zone en ajoutant le nom de la zone apr s la commande reload e stats vacue les statistiques courante de named vers le fichier var named named stats stop arr te le serveur de mani re nette en enregistrant pr alablement toute mise jour dy namique et donn e Incremental Zone Transfers IXFR Dans certaines situations il sera peut tre n cess
21. start stop ou restart Pour afficher une liste des p riph riques configur s et des interfaces r seau actuellement actives uti lisez la commande suivante sbin service networkstatus 8 4 Fichiers de fonctions r seau Red Hat Linux utilise plusieurs fichiers contenant des fonctions importantes utilis es de diverses fa ons pour activer et d sactiver les interfaces Plut t que de forcer chaque fichier de contr le d interface contenir les m mes fonctions que les autres ces fonctions sont regroup es dans quelques fichiers utilis s en fonction des besoins Le fichier etc sysconfig network scripts network functions contient divers fonctions IPv4 courantes utilis es par bon nombre de scripts de contr le d interface Ces fonctions permettent entre autres de contacter des programmes en cours d ex cution ayant demand des informations sur les modifications du statut d une interface de configurer des noms d h te de trouver un p riph rique passerelle de v rifier le statut d un p riph rique particulier et d ajouter un itin raire par d faut Les fonctions requises pour les interfaces IPv6 tant diff rentes de celles requises pour les interfaces IPv4 un fichier network functions ipv est sp cifiquement con u pour contenir ces informa tions La prise en charge IPv6 doit tre activ e dans le noyau pour la communication via ce protocole Une fonction du fichier network functions v rifie la pr sence d
22. tablit des configurations test dans fetchmailrc et ne v rifie ce serveur que selon des instructions sp cifiques sans affecter toute autre configuration actuellement en cours Ci dessous figure un exemple de fichier fetchmailrec set postmaster userl set bouncemail poll pop domain com proto pop3 user userl there with password secret is userl here poll mail domain2 com user user5 there with password secret2 is userl here user user7 there with password secret3 is userl here Dans cet exemple les options globales sont configur es de fa on ce que l utilisateur re oive le courrier seulement en dernier ressort option postmaster et que toutes les erreurs soient envoy es au postmaster plut t qu l exp diteur option bouncemai1 L action set indique Fetchmail que cette ligne contient une option globale Ensuite deux serveurs de messagerie sont sp cifi s le premier configur pour v rifier POP3 et le second pour essayer divers protocoles afin d en trouver un qui fonctionne Deux utilisateurs sont v rifi s dans le cas de la seconde option serveur mais tout message lectronique trouv pour l un ou l autre des utilisateurs est envoy dans le fichier spoule de messagerie de l utilisateur 1 Ceci permet de v rifier des bo tes lettres multiples sur des serveurs multiples bien qu apparaissant dans un seul AGC Chaque information sp cifique un utilisateur commence
23. Certains de ces modules sont automatiquement charg s par le serveur alors que d autres sont facultatifs et doivent donc tre sp cifi s dans le fichier de configuration du serveur XFree86 Les fichiers de configuration du serveur XFree86 et les fichiers connexes sont stock s dans le r pertoire etc x11 Le fichiers de configuration du serveur XFree86 est etc X11 XF86Config Quand Red Hat Linux est install les fichiers de configuration pour XFree86 sont cr s en utilisant les informations relatives au mat riel du syst me rassembl es lors du processus d installation 7 3 1 XF86Config Bien qu il soit rarement n cessaire de modifier manuellement le fichier de configuration etc X11 XF86Config il est important de conna tre les diff rentes sections et param tres facultatifs qui existent Ces connaissances sont particuli rement utiles lors de la r solution de probl mes 92 Chapitre 7 Le syst me X Window 7 3 1 1 La structure Le fichier etc X11 XF86Config est compos d un certain nombre de sections diff rentes qui traitent de certains aspects du mat riel du syst me Chaque section commence par une ligne Section lt nom de la section gt o lt nom de la section gt correspond au titre de la section et finit par une ligne EndSection Dans chacune des sections se trouvent des lignes contenant des noms d option et au moins une valeur d option qui peut se trouver entre guillemets Les lignes commen
24. D autres commandes et options fetchmailrc sont disponibles dans la page de manuel relative fetchmail Chapitre 11 Courrier lectronique 171 11 4 Agent de distribution de courrier ADC Red Hat Linux inclut deux ADC primaire savoir Procmail et mail Ces deux applications sont consid r es comme des agents de distribution de courrier ou ADC locaux et toutes les deux trans mettent le courrier lectronique du fichier spoule d un ADC la bo te lettres de l utilisateur Toute fois Procmail fournit un syst me de filtrage robuste Cette section examine seulement Procmail de fa on d taill e Pour toute information sur la commande mail consultez la page de manuel qui lui est d di Procmail distribue et filtre le courrier lectronique du moment o il est plac dans le fichier spoule de messagerie de l h te local Il est puissant peu exigeant en mati re de ressources de syst me et tr s utilis Procmail peut jouer un r le critique dans la distribution du courrier qui sera lu par les applications client de messagerie Il existe diff rentes fa ons d invoquer Procmail D s qu un ACT d pose un message dans le fichier spoule de messagerie Procmail est lanc Ce dernier filtre et classe le courrier de mani re ce que T ACT puisse le trouver et quitte L ACT peut galement tre configur de sorte qu il ex cute Proc mail chaque fois qu un message est re u afin que le courrier soit achemin
25. IndexIgnore affiche une liste d extensions de fichier de noms de fichier partiels d expressions contenant des caract res g n riques wildcards ou de noms de fichiers complets Le serveur Web n inclura dans les listes de r pertoire g n r es par serveur aucun fichier correspondant l un de ces param tres 150 Chapitre 10 Serveur HTTP Apache 10 5 55 AddEncoding AddEncoding nomme des extensions de nom de fichier qui devraient sp cifier un type de codage particulier Il est galement possible d utiliser AddEncoding pour donner l instruction certains navigateurs de d compresser certains fichiers lors de leur t l chargement 10 5 56 AddLanguage AddLanguage associe des extensions de nom de fichiers des langues sp cifiques Cette directive est tr s utilis e pour le Serveur HTTP Apache ou plusieurs qui sert des contenus dans une multitude de langues et ce en fonction de la pr f rence linguistique d finie sur le navigateur client 10 5 57 LanguagePriority LanguagePriority permet de d terminer l ordre de pr f rence des langues au cas aucune pr f rence linguistique ne serait param tr e sur le navigateur client 10 5 58 AddType Utilisez la directive AddType pour d finir des paires de type MIME et d extension de fichier Par exemple avec PHP4 utilisez la directive AddType pour permettre au serveur Web de reconna tre les fichiers portant des extensions PHP php4 php3 phtml php co
26. OpenSSH Notez galement que les paquetages OpenSSH ont besoin du paquetage OpenSSL openss1 OpenSSL installe de nombreuses biblioth ques cryptographiques importantes qui permettent OpenSSH de crypter les communications Un grand nombre de programmes client et serveur peuvent utiliser le protocole SSH Il existe des applications SSH clients pour presque tous les syst mes d exploitation utilis s l heure actuelle 1 X11 fait r f rence au syst me d affichage de fen tres X11R6 g n ralement appel X Red Hat Linux com prend XFree86 un syst me X Window Open Source tr s utilis bas sur X11R6 262 Chapitre 18 Protocole SSH 18 1 1 Pourquoi utiliser SSH Les dangereux utilisateurs d ordinateurs disposent d une vari t d outils pour d sorganiser intercepter et r acheminer le trafic de r seaux et forcer l acc s votre syst me De mani re g n rale ces menaces peuvent tre r pertori es comme suit Interception d une communication entre deux syst mes Ce sc nario implique que le pirate peut se trouver n importe o sur le r seau entre les entit s qui communiquement et peut copier les informations qu elles se transmettent Le pirate peut copier et garder les informations ou peut les modifier avant de les envoyer au destinataire pr vu Cette attaque peut tre orchestr e en utilisant un programme renifleur un utilitaire r seau courant Usurpation de l identit d un h
27. entre autres am liorations De nombreux changements apport s au protocole depuis LDAPv2 visent augmenter la s curit de LDAP Support IPv6 OpenLDAP supporte le protocole Internet de la prochaine g n ration version 6 LDAP sur IPC OpenLDAP peut communiquer au sein d un syst me en utilisant IPC interpro cess communication Il en r sulte une s curit am lior e car il n est plus n cessaire de communi quer travers un r seau Mise jour de C API Elle am liore la mani re dont les programmeurs se connectent aux serveurs de r pertoires LDAP et les utilisent Support LDIFv1 Gr ce ce support OpenLDAP 2 0 est pleinement compatible avec la version 1 du format d change de donn es LDAP LDIF Am lioration du serveur autonome LDAP OpenLDAP inclue pr sent un syst me de contr le d acc s mis jour un pool de conversation de meilleurs outils et bien plus encore 13 2 Terminologie de LDAP Toute discussion de LDAP n cessite une compr hension de base d un certain nombre de termes sp cifiques LDAP entr e correspond une seule unit dans un r pertoire LDAP Chaque entr e est identifi e ou r f renc e par son Nom distinctif ou DN de l anglais Distinguished Name unique attributs Des attributs sont des l ments d information directement associ s l entr e Par ex emple une organisation pourrait tre repr sent e p
28. importe quel programme l aide d un fichier portant le nom de la commande dans le r pertoire etc security console apps Un groupe d applications auquel l utilisateur console a acc s contient trois programmes qui arr tent ou red marrent le syst me savoir sbin halt sbin reboot sbin poweroff Puisqu il s agit d applications prenant en charge les PAM le fichier pam_console so est indispen sable pour qu elles puissent fonctionner Pour plus d informations consultez les pages de manuel relatives pam_console console perms console apps etuserhelper 224 Chapitre 14 Modules d authentification enfichables PAM 14 7 Ressources suppl mentaires Ci dessous figure une liste de sources d informations se rapportant l utilisation et la configura tion des PAM Outre ces ressources consultez galement les fichiers de configuration PAM de votre syst me afin de mieux comprendre leur structure 14 7 1 Documentation install e e man pam une bonne introduction PAM couvrant la structure ainsi que l objectif des fichiers de configuration PAM e usr share doc pam lt num ro de version gt contient un guide pour les administrateurs syst me System Administrators Guide un manuel pour les concepteurs de modules Module Writ ers Manual et le manuel pour les d veloppeurs d applications Application Developers Manual Il contient galement une copie de DCE REC 86 0 la n
29. lectronique Il fonctionne galement bien pour utilisateurs n ayant pas une connexion continue l Internet ou au r seau sur lequel se trouve le serveur de messagerie Malheureu sement les utilisateurs ayant des connexions r seau lentes POP requiert que les programmes client apr s authentification t l chargent la totalit du contenu de chaque message Cette op ration peut tre longue si certains messages contiennent des fichiers joints La version la plus courante du protocole POP standard est POP3 Il existe n anmoins de nombreuses variantes moins utilis es du protocole POP APOP POP3 avec authentification MDS Une portion cod e du mot de passe de l utilisateur est envoy e du client de messagerie au serveur plut t que d envoyer le mot de passe sous forme non crypt e KPOP POP3 avec authentification Kerberos Reportez vous au Chapitre 17 pour obtenir plus d informations sur l authentification Kerberos e RPOP POP3 avec authentification RPOP qui utilise un identificateur ID publi pour chaque utilisateur semblable un mot de passe pour identifier les requ tes POP Cependant tant donn que cet ID n est pas crypt RPOP n est pas plus s curis que le POP standard Pour une s curit accrue il est possible d utiliser le cryptage Secure Socket Layer SSL pour l authentification des clients et pour les sessions de transfert de donn es Cette fonctionnalit peut tre act
30. local en raison de l ast risque devrait entra ner un montage NFS sur le syst me server domain com au sein de son syst me de fichiers home export Les options de montage sp cifient que chaque montage NFS de r pertoire home devrait utiliser une suite particuli re de param tres Pour de plus amples informations sur les options de montage y compris celles utilis es dans cet exemple consultez la Section 9 3 3 9 3 3 Options courantes de montage NFS Au del du montage d un syst me de fichiers sur un h te distant via NFS un certain nombre d autres options peuvent tre sp cifi es au moment du montage pour le rendre plus commode utiliser Ces options peuvent tre utilis es avec les commandes manuelles mount les param tres etc fstab et autofs et d autres m thodes de montage Ci dessous figurent les options les plus courantes pour les montages NFS 122 Chapitre 9 Le syst me de fichiers r seau NFS hard ou soft Sp cifie si le programme utilisant un fichier via une connexion NFS doit s arr ter et attendre hard que le serveur revienne en ligne si l h te servant le syst me de fichiers export est indisponible ou s il doit rapporter une erreur soft Si l option hard est sp cifi e l utilisateur ne peut pas terminer le processus attendant la communi cation NFS pour recommencer moins que l option intr ne soit galement sp cifi e Si l option soft est sp cifi e l utilis
31. tre connect la console de la machine la possibilit de manipuler les p riph riques et d ex cuter des t ches qui sont normalement r serv es au super utilisateur Ceci est contr l par un module PAM appel pam_console so 14 6 1 Propri t des p riph riques Lorsqu un utilisateur se connecte une machine utilisant Red Hat Linux le module pam_console so est appel par login ou par les programmes de connexion graphique gdm et kdm Si l utilisateur est le premier se connecter la console physique que l on appelle alors utilisateur console le module lui attribue la propri t de p riph riques qui appartiennent normalement au super utilisateur L utilisateur console demeure propri taire de ces p riph riques jusqu la fin de la derni re session locale de cet utilisateur Une fois que l utilisateur s est d connect la propri t de ces p riph riques retourne au super utilisateur Les p riph riques affect s incluent notamment les cartes son ainsi que les lecteurs de disquettes et de CD ROM Ainsi un utilisateur local peut g rer ces p riph riques sans tre connect en tant que super utilisateur ce qui simplifie les t ches communes de l utilisateur console En modifiant le fichier etc security console perms l administrateur peut changer la liste des p riph riques contr l s par pam_console so 14 6 2 Acc s aux applications L utilisateur console peut galement acc der n
32. une des valeurs suivantes e yes sp cifie que cette interface doit tre configur e comme itin raire par d faut no sp cifie que cette interface ne doit pas tre configur e comme itin raire par d faut DEMAND lt r ponse gt O lt r ponse gt correspond l une des valeurs suivantes yes sp cifie que cette interface permettra pppd d initialiser une connexion lorsque quelqu un essaiera de l utiliser no sp cifie qu une connexion doit tre tablie manuellement pour cette interface IDLETIMEOUT lt valeur gt o lt valeur gt correspond au nombre de secondes d inactivit d clenchant la d connexion automatique de l interface e INITSTRING lt cha ne gt o lt cha ne gt correspond la cha ne d initialisation transf r e au mo dem Cette option est principalement utilis e avec les interfaces SLIP LINESPEED lt valeur gt O lt valeur gt correspond la vitesse de transmission en bauds du p riph rique Parmi les valeurs standard possibles figurent 57600 38400 19200 et 9600 MODEMPORT lt p riph rique gt o lt p riph riquex gt correspond au nom du p riph rique de s rie utilis pour tablir la connexion pour l interface MTU lt valeur gt o lt valeur gt correspond au param tre unit de transfert maximum MTU de l anglais Maximum Transfer Unit pour l interface La valeur de MTU correspond au nombre maximal d octets de
33. une section Device Cette entr e est n cessaire Monitor sp cifie le nom unique d une section Monitor Cette entr e est n cessaire DefaultDepth sp cifie l intensit des couleurs par d faut en bits Dans l exemple pr c dent la valeur par d faut de 16 fournit des milliers de couleurs Au moins une entr es DefaultDepth est n cessaire mais de multiples entr es sont accept es SubSection Display sp cifie les modes cran disponibles une intensit de couleur don n e Bine qu une section Screen puisse contenir de multiples sous sections Display il doit y en avoir au moins une pour l intensit de couleur sp cifi e dans l entr e DefaultDepth Option lt nom de l option gt correspond une entr e facultative qui pr cise des param tres suppl mentaires pour cette section Remplacez lt nom de 1 option gt par une des options valides pour cette section num r es dans la page de manuel relative XF86Config 98 Chapitre 7 Le syst me X Window 7 3 1 10 DRI La section facultative DRI sp cifie les param tres pour Direct Rendering Infrastructure DRI DRI est une interface dont la fonction principale est de permettre aux applications logicielles 3D de profiter des capacit s d acc l ration 3D int gr s dans la plupart de mat riel vid os moderne De plus DRI peut am liorer les performances 2D gr ce l acc l ration mat rielle dans le cas o elle serait prise e
34. utilisez la commande suivante dnssec keygen a hmac md5 b lt longueur bits gt n HOST lt nom fichier cl gt Une cl d au moins 256 bits de long est un bon choix La bonne cl qui doit tre plac e dans la zone lt valeur cl gt se trouve dans lt nom fichier cl gt Orion Parce que etc named conf ne requiert aucun privil ge pour tre lu il est recommand de placer la d claration key dans un fichier s par que seul le super utilisateur ou root peut lire et d utiliser ensuite une d claration include afin de le r f rencer comme le montre l exemple suivant include etc rndc key 12 4 2 Configuration de etc rndc conf La d claration key repr sente la d claration la plus importante contenue dans etc rndc conf key lt nom cl gt algorithm hmac md5 secret lt valeur cl gt Les l ments lt nom cl gt et lt valeur cl gt doivent tre absolument identiques leurs para m tres contenus dans etc named conf Pour faire correspondre les cl s sp cifi s dans le fichier etc named conf du serveur cible ajoutez les lignes suivantes au fichier etc rndc conf options default server localhost default key lt nom cl gt 198 Chapitre 12 Berkeley Internet Name Domain BIND Cette commande d termine une cl globale par d faut Toutefois la commande rndc peut galement utiliser diff rentes cl s pour diff rents serveurs comme le montre l exemple suivant
35. 100 avec d importantes normes de messagerie Internet telles que MIME Multipurpose Internet Mail Extensions pour permettre l envoi de fichiers joints Pour une s curit accrue il est possible d utiliser le cryptage SSL pour l authentification des clients et pour les sessions de transfert de donn es Cette fonctionnalit peut tre activ e en utilisant le ser vice imaps ou le programme usr sbin stunnel Reportez vous la Section 11 5 1 pour de plus amples informations D autres clients et serveurs IMAP libres et commerciaux sont disponibles un certain nombre d entre eux d veloppent encore plus les possibilit s du protocole IMAP et fournissent des fonctionnalit s suppl mentaires Une liste compr hensive de ces derniers est disponible en ligne http www imap org products longlist htm 11 2 Les diff rents types de programme de messagerie lectronique D une mani re g n rale les applications de messagerie lectronique se divisent en trois types et cha cune d elle peut appartenir un ou plusieurs de ces type Chaque type joue un r le bien pr cis dans le processus de d placement et de gestion des messages lectroniques Bien que la plupart des uti lisateurs ne connaissent que le programme de courrier lectronique qu ils utilisent pour recevoir et envoyer des messages chacun de ces trois types d application est important pour assurer que les mes sages arrivent la bonne destination 11 2 1 Ag
36. 3c509 et DE425 vous devez simplement ajouter des lignes alias et ven tuellement options pour chaque carte dans le fichier etc modules conf Reportez vous au cha pitre intitul Modules du noayu du Guide de personnalisation de Red Hat Linux pour obtenir de plus amples informations ce sujet Si deux cartes Ethernet utilisent le m me pilote par exemple deux cartes 3c509 ou une 3c595 et une 3c905 vous devez soit indiquer les adresses des deux cartes dans la ligne d options du pilote pour les cartes ISA soit simplement ajouter une ligne alias pour chaque carte pour les cartes PCT Pour plus d informations sur l utilisation de plusieurs cartes Ethernet consultez la section Linux Ethernet HOWTO l adresse suivante http www redhat com mirrors LDP HOWTO Ethernet HOWTO html 296 Annexe A Param tres g n raux et modules Index Symbols fetchmailrc 167 options globales 168 options serveur 169 options utilisateur 169 procmailrc 171 Jetc exports 118 letc fstab 120 Jetc named conf Voir BIND letc pam conf 217 Voir Aussi PAM letc pam d 217 Voir Aussi PAM lib security 217 Voir Aussi PAM modules du noyau modules de CD ROM param tres 286 modules Ethernet exemples 295 prise en charge de plusieurs cartes 295 modules SCSI param tres 288 A aboot 3 11 AccessFileName directive de configuration Apache 145 Action directive de configuration Apache 150 ADC Voir A
37. Le contenu de ce fichier va submerger votre terminal de texte Si vous l ouvrez par accident appuyez sur les touches Ctrl C pour arr ter le processus puis tapez reset pour faire revenir l invite de ligne de commande 5 2 14 proc kmsg Ce fichier est utilis pour contenir des messages g n r s par le noyau Ces messages sont ensuite r cup r s par d autres programmes tels que sbin klogd 5 2 15 proc ksyms Ce fichier contient les d finitions des symboles utilis es par les outils de modules pour lier et associer dynamiquement des modules du noyau e003def4 speedo_debug eepro100 e003b04c eepro1l00_init eepro100 e00390c0 st_template st e002104c RDINDOOR megaraid e00210a4 callDone megaraid e00226cc megaraid_ detect megaraid La premi re colonne indique l adresse de la m moire pour la fonction du noyau la deuxi me colonne fait r f rence au nom de la fonction et la derni re donne le nom du module charg 56 Chapitre 5 Le syst me de fichiers proc 5 2 16 proc loadavg Ce fichier fournit un aper u de la moyenne de charge sur le processeur ainsi que des donn es suppl mentaires utilis es par la commande upt ime ainsi que par d autres commandes Ci dessous figure un exemple de ce quoi un fichier proc loadavg peut ressembler 0 20 0 18 0 12 1 80 11206 Les trois premi res colonnes mesurent l utilisation de l unit centrale en fonction des derni res p riodes de 1 5 et 10 minut
38. Reilly amp Associates Un livre de r f rence populaire qui explique les options de configuration de BIND des plus simples aux plus sot riques et fournit aussi des strat gies pour s curiser votre serveur DNS The Concise Guide to DNS and BIND de Nicolai Langfeldt publi par Que Examine la connex ion entre les services de r seaux multiples et BIND en mettant l accent sur les sujets techniques et orient s vers des applications pratiques C redhat Chapitre 13 Protocole LDAP Lightweight RAY eo rotoco Lightweight Directory Access Protocol LDAP est un ensemble de protocoles ouverts utilis s pour acc der des informations stock es localement sur un r seau Il est bas sur le standard X 500 pour le partage de r pertoires mais est moins complexe et exigeant en mati re de ressource C est pour cette raison que LDAP est quelques fois appel X 500 Lite Comme X 500 LDAP organise des informations d une mani re hi rarchique en utilisant des r per toires Ces r pertoires peuvent stocker diverses informations et peuvent m me tre utilis s d une ma ni re semblable au Service d informations r seau NIS Network Information Service permettant tout un chacun d acc der son compte depuis toute machine dans le r seau sous LDAP Dans la plupart des cas cependant LDAP sert seulement d annuaire t l phonique virtuel permettant aux utilisateurs d acc der facilement aux informations de con
39. Toute l ment contenu entre lt et gt est une variable que vous pouvez param trer lorsque vous ajoutez une entr e LDAP Toutefois ce n est pas le cas de lt id gt Cet l ment lt id gt est un nombre param tr par l application utilis e lors de l ajout d une entr e Chapitre 13 Protocole LDAP Lightweight Directory Access Protocol 205 Remarque Il est fortement conseill de ne jamais diter manuellement une entr e LDIF Utilisez plut t les applications clientes LDAP comme celles num r es dans la Section 13 3 13 3 D mons et utilitaires OpenLDAP Cette suite de biblioth ques et d outils OpenLDAP et r partie dans les paquetages suivants openldap Contient les biblioth ques n cessaires pour faire fonctionner le serveur OpenLDAP et les applications clientes openldap clients Contient les outils de ligne de commande pour visualiser et modifier les r pertoires d un serveur LDAP openldap servers Contient les serveurs et autres utilitaires n cessaires pour configurer et faire fonctionner un serveur LDAP Deux serveurs sont contenus dans le paquetage openldap servers le d mon autonome LDAP usr sbin slapd et le d mon autonome LDAP de r plication de mise jour usr sbin slurpd Le d mon slapd est un serveur LDAP autonome tandis que le d mon slurpa sert synchroniser les changements d un serveur LDAP vers les autres serveurs LDAP du r seau Le d mon slurpd
40. ant par un symbole di se ne sont pas lues par le serveur XFree86 et sont utilis es pour des commentaires en texte normal Certaines options contenues dans le fichier etc X11 XF86Config acceptent un commutateur boo l en qui permet d activer ou de d sactiver l option Parmi les valeurs bool ennes acceptables figurent 1 on true ou yes Ces valeurs permettent d activer l option 0 off false ou no Ces valeurs permettent de d sactiver l option La liste suivante explore certaines des sections les plus importantes dans l ordre dans lequel elles apparaissent dans un fichier etc X11 XF86Config typique Des informations plus d taill es sur les fichiers de configuration du serveur XFree86 sont disponibles dans la page de manuel relative XF86Config 7 3 1 2 ServerFlags La section facultative ServerFlags contient divers r glages globaux du serveur XFree86 Tout r glage dans cette section peuvent tre remplac s par les options situ es dans la section ServerLayout reportez vous la Section 7 3 1 3 pour de plus amples informations Les entr es dans la section ServerFlags se trouvent sur leurs propres lignes et commencent par le terme Opt ion et sont ensuite suivies d une option sp cifi e entre guillemets Ci dessous figure un exemple de section ServerFlags Section ServerFlags Option DontZap true EndSection Ci dessous figure une liste de certaines des options les plus utiles
41. chec d une r gle en raison de l une ou l autre des circonstances mentionn es ci dessus warning etc hosts allow line 20 missing newline or line too long Cette exemple de r gle stipule que si un h te d domaine example com essaie d tablir une connexion au d mon SSH sshd la commande echo doit tre ex cut e permettant de journaliser cette tentative de connexion dans un fichier sp cial et la connexion refus e Puisque la directive optionnelle deny est utilis e cette ligne entra nera un refus de l acc s m me si elle figure dans le fichier hosts allow Pour des informations plus d taill es sur les options disponibles reportez vous la Section 15 2 3 15 2 1 1 Jokers ou Wildcards Les jockers permettent aux enveloppeurs TCP d autoriser plus facilement les groupes de d mons et les h tes Ils sont le plus souvent utilis s dans le champ de la liste de clients des r gles d acc s Les jokers suivants peuvent tre utilis s ALL Accorde tout client l acc s d un service Ce joker peut tre utilis aussi bien pour la liste des d mons que celle des clients LOCAL Autorise tout h te ne contenant pas de point comme par exemple un h te local KNOWN Autorise tout h te dont le nom ou l adresse d h te sont connus ou lorsque l utilisateur est connu Chapitre 15 Les enveloppeurs TCP et xinetd 229 UNKNOWN Autorise tout h te dont le nom ou l adresse d
42. commande Idapdelete 205 Voir Aussi LDAP commande Idapmodify 205 Voir Aussi LDAP commande Idapsearch 205 Voir Aussi LDAP commande slapadd 205 Voir Aussi LDAP commande slapcat 205 Voir Aussi LDAP commande slapd 205 Voir Aussi LDAP commande slapindex 205 Voir Aussi LDAP commande slappasswd 205 Voir Aussi LDAP commande slurpd 205 Voir Aussi LDAP commentaires coordonn es viii configuration Apache 138 h tes virtuels 155 SSL 153 contr le de l acc s 225 conventions documentation v copier et coller du texte en utilisant X viii courrier lectronique Fetchmail 167 historique 159 Procmail 171 protocoles 159 IMAP 161 POP 160 SMTP 159 ressources suppl mentaires 179 documentation install e 179 livres sur le sujet 181 sites Web utiles 180 Sendmail 163 spams filtrage 176 s curit 178 clients 178 serveurs 178 types 161 Agent de distribution du courrier 162 Agent de gestion de courrier 162 Agent de transfert de courrier 161 CustomLog directive de configuration Apache 147 D Defaulticon directive de configuration Apache 149 DefaultType directive de configuration Apache 145 Deny directive de configuration Apache 144 directives cache pour Apache 152 directives de configuration Apache 138 AccessFileName 145 Action 150 AddDescription 149 AddEncoding 150 AddHandler 150 Addicon 149 AddiconByEncoding 148 AddiconByType 149 AddLanguage 150 AddType
43. de mani re interchangeable l heure actuelle il existe deux types diff rents de protocoles SSH La version 1 contient de nom breux algorithmes de cryptage brevet s toutefois bon nombre de ces brevets sont p rim s et expose des br ches s curit qui donnent la possibilit ventuelle un agresseur d ins rer des donn es dans le flux de communication Sous Red Hat Linux la suite OpenSSH suite utilise par d faut la version SSH 2 0 bien qu elle prenne en charge la version 1 noran Il est conseill de n utiliser autant que possible des serveurs et clients compatibles avec la version 2 2 L empoisonnement DNS a lieu lorsqu un intrus p n tre sur un serveur DNS dirigeant les syst mes client vers un h te double avec une intention malveillante 3 L usurpation d adresse IP se produit lorsqu un intrus envoie des paquets r seau qui apparaissent faussement sur le r seau comme provenant d un h te de confiance Chapitre 18 Protocole SSH 263 18 3 S quence des v nements d une connexion SSH Pour aider prot ger l int grit d une communication SSH entre deux ordinateurs h tes la s rie suivante d v nements doit tre utilis e e Une liaison cryptographique est tablie afin de permettre au client de v rifier qu il est bien en communication avec le serveur souhait e La couche transport de la connexion entre le client et un h te distant est crypt e au moyen d un chiffre sym
44. e Les conditions sont v rifi es sur la base des indicateurs sp cifi s la premi re ligne de la recette Des caract res sp ciaux facultatifs plac s apr s le caract re permettent de contr ler ult rieurement la condition lt action ex cuter gt sp cifie ce qui arrive aux messages qui correspondent l une des condi tions Il ne peut y avoir qu une action par recette Dans de nombreux cas le nom d une bo te lettres est utilis cet endroit pour envoyer les messages dans ce fichier ce qui permet en fait de trier le courrier Des caract res d action sp ciale peuvent galement tre utilis s avant que l action ne soit sp cifi e 11 4 2 1 Recettes de distribution et de non distribution L action utilis e si la recette correspond un message donn d termine si la recette est consid r e comme tant de distribution ou de non distribution Une recette de distribution contient une action qui crit le message dans un fichier envoie le message un autre programme ou r achemine le message vers une autre adresse lectronique Une recette de non distribution couvre toutes les autres actions telles que l utilisation d un bloc d imbrication Un bloc d imbrication est une action contenue entre accolades et d signant des actions suppl mentaires devant tre ex cut es sur les messages qui 174 Chapitre 11 Courrier lectronique correspondent aux conditions de la recette Les blocs d imbr
45. e comme tant la valeur par d faut s d finit l origine d un paquet particulier en utilisant la m me syntaxe que pour le param tre de destination a 16 3 5 Options de concordance Diff rents protocoles r seau offrent des options de contr le de concordance sp cifiques qui peuvent tre configur es de mani re comparer un paquet donn utilisant ce protocole videmment il est n cessaire d identifier pr alablement le protocole en question dans la commande iptables l aide de l option p tcp lt nom du protocolex gt o lt nom du protocole gt correspond au protocole cible afin que ces options soient disponibles Chapitre 16 iptables 247 16 3 5 1 Protocole TCP Les options de concordance disponibles pour le protocole TCP p tcp sont les suivantes e dport indique le port de destination pour le paquet Vous pouvez utiliser un nom de service de r seau comme www ou smtp un num ro de port ou une plage de num ros de port pour config urer cette option Pour parcourir les noms et alias de services r seau et les num ros de port utilis s affichez le fichier etc services L option de concordance destination port est identique l option dport Pour indiquer une plage pr cise de num ros de port il suffit de s parer les num ros par le sym bole des deux points comme dans l exemple suivant p tcp dport 3000 3200 La plus grande plage possible est 0 65535 Utilisez u
46. etc krb5 conf pour chacun de vos clients g n ralement le fichier krb5 conf utilis pour le KDC peut galement servir ici 3 Avant qu une station de travail sp cifi e dans le realm puisse permettre aux utilisateurs de se connecter l aide des commandes kerberis es rsh et rlogin le paquetage xinetd devra y tre install et l l ment principal de l h te propre la station devra tre pr sent dans la base de donn es Kerberos Les programmes de serveur kshd et klogind auront galement besoin d un acc s aux cl s pour l l ment principal de leur service l aide de kadmin ajoutez un l ment principal d h te pour la station de travail sur le KDC L instance sera dans ce cas le nom d h te de la station de travail Vous pouvez utiliser l option randkey de la commande addprinc de kadmin pour cr er l l ment principal et lui attribuer une cl al atoire addprinc randkey host blah example com Maintenant que vous avez cr l l ment principal vous pouvez extraire les cl s de la station de travail en ex cutant kadmin sur la station de travail elle m me et en utilisant la commande ktadd dans kadmin ktadd k etc krb5 keytab host blah example com 4 Si vous souhaitez utiliser d autres services r seau kerberis s vous devrez les d marrer Ci dessous figure une liste des services kerberis s les plus courants et les instructions relatives leur activation e rsh and
47. faut car aucune valeur de fonction n est sp cifi e avec une priorit emerg sshd example com severity emerg Il est galement possible de sp cifier un service l aide de l option severity L exemple suivant journalise tous les h tes du domaine example com essayant de se connecter au service SSH dans local0 avec la priorit alert sshd example com severity local0 alert f Remarque Dans la pratique cet exemple ne fonctionnera pas tant que le d mon syslog sysloga est configur pour qu il journalise 1oca10 Consultez les pages de manuel relatives syslog conf pour de plus amples informations sur la configuration personnalis e des fonctions de journalisation 15 2 3 2 Contr le d acc s Les champs d options permettent galement aux administrateurs d autoriser ou de refuser de mani re explicite des h tes dans une seule r gle en ajoutant la directive allow ou deny en tant que derni re option Par exemple les deux r gles suivantes permettent des connexions SSH partir de client 1 example com mais les refusent partir de client 2 example com sshd client 1 example com allow sshd client 2 example com deny En permettant le contr le d acc s sur la base de r gles individuelles le champs d options parmet aux administrateurs de consolider toutes les r gles d acc s dans un seul et m me fichier soit hosts allow soit hosts deny Pour certains cette m thode est la mani re la
48. faut ce fichier ressemble l extrait ci dessous 4 2 30 La deuxi me valeur d finit le seuil de suspension de la journalisation en pourcentage d espace libre alors que la premi re valeur indique le pourcentage n cessaire pour reprendre la journalisation La troisi me valeur indique l intervalle en secondes entre les interrogations du syst me de fichiers par le noyau pour savoir si la journalisation doit tre suspendue ou reprise cap bound contr le les param tres de d limitation des capacit s qui fournit la liste des capac it s de tout processus du syst me Si une capacit n est pas incluse dans cette liste aucun processus quels que soient ses privil ges ne peut l ex cuter L objectif est d am liorer la s curit du syst me en s assurant que certaines choses ne peuvent se produire du moins au del d un point donn du processus de d marrage Pour obtenir une liste des valeurs acceptables pour ce fichier virtuel consultez usr src linux 2 4 include linux capability h De plus amples informations sur la d limitation des ca pacit s sont disponibles en ligne l adresse suivante http lwn net 1999 1202 kernel php3 e ctrl alt del Contr le si Ctrl Alt Supprimer red marre correctement l ordinateur l aide d init valeur 0 ou force un red marrage imm diat sans synchroniser les tampons erron s vers le disque valeur 1 domainname permet de configurer le nom de do
49. fichiers de configuration letc named conf 185 185 r pertoire var named 185 introduction 183 183 programme rnde 196 letc rndc conf 197 configuration de named pour l utilisation 197 configuration des cl s 197 options de ligne de commande 198 propri t s 199 am liorations de DNS 199 IPv6 200 s curit 199 vues multiples 199 298 ressources suppl mentaires 201 documentation install e 201 livres sur le sujet 202 sites Web utiles 201 serveur de noms d finition de 183 serveur de noms root d finition de 183 types de serveurs de noms cache only 184 esclave 184 ma tre 184 retransmission 184 zones d finition de 184 BIOS d finition 1 Voir Aussi processus de d marrage BrowserMatch directive de configuration Apache 151 C CacheNegotiatedDocs directive de configuration Apache 145 caching only serveurs de noms Voir BIND CGI scripts permettre une ex cution l ext rieur du r pertoire cgi bin 143 chargeurs de d marrage 19 11 11 Voir Aussi LILO Voir Aussi GRUB Voir Aussi aboot d finition de 11 types de 11 chkconfig 9 Voir Aussi services commande init 4 Voir Aussi processus de d marrage fichiers de configuration letc inittab 7 niveaux d ex cution r pertoire pour 7 niveaux d ex cution acc d s par 8 r le dans le processus de d marrage 4 Voir Aussi processus de d marrage SysV init d finition 7 commande Idapadd 205 Voir Aussi LDAP
50. j incluent les options standard ACCEPT DROP QUEUE et RETURN ainsi que des options tendues qui sont disponibles dans des modules charg s par d faut avec le paquetage RPM de commandes Red Hat Linux nomm iptables comme entre autres LOG MARK et REJECT Consultez la page de manuel relatives iptables pour obtenir plus d informations sur les cibles il est galement possible de diriger un paquet correspondant une r gle vers une cha ne d finie par l utilisateur situ e en dehors de la cha ne courante afin que d autres r gles puissent tre appliqu es ce paquet Si aucune cible n est sp cifi e le paquet continue sans qu aucune autre action ne soit entreprise Ceci tant le compteur de cette r gle avance tout de m me d un point car le paquet correspond la r gle sp cifi e e o r gle l interface de sortie pour une r gle donn e et ne peut tre utilis e qu avec des cha nes OUTPUT et FORWARD dans la table filter et la cha ne POSTROUTING dans les tables nat et mangle Les options de ce param tre sont les m mes que pour les param tres relatifs aux interfaces r seau d entr e i p r gle le protocole IP pour la r gle qui peut tre icmp tcp udp ou a11 pour correspondre tous les protocoles possibles De plus tout protocole inclus dans etc protocols peuvent galement tre employ s Si l option est omise lors de la cr ation de la r gle l option al1 est consid r
51. la plage de l adresse IP et M M M M au masque r seau N N N N M o N N N N correspond la plage de l adresse IP et M au masque r seau e f applique cette r gle uniquement aux paquets fragment s En ins rant l option apr s ce param tre seuls les paquets non fragment s seront contr l s e i r gle l interface r seau d entr e telle que eth0 ou ppp0 Avec iptables ce param tre optionnel ne peut tre utilis qu avec des cha nes INPUT et FORWARD lorsqu elles sont utilis es avec la table filter et la cha ne PREROUTING avec les tables nat et mangle Ce param tre prend galement en charge les options sp ciales suivantes donne l instruction ce param tre de ne pas comparer signifiant que n importe quelle interface sp cifi e est exclue de cette r gle un caract re g n rique ou wildcard utilis pour comparer toutes les interfaces qui corre spondent une cha ne particuli re Par exemple le param tre i eth appliquerait cette r gle n importe quelle interface Ethernet mais ne prendrait pas en compte les autres interfaces comme ppp0 Si le param tre i est utilis sans qu aucune interface ne soit sp cifi e alors toutes les interfaces sont affect es par la r gle j donne iptables l instruction de passer directement une cible donn e lorsqu un paque tage correspond une r gle particuli re Les cibles autoris es apr s l option
52. lib security pam_ env so auth sufficient lib security pam rhosts_auth so auth required 1ib security pam _ stack so service system auth Chapitre 14 Modules d authentification enfichables PAM 219 Avant d accorder l autorisation d utilisation de rlogin PAM s assure que le fichier etc nologin n existe pas que l utilisateur n essaie pas de se connecter distance en tant que super utilisateur ou root au moyen d une connexion r seau non crypt e et que toutes les variables d environnement peuvent tre charg es Si une authentification rhosts peut tre tablie avec succ s la connexion est alors autoris e En revanche si l authentification rhosts choue une authentification standard de mot de passe est ex cut e 14 3 2 Indicateurs de contr le Lorsqu ils sont appel s tous les modules PAM donnent un r sultat indiquant soit la r ussite soit l chec Les indicateurs de contr le indiquent aux PAM comment traiter ce r sultat tant donn que les modules peuvent tre empil s dans un ordre bien pr cis les indicateurs de contr le d cident de l importance de la r ussite ou de l chec d un module sp cifique par rapport au but g n ral d authentification d un utilisateur pour un service donn Il existe quatre types d indicateurs de contr le pr d finis savoir e required le module doit tre v rifi avec succ s pour que l authentification puise se poursuivre Si la v
53. marrage ma tre MBR Lors de son ex cution toutes les informations autres que celles de GRUB utilis es pour d marrer d autres syst mes d exploitation seront perdues kernel lt nom de fichier du noyau gt lt option 1 gt lt option N gt indique quel fichier du noyau charger depuis le syst me de fichiers root de GRUB lors d un chargement direct du syst me d exploitation La commande kernel peut tre accompagn e d options qui seront pass es au noyau lors de son chargement Pour Red Hat Linux un exemple de commande kernel ressemble l extrait suivant kernel vmlinuz root dev hda5 Cette ligne indique que le fichier vmlinuz est charg depuis le syst me de fichiers root de GRUB tel que hd0 0 Une option est aussi pass e au noyau indiquant que lors du chargement du sys t me de fichiers root pour le noyau Linux ce dernier doit se situer sur hda5 la cinqui me partition du premier disque dur IDE Plusieurs autres options peuvent tre plac es apr s cette option si n cessaire root lt p riph rique et partition gt configure la partition racine root de GRUB pour en faire un p riph rique et une partition sp cifiques comme par exemple hd0 0 et monte la partition afin que les fichiers puissent tre lus rootnoverify lt p riph rique et partition gt a les m mes fonctions que la commande root mais ne monte pas la partition Il existe bien d autres commandes Pour obtenir une
54. ment du sch ma d fini dans les fichiers sch ma install s par OpenLDAP Ceci tant vous pouvez tendre le sch ma utilis par OpenLDAP afin de supporter d autres types d attributs et classes d objets en utilisant comme guide les fichiers sch ma par d faut Pour ce faire cr ez un fichier 1ocal schema dans le r pertoire etc openldap schema R f rencez ce nou veau sch ma dans s1apd conf en ajoutant les lignes suivantes en dessous de vos lignes de sch ma include par d faut include etc openldap schema local schema Ensuite d finissez Next vos nouveaux types d attributs et classes d objets dans le fichier local schema Beaucoup d organisations utilisent les types d attributs et classes d objet existants dans les fichiers de sch ma install s par d faut et les modifient pour usage dans le fichier local schema file tendre un sch ma en fonction de besoins sp cialis s est une t che complexe qui d passe le cadre du pr sent chapitre Consultez http www openldap org doc admin schema html pour plus d informations sur l critures de nouveaux fichiers de sch ma 13 6 Aper u de la configuration de OpenLDAP Cette section fournit une pr sentation rapide des op rations accomplir pour installer et configurer un annuaire OpenLDAP Pour plus d informations reportez vous aux URL suivantes _http www openldap org doc admin quickstart html Le Quick Start Guide sur le site Web d OpenLDAP
55. rement en ce qui concerne l utilisation des caract res d espace Rappelez vous bien de toujours s parer les syst mes de fichiers export s des h tes et les h tes entre eux l aide d un caract re d espace Toutefois aucun autre carac t re d espace ne doit se trouver dans le fichier moins qu ils ne soient utilis s pour des lignes de commentaire Par exemple les deux lignes suivantes n ont pas la m me signification home bob example com rw home bob example com rw La premi re ligne autorise seulement les utilisateurs de bob example com avoir une acc s en lecture criture au r pertoire home La deuxi me ligne elle autorise les utilisateurs de bob example com monter le r pertoire en lecture seule valeur par d faut mais tout autre utilisateur peut le monter en lecture criture 120 Chapitre 9 Le syst me de fichiers r seau NFS 9 3 Les fichiers de configuration de clients NFS Tout partage NFS propos par un serveur peut tre mont l aide de diverses m thodes Le partage peut bien s r tre mont manuellement en utilisant la commande mount Pour ce faire le super utilisateur doit taper la commande mount chaque fois que le syst me red marre Parmi les deux m thodes de configuration de montage NFS figurent la modification de etc fstab ou l utilisation du service autofs 9 3 1 etc fstab L insertion d une ligne correctement format e dans le fichier etc fstab revient mon
56. rification d un module portant l indication required choue l utilisateur n en est pas averti tant que tous les modules associ s cette interface n ont pas t v rifi s e requisite le module doit tre v rifi avec succ s pour que l authentification puisse se pour suivre Cependant si la v rification d un module requisite choue l utilisateur en est averti imm diatement par le biais d un message lui indiquant l chec du premier module required ou requisite e sufficient en cas d chec les v rifications de modules sont ignor es Toutefois si la v rifi cation d un module portant l indication sufficient est r ussie et qu aucun module pr c dent portant l indicateur required n a chou aucun autre module de ce type n est n cessaire et l utilisateur sera authentifi aupr s du service e optional en cas d chec les v rifications de modules sont ignor es En revanche si la v rifi cation des modules est r ussie le r sultat ne joue aucun r le dans la r ussite ou l chec global de l interface de ce module Un module portant l indication optional devient n cessaire pour la r us site d une authentification lorsqu aucun autre module ne fait r f rence cette interface Dans ce cas pr cis un module optional d termine l authentification des PAM g n rale pour cette interface Important L ordre dans lequel les modules required sont appel s n est pas pr
57. sont param tr es vous devez les remplacer par des directives Include Pour obtenir l assurance que les fichiers seront lus dans l ordre d sign par les anciennes direc tives vous devrez placer les directives Include la fin du fichier httpd conf en prenant bien soin placer celui correspondant ResourceConfig avant celui correspondant AccessCon fig Si vous utilisez les valeurs par d faut vous devez les inclure explicitement dans les fichiers conf srm conf et conf access conf 10 2 2 Configuration du serveur principal La section de la configuration du serveur principal du fichier de configuration installe le serveur prin cipal ce qui r pond toute requ te non trait e par une d finition lt VirtualHost gt Des valeurs par d faut sont aussi fournies ici pour tous les fichiers conteneurs lt VirtualHost gt d finis Les directives utilis es dans cette section ont t l g rement modifi es entre le Serveur HTTP Apache 1 3 et la version 2 0 Si la configuration de votre serveur principal est tr s personnalis e vous trou verez peut tre plus simple de modifier votre configuration existante pour l adapter au Serveur HTTP Apache 2 0 Les utilisateurs ayant une configuration peu personnalis e devront transf rer leurs chan gements vers la configuration par d faut 2 0 10 2 2 1 Mappage du fichier UserDir La directive UserDir est utilis e pour permette des URL telles que http example com bob de se m
58. te gr ce cette technique un syst me intercepteur pr tend tre le destinataire d sir d un message Si cet abus d identit fonctionne le client ne s en rend pas compte et continue de lui envoyer toutes les informations comme s il tait connect au bon destinataire Ce type d attaque peut tre organis gr ce l utilisation de techniques connues sous le nom d empoisonnements DNS ou usurpation d adresse IP Ces deux techniques interceptent potentiellement des informations confidentielles et si cette intercep tion est effectu e pour des raisons hostiles le r sultat peut tre catastrophique L utilisation du protocole SSH pour effectuer une connexion shell distance ou copier des fichiers permet de faire r duire consid rablement ces atteintes la s curit La signature num rique d un serveur fournit la v rification pour son identit En outre la communication compl te entre un syst me client et un syst me serveur ne peut tre utilis e si elle est intercept e car tous les paquets sont crypt s De plus il n est pas possible d usurper l identit d un des deux syst mes parce que les paquets sont crypt s et leurs cl s ne sont connues que par le syst me local et le syst me distant 18 2 Versions du protocole SSH Le protocole SSH permet tout programme client et serveur cr selon les sp cifications du protocole de communiquer de fa on s curis e et d tre utilis
59. te par connexion cette directive peut servir emp cher un client particulier d utiliser une trop grande quantit des ressources du serveur Par d faut la valeur de Keepalive est r gl e sur off Si la valeur de Keepalive est on et que le serveur devient tr s occup le serveur peut g n rer rapidement un maximum de processus enfants Dans ce cas les serveur sera consid rablement ralenti Si la directive Keepalive est activ e il est recommand de donner KeepAliveTimeout une valeur basse reportez vous la Section 10 5 8 pour obtenir de plus amples informations sur la directive KeepAliveTimeout et de contr ler le fichier journal var 1og httpd error_1og du serveur Ce fichier indique si le serveur est cours de processus enfants 10 5 7 MaxKeepAliveRequests Cette directive d finit le nombre maximum de requ tes autoris es par connexion persistante Le groupe Apache Project recommande l utilisation d un param trage lev ce qui am liorera les per formances du serveur Par d faut la valeur de MaxKeepAliveRequests est param tr e sur 100 ce qui est appropri pour la plupart des situations 10 5 8 KeepAliveTimeout KeepAliveTimeout d finit la dur e en secondes pendant laquelle votre serveur attendra apr s avoir servi une requ te avant d interrompre la connexion Une fois que le serveur re oit une requ te c est la directive Timeout qui s applique sa place Par d faut la valeur donn e Ke
60. 005f timer 0060 006f keyboard 0070 007f rtc 0080 008f dma page reg 00a0 00bf pic2 00c0 00df dma2 oo0f0 00ff fpu 0170 0177 idel 01f0 01f7 ide0 02f8 02ff serial auto 0376 0376 idel 03c0 03df vga 03f6 03f6 ide0 03f8 03ff serial auto Ocf8 O0Ocff PCI confl d000 dfff PCI Bus 01 e000 e00f VIA Technologies Inc Bus Master IDE e000 e007 ide0 e008 e00f idel e800 e87f Digital Equipment Corporation DECchip 21140 FasterNet e800 e87 f tulip La premi re colonne indique la plage d adresses de port E S r serv es au p riph rique sp cifi dans la seconde colonne 5 2 12 proc isapnp Ce fichier r pertorie les cartes Plug amp Play PnP install es dans les connecteurs ISA du syst me Cela se voit surtout avec les cartes son mais peut aussi inclure tout autre p riph rique Un fichier proc isapnp ayant une entr e Soundblaster ressemble l extrait suivant Card 1 CTL0070 Creative ViBRA16C PnP PnP version 1 0 Product version 1 0 Logical device 0 CTL0001 Audio Device is not active Active port 0x220 0x330 0x388 Active IRQ 5 0x2 Active DMA 1 5 Resources 0 Priority preferred Port 0x220 0x220 align 0x0 size 0x10 16 bit address decoding Port 0x330 0x330 align 0x0 size 0x2 16 bit address decoding Port 0x388 0x3f8 align 0x0 size 0x4 16 bit address decoding IRQ 5 High Edge DMA 1 8 bit byte count compatible DMA 5 16 bit word count compatible Alternate resources
61. 150 Alias 147 Allow 144 AllowOverride 144 BrowserMatch 151 CacheNegotiatedDocs 145 CustomLog 147 Defaulticon 149 DefaultType 145 Deny 144 Directory 143 DirectoryIndex 145 DocumentRoot 142 ErrorDocument 151 ErrorLog 146 ExtendedStatus 141 Group 141 HeaderName 149 HostnameLookups 146 IfDefine 141 IfModule 145 Include 140 IndexIgnore 149 IndexOptions 148 KeepAlive 139 KeepAliveTimeout 139 LanguagePriority 150 Listen 140 LoadModule 141 Location 151 LogFormat 146 LogLevel 146 MaxClients 140 MaxKeepAliveRequests 139 MaxRequestsPerChild 140 MaxSpareServers 139 MinSpareServers 139 299 NameVirtualHost 153 Options 143 Order 144 PidFile 139 pour la fonctionnalit de cache 152 pour SSL 153 Proxy 152 ProxyRequests 152 ProxyVia 152 ReadmeName 149 Redirect 148 ScoreBoardFile 138 ScriptAlias 147 ServerAdmin 142 ServerName 142 ServerRoot 138 ServerSignature 147 SetEnvIf 153 StartServers 140 Timeout 139 TypesConfig 145 UseCanonicalName 142 User 141 UserDir 144 VirtualHost 153 directives SSL 153 Directory directive de configuration Apache 143 DirectoryIndex directive de configuration Apache 145 DNS 183 Voir Aussi BIND introduction 183 documentation appropri e ii d butants ii groupes de discussion iii livres iv sites Web iii utilisateur chevronn iv utilisateur exp riment iv DocumentRoot directive de configuration Apache 142 modi
62. 16 e error file sp cifie le chemin et le nom du fichier de l endroit o les erreurs xfs doivent tre enregistr es no listen emp che xfs d tre attentif des protocoles sp cifiques Cette option par d faut la valeur tcp afin d emp cher xfs de recevoir des connexions sur les ports TCP surtout pour des raisons de s curit Si vous utilisez xfs pour servir des polices travers le r seau supprimez cette ligne port sp cifie le port TCP sur lequel xfs recevra des connexions si no listen n existe pas ou est d sactiv par un commentaire e use syslog sp cifie si le journal d erreurs syst me doit tre utilis Chapitre 7 Le syst me X Window 101 7 4 2 2 Ajout de polices xfs Pour ajouter des polices au sous syst me de polices X de base xfs suivez les tapes suivantes 1 moins qu il n existe d j cr ez un r pertoire nomm usr share fonts local l aide de la commande suivante en tant connect en tant que super utilisateur ou root mkdir usr share fonts local Si la cr ation du r pertoire usr share fonts local est n cessaire il faut ajouter ce der nier au chemin xfs l aide de la commande suivante en tant connect en tant que super utilisateur ou root chkfontpath add usr share fonts local 2 Copiez le nouveau fichier de polices dans le r pertoire usr share fonts local 3 Mettez jour les informations de polices l aide d
63. 248 TCP 247 UDP 247 Sources d informations additionnelles sites Web utiles 251 Sources d informations suppl mentaires 251 documentation install e 251 302 K KDE 90 Voir Aussi XFree86 KeepAlive directive de configuration Apache 139 KeepAliveTimeout directive de configuration Apache 139 Kerberos avantages de 253 configuration d un serveur 257 configurer des clients 259 d finition de 253 d savantages de 253 et PAM 257 KDC Key Distribution Center ou centre distribu teur de tickets 255 ressources suppl mentaires 260 Documentation install e 260 Sites Web utiles 260 Service d mission de tickets TGS Ticket Grant ing Service 255 son fonctionnement 255 terminologie 254 Ticket d mission de tickets TGT Ticket Grant ing Ticket 255 kwin 91 Voir Aussi XFree86 L LanguagePriority directive de configuration Apache 150 LDAP applications 207 Idapadd 205 Idapdelete 205 Idapmodify 205 ldapsearch 205 slapadd 205 slapcat 205 slapd 205 slapindex 205 slappasswd 205 slurpd 205 suite OpenLDAP 205 utilitaires 205 authentification l aide de 210 configuration des clients 210 Outil de configuration d authentification 210 PAM 211 paquetages 210 dition de etc Idap conf 210 dition de etc nsswitch conf 210 dition de etc openldap Idap conf 210 dition de slapd conf 210 avantages de 203 caract ristiques d OpenLDAP 203 configurati
64. 255 255 255 255 255 255 Actual queue depth per device for aic7xxx host instance 1 it li il 4 11 1 TT dd Statistics scsi1 0 5 0 Device using Narrow Sync transfers at 20 0 MByte sec offset 15 Transinfo settings current 12 15 0 0 goal1 12 15 0 0 user 12 15 0 0 Total transfers 0 0 reads and 0 writes lt 2K 2K 4K 8K 16K 32K 64K 128K Reads 0 0 0 0 0 0 0 0 Writes 0 0 0 0 0 0 0 0 scsi1 0 6 0 Device using Narrow Sync transfers at 10 0 MByte sec offset 15 Transinfo settings current 25 15 0 0 goa1 12 15 0 0 user 12 15 0 0 Total transfers 132 0 reads and 132 writes lt 2K 2K 4K 8K 16K 32K 64K 128K Reads 0 0 0 0 0 0 0 0 Writes 0 0 0 1 131 0 0 0 Cet cran vous permet de visualiser la vitesse de transfert des diff rents p riph riques SCSI connect s au contr leur en fonction de l ID de canal ainsi que des statistiques d taill es concernant la quantit et la taille des fichiers lus ou crits par ces p riph riques Par exemple partir de la sortie ci dessus vous pouvez voir que ce contr leur communique avec le lecteur de CD ROM une vitesse de 20 Mo par seconde alors que le lecteur de bande n est connect lui qu 10 Mo par seconde 5 3 9 proc sys Le r pertoire proc sys est diff rent des autres r pertoires de proc car en plus de fournir des informations relatives au syst me il vous permet d apporter des modifications la configuration du noyau Ceci permet
65. Chapitre 5 Le syst me de fichiers proc 61 5 2 26 proc slabinfo Ce fichier fournit des informations sur l utilisation de la m moire au niveau bloc slab Les noyaux Li nux sup rieurs 2 2 utilisent des groupes d emplacement m moire de type bloc pour g rer la m moire au dessus du niveau page Les objets couramment utilis s ont leurs propres groupes d emplacement m moire de type bloc Ci dessous figure une partie d un fichier virtuel proc slabinfo typique slabinfo version 1 1 kmem_cache 64 68 112 2 2 t nfs_write_data 0 0 384 0 0 d nfs_read_ data 0 160 384 0 16 T nfs_page 0 200 96 0 5 F ip_fib_hash 10 113 32 1 T L journal_head 51 7020 48 2 90 1 revoke_table 2 253 12 1 T 1 revoke_record 0 0 32 0 0 1 clip_arp_cache 0 0 128 0 0 SIL ip_mrt_cache 0 0 96 0 0 1 Les valeurs de ce fichier sont pr sent es selon l ordre suivant nom du cache nombre d objets actifs nombre total d objets taille des objets nombre de blocs slabs actifs des objets nombre total de blocs des objets et nombre de pages par bloc Veuillez noter que actif signifie ici qu un objet est en cours d utilisation 5 2 27 proc stat Ce fichier effectue le suivi de diff rentes statistiques sur le syst me depuis le dernier red marrage Le contenu de proc stat qui peut tre plut t long commence de la fa on suivante cpu 1139111 3689 234449 84378914 cpu0 1139111 3689 234449 84378914 page 2675248 8567956 swap 10022 19226 intr
66. Dans le cas de cet exemple tout message envoy par spammer domain com est automatiquement d plac vers dev nul1 qui le supprime Ohrcntion Soyez tr s prudent lorsque vous effectuez ce genre d op ration et assurez vous que la r gle fonc tionne correctement avant de d placer les messages qui y correspondent vers dev nul1 car ils y seront supprim s de fa on permanente Si les conditions de votre recette attrapent accidentelle ment des messages qui ne devraient pas l tre ils disparaissent sans laisser de trace Dans de telles conditions il est difficile de r soudre des probl mes au niveau de la r gle Une solution plus appropri e serait de pointer l action de la recette vers une bo te aux lettres sp ciale que vous pouvez v rifier de temps en temps afin de voir s il s y trouve de fausses concordances ou des messages qui correspondent par accident aux conditions Apr s un examen m ticuleux donnant l assurance qu aucun message ne fait l objet d une concordance accidentelle supprimer la bo te lettres et diriger l action de fa on envoyer les messages vers dev null1 Procmail est avant tout un filtre de courrier lectronique qui place automatiquement le courrier au bon endroit pour vous viter de le trier manuellement La recette ci dessous prend les messages envoy s par une liste d adresses donn e et les met dans le dossier appropri 10 f From CC ITo tux lug tuxlug Tout message envoy depuis l
67. ExecCGI lt Directory gt Ci apr s se trouve l quivalent pour le module mod_per1 sous la version 2 0 du Serveur HTTP Apache lt Directory var www perl gt SetHandler perl script PerlModule ModPerl Registry PerlHandler ModPerl Registry handler Options ExecCGI lt Directory gt La plupart des modules pour mod_per1 1 x devraient fonctionner sans modification avec mod_per1 2 x Les modules XS doivent tre recompil s et des modifications mineures de Makefile seront peut tre galement n cessaires 10 2 4 6 Module mod_python La configuration du module mod_python a t transf r e du fichier httpd conf vers le fichier etc httpd conf d python conf Pour que ce dernier soit charg et permette ainsi mod_python de fonctionner correctement la d claration Include conf d conf doit figurer dans le fichier httpd conf comme le d crit la Section 10 2 1 3 10 2 4 7 PHP La configuration de PHP a t transf r e du fichier httpd conf vers le fichier etc httpd conf d php conf Pour que celui ci soit charg la d claration Include conf d conf doit figurer dans le fichier httpd conf comme le d crit la Section 10 2 1 3 PHP fonctionne d sormais comme un filtre et doit par cons quent tre activ d une mani re diff rente Reportez vous la Section 10 2 4 pour plus d informations sur les filtres Sous la version 1 3 du Serveur HTTP Apache PHP tait ex cut en utilisant les directives suivantes A
68. IN CNAME serverl mail2 IN CNAME server2 WWW IN CNAME server2 Dans cet exemple sont utilis es des directives et des valeurs SOA standard Les serveurs de noms faisant autorit seront dns1 example com et dns2 example com qui ont des enregistrements A les liant respectivement 10 0 1 2et10 0 1 3 Les serveurs de courrier configur s par les enregistrements MX orientent vers les serveurs server1 et server2 au moyen des enregistrements CNAME Puisque les noms des serveurs server1 et ser ver2 ne finissent pas par un point le domaine ORIGIN est attach rallongeant le nom en ser verl example comet server2 example com Gr ce aux enregistrements de ressources A asso ci s leurs adresses IP peuvent tre d termin es Les services FTP et Web services disponibles aux noms standard ftp example com et wuw example com Sont orient s vers les serveurs appropri s en utilisant les enregistrements CNAME 196 Chapitre 12 Berkeley Internet Name Domain BIND 12 3 4 Fichiers de r solution de noms invers e Un fichier de r solution de nom invers e sert traduire une adresse IP dans un espace de nom parti culier en un FQDN Il ressemble beaucoup un fichier de zone standard si ce n est que les enregis trements de ressources PTR servent lier les adresses IP au nom d un domaine pleinement qualifi Un enregistrement PTR ressemble ce qui suit lt dernier chiffre IP gt IN PTR lt FODN du syst me gt Le lt dernier chiff
69. IRQ IRQ Ether WORKS 3 DE203 ewrk3 0 ewrk io port IRO OU ewrk DE204 and DE205 io io_ port irq IRQ A Packet Engines GNIC IT hamachi o Gigabit HP PCLAN plus hp plus o hp plus io_port IRQ OR hp plus io io_ port irq IRQ HP LAN Ethernet hp o hp io port IRO OU hpio io port irq IRQ Cartes r seau hp100 i0_port nom OU hp100 100VG AnyLan HP hp100_port io_ port hp100_name nom J2585B J2585A J2970 J2973 12573 Compex ReadyLink ENET100 VG4 FreedomLine 100 VG IBM Token Ring 16 4 ibmtr io port OUio io port Shared Memory IBM Token Ring 16 4 m moire partag e AT1500 HP J2405A etla lance o plupart des clones NE2100 Mylex LNE390 EISA ine3900 o NatSemi DP83815 Fast natsemi o Ethernet NE1000 NE2000 ne o ne io port IRO OU neio io port non pci irq IRQ 294 Annexe A Param tres g n raux et modules Mat riel Module Param tres Cartes PCI NE2000 ne2k pci o RealTEk RTL 8029 Winbond 89C940 Compex RL2000 PCI NE2000 clones NetVin NV5000 C Via 82C926 SureCom NE34 Novell NE3210 ISA nes210 0 o MiCom Inerlan NISO10 _ nis00 0 Carte NI5210 puce ni52 o niS2 io port IRQ OU ni52 io io port Ethernet 182586 NI6510 Ethemet IBM Olympic based PCI olympic o token ring AMD PCnet32 et AMD pcnet32 0 PCnetPCI SIS 900 701G PCI Fast sis900 0 Ethernet SysKonnect SK 98XX sk98lin o Gigabit SMC Ultra et SMC smc ultra o smc ultra io_port IRQ OU smc ultra EtherEZ ISA ethercard io io_ port ir
70. L extrait ci dessous illustre le format de fichier journal combined remotehost rfc931 user date request status bytes referrer user agent 10 5 42 ServerSignature La directive ServerSignature ajoute une ligne contenant la version du Serveur HTTP Apache et le nom du serveur ServerName pour tout document cr par un serveur comme par exemple les messages d erreur renvoy s aux clients La valeur par d faut pour ServerSignature est on La valeur de cette directive peut tre of f ou EMail La valeur EMail ajoute une r f rence HTML mailto ServerAdmin la ligne de signature des r ponses produites automatiquement par le sys t me 10 5 43 Alias Le param tre Alias permet d acc der aux r pertoires se trouvant en dehors du r pertoires Docu mentRoot Toute URL se terminant par l alias sera automatiquement convertie en chemin d acc s vers l alias Par d faut un alias pour un r pertoire icons est d j configur Un r pertoire icons est accessible par le serveur Web mais le r pertoire n est pas dans DocumentRoot 10 5 44 ScriptAlias La directive ScriptAlias d finit l endroit o se trouvent les scripts CGI D une mani re g n rale il est pr f rable de ne pas laisser de scripts CGI dans DocumentRoot o ils peuvent tre consult s comme des documents en texte C est pour cette raison qu il existe un r pertoire sp cial en dehors du r pertoire DocumentRoot contenant des ex cutables et scr
71. Le nom des rapports de Tripwire est attribu en utilisant la convention suiv ante host_name date of _report time_ of_report twr Ces rapports d taillent les dif f rences entre la base donn es Tripwire et vos fichiers syst mes 19 11 Ressources suppl mentaires Les capacit s de Tripwire vont au del de ce qui est abord dans ce chapitre Reportez vous aux ressources suppl mentaires pour obtenir davantage d informations sur Tripwire 19 11 1 Documentation install e usr share doc tripwire lt version number gt Un excellent point de d part pour apprendre personnaliser les fichiers de configuration et de politiques dans le r pertoire etc tripwire e Pour obtenir de l aide sur l utilisation de ces programmes utilitaires lisez aussi les pages de manuel relatives tripwire twadmin et twprint 19 11 2 Sites Web utiles http www tripwire org Le site Web du projet Open Source Tripwire o vous trouverez les toutes derni res nouvelles sur cette application et un Forum aux Questions tr s utile http sourceforge net project showfiles php group_id 3130 Ce lien renvoie la derni re docu mentation officielle au sujet du projet Tripwire Table des mati res A Param tres g n raux et modules IV Annexes redhat Annexe A Param tres g n raux et modules Cette annexe est fournie pour illustrer certains des param tres dont des pilotes de p riph riques ma t riels courant
72. MAD16 ou Mozart drive _ type OR OPTi 82C928 et OPTi ispi6_cdrom_base io port 82C929 avec lecteurs isp16_cdrom_irq IRQ Sanyo Panasonic Sony ou isp16_cdrom_dma dma Mitsumi ispl _cdrom_ type drive type CD ROM Mitsumi standard Annexe A Param tres g n raux et modules 287 Mat riel Module Param tres CD ROM Mitsumi mcdx o mcdx io port_1 IRQ 1 exp rimental io port_n IRO n Lecteur de CD ROM de optcd o stockage optique Dolphin 8000 AT Lasermate CR328A CD ROM IDE port parall le ocaso SB Pro 16 compatible sbpcd io_ port Sanyo CDR H94A sjcd io port OU sjcd_base io port CDU 535 et 531 de Sony sonycd535 0 sonycd535 i0o port certains lecteurs Procomm Tableau A 1 Param tres du mat riel Ci apr s figurent des exemples de certains modules utilis s CD ROM ATAPI branch comme ma tre sur le hdc cdrom deuxi me canal IDE CD ROM Mitsumi non IDE sur port 340 IRQ mcd 0x340 11 11 Trois lecteurs de CD ROM Mitsumi non IDE mcdx 0x300 5 0x304 10 0x320 11 utilisant le pilote exp rimental les ports E S 300 304 et 320 avec IRQ 5 10 et 11 Sony CDU 31 ou 33 au port 340 sans IRQ cdu31 0x340 0 OU cdu31_port 0x340 cdu31a_irq 0 CD ROM Aztech sur port 220 aztcd 0x220 CD ROM de type Panasonic sur interface sbpcd 0x230 1 SoundBlaster connect au port 230 Phillips LMS cm206 et cm260 E S 340 et IRQ cm206 0x340 11 11 Goldstar R420 IO 300 gscd 0x300 Lecteur Mitsumi sur carte son MAD16 adresse
73. O d en cr er une de mani re interactive en utilisant xfontsel 7 4 1 1 Ajout de polices Fontconfig L ajout de nouvelles polices au sous syst me Fontconfig est un processus relativement simple 1 Pour ajouter de nouvelles polices pour tout le syst me copiez les nouvelles polices dans le r pertoire usr share fonts local Pour ajouter de nouvelles polices pour un utilisateur sp cifique copiez les nouvelles polices dans le r pertoire fonts du r pertoire personnel ou home de l utilisateur 2 Pour mettre jour le cache des informations de polices utilisez la commande fc cache comme dans l exemple suivant 4fc cache lt chemin vers le r pertoire de polices gt Dans cette commande remplacez lt chemin vers le r pertoire de polices gt par le r pertoire contenant ces nouvelles polices soit usr share fonts local soit fonts Astuce Des utilisateurs peuvent aussi installer des polices graphiquement de mani re individuelle en par courant fonts dans Nautilus et en y faisant glisser les nouveaux fichiers de polices Important Si le nom du fichier de polices finit par une extension gz il s agit d un fichier compress qui ne pourra tre utilis moins d tre d compress Pour ce faire utilisez la commande gunzip ou cliquez deux fois sur le fichier et faites glisser la police vers un r pertoire dans Nautilus 100 Chapitre 7 Le syst me X Window 7 4 2 Syst me de polices X
74. PAM peut compromettre la s curit de votre syst me il est important de comprendre la structure de ces fichiers avant de leur apporter toute modification reportez vous la Section 14 3 pour de plus amples informations 14 1 Avantages des PAM PAM offre entre autres les avantages suivants il fournit un syst me d authentification commun qui pouvant tre utilis avec un vaste ventail d applications e il offre un haut degr s de flexibilit et de contr le en ce qui concerne l authentification aussi bien au niveau de l administrateur syst me qu au niveau du d veloppeur d applications il permet aux d veloppeurs d applications de concevoir des programmes sans avoir cr er leur propre syst me d authentification 14 2 Fichiers de configuration PAM Le r pertoire etc pam d contient les fichiers de configuration PAM pour les applications prenant en charge les PAM Les versions pr c dentes de PAM utilisaient le fichier etc pam conf mais ce dernier a t abandonn et pam conf est lu seulement si le r pertoire etc pam d n existe pas 14 2 1 Fichiers de services PAM Chaque application ou service prenant en charge les PAM correspond un fichier dans le r pertoire etc pam a Chacun de ces fichiers est nomm en fonction du service dont il contr le l acc s Il appartient au programme prenant en charge les PAM de d finir le nom de ses services et d installer son fichier de configuratio
75. PATH_INFO et renverra des erreurs de types 404 Not Found pour les requ tes qui contiennent de telles information Vous pouvez galement uti liser la directive AcceptPathInfo pour obliger le module m moire accepter les requ tes contenant PATH_INFO Ci dessous figure un exemple de cette directive AcceptPathinfo on Pour plus d informations sur le sujet reportez vous la documentation suivante sur le site Web d Apache Software Foundation _http httpd apache org docs 2 0 mod core html acceptpathinfo _http httpd apache org docs 2 0 handler html _http httpd apache org docs 2 0 filter html 10 2 4 1 Module mod_ss1 La configuration de mod_ssl a t transf r e du fichier httpd conf au fichier etc httpd conf d ssl conf Pour que ce dernier soit charg et permette ainsi mod_ss1 de fonctionner correctement la d claration Include conf d conf doit figurer dans le fichier httpd conf comme le d crit la Section 10 2 1 3 Dans les h tes virtuels les directives ServerName doivent explicitement sp cifier le num ro de port Ci dessous figure un exemple de la directive du Serveur HTTP Apache 1 3 lt VirtualHost _default_ 443 gt General setup for the virtual host ServerName ssl example name lt VirtualHost gt Pour transf rer ce param tre vers le Serveur HTTP Apache 2 0 utilisez la structure suivante lt VirtualHost _default_ 443 gt General setup for the virtual host ServerName ssl host name 443
76. Ressources suppl mentaires 157 11 Courrier lectronique ss sssssesseieeeeeee 159 11 1 Protocoles de courrier lectronique 11 2 Les diff rents types de programme de messagerie lectronique 11 3 Agent de transfert de courrier ATC s seseseseesesesiesseersrereeseee 162 11 4 Agent de distribution de courrier ADC 170 11 5 Agent de gestion de courrier AGC ss 177 11 6 Ressources suppl mentaires 12 Berkeley Internet Name Domain BIND 12 1 Introduction au DNS 12 2 etc named conf 12 3 Fichiers de zone 12 4 Utilisation de rndc 12 5 Propri t s avanc es de BIND 12 6 Erreurs courantes viter 12 7 13 1 13 2 Terminologie de LDAP 13 3 D mons et utilitaires OpenLDAP s ssssssssssssesssssressssesieressrrsrertsrsrersrnrnrenrenes 13 4 Fichiers de configuration OpenLDAP ss 13 5 Le r pertoire etc openldap schema 13 6 Aper u de la configuration de OpenLDAP 13 7 Configuration de votre syst me pour l authentification l aide de OpenLDAP 210 13 8 Mise niveau pour une Version 2 0 de OpenLDAP s s sssssesssserssserseserrereeees 211 13 9 Ressources suppl mentaires 212 NT R f rences Ala s curit iisssssssnenerntesianeteintnenenns teste en dns i anne et TEES 215 14 Modules d authentification enfichables PAM s sssnssesossssesesossosossostsseresssnesesesseresesees 2
77. appel la table nat ou avec la modification de paquets l aide de la table mangle se trouvent dans la page de manuel iptables 16 3 7 Options de listage La commande de listage par d faut iptables L forunit un aper u tr s l mentaire des cha nes actuelles contenues dans la table de filtres par d faut Des options suppl mentaires donnent plus d informations e v affiche une sortie prolixe indiquant le nombre de paquets et octets lus par chaque cha ne le nombre de paquets et d octets contr l s par chaque r gle et l identit des interfaces li es aux r gles x pr sente les nombres selon leur valeur exacte Dans un syst me tr s charg le nombre de paquets et d octets vus par une cha ne donn e peut tre abr g en utilisant K milliers M millions et G milliards la fin du nombre Cette option oblige l affichage du nombre r el n affiche les adresses IP et les num ros de port de fa on num rique plut t que d utiliser le nom d h te et le format du service de r seau e line numbers num re les r gles dans chaque cha ne c t de leur ordre num rique dans la cha ne Cette option est utile lorsque l on tente d liminer une r gle donn e dans une cha ne ou de localiser l emplacement d une r gle ins rer dans une cha ne t sp cifie un nom de table Chapitre 16 iptables 251 16 4 Stockage de l information iptables Les r gles cr es avec la c
78. application LDAP est en grande partie s par de Sendmail LDAP stocke les informations hi rarchiques des utilisateurs alors que Sendmail ne s occupe que de recevoir le r sultat de la recherche LDAP par le biais de messages lectroniques pr adress s Toutefois Sendmail prend en charge une int gration beaucoup plus grande avec LDAP l o il utilise LDAP pour remplacer des fichiers maintenus s par ment tels que aliases et virtusertables sur divers serveurs de messagerie qui fonctionnent ensemble pour prendre en charge une organisation de taille moyenne ou sup rieure En bref LDAP fait abstraction du niveau de routage du courrier depuis Sendmail et ses fichiers de configuration s par s en un cluster LDAP puissant qui influence de nombreuses autres applications La version actuelle de Sendmail comprend la prise en charge pour LDAP Pour tendre votre serveur Sendmail l aide de LDAP prenez d abord un serveur LDAP tel que OpenLDAP op rationnel et correctement configur Ensuite modifiez votre fichier etc mail sendmail mc pour y inclure les l ments suivants LDAPROUTE_DOMAIN yourdomain com dnl FEATURE 1dap_routing dnl Remarque Ceci n est que pour une configuration de base de Sendmail avec LDAP Votre configuration devrait diff rer consid rablement de celle ci selon votre mise en application de LDAP tout sp cialement si vous souhaitez configurer plusieurs ordinateurs Sendmail pour qu il
79. au module d autoriser l utilisateur changer son mot de passe partir d un mot de passe vide sinon un mot de passe non valide est trait comme un verrouillage de compte Le dernier argument de cette ligne use_authtok est un exemple illustrant bien l importance de l ordre lors de l empilage de modules PAM Cet argument indique au module de ne pas demander l utilisateur un nouveau mot de passe Au lieu de cela il accepte tous les mots de passe qui ayant t enregistr s dans le pr c dent module de mots de passe De cette fa on tous les nouveaux mots de passe doivent passer le test de s curit pam_cracklib so avant d tre accept s session required lib security pam_ unix so La derni re ligne sp cifie que l l ment session du module pam_unix so g rera la session Ce mo dule enregistre dans var log messages le nom d utilisateur ainsi que le type de service au d but et la fin de chaque session Il peut tre compl t en l empilant avec d autres modules de session si vous d sirez obtenir une fonctionnalit suppl mentaire L exemple de fichier de configuration ci dessous illustre l empilage du module auth pour le pro gramme rlogin PAM 1 0 222 Chapitre 14 Modules d authentification enfichables PAM auth required lib security pam_nologin so auth required lib security pam_securetty so auth required lib security pam_env so auth sufficient lib security pam rhosts_auth so aut
80. base par d faut devrait galement tre chang e pour ressembler ceci SDEFAULT_ BASE dc votre organisation dc com Le travail de migration d une base de donn es d utilisateur vers un format lisible par LDAP incombe un groupe de scripts de migration install s dans le m me r pertoire l aide du Tableau 13 1 d terminez le script utiliser pour la migration de votre base de donn es d utilisateur Service de noms LDAP Script utiliser existant fonctionne t il etc flat files oui migrate_ all online sh etc flat files non migrate_all_ offline sh oui oui Tableau 13 1 Scripts de migration LDAP Ex cutez le script appropri en fonction de votre service de noms existant Remarque Perl doit tre install sur votre syst me pour que vous puissiez utiliser ces scripts Les fichiers README et migration tools txt du r pertoire usr share openldap migration fournissent plus de d tails sur la migration d informations 212 Chapitre 13 Protocole LDAP Lightweight Directory Access Protocol 13 8 Mise niveau pour une Version 2 0 de OpenLDAP Dans la Version 2 0 de OpenLDAP le format de stockage sur disque utilis par le serveur slapd LDAP est diff rent Si vous faites une mise niveau de LDAP partir de Red Hat Linux 7 0 ou une version ant rieure vous devrez extraire les r pertoires LDAP existants pour les placer dans un fichier LDIF l aide de la commande suivante ldbmcat
81. cas les options utilisateur doivent suivre l option user d finie ci dessous fetchall Donne l ordre Fetchmail de t l charger tous les messages d une file y compris les messages qui ont d j t visualis s Par d faut Fetchmail ne r cup re que les nouveaux messages fetchlimit lt nombre gt Ne permet le t l chargement que d un certain nombre de messages avant l arr t flush Donne l instruction Fetchmail de supprimer tous les messages de la file visualis s pr c demment avant de t l charger les nouveaux messages limit lt nombre max octets gt Sp cifie que seuls les messages dont la taille est inf rieure la taille sp cifi e peuvent tre r cup r s Cette option est pratique lors de connexions r seau lentes particuli rement lorsqu un gros message prend trop de temps t l charger e password lt mot de passe gt Sp cifie le mot de passe utiliser pour cet utilisateur preconnect lt commande gt Ex cute la commande sp cifi e avant de r cup rer les messages pour cet utilisateur postconnect lt commande gt Ex cute la commande sp cifi e apr s avoir r cup r les mes sages pour cet utilisateur ssl Active le cryptage SSL e user lt nom d utilisateur gt D finit le nom d utilisateur employ par Fetchmail pour r cup rer les messages lectroniques Cette option doit tre plac e avant toute autre option ut
82. chargeur de d mar rage secondaire affiche l cran initial Red Hat Linux Cet cran vous permet de s lectionner le syst me d exploitation ou noyau Linux d marrer 3 Le chargeur de d marrage tape 2 lit en m moire le syst me d exploitation ou noyau et initrd Une fois que LILO d termine le syst me d exploitation d marrer il le charge en m moire et c de le contr le de la machine ce syst me d exploitation Une fois que le chargeur de d marrage tape 2 est en m moire LILO affiche l cran Red Hat Linux initial avec les diff rents syst mes d exploitation ou noyaux qu il doit d marrer selon sa configura tion Si par d faut vous n avez install que Red Hat Linux et n avez rien chang dans le fichier de configuration LILO linux sera votre seule option Si en revanche le syst me dispose de multiples processeurs plusieurs options seront disponibles une option linux up pour un noyau processeur simple et linux pour le noyau processeur multiple SMP Si vous avez configur LILO pour qu il d marre galement d autres syst mes d exploitation ces s lections appara tront sur cet cran Les touches fl ch es permettent l utilisateur de mettre en surbrillance le syst me d exploitation retenu et la touche Entr e amorce le processus de d marrage 2 Pour en savoir plus sur le BIOS et le MBR voir la Section 1 2 1 20 Chapitre 2 Chargeurs de d marrage Pour acc der un
83. client et n est pas envoy e sur le r seau Le TGT tabli pour expirer apr s un certain laps de temps g n ralement dix heures est stock dans un cache de certificats d identit de l ordinateur client Un d lai d expiration est d fini de mani re ce qu un TGT compromis ne puisse tre utilis par un pirate que pendant une courte dur e Une fois que le TGT est mis l utilisateur n a pas redonner son mot de passe au KDC tant que le TGT n a pas expir ou tant qu il ne se d connecte pas pour se reconnecte ensuite Chaque fois que l utilisateur doit acc der un service r seau le logiciel client utilise le TGT pour demander au TGS un nouveau ticket pour ce service sp cifique Le ticket pour le service souhait est alors mis et utilis pour authentifier l utilisateur aupr s de ce service de fa on transparente Disons Le syst me Kerberos peut tre compromis chaque fois qu un utilisateur pr sent sur le r seau s authentifie aupr s d un service non kerberis en envoyant un mot de passe en texte en clair Pour cette raison l utilisation d un service non kerberis est fortement d conseill e Parmi de tels services figurent Telnet et FTP L utilisation d autres protocoles s rs tels que les services s curis s OpenSSH ou SSL est certes acceptable mais pas id ale Ceci est bien s r un aper u g n ral du fonctionnement typique de l authentification de Kerberos sur un r seau Po
84. clone permet de sp cifier des options compl mentaires pour une interface Par exemple si vous avez une interface Ethernet DHCP standard appel e etho0 le fichier pourrait res sembler cet extrait DEVICE eth0 ONBOOT yes BOOTPROTO dhcp Puisque USERCTL est r gl sur no si aucune valeur n est sp cifi e les utilisateurs ne peuvent pas mettre cette interface en fonction ou hors service Pour permettre aux utilisateurs de le faire cr ez un clone en copiant ifcfg eth0 dans ifcfg eth0 user puis ajoutez la ligne suivante USERCTL yes Lorsqu un utilisateur met en fonction l interface eth0 avec la commande ifup eth0 user les options de configuration de ifcfg eth0 sont combin es celles de ifcfg eth0 user Ceci n est qu un exemple de base mais cette m thode peut tre utilis e avec des options et interfaces diverses La m thode la plus simple pour la cr ation de fichiers de configuration d interface alias et clone consiste utiliser l outil graphique Outil d administration de r seau Pour en savoir plus sur cet outil voyez le chapitre intitul Configuration r seau du Guide de personnalisation de Red Hat Linux 8 3 Scripts de contr le d interface Les scripts de contr le d interface contr lent la mise en fonction activation et la mise hors service d sactivation des connexions d interface Il existe deux scripts de contr le principaux soit sbin ifdown et sbin ifup utilisant d autres scripts de co
85. contenant des variables d environnement et des r gles sp cifiques pour certains types de messages Dans la plupart des configurations la d cision de lancer Procmail et de tenter de filtrer le courrier est bas e sur l existence d un fichier utilisateur procmailrc Pour d sactiver Procmail mais enregistrer votre travail dans le fichier procmailrc d placez le vers un nom de fichier similaire l aide de la commande mv procmailrc procmailrcSAVE Lorsque vous tes pr t tester Procmail de nouveau redonnez au fichier son nom original soit procmailrc Procmail recommencera fonctionner imm diatement 11 4 1 Configuration de Procmail Fichiers de configuration de Procmail mieux connus comme tant les fichiers utilisateur proc mailrc contiennent d importantes variables d environnement Celles ci indiquent Procmail quels messages trier quoi faire avec les messages qui ne correspondent aucune recette etc Ces variables d environnement se trouvent g n ralement au d but du fichier procmailrc au format suivant lt variable env gt lt valeur gt Dans cet exemple lt variable env gt repr sente le nom de la variable et la section lt valeur gt d fi nit la variable 172 Chapitre 11 Courrier lectronique La plupart des utilisateurs de Procmail se servent d un petit nombre de variables et la plupart des variables d environnement les plus importantes sont d j d finies l aide d une
86. contient trois types de fichiers les fichiers de configuration d interface les scripts de contr le d interface les fichiers de fonctionnement r seau Les fichiers faisant partie de chacune de ces cat gories fonctionnent en coop ration afin de permettre l activation de divers p riph riques r seau sous Red Hat Linux Ce chapitre explore la relation entre ces fichiers et diff rentes options d utilisation 8 1 Fichiers de configuration r seau Avant d examiner les fichiers de configuration d interface eux m mes tablissons la liste des fichiers de configuration utilis s pour configurer le r seau Le fait de comprendre le r le jou par ces fichiers dans la mise en place de la pile de r seau peut s av rer utile lors de la personnalisation de votre syst me Red Hat Linux Les fichiers de configuration de r seau primaire sont les suivants etc hosts L objectif principal de ce fichier est de r soudre noms d h tes n ayant pu tre r solus d une autre fa on Il peut galement tre utilis pour r soudre des noms d h tes sur de petits r seaux ne disposant pas de serveur DNS Quel que soit le type de r seau utilis par l ordinateur ce fichier doit contenir une ligne sp cifiant l adresse IP du p riph rique de bouclage loopback 127 0 0 1 en tant que localhost localdomain Pour obtenir davantage d informations sur ce fichier consultez la page de manuel relative aux h tes et
87. couleur indiquant l chec via la commande echo en Rouge est la couleur par d faut SETCOLOR_ WARNING lt valeur gt o lt valeur gt configure la couleur indiquant un avertissement via la commande echo en Jaune est la couleur par d faut SETCOLOR_ NORMAL lt valeur gt o lt valeur gt configure la couleur sur normal via la com mande echo en LOGLEVEL lt valeur gt o lt valeur gt d finit le niveau de connexion initial de la console pour le noyau La valeur par d faut est 3 8 signifie tout y compris le d bogage 1 ne signifie rien d autre que les paniques du noyau Le d mon syslogd crasera ce param tre au d marrage PROMPT lt valeur gt o lt valeur gt correspond l une des valeurs bool ennes suivantes yes active le contr le du mode interactif au clavier no d sactive le contr le du mode interactif au clavier 4 1 15 etc sysconfig ipchains Le fichier etc sysconfig ipchains contient des informations utilis es par le script d initialisation ipchains lors de l tablissement du service ipchains Ce fichier peut tre modifi en tapant la commande sbin service ipchains save lorsque des r gles ipchains valides sont en place Ne modifiez pas ce fichier manuellement Il est pr f rable d utiliser la commande sbin ipchains pour configurer les r gles de filtrage des paquets et ensuite enregistrer les r gles dans ce fichier l aide de la commande sbin servic
88. d viter la transmission de mots de passe non crypt s travers le r seau Lorsque Korberos est utilis correctement il limine de fa on efficace la menace que posent sur un syst me les renifleurs de paquets 17 1 1 D savantages de Kerberos Kerberos permet certes d liminer une menace commune pour la s curit mais son impl mentation peut tre difficile pour de multiples raisons La migration de mots de passe utilisateur d une base de donn es de mots de passe UNIX standard comme etc passwd ou etc shadow vers une base de donn es de mots de passe Kerberos peut tre relativement longue car il n existe aucun m canisme automatique permettant d effectuer cette t che Pour de plus amples informations sur le sujet consultez le point num ro 2 23 dans le FAQ de Kerberos qui se trouve P URL suivante http www nrl navy mil CCS people kenh kerberos faq html e Kerberos n est que partiellement compatible avec le syst me PAM Pluggable Authentication Module module d authentification enfichable utilis par la plupart des serveurs ex cutant Red Hat Linux Pour plus d informations reportez vous la Section 17 4 e Pour qu une application utilise Kerberos ses sources doivent tre modifi es afin de faire les appels appropri s dans les biblioth ques Kerberos Pour certaines applications ceci peut poser de nom breux probl mes en raison de la taille et de la conception de l application Pour d aut
89. d une connexion commut e PPP il vous faut un fichier de configuration pour cette interface Le nom des fichiers d interface PPP est attribu selon le format suivant ifcfg ppp lt x gt o lt X gt repr sente un num ro unique correspondant une interface sp cifique Les fichiers de configuration d interface PPP cr automatiquement lorsque vous utilisez wvdial l utilitaire Outil d administration de r seau ou Kppp pour cr er un compte de num rotation Le Guide de d marrage de Red Hat Linux contient des instructions relatives l utilisation de ces outils de connexions par num rotation au moyen d une GUI Vous pouvez aussi cr er et diter ce fichier manuellement Un fichier ifcfg ppp0 typique ressemble l extrait ci dessous DEVICE ppp0 NAME test WVDIALSECT test 110 Chapitre 8 Interfaces r seau MODEMPORT dev modem LINESPEED 115200 PAPNAME test USERCTL true ONBOOT no PERSIST no DEFROUTE yes PEERDNS yes DEMAND no IDLETIMEOUT 600 Le protocole Internet ligne s rie SLIP de l anglais Serial Line Internet Protocol constitue une autre interface de connexion commut e m me s il est moins fr quemment utilis Les fichiers SLIP ont des noms de fichiers de configuration d interface comme ifcfg s10 Parmi les options dont nous n avons pas encore parl et qui peuvent tre utilis es dans ces fichiers figurent DEFROUTE lt r ponse gt O lt r ponse gt correspond l
90. d faut toutes les interfaces sont utilis es De cette mani re si le serveur DNS sert galement de portail BIND peut tre configur de telle sorte qu il ne r ponde qu aux requ tes en provenance de l un des r seaux 188 Chapitre 12 Berkeley Internet Name Domain BIND Une directive 1isten on peut ressembler l extrait ci dessous options listen on 10 0 1 1 J De cette mani re seules les requ tes qui proviennent de l interface de r seau servant le r seau priv 10 0 1 1 seront accept es notify d termine si named envoie une notification aux serveurs esclaves quand une zone est mise jour Il accepte les options suivantes e yes notifie les serveurs esclaves no ne notifie les serveurs esclaves explicit notifie seulement les serveurs esclaves sp cifi s dans une liste also notify l int rieur d une d claration de zone pid file sp cifie l emplacement du fichier de processus ID cr par named e statistics file sp cifie un autre emplacement des fichiers de statistiques Par d faut les named sont enregistr es dans le fichier var named named stats De nombreuses autres options sont galement disponibles dont beaucoup d pendant l une de l autre pour fonctionner correctement Consultez le document BIND 9 Administrator Reference Manual dans la Section 12 7 1 et la page de manuel relative bind conf pour de plus amples informations
91. dans la possibilit de r unir les informations d une organisation enti re dans un lieu central Par exemple toutes les listes d utilisateurs au sein de l organisation peuvent tre fusionn es dans un r pertoire LDAP Ce r pertoire peut tre interrog par toute application compatible avec LDAP ayant besoin de ces informations De plus puisque LDAP supporte les fonctions Secure Sockets Layer SSL et Transport Layer Security TLS des donn es sensibles peuvent tre prot g es des intrusions LDAP supporte aussi diverses bases de donn es parall les pour y enregistrer des r pertoires Cela donne aux administrateurs la flexibilit n cessaire pour d ployer la base de donn es la plus adapt e au type d informations que le serveur doit diss miner De plus comme LDAP comporte une API de l anglais Application Programming Interface soit interface de programmation d application bien d finie le nombre d applications compatibles avec LDAP est vaste et grandissant aussi bien en quantit qu en qualit Du c t n gatif LDAP peut tre difficile configurer 13 1 1 Am liorations des caract ristiques d OpenLDAP 2 0 OpenLDAP 2 0 comprend plusieurs caract ristiques importantes 204 Chapitre 13 Protocole LDAP Lightweight Directory Access Protocol Support LDAPv3 OpenLDAP 2 0 supporte SASL Simple Authentication and Security Layer TLS Transport Layer Security et SSL Secure Sockets Layer
92. dans le syst me account required lib security pam_unix so Ce module effectuer toute v rification de compte lorsque cela est n cessaire Par exemple si des mots de passe masqu s ont t activ s l l ment compte du module pam_unix s0 v rifiera si le compte a expir ou si l utilisateur a chang son mot de passe pendant le d lai de gr ce allou password required lib security pam_cracklib so retry 3 Si un mot de passe n est plus valable l l ment mot de passe du module pam_cracklib so invite l utilisateur en fournir un nouveau Il v rifie ensuite le mot de passe cr afin de d terminer s il peut tre facilement retrouv par un programme de craquage de mots de passe bas sur des dictionnaires Si le test du mot de passe choue le programme donne l utilisateur deux autres possibilit s de cr er un mot de passe s r comme il l est pr cis dans l argument ret ry 3 password required lib security pam unix so shadow nullok use _authtok Cette ligne sp cifie que si le programme change le mot de passe de l utilisateur il doit le faire en utilisant l l ment password du module pam_unix so Ceci se produit uniquement si la partie auth du module pam_unix so d termine que le mot de passe doit tre chang L argument shadow donne l instruction au module de cr er des mots de passe masqu s lors de la mise jour du mot de passe d un utilisateur L argument nul1ok donne l instruction
93. dant au syst me de fichiers export l ID d utilisateur personne nobody 9 5 Ressources suppl mentaires L administration d un serveur NFS peut se transformer en un v ritable d fi Maintes options y com pris un certains nombre pass sous silence dans ce chapitre sont disponibles pour l exportation ou le montage de partages NFS Pour de plus amples informations consultez les sources d information mentionn es ci dessous 9 5 1 Documentation install e e usr share doc nfs utils lt num ro de version gt Remplacez lt num ro de version gt par le num ro de version du paquetage NFS Ce r pertoire contient de nombreuses informations sur l impl mentation de NFS sous Linux y compris diverses configurations NFS et leur impact sur les performances de transfert de fichiers man mount Contient une vue compl te des options de montage pour les configurations aussi bien de serveur que de client NFS e man fstab Donne des d tails quant au format du fichier etc fstab utilis pour monter les syst mes de fichiers lors du d marrage du syst me 124 Chapitre 9 Le syst me de fichiers r seau NFS e man nfs Fournit des d tails non seulement sur l exportation de syst mes de fichiers sp cifique NFS mais galement sur les options de montage e man exports Montre les options couramment utilis es dans le fichier etc exports lors de l exportation de syst mes de fichiers NFS 9 5 2 Liv
94. de base Pour des raisons de compatibilit Red Hat Linux inclut toujours le sous syst me de polices original appel le sous syst me de polices X de base core utilisant le serveur de polices X xfs pour fournir les polices aux applications clients X Le serveur XFree86 recherche un serveur de police sp cifi dans l entr e FontPath dans la section Files du fichier de configuration etc X11 XF86Config Pour obtenir de plus amples informations sur l entr e FontPath reportez vous la Section 7 3 1 4 Le serveur XFree86 se connecte au serveur xfs sur un port d finit afin d obtenir des informations sur les polices Dans de telles circonstances le service xfs doit tre en cours d ex cution pour que X puisse d marrer Pour obtenir de plus amples informations sur la configuration de services un niveau d ex cution particulier reportez vous au chapitre intitul Contr le de l acc s aux services du Guide de personnalisation de Red Hat Linux 7 4 2 1 Configuration de xfs Le script etc rc d init d xfs lance le serveur xfs Il est possible de configurer plusieurs op tions dans le fichier etc X11 fs config Ci dessous figure une liste des options les plus courantes alternate servers sp cifie une liste d autres serveurs de polices utiliser si ce serveur de polices n est pas disponible Chaque serveur dans cette liste doit tre s par par une virgule catalogue sp cifie un liste ordonn
95. de celle fournie par mod_dav Les paquetages mod_auth_any et mod _bandwidth ont t supprim s Le num ro de version du paquetage mod_ss1 est d sormais synchronis avec le paquetage httpd Cela signifie que le paquetage mod_ss1 du Serveur HTTP Apache 2 0 a un num ro de version plus bas que le paquetage mod_ss1 pour le Serveur HTTP Apache 1 3 10 1 3 Changements du syst me de fichiers de la version 2 0 du Serveur HTTP Apache Lorsque vous passez la version 2 0 du Serveur HTTP Apache voici les changements apport s au syst me de fichiers Un nouveau r pertoire de configuration etc httpd conf d a t ajout Ce nouveau r pertoire sert stocker les fichiers de configuration des modules en paquetages individuels tels que mod_ssl mod_perl et php La directive Include conf d conf demande au serveur de charger les fichiers de configuration partir de cet emplacement au sein du fichier de configuration du Serveur HTTP Apache etc httpd conf httpd conf Dan Lors de la migration d une configuration existante cette ligne doit tre ins r e Les programmes ab et logresolve ont t d plac s Ces utilitaires sont pass s du r pertoire usr sbin au r pertoire usr bin Par cons quent les scripts disposant de chemins d acc s absolus pour ces binaires choueront La commande dbmmanage a t remplac e La commande dbmmanage a t remplac e par htdbm Reportez vous la Section 10
96. de la d cision du succ s d un filtre ou d une action utilisez l option w la place D autres indicateurs sont expliqu s dans la page de manuel procmailrc 11 4 2 3 Sp cification d un fichier de verrouillage local Les fichiers de verrouillage sont tr s utiles avec Procmail pour garantir que seul un processus qui essaie de modifier un certain message un moment donn Vous pouvez sp cifier un fichier de ver rouillage local en pla ant le symbole des deux points apr s chaque indicateur sur la premi re ligne Chapitre 11 Courrier lectronique 175 d une recette Ce faisant un fichier de verrouillage local est cr en fonction du nom de fichier de destination et de toute valeur contenue dans la variable d environnement globale LOCKEXT Vous pouvez aussi sp cifier le nom du fichier de verrouillage local utiliser avec cette recette apr s le symbole des deux points 11 4 2 4 Conditions et actions sp ciales Des caract res particuliers utilis s devant les conditions et les actions des recettes Procmail modifient la fa on dont elles sont interpr t es Les caract res suivants peuvent tre utilis s apr s le symbole au d but d une ligne de condition d une recette e Dans la ligne de condition ce caract re inverse la condition de sorte que la concordance ne sera d sormais tablie que si la condition ne correspond pas au message e lt V rifie si la taille du message est
97. de plus amples informations sur la s curisation d un syst me Red Hat Linux reportez vous au Guide de s curit de Red Hat Linux Table des mati res 14 Modules d authentification enfichables PAM 15 Les enveloppeurs TCP et xinetd 16 iptables 17 Kerberos 18 Protocole SSH 19 Tripwire redhat Chapitre 14 Modules d authentification enfichables PAM Des programmes qui permettent des utilisateurs d acc der un syst me v rifient pr alablement l identit de l utilisateur au moyen d un processus d authentification Dans le pass chaque pro gramme de ce genre effectuait les op rations d authentification d une mani re qui lui tait propre Sous Red Hat Linux un grand nombre de ces programmes sont configur s de telle sorte qu ils utilisent un processus d authentification centralis appel modules d authentification enfichables ou PAM de l anglais Pluggable Authentication Modules PAM utilise une architecture modulaire enfichable offrant l administrateur syst me une grande flexibilit quant l tablissement d une politique d authentification pour le syst me Dans la plupart des cas vous n aurez pas modifier les fichiers de configuration PAM par d faut pour les applications qui prennent en charge les PAM Toutefois il sera parfois n cessaire dans certains cas de modifier le fichier un configuration PAM tant donn qu une mauvaise configuration de
98. des nouvelles informations contenues dans le fichier de politiques Si par exemple etc tripwire twpol txt tait le fichier de politiques modifi il faudrait utiliser la commande suivante usr sbin twadmin create polfile S site key etc tripwire twpol txt Vous devrez alors entrer le mot de passe donnant l acc s au site Le fichier twpol txt sera alors crypt et sign Il est important que vous mettiez jour votre base de donn es Tripwire apr s la cr ation d un nouveau fichier etc tripwire tw pol La fa on la plus s re de le faire consite liminer votre base de donn es Tripwire existante et d en cr er une nouvelle au moyen du nouveau fichier de politiques Si votre fichier de base de donn es Tripwire s appelle bob domain com twd tapez la commande suivante rm var lib tripwire bob domain com twd Tapez ensuite la commande suivante pour cr er une nouvelle base de donn es usr sbin tripwire init Pour vous assurer que la base de donn es a t correctement modifi e lancez une v rification d int grit manuelle et visualisez le contenu du rapport qui en r sulte Consultez la Section 19 5 et la Section 19 6 1 pour de plus amples informations sur la fa on de proc der pour effectuer ces t ches 19 8 1 Tripwire et Email Vous pouvez configurer Tripwire pour envoyer un email un pu plusieurs comptes si un type de fichier sp cifique est viol Pour ce faire vous devez d terminer quelles r gles d
99. dev vce 0 dev vce 0 4 0 system vtmaster dev ptmx dev ptmx 5 2 system dev console dev console 5 1 system console dev tty dev tty 5 0 system dev tty unknown dev vce d 4 1 63 console Le fichier proc tty driver serial r pertorie les statistiques d utilisation et l tat de chaque ligne tty s rie Pour que les p riph riques tty puissent tre utilis s de fa on semblable aux p riph riques r seau le noyau Linux applique une proc dure de transmission sur les p riph riques Cela permet au pilote de placer un type sp cifique d en t te sur chaque bloc de donn es transmis via un p riph rique donn ainsi l extr mit distante de la connexion voit ce bloc de donn es comme un tout unique dans un flux de blocs de donn es SLIP et PPP sont des proc dures de transmission courantes et sont commun ment utilis es pour connecter des syst mes via un lien s rie Les proc dures de transmission enregistr es sont stock es dans le fichier 14iscs et des informations d taill es sont disponibles dans le r pertoire 1disc 5 4 Utilisation de la commande sysct1 La commande sbin sysctl1 est utilis e pour afficher d finir et automatiser les param tres du noyau dans le r pertoire proc sys Pour avoir un aper u rapide de tous les param tres configurables du r pertoire proc sys entrez la commande sbin sysctl a en tant connect en tant que super utilisateur root Vous obtiendrez ainsi une longue liste exhaust
100. devices lt none gt 5 2 19 proc meminfo Ci dessous figure l un des fichiers les plus commun ment utilis s du r pertoire proc car il donne de nombreuses informations importantes sur l utilisation de la m moire vive du syst me Un syst me ayant 256 Mo de m moire vive et 384 Mo d espace swap pourrait avoir un fichier proc meminfo semblable celui ci total used free shared buffers cached Mem 261709824 253407232 8302592 0 120745984 48689152 Swap 402997248 8192 402989056 MemTotal 255576 kB MemFree 8108 kB MemShared 0 kB Buffers 117916 kB Cached 47548 kB Active 135300 kB Inact_dirty 29276 kB Inact_clean 888 kB Inact_target 0 kB HighTotal 0 kB HighFree 0 kB LowTotal 255576 kB LowFree 8108 kB SwapTotal 393552 kB SwapFree 393544 KB La plupart des informations de cet exemple sont utilis es par les commandes free top et ps En fait la sortie de la commande free est m me similaire en apparence au contenu et la structure de proc memin o Mais si vous examinez directement proc meminf o vous y trouverez davantage d informations Mem Affiche l tat courant de la m moire vive du syst me y compris une r partition d taill s de l utilisation en octets des m moires totale utilis e libre partag e tampon et cache Swap Affiche la quantit totale utilis e et libre d espace swap en octets MemTotal Quantit totale de m moire vive exprim
101. donn es qu un cadre peut comporter sans compter les informations en t te Dans certaines situations de connexion commut e si vous r glez ce param tre la valeur 576 le nombre de paquets limin s sera moins important et le d bit de connexion sera l g rement am lior NAME lt nom gt O lt nom gt correspond la r f rence au titre donn un ensemble de configurations de connexion commut e PAPNAME lt nom gt O lt nom gt correspond au nom d utilisateur donn durant l change de proto cole d authentification du mot de passe PAP de l anglais Password Authentication Protocol suite auquel vous pouvez vous connecter un syst me distance PEERDNS lt r ponse gt O lt r ponse gt correspond l une des valeurs suivantes yes sp cifie que les entr es etc resolv conf de votre syst me doivent tre modifi es pour utiliser les serveurs DNS fournis par le syst me distance lorsqu une connexion est tablie no sp cifie que le fichier etc resolv conf ne sera pas modifi Chapitre 8 Interfaces r seau 111 PERSIST lt r ponse gt o lt r ponse correspond l une des valeurs suivantes yes sp cifie que cette interface doit rester active en permanence m me si elle est d sactiv e lorsqu un modem raccroche no sp cifie que cette interface ne doit pas rester active en permanence REMIP lt adresse gt o lt adresse gt corr
102. du d mon slapd Pour plus d informations sur ce fichier reportez vous la Section 13 6 1 etc openldap schema Ce sous r pertoire contient le sch ma utilis par le d mon slapd Pour plus d informations sur ce r pertoire reportez vous la Section 13 5 Remarque Si le paquetage nss_1dap est install il cr era un fichier nomm etc ldap conf Ce fichier est utilis par les modules PAM et NSS fournis par le paquetage nss_1dap Pour de plus amples infor mations sur ce fichier de configuration consultez la Section 13 7 13 5 Le r pertoire etc openldap schema Le r pertoire etc openldap schema contient les d finitions de LDAP pr c demment plac es dans les fichiers slapd at conf et slapd oc conf Toutes les d finitions de syntaxe d attribut et d finitions de la classe d objet sont maintenant plac es dans des fichiers sch ma diff rents Ces derniers sont r f renc s dans etc openldap slapd conf en utilisant les lignes include comme dans l exemple ci dessous include etc openldap schema core schema include etc openldap schema cosine schema include etc openldap schema inetorgperson schema include etc openldap schema nis schema include etc openldap schema rfc822 MailMember schema include etc openldap schema autofs schema include etc openldap schema kerberosobject schema 208 Chapitre 13 Protocole LDAP Lightweight Directory Access Protocol Orion Vous ne devriez modifier aucun l
103. e Une liste de pilotes est disponible dans le fichier usr X11R6 1ib X11 Cards qui est install avec le paquetage hwdat a VendorName correspond un param tre facultatif pr cisant le nom du fabricant du moniteur BoardName correspond un param tre facultatif pr cisant le nom de la carte vid o VideoRam correspond un param tre facultatif pr cisant quantit de m moire RAM disponible sur la carte vid o en kilobits Ce param tre n est n cessaire que pour les cartes vid os que XFree86 ne peut pas d tecter et pour lesquelles il ne peut donc pas correctement d terminer la quantit de RAM vid o BusID correspond une entr e facultative pr cisant l emplacement du bus de la carte vid o Cette option n est n cessaire que pour les syst mes dot s de cartes multiples Screen correspond une entr e facultative pr cisant le connecteur du moniteur ou la t te de la carte vid o que la section Device configure Cette option n est n cessaire que pour les cartes vid o t tes multiples Si de multiples moniteurs sont connect s des t tes diff rentes sur la m me carte vid o il est n cessaire non seulement d avoir des sections Device s par es mais chacune de ces sections doit galement avoir une valeur Screen diff rente Chapitre 7 Le syst me X Window 97 Les valeurs associ es l entr e Screen doivent tre enti res La premi re t te de la carte vid o une
104. ensemble du syst me Il est cras si un m me fichier est pr sent dans le r pertoire personnel de l utilisateur ssh config e sshd_ config fichier de configuration pour le d mon sshd ssh_host_dsa_key cl DSA priv e utilis e par le d mon sshd e ssh_host_dsa_key pub cl DSA publique utilis e par le d mon sshd ssh_host_key cl RSA priv e utilis e par le d mon ssha pour la version 1 du protocole SSH ssh_host_key pub cl RSA publique utilis e par le d mon ssha pour la version 1 du proto cole SSH ssh_host_rsa_key cl RSA priv e utilis e par le d mon sshd pour la version 2 du protocole SSH ssh_host_rsa_key pub cl RSA publique utilis e par le d mon sshd pour la version 2 du protocole SSH Les informations de configuration SSH sp cifiques l utilisateur sont stock es dans son r pertoire personnel l int rieur du r pertoire ssh e authorized_keys ce fichier contient une liste de cl s publiques autoris es pour les serveurs Lorsque le client se connecte un serveur ce dernier authentifie le client en v rifiant sa cl publique sign e qui est stock e dans ce fichier e id_dsa contient la cl DSA priv e de l utilisateur id_dsa pub la cl DSA publique de l utilisateur e id_rsa la cl RSA priv e utilis e par ssh pour la version 2 du protocole SSH id_rsa pub la cl RSA publique utilis e par ssh pour l
105. et int ressantes Les scripts Common Gateway Interface CGT par exemple sont capables de g n rer des documents HTML analys s par le serveur qui peuvent ensuite tre trait s par mod_include Gr ce ceci il existe d sormais un tr s grand nombre de possibilit s quant la fa on dont les modules peuvent tre combin s pour atteindre un objectif sp cifique Cette op ration est possible car chaque requ te est servie par un seul module handler suivi d aucun ou de plusieurs modules filter Sous la version 1 3 du Serveur HTTP Apache par exemple un script PHP sera trait dans son int gralit par le module PHP Sous la version 2 0 du Serveur HTTP Apache en revanche la requ te est initialement trait e par le module m moire core qui sert des fichiers statiques et est ensuite filtr par le module PHP 132 Chapitre 10 Serveur HTTP Apache L explication exacte de l utilisation de cette fonction particuli re et de toutes les autres nouvelles fonctions du Serveur HTTP Apache 2 0 va bien au del de la port e de ce document toutefois la conversion a des ramifications non n gligeables si vous avez utilis la directive PATH_INFO pour un document trait par un module qui est d sormais trait comme un filtre car chaque directive contient des informations de chemin non significatives apr s le vrai nom de fichier Le module m moire qui traite initialement la requ te ne comprend pas par d faut
106. et valider ce choix en pressant la touche 1 GRUB lit les syst mes de fichiers ext3 en tant que ext2 sans tenir compte du fichier journal Reportez vous au chapitre intitul Le syst me de fichiers ext3 du Guide de personnalisation de Red Hat Linux pour de plus amples informations sur le syst me de fichiers ext3 Chapitre 1 Processus de d marrage Init et arr t 3 Entr e Si l utilisateur n appuie sur aucune touche avant qu un certain laps de temps configurable ne ce soit coul le chargeur de d marrage chargera la s lection par d faut gt Remarque Si vous avez install la prise en charge de noyau Symmetric Multi Processor SMP plusieurs op tions seront propos es la premi re fois que vous d marrerez votre syst me Sous LILO vous ver rez linux qui est le noyau SMP et linux up qui est pour des processeurs simples Sous GRUB VOUS verrez Red Hat Linux lt version noyau gt smp qui est le noyau SMP et Red Hat Linux lt version noyau gt qui est pour des processeurs simples Si vous rencontrez des probl mes en utilisant le noyau SMP s lectionnez le noyau non stop au red marrage Une fois que le chargeur de d marrage tape 2 a d termin le noyau d marrer il localise le binaire de noyau correspondant dans le r pertoire boot Le binaire du noyau est baptis d apr s le format fichier boot vmlinuz lt version noyau gt o lt version noyau gt correspond la version du
107. f rence aux p riph riques tels que votre disque dur et les partitions Cette information est tr s importante lorsque vous configurez GRUB pour lui permettre le d marrage de plusieurs syst mes d exploitation 2 4 1 Noms des p riph riques Supposons par exemple qu un syst me ait plus d un disque dur Le premier disque dur d un syst me est appel hd0 par GRUB La premi re partition de ce disque est appel e hd0 0 et la cinqui me partition du second disque est appel e hd1 4 En g n ral les r gles de nomination pour les sys t mes de fichiers lorsque l on utilise GRUB se pr sentent comme suit lt type de p riph rique gt lt num ro p riph rique bios gt lt num ro partition gt Les parenth ses et la virgule sont tr s importantes dans les conventions de d signation des p riph riques L l ment lt type de p riph riquex gt se rapporte au p riph rique sp cifi disque dur hd ou ou disquette a L l ment lt num ro p riph rique bios gt est le num ro du p riph rique en fonction du BIOS du syst me en commen ant 0 Le disque dur IDE primaire est num rot 0 alors que le disque dur IDE secondaire est num rot 1 La fa on dont l ordre est tabli est tr s proche de la fa on dont le noyau de Linux dispose les p riph riques avec des lettres L o la lettre a dans hda se rapporte 0 la lettre b dans hdb se rapporte 1 et ainsi de suite f Remarque Le sys
108. fichier etc sysconfig tux est le fichier de configuration de Red Hat Content Accelerator pr c demment appel TUX le serveur Web bas sur le noyau Pour de plus amples informations sur la configuration de Red Hat Content Accelerator ouvrez le r pertoire usr share doc tux lt version gt tux index html l aide de votre navigateur remplacez lt version gt par le num ro de la version de TUX install e sur votre syst me Les param tres disponibles pour ce fichier sont num r s dans usr share doc tux lt version gt tux parameters html 4 1 37 etc sysconfig ups Le fichier etc sysconfig ups est utilis pour sp cifier les informations relatives tout syst me d alimentation ininterrompue ou UPS de l anglais Uninterruptible Power Supplies branch au sys t me Un UPS peut tre tr s utile un syst me Red Hat Linux car il donne le temps n cessaire pour teindre l ordinateur correctement lors d une panne de courant Les valeurs suivantes peuvent tre utilis es SERVER lt valeur gt O lt valeur gt correspond l un des l ments suivants yes un dispositif UPS est branch votre syst me no aucun dispositif UPS n est branch votre syst me MODEL lt valeur gt O lt valeur gt doit correspondre un des l ments suivants ou doit tre r gl e sur NONE aucun si aucun dispositif UPS n est branch au syst me apcsmart un p riph rique AP
109. fournit un endroit pour stocker des paquetages de logiciels d applications statiques de grande taille Lorsque l on veut viter de mettre les fichiers d un paquetage donn dans le syst me de fichiers opt fournit un syst me organisationnel logique et pr visible sous le r pertoire du paquetage en question Cela donne l administrateur syst me une fa on facile de d terminer le r le de chaque fichier d un paquetage donn Chapitre 3 Structure d un syst me de fichiers 27 Par exemple si sample est le nom d un paquetage logiciel situ dans opt alors tous ses fichiers pourraient tre plac s dans des r pertoires l int rieur de opt sample tels que opt sample bin pour les fichiers binaires et opt sample man pour les pages de manuel Les paquetages de grande taille qui contiennent de nombreux sous paquetages diff rents ex cutant chacun une t che sp cifique vont galement dans le r pertoire opt leur donnant ainsi une fa on standard de s organiser Pour reprendre notre exemple le paquetage sample pourrait contenir diff rents outils allant chacun dans un sous r pertoire qui lui est propre tel que opt sample tool1 et opt sample too12 qui son tour peut avoir ses propres r pertoires bin man ou autres r pertoires semblables 3 2 1 6 Le r pertoire proc Le r pertoire proc contient des fichiers sp ciaux qui extraient des informations partir du ou en voient des informations au noyau
110. g n riques wildcards O les caract res ou sont utilis s pour prendre en compte un groupement de noms de domaines ou adresses IP pleinement qualifi s ou ceux qui correspondent une particuli re cha ne de lettres Soyez toutefois prudents si vous utilisez des caract res g n riques pour des noms de domaines pleinement qualifi s car ils sont souvent plus exacts que ce que vous escomptiez Par exemple si vous utilisez example com comme caract re g n rique sales example com sera autoris acc der au syst me de fichiers export mais bob sales example com lui ne le sera pas Pour retenir les deux noms de domaine ainsi que sam corp example com vous devrez utiliser example com example com e r seaux IP IP networks Autorise la mise en correspondance d h tes selon leur adresse IP dans un r seau plus grand Par exemple 192 168 0 0 28 autorisera les 16 premi res adresses IP de 192 168 0 0 192 168 0 15 acc der au syst me de fichiers export mais pas 192 168 0 16 ou une adresse IP sup rieure groupes r seau netgroups Attribue un nom de groupe un groupe r seau NIS crit ainsi lt nom du groupe gt Cette option attribue au serveur NIS la charge du contr le d acc s pour ce syst me de fichier export o les utilisateurs peuvent tre ajout s et supprim s dans un groupe NIS sans affecter etc exports Ain Le format du fichier etc exports est tr s pr cis particuli
111. gt lt l ment correspondant gt lt l ment correspondant gt Dans cette d claration remplacez lt acl nom gt par le nom de la liste du contr le d acc s et rempla cez lt l ment correspondant gt en s parant les adresses IP par un point virgule La plupart du temps une adresse IP individuelle ou la notation r seau de l IP comme par exemple 10 0 1 0 24 est utilis e pour identifier les adresses IP dans la d claration ac1 Les listes de contr le d acc s suivantes sont d j d finies en tant que mots cl s afin de simplifier la configuration any correspond toutes les adresses IP localhost correspond toute adresse IP utilis e par le syst me local localnets correspond toute adresse IP sur tout r seau auquel le syst me local est connect none ne correspond aucune adresse IP Lorsqu elles sont utilis es avec d autres d clarations comme par exemple la d claration options les d clarations ac1 peuvent se r v ler tr s utiles pour viter la mauvaise utilisation d un serveur de noms BIND L exemple ci dessous tablit deux listes de contr le d acc s et utilise une d claration options pour d finir la mani re dont elles seront trait es par le serveur de nom acl black hats 10 0 2 0 24 192 168 0 0 24 acl red hats 10 0 1 0 24 options blackhole black hats allow query red hats allow recursion red hats
112. indique que vous pouvez taper le mot ou l expression sur la ligne de commande et appuyer sur Entr e pour invoquer une commande Une commande contient parfois des mots qui tous seuls seraient repr sent s diff remment comme les noms de fichiers Dans ces cas l ils sont consid r s comme une partie de la commande toute la phrase sera donc affich e comme une commande Par exemple Utilisez la commande cat fichier _test pour afficher le contenu d un fichier nomm fi chier_test dans le r pertoire de travail courant nom de fichier Les noms de fichiers de r pertoires les chemins d acc s et les noms de paquetages RPM sont repr sent s de cette fa on Ce style devrait indiquer qu un fichier ou un r pertoire de ce nom existe dans votre syst me Red Hat Linux Exemples Le fichier bashrc dans votre r pertoire personnel contient des d finitions et alias de shell bash pour votre utilisation personnelle Le fichier etc stab contient les informations concernant les diff rents p riph riques et sys t mes de fichiers du syst me Installez le RPM webalizer si vous voulez utiliser un programme d analyse de fichier journal de serveur Web application Ce style indique que le programme est une application d utilisateur final au contraire de logiciels de syst me Par exemple Utilisez Mozilla pour parcourir le Web touche Une touche du clavier est repr sent e de cette fa on Par exemple Pour utiliser
113. isp16 0x330 11 0 Mitsumi ES 330 et IRQ 1 test DMA Sony CDU 531 IO adresse 320 sonycd535 0x320 Tableau A 2 Exemples de configuration de param tres mat riels Remarque La plupart des cartes Sound Blaster r centes sont livr es avec des interfaces IDE Pour ces cartes vous ne devez pas utiliser de param tres sbpcd utilisez uniquement des param tres hax o x correspond la lettre identifiant le p riph rique appropri s 288 Annexe A Param tres g n raux et modules A 3 Param tres SCSI Mat riel Moguie Param tres Adaptec 28xx R9xx 39xx Contr leur de m moire 3ware 3u xex 0 y O NCR53c810 820 720 53c7 8xx 0 NCR53c700 710 700 66 AM53 79C974 PC SCS Driver AM53C974 0 FR La plupart des cartes Buslogic BusLogic o maintenant Mylex avec num ro de r f rence BT Contr leur Mylex DAC960 DAC960 0 RAID AACRAID Adaptec ascraiso ooo Cartes SCSI Advansys asvansyso Sooo AHA 154x et 631x de type aha1542 0 Adaptec Adaptec AHA 1740 anara o Adaptec AHA 274x AHA 284x aic7xxx o AHA 29xx AHA 394x AHA 398x AHA 274x AHA 274xT AHA 2842 AHA 2910B AHA 2920C AHA 2930 U U2 AHA 2940 W U UW AU U2W U2 U2B U2BOEM AHA 2944D WD UD UWD AHA 2950U2 W B AHA 3940 U W UW AUW U2W U2B AHA 3950U2D AHA 3985 U W UW AIC 777x AIC 785x AIC 786x AIC 787x AIC 788x AIC 789x AIC 3860 Contr leur SCSI PCI ACARD atp870u o ATP870U Annexe A Param tres g n raux et modu
114. l tat tel que S sleeping pour le mode veille ou R running pour une ex cution en cours lID de l utilisateur du groupe qui ex cute le processus de m me que des donn es beaucoup plus d taill es portant sur l utilisation de la m moire 5 3 1 1 proc self Le r pertoire proc se1f est un lien vers le processus en cours d ex cution Cela permet un P processus de se contr ler lui m me sans avoir conna tre son ID de processus Dans un environnement shell le r sultat est le m me que vous r pertoriiez le contenu du r pertoire proc self ou celui du r pertoire de processus pour ce processus Chapitre 5 Le syst me de fichiers proc 65 5 3 2 proc bus Ce r pertoire contient des informations sp cifiques aux divers bus disponibles sur le syst me Ainsi par exemple sur un syst me standard comportant des bus ISA PCI et USB les informations actuelles relatives chacun de ces bus se trouvent dans son r pertoire sous proc bus Le contenu des sous r pertoires et des fichiers disponibles diff re grandement selon la configuration pr cise de votre syst me Cependant chaque r pertoire pour chacun des types de bus contient au moins un r pertoire pour chaque bus de ce type Ces r pertoires individuels de bus g n ralement indiqu s par des chiffres tels que 00 contiennent des fichiers binaires qui font r f rence aux divers p riph riques disponibles sur ce bus Par exemple un syst me ay
115. l ach vement Tab tapez un caract re puis appuyez sur la touche Tab Votre terminal affichera la liste des fichiers du r pertoire qui commencent avec cette lettre touche combinaison Une combinaison de touches est repr sent e de cette fa on Par exemple La combinaison Ctrl Alt Effacement arri re vous d connecte de votre session graphique et revient sur l cran de connexion graphique ou la console texte trouv sur une interface GUI Un titre un mot ou une phrase trouv sur l cran ou la fen tre d une interface GUI est repr sent de cette fa on Lorsque vous voyez du texte dans ce style il est utilis pour identifier un cran GUI ou un l ment sur un cran GUI particulier comme du texte associ avec une case cocher ou un champ Exemple Cochez la case N cessite un mot de passe si vous voulez que votre cran de veille demande un mot de passe avant de s arr ter vi Introduction premier niveau d un menu sur un cran ou une fen tre GUI Ce style vous indique que le mot repr sente le premier l ment d un menu d roulant Cliquez sur le mot de l cran GUI pour afficher le reste du menu Par exemple Sous Fichier d un terminal GNOME vous trouverez l option Nouvel onglet vous permettant d ouvrir plusieurs invites du shell dans la m me fen tre Si vous devez entrer une s quence de commandes depuis un menu GUI elles appara tront de la fa on suivante Cliquez sur Menu prin
116. la modifica tion des fichiers de configuration sp cifiques des services donn s qui se trouvent dans le r pertoire etc xinetd d man 5 hosts_access La page de manuel relative aux fichiers de contr le d acc s des h tes des enveloppeurs TCP man hosts_options La page de manuel relative aux champs d options des enveloppeurs TCP man xinetd conf La page de manuel num rant les options de configuration de xinetd man xinetd La page de manuel relative au d mon du super service xinetd 15 5 2 Sites Web utiles _http www xinetd org La page d accueil de xinetd contenant avec des exemples de fichiers de configuration une liste compl te des fonctions et un FAQ tr s riche _http www macsecurity org resources xinetd tutorial shtml Un tutoriel complet d crivant les nombreuses mani res diff rentes de modifier les fichiers de configuration par d faut de xinetd afin qu ils correspondent des but de s curit sp cifiques 15 5 3 Livres sur le sujet Guide de s curit de Red Hat Linux Red Hat Inc Fournit un aper u de la s curit en mati re de station de travail serveur et r seau et contient des suggestions sp cifiques quant aux enveloppeurs TCP et au service xinetd e Hacking Linux Exposed de Brian Hatch James Lee et George Kurtz Osbourne McGraw Hill Une excellente ressource sur la s curit contenant des informations sur les enveloppeurs TCP et le service xin
117. le serveur SSH other example com Ensuite other example com se connecte au port 110 de mail example com v rifier l arriv e de nouveau courrier Notez qu en utilisant cette technique seule la connexion entre le syst me client et le serveur SSH other example com est s curis e La retransmission de ports peut tre galement utilis e pour obtenir des informations de fa on s cu ris e travers un pare feu Si le pare feu est configur de fa on permettre le trafic SSH par son port standard 22 mais bloque l acc s aux autres ports une connexion entre deux ordinateurs h tes qui utilisent des ports bloqu s est tout de m me possible en redirigeant leur communication sur une connexion SSH tablie entre eux i Remarque utilisation de la retransmission de port pour transf rer des connexions de cette fa on permet tout utilisateur sur le syst me client de se connecter ce service Si le syst me client est compromis les pirates auront galement acc s aux services retransmis Les administrateurs syst me inquiets quant l utilisation de la retransmission de port peuvent d s activer cette fonction sur le serveur en sp cifiant le param tre No pour la ligne AllowTcpForwarding dans etc ssh sshd_config et ensuite red marrer le service sshd 18 6 Exiger SSH pour les connexions distance Afin que le protocole SSH soit vraiment efficace il est essentiel de n utiliser aucun protocole de connexion non s c
118. les messages sur un ordinateur local pour qu une application client de messagerie puissent y acc der 11 2 3 Agent de gestion de courrier AGC Un Agent de Gestion de Courrier AGC ou MUA de l anglais Mail User Agent est en fait une application client de messagerie Un AGC est un programme qui au minimum permet un utilisateur de lire et crire des messages lectroniques De nombreux AGC peuvent r cup rer des messages au moyen de protocoles POP ou IMAP tablissant des bo tes lettres pour stocker les messages et envoyant des messages de sortie un ATC Les AGC peuvent tre graphiques comme Mozilla Mail ou peuvent avoir une simple interface base de texte comme mutt ou pine 11 3 Agent de transfert de courrier ATC Red Hat Linux comprend deux Agent de transfert de courrier primaires savoir Sendmail et Postfix Sendmail est configur comme la valeur par d faut mais il est possible de remplacer facilement cette valeur par Postfix Astuce Pour savoir comment passer d un ATC par d faut Sendmail un ATC par d faut Postfix reportez vous au chapitre intitul Configuration de l Agent de transfert de courrier ATC du Guide de person nalisation de Red Hat Linux Red Hat Linux inclut galement un ATC dot d une fonction particuli re nomm Fetchmail ce dernier est utilis pour acheminer le courrier lectronique d un ACT distant un ACT local Cette section examine de mani re d taill Se
119. les options bind et redirect la machine passerelle peut servir de proxy entre les syst mes externes et une machine interne particuli re configur e pour fournir le service en question De plus les diverses options de contr le d acc s xinetd et de journalisation peuvent servir une protection suppl mentaire comme pour limiter le nombre de connexions simultan es pour ce service redirig 15 4 3 4 Options de gestion de ressources Le d mon xinetd permet d ajouter un niveau l mentaire de protection contre des attaques de Refus de service ou Dos de l anglais Denial of Service Ci dessous figure une liste des directives pouvant aider limiter l efficacit de telles attaques per_source D termine le nombre maximum d instances d un service sp cifique pour une adresse IP d origine particuli re Elle n accepte que comme argument que des chiffres entiers et peut tre utilis e aussi bien dans xinetd con que dans des fichiers de configuration sp cifiques un service stock s dans le r pertoire xinetd d cps D termine le nombre maximum de connexions par seconde Cette directive accepte deux arguments avec des valeurs enti res s par s par un espace blanc Le premier repr sente le nombre maximum de connexions autoris es un service par seconde Le deuxi me correspond au nombre de secondes pendant lequel xinetd doit attendre avant de r activer le service Il n accepte que des nombres entier
120. log level d termine le niveau de priorit d un v nement de journalisation Une liste de niveaux de priorit est disponible dans la page de manuel de syslog conf log ip options sp cifie que toute option indiqu e dans l en t te d un paquet IP est jour nalis e log prefix ajoute une cha ne comportant au maximum 29 caract re avant la ligne du journal lorsqu elle est crite Cette option est utile lors de l criture de filtres syslog utiliser conjointement avec la journalisation de paquets log tcp options indique que toute option pr cis e dans l en t te d un paquet TCP est journalis e log tcp sequence crit le num ro de s quence TCP relatif au paquet dans le journal REJECT renvoie un paquet d erreur au syst me ayant exp di le paquet et abandonne le paquet La cible REJECT accepte une option reject with lt type gt o lt type gt correspond au type de rejet qui permet de d inclure des informations plus d taill es avec le paquet d erreur Le mes sage d erreur port unreachable impossible d atteindre le port repr sente le lt type gt d erreur par d faut envoy e si aucune autre option n est utilis e Pour obtenir une liste compl te des options lt type gt disponibles consultez la page de manuel relative iptables D autres extensions de cibles dont bon nombre tant tr s utiles pour le masquage d IP ou masque rading faisant
121. lt VirtualHost gt Pour plus d informations sur le sujet reportez vous la documentation suivante sur le site Web d Apache Software Foundation e http httpd apache org docs 2 0 mod mod_ssl html e http httpd apache org docs 2 0 vhosts Chapitre 10 Serveur HTTP Apache 133 10 2 4 2 Module mod_proxy Les instructions de contr le d acc s proxy sont maintenant plac es dans un bloc lt Proxy gt plut t que dans un r pertoire lt Directory proxy gt La fonctionnalit de stockage temporaire de l ancien mod_proxy a t divis e dans les trois modules suivants e mod_cache e mod _ disk_cache e mod _ file _ cache Ceux ci utilisent g n ralement les m mes directives ou des directives similaires aux versions plus anciennes du module mod_proxy Pour plus d informations sur le sujet reportez vous la documentation suivante sur le site Web d Apache Software Foundation _http httpd apache org docs 2 0 mod mod_proxy html 10 2 4 3 Module mod_include Le module mod_include fonctionne d sormais comme un filtre et pour cette raison est activ d une fa on diff rente Reportez vous la Section 10 2 4 pour obtenir de plus amples informations sur les filtres Ci dessous figure un exemple de la directive du Serveur HTTP Apache 1 3 AddType text html shtml AddHandler server parsed shtml Pour transf rer ce param tre vers le Serveur HTTP Apache 2 0 utilisez la structure suivante AddType text h
122. message dans un fichier ou son r acheminement Il s agit du comportement par d faut c G n re une copie conforme du message lectronique Ceci peut tre pratique avec les recettes de distribution tant donn que l action requise peut tre ex cut e sur le message et que la copie du message peut continuer d tre trait e dans les fichiers rc files D Rend la comparaison egrep sensible la casse Par d faut le processus de comparaison n est pas sensible la casse E Semblable l indicateur A sauf que les conditions dans cette recette ne sont compar es aux messages que si la recette imm diatement pr c dente sans indicateur E n a pas obtenu la concor dance Cette action ressemble une action else Utilisez l indicateur e si cette recette est v rifi e uniquement lorsque la recette pr c dente a obtenu une concordance mais que l action a chou f Utilise le tube comme filtre H Analyse l en t te du message et recherche des conditions de concordance Cela se fait par d faut h Utilise l en t te dans une action r sultante Cela est le comportement par d faut w Indique Procmail d attendre que le filtre ou le programme sp cifi s aient termin leurs op rations et fait son rapport que l op ration pr c dente soit r ussie ou non avant de consid rer le message comme tant filtr Si vous voulez ignorer les messages Program failure lors
123. mod_rewrite html 10 5 46 IndexOptions IndexOpt ions contr le l apparence des listes de r pertoire g n r es par le serveur en ajoutant entre autres des ic nes et des descriptions de fichier Si Options Indexes est d finie voir la Section 10 5 25 le serveur Web g n re une liste des r pertoires lorsqu il re oit une requ te HTTP pour un r pertoire sans index Le serveur Web recherche tout d abord dans le r pertoire demand un fichier correspondant aux noms num r s dans la directive DirectoryIndex g n ralement index html Si le serveur Web ne trouve aucun fichier index html le Serveur HTTP Apache g n re une liste HTML des r pertoires correspondant au r pertoire demand L apparence de cette liste de r pertoires est contr l e en partie par la directive IndexOptions La valeur de la configuration par d faut est FancyIndexing Ainsi un utilisateur peut r organiser une liste de r pertoires en cliquant sur les en t tes des colonnes En cliquant deux fois sur la m me en t te le classement passera d ordre ascendant un ordre descendant La valeur FancyIndexing affiche galement diff rentes ic nes selon les types de fichiers et ce en fonctions de leur extension Si l option AddDescript ion est utilis e avec Fancylndexing une br ve description du fichier sera incluse dans les listes de r pertoires g n r es par le serveur IndexOptions comprend un certain nombre d autres param tres qui
124. n entra ne le plantage de votre syst me d exploitation Pour des ser veurs tr s solicit s cette valeur devrait tre lev e La valeur par d faut du serveur est 150 Il n est pas recommand d attribuer MaxClients une valeur sup rieure 256 10 5 12 MaxRequestsPerChild MaxRequestsPerChild d finit le nombre total de demandes que chaque processus serveur enfant sert avant de dispara tre L attribution d une valeur MaxRequestsPerChild est importante afin d viter des pertes de m moire induites par des processus longs La valeur par d faut pour MaxRe questsPerChild pour le serveur est 1000 10 5 13 Listen The Listen identifie les ports sur lesquels votre serveur Web acceptera les demandes entrantes Par d faut le Serveur HTTP Apache est param tr pour couter sur le port 80 pour les communications Web non s curis es et dans etc httpd conf d ssl conf d finissant tout serveur s curis sur le port 443 pour les communications Web s curis es Si le Serveur HTTP Apache est configur pour couter sur un port dont le num ro est inf rieur 1024 il doit tre lanc en tant que super utilisateur En revanche pour les ports dont le num ro est gal ou sup rieur 1024 httpd peut tre lanc en tant que simple utilisateur La directive Listen peut galement tre utilis e pour sp cifier des adresses IP particuli res sur les quelles le serveur acceptera des connexions 10 5 14 Include Inc
125. n est n cessaire que pour un serveur LDAP multiple Pour effectuer des t ches administratives le paquetage openldap servers installe les utilitaires suivants dans le r pertoire usr sbin slapadd Ajoute des entr es d un fichier LDIF vers un r pertoire LDAP Par exemple la com mande usr sbin slapadd 1 1dif input lira le fichier LDIF 1dif input contenant les nouvelles entr es slapcat Extrait des donn es d un r pertoire LDAP dans le format par d faut Berkeley DB et les enregistre dans un fichier LDIF Par exemple la commande usr sbin slapcat 1 1dif output produira un fichier LDIF nomm 1dif output qui contient les entr es du r pertoire LDAP slapindex Indexe nouveau le r pertoire slapd partir du contenu actuel slappasswd Cr e une valeur pour le mot de passe utilisateur utiliser avec 1dapmodi fy ou la valeur rootpw dans le fichier de configuration slapd etc openldap slapd conf Ex cutez la commande usr sbin slappasswd pour cr er le mot de passe PV Assurez vous d avoir arr t slapa par la commande usr sbin service slapd stop avant d utiliser slapadd slapcat OU slapindex Sinon vous risquez d endommager votre r pertoire LDAP Pour plus d informations sur l utilisation de ces outils consultez les pages de manuel qui y sont consacr es Le paquetage openldap clients installe dans usr bin des outils permettant d ajouter modifier et supprimer des entr
126. non s curis s peuvent tre appliqu es des canaux SSH sp cifiques 18 5 1 Retransmission X11 L ouverture d une session X11 par le biais d une connexion SSH tablie est aussi facile que l ex cution d un programme X sur un ordinateur local Lorsqu un programme X est ex cut partir d un invite du shell s curis e le client et le serveur SSH cr ent un nouveau canal s curis et les donn es du programme X sont ensuite envoy es l ordinateur client par ce canal de fa on transparente La retransmission X11 peut tre tr s utile Elle peut tre utilis e par exemple pour cr er une session interactive s curis e avec up2date Pour ce faire connectez vous au serveur en utilisant ssh et en tapant up2date amp Apr s avoir fourni le mot de passe super utilisateur pour le serveur l Agent de mise jour Red Hat appara tra et permettra l utilisateur distant de mettre jour en toute s curit son syst me distant 18 5 2 Retransmission de port Gr ce SSH il est possible de s curiser des protocoles TCP IP non s curis s via la retransmission de port En utilisant cette technique le serveur SSH devient un conduit crypt vers le client SSH La retransmission de port consiste mapper un port local du client vers un port distant du serveur SSH permet de mapper tout port du serveur vers tout port du client sans n cessit une correspondance des num ros de port pour un bon fonctionnement
127. noyau tout au moins Si plusieurs lecteurs de CD ROM sont disponibles sur un syst me chaque p riph rique dispose de sa propre colonne d informations De nombreux fichiers de proc sys dev cdrom tels que autoclose et checkmedia peuvent tre utilis s pour contr ler le lecteur de CD ROM du syst me Utilisez simplement la commande echo pour activer ou d sactiver ces fonctions Si la prise en charge de RAID est compil e dans le noyau un r pertoire proc sys dev raid sera disponible et contiendra au moins deux fichiers speed _limit_minet speed _limit_max Ces param tres permettent de d terminer quelle augmentation de vitesse appliquer au p riph rique RAID pour des t ches E S particuli rement intensives telles que la re synchronisation des disques 5 3 9 2 proc sys fs Ce r pertoire contient une gamme d options et d informations relatives divers aspects des syst mes de fichiers y compris quota indicateur de fichier inode et dentry Le r pertoire binfmt_misc est utilis pour fournir au noyau la prise en charge de formats binaires divers Les fichiers importants du r pertoire proc sys fs comprennent dentry state donne l tat du cache du r pertoire Le fichier ressemble l extrait ci dessous 57411 52939 45 0 0 0 Le premier nombre indique le nombre total d entr es dans le cache du r pertoire alors que le deuxi me indique le nombre d entr es non utilis es Le troisi me indique le nomb
128. par l action user Remarque Les utilisateurs ne doivent pas placer leur mot de passe dans le fichier fetchmailrc Si la section with password lt mot de passe gt est omise Fetchmail demandera un mot de passe lors de son lancement Fetchmail offre de nombreuses options diff rentes tant globales que serveur ou locales Un grand nombre de ces options sont rarement utilis es ou ne s appliquent qu des situations tr s particuli res La page de manuel relative fet chmai 1 explique chacune de ces options de fa on d taill e mais les options les plus courantes sont num r es ci dessous 11 3 2 2 Options globales Chaque option globale devrait tre plac e sur une ligne individuelle et pr c d e de l action set daemon lt seconds gt Sp cifie le mode d mon dans lequel Fetchmail demeure en t che de fond et r cup re le courrier intervalle d termin postmaster Sp cifie un utilisateur local auquel envoyer le courrier en cas de probl mes de distribution e syslog Sp cifie le fichier journal pour l enregistrement des messages d erreur et d tat Par d faut var log maillog est retenu Chapitre 11 Courrier lectronique 169 11 3 2 3 Options serveur Les options serveur doivent figurer sur leur propre ligne dans fetchmailrc apr s une action poll ou skip auth lt type d auth gt Sp cifie le type d authentification utiliser Par d faut l authentif
129. part au fichier usr share doc gdm lt num ro de version gt README o lt num ro de versionx gt correspond au num ro de version du pa quetage gdminstall et d autre part la page de manuel relative xdm 7 6 Ressources suppl mentaires Il existe de nombreuses informations d taill es sur le serveur XFree86 les clients qui s y connectent et sur les environnements de bureau et gestionnaires de fen tre 7 6 1 Documentation install e e usr X11R6 1ib X11 doc README D crit bri vement l architecture XFree86 et la fa on d obtenir des informations suppl mentaires sur le projet XFree86 en tant que nouvel utilisateur usr X11R6 1ib X11 doc RELNOTES Pour les utilisateurs avanc s qui veulent conna tre les derni res fonctions offertes par XFree86 man XF86Config Contient des informations sur les fichiers de configuration de XFree86 com prenant la signification et la syntaxe des diff rentes sections des fichiers man XFree86 La page de manuel principale sur XFree86 d taille les diff rences entre les connexions de serveur X locales et de r seau explore les variables d environnement courantes num re les options de ligne de commande et fournit des combinaisons de touches utiles pour l administration man Xserver D crit le serveur d affichage X 7 6 2 Sites Web utiles e http www xfree86 org Page d accueil du projet XFree86 qui produit la version XFree86 Open Source
130. pas configur e par d faut Consultez la Section 19 8 1 pour en savoir plus sur cette configuration Si vous modifiez l exemple de fichier de politiques apr s avoir ex cut le script de configuration veuillez lire la Section 19 8 pour savoir comment recr er un fichier de politiques sign A Attention Pour des raisons de s curit vous devez soit d truire soit stocker en lieu s r toutes les copies texte du fichier etc tripwire twpol txt apr s l ex cution du script d installation ou la cr ation d un fichier de configuration sign Vous pouvez galement changer les permissions de fa on le rendre illisible 19 3 3 Ex cution du script twinstall sh En tant qu utilisateur root tapez etc tripwire twinstall sh l invite du shell afin d ex cuter le script de configuration Le script twinstall sh vous demandera d entrer votre mot de passe site et votre mot de passe local Ces mots de passe sont utilis s pour cr er des cl s cryptographiques destin es prot ger les fichiers Tripwire Le script cr e alors ces fichiers puis les signe Lorsque vous choisissez les mots de passe site et local vous devez respecter les indications suivantes e Utilisez au moins huit caract res alphanum riques et symboliques mais ne d passez pas 1023 pour chaque mot de passe e N utilisez pas de citation dans les mots de passe e Les mots de passe Tripwire doivent tre compl tement diff rents du mot de passe root ou de tout au
131. permet d effectuer un transfert de ma tre esclave mais dont l autorisation n est accord e qu apr s v rification qu une cl secr te partag e existe sur le serveur ma tre et le serveur esclave Cette propri t renforce la m thode d autorisation de transfert bas e sur l adresse IP standard Un agresseur devra non seulement acc der l adresse IP pour transf rer la zone mais devra aussi conna tre la cl secr te La version 9 de BIND prend aussi en charge TKEY qui est une autre m thode de cl secr te partag e pour autoriser les transferts de zone 12 5 4 IP version 6 La version 9 de BIND peut fournir un service de noms dans des environnements IP version 6 IPv6 gr ce aux enregistrements de zone A6 Si votre environnement de r seau inclut aussi bien des h tes IPv4 que IPv6 utilisez le d mon de r so lution tr s l ger 1wresd sur tous vos clients de r seau Ce d mon est un serveur de noms tr s efficace fonctionnant uniquement en cache qui prend en charge les nouveaux enregistrements A6 et DNAME fonctionnant sous IPv6 Consultez la page de manuel relative lwresd pour plus d informations 12 6 Erreurs courantes viter De mani re g n rale les d butants font fr quemment des erreurs en ditant des fichiers de configura tion BIND vitez les probl mes suivants Assurez vous de bien incr menter le num ro de s rie lors de toute modification d un fichier de zone Si le num
132. permet d utiliser des lignes de commande pour adminis trer le d mon named partir de l h te local ou d un h te distant Afin d emp cher l acc s non autoris au d mon named BIND utilise une m thode de cl secr te partag e pour accorder des privil ges aux h tes Dans une telle situation une cl identique doit tre pr sente aussi bien dans etc named conf que dans le fichier de configuration de rndc savoir etc rndc conf Chapitre 12 Berkeley Internet Name Domain BIND 197 12 4 1 Configuration de etc named conf Pour que rndc puisse se connecter un service named une d claration controls doit tre pr sente dans le fichier etc named conf du serveur BIND La d claration controls montr e dans l exemple qui suit permet rndc de se connecter partir d un h te local controls inet 127 0 0 1 allow localhost keys lt nom cl gt Cette d claration indique named de se mettre l coute du port TCP 953 par d faut de l adresse invers e et d autoriser les commandes rndc provenant de l h te local si la cl ad quate est pr sent e Le lt nom cl gt fait r f rence la d claration key qui se trouve aussi dans le fichier etc named conf L exemple suivant illustre une d claration key key lt nom cl gt algorithm hmac md5 secret lt valeur cl gt J Dans ce cas la lt valeur cl gt est une cl HMAC MD5 Afin de cr er des cl s HMAC MD5
133. peuvent tre d finis pour contr ler l apparence des r pertoires g n r s par le serveur Les param tres incluent IconHeight et IconWidth pour faire en sorte que le serveur inclue des balises HTML HEIGHT et WIDTH pour les ic nes dans les pages Web g n r es par le serveur IconsAreLinks pour faire en sorte que les ic nes agissent comme une partie de l ancre du lien HTML en m me temps que le nom de fichier et autres 10 5 47 AddIconByEncoding Cette directive nomme des ic nes qui s affichent par fichier avec codage MIME dans des listes de r pertoires g n r es par le serveur Par exemple le serveur Web est param tr par d faut pour afficher l ic ne compressed gif c t des fichiers cod s MIME x compress et x gzip dans des listes de r pertoire g n r es par le serveur Chapitre 10 Serveur HTTP Apache 149 10 5 48 AddIconByType Cette directive nomme des ic nes qui s affichent c t des fichiers avec des types MIME dans des listes de r pertoire g n r es par serveur Par exemple le serveur est param tr pour afficher l ic ne text gif c t de fichiers avec un type MIME text dans des listes de r pertoire g n r es par le serveur 10 5 49 AddIcon AddIcon sp cifie l ic ne afficher dans les listes de r pertoire g n r es par le serveur pour des fichiers avec certaines extensions Par exemple le serveur Web est param tr pour afficher l ic ne binary gif pour les fich
134. plus d informations sur les p riph riques dans usr src linux 2 4 Documentation devices txt 5 2 5 proc dma Ce fichier contient une liste des canaux ISA d acc s direct la m moire ADM enregistr s qui sont utilis s Un exemple de fichier proc dma ressemble l exemple ci dessous 4 cascade 5 2 6 proc execdomains Ce fichier donne la liste des domaines d ex cution actuellement pris en charge par le noyau Linux ainsi que la gamme des personnalit s qu ils prennent en charge 0 0 Linux kernel Consid rez les domaines d ex cution comme tant la personnalit d un syst me d exploitation don n Parce que d autres formats binaires tels que Solaris UnixWare et FreeBSD peuvent tre utilis s avec Linux les programmeurs peuvent en changeant la personnalit d une t che changer la fa on dont le syst me d exploitation traite certains appels syst me de ces binaires l exception du do maine d ex cution PER_LINUX diff rentes personnalit s peuvent tre mises en oeuvre en tant que modules chargeables de fa on dynamique 52 Chapitre 5 Le syst me de fichiers proc 5 2 7 proc fb Ce fichier contient une liste des p riph riques de m moires vid o comportant le num ro de chaque p riph rique et le pilote qui le contr le La sortie de proc b pour les syst mes qui contiennent des p riph riques de m moire vid o ressemble g n ralement l exemple ci dessous 0 VESA VGA 5 2
135. plus simple d organiser des r gles d acc s 15 2 3 3 Commandes du Shell Les champs d options permettent aux r gles d acc s de lancer des commandes du shell au moyen des deux directives suivantes spawn Lance une commande du shell en tant que processus enfant Cette directive permet d effectuer des t ches comme l utilisation de usr sbin safe_finger pour obtenir des infor mations suppl mentaires sur le client faisant une requ te ou pour cr er des fichiers de journalisation sp ciaux en utilisant la commande echo Dans l exemple suivant les clients essayant d acc der aux services Telnet partir du domaine example com sont journalis s dans un fichier sp cial in telnetd example com 232 Chapitre 15 Les enveloppeurs TCP et xinetd spawn bin echo bin date from h gt gt var log telnet log allow twist Remplace le services demand par la commande sp cifi e Cette directive est souvent utilis e pour cr er des pi ges pour les agresseurs Elle peut galement tre utilis e pour envoyer des messages des clients se connectant La commande twist doit se trouver la fin de la ligne de r gles Dans l exemple suivant les clients essayant d acc der aux services FTP partir du domaine example com re oivent un message envoy au moyen de la commande echo vsftpd example com twist bin echo 421 Bad hacker go away Pour de plus amples informations sur les option
136. possible avant de demander l utilisateur un mot de passe r duisant ainsi le temps pendant lequel le mot de passe est en m moire La valeur par d faut est false LOOSEDIRECTORYCHECKING Si elle est r gl e sur t rue cette variable configure Tripwire pour rapporter un fichier dans le cadre de modifications d un r pertoire observ et non pas pour rapporter la modification elle m me Cela limite les r p titions dans les rapports Tripwire La valeur par d faut est false e SYSLOGREPORTING Si elle est r gl e sur t rue cette variable configure Tripwire pour rapporter des informations au d mon syst me via l option utilisateur Le niveau d inscription est r gl sur notice Consultez la page manuel syslogd pour obtenir davantage d informations La valeur par d faut est false MAILNOVIOLATIONS Si elle est r gl e sur true cette variable configure Tripwire pour en voyer un email de rapport intervalles r guliers sans tenir compte des violations ventuellement survenues La valeur par d faut est t rue EMAILREPORTLEVEL Pr cise le niveau de d tail des rapports par email Les valeurs valides pour cette variable vont de 0 4 La valeur par d faut est 3 REPORTLEVEL Pr cise le niveau de d tail des rapports g n r s par la commande twprint Cette valeur peut tre modifi e sur la ligne de commande mais elle est r gl e sur 3 par d faut e MAILMETHOD Pr cise le protocole d e
137. programmes et des donn es partageables entre un groupe d ordinateurs mais ne figurant pas dans usr Le r pertoire usr local est semblable de par sa structure au r pertoire usr Il contient les sous r pertoires suivants qui sont semblables de par leur fonction ceux qui se trouvent dans le r pertoire usr usr local bin doc Siere games include lib libexec sbin share STE 3 2 1 10 Le r pertoire var Comme FHS exige que vous soyez en mesure de monter usr en lecture seule tous les programmes qui crivent des fichiers journaux ou ont besoin de r pertoires spool ou lock devraient probablement les crire dans le r pertoire var FHS indique que var est pour les fichiers de donn es variables Ceci comprend les r pertoires et fichiers spool les donn es adminis tratives et de journalisation de m me que les fichiers transitoires et temporaires Chapitre 3 Structure d un syst me de fichiers 29 Les r pertoires suivants peuvent tre des sous r pertoires de var var account arpwatch cache crash db empty ftp gdm kerberos lib local lock log mail gt spool mail mailman named nis opt preserve run spool anacron At cron fax LD mail mqueue news rwho samba slrnpull squid up2date uucp uucp
138. puis rechargez red marrez ou arr tez le processus httpd comme l explique la Section 10 4 Avant de modifier httpd conf faites d abord une copie de sauvegarde du fichier original Ainsi si vous commettez ensuite une erreur lors de la modification du fichier de configuration vous pourrez utiliser la copie de sauvegarde pour r soudre les probl mes Si vous commettez une erreur et que votre serveur Web ne fonctionne pas correctement v rifiez tout d abord les modifications apport es au fichier httpd conf afin de corriger toute faute de frappe Consultez ensuite le journal des erreurs du serveur Web var log httpd error_log Le journal des erreurs peut tre quelque peu difficile selon votre exp rience Toutefois si vous venez de rencon trer un probl me les derni res entr es du journal des erreurs devraient fournir certaines indications sur ce qui s est produit Les sections suivantes contiennent de br ves descriptions des directives contenues dans le fichier httpd conf Ces descriptions ne sont pas exhaustives Pour plus d informations reportez vous la documentation d Apache fournie au format HTML l adresse http localhost manual ou en ligne l adresse suivante http httpd apache org docs 2 0 Pour plus d informations sur les directives mod_ss1 reportez vous la documentation fournie au format HTML l adresse http localhost mod mod_ssl html ou en ligne l adresse suivante http httpd ap
139. qu en changeant la source du noyau et en recompilant ostype affiche le type de syst me d exploitation Par d faut ce fichier est param tr sur Linux cette valeur ne peut tre modifi e qu en changeant la source du noyau et en recompilant 74 Chapitre 5 Le syst me de fichiers proc overflowgidet overflowuid d finissent respectivement l ID groupe et l ID utilisateur fixes ils sont utilis s avec des appels syst me sur des architectures qui ne prennent en charge que des ID groupe et utilisateur 16 bits panic d finit le nombre de secondes de report du red marrage par le noyau lorsque le sys t me subit une panique du noyau Par d faut la valeur est de 0 ce qui d sactive le red marrage automatique apr s une panique printk ce fichier contr le toute une s rie de param tres relatifs l affichage ou la journal isation de messages d erreur Chaque message d erreur rapport par le noyau a un niveau journal loglevel qui lui est associ et qui d finit son importance Les valeurs du niveau journal se r par tissent dans l ordre suivant 0 Urgence du noyau Le syst me est inutilisable 1 Alerte du noyau Une action imm diate est requise 2 Condition du noyau consid r e comme critique 3 Condition g n rale d erreur du noyau 4 Condition g n rale d avertissement du noyau 5 Avis du noyau d une condition normale mais importante
140. re Toute d claration op tions peut aussi tre utilis e dans une vue avec priorit sur les options globales d j configu r es pour named La plupart des d clarations view contiennent de multiples d clarations zone qui s appliquent la liste match clients L ordre dans lequel les d clarations view sont list es est important puisque c est la premi re d claration view qui correspond l adresse IP d un client qui est utilis e Consultez la Section 12 5 2 pour obtenir plus d informations sur la d claration view 12 2 3 Balises de commentaire La liste suivante regroupe les balises ou tags de commentaire valides utilis s dans named conf lorsque ce symbole est plac en d but de ligne cette derni re n est pas prise en compte par named lorsque ce symbole est plac en d but de ligne cette derni re n est pas prise en compte par named e et lorsque du texte est plac entre ces symboles le bloc de texte en question n est pas prise en compte par named 12 3 Fichiers de zone Les Fichiers de zone contiennent des informations sur un espace de nom particulier et sont stock s dans le r pertoire de travail named qui est par d faut var named Chaque fichier de zone est nomm selon les donn es d options de file dans la d claration zone et ce g n ralement d une mani re qui se r f re au domaine en question et identifie le fichier comme contenant des donn es de
141. s l impression de cette documentation Les Notes de mise jour se trou vent sur le CD ROM 1 de Red Hat Linux et en ligne l adresse suivante http www redhat com docs manuals linux 2 Documentation appropri e vos besoins Il est essentiel que vous disposiez d une documentation appropri e votre niveau de ma trise de Linux En effet dans le cas contraire vous vous sentirez peut tre d pass ou vous ne pourrez pas trouver les informations n cessaires pour r pondre vos questions Le Guide de r f rence de Red Hat Linux traite des aspects et des options les plus techniques de votre syst me Red Hat Linux Cette section vous aidera d cider si ce manuel r pondra vos questions ou si vous devez consulter d autres guides Red Hat Linux y compris les ressources disponibles en ligne Passons en revue les trois cat gories d utilisateurs de Red Hat Linux et d terminons la documentation dont ils ont besoin Commen ons par d terminer votre niveau d exp rience Ci dessous figurent trois cat gories de base D butant Personne n ayant jamais ou presque jamais utilis un syst me d exploitation Linux ou ana logue Personne pouvant ventuellement avoir d j utilis d autres syst mes d exploitation tels que Windows Est ce votre cas Si oui reportez vous la la Section 2 1 Moyennement exp riment Personne ayant d j install et utilis Linux mais pas Red Hat Linux avec succ s aupara
142. seau L utilisation de Kerberos pour authentifier des utilisateurs avant qu ils ne puissent utiliser les services du r seau permet d viter que des utilisateurs non autoris s essaient d intercepter des mots de passe sur le r seau en surveillant le trafic 17 1 Les avantages de Kerberos La plupart des syst mes de r seau conventionnels utilisent des proc dures d authentification par mot de passe Dans le cadre des telles proc dures un utilisateur doit s authentifier aupr s d un certain serveur r seau pr cis en fournissant son nom d utilisateur et son mot de passe Regrettablement la transmission des informations d authentification pour de nombreux services s effectue de fa on non crypt e Pour qu une telle proc dure soit s curis e le r seau doit tre inaccessible aux utilisateurs externes et il est essentiel de pouvoir faire confiance tous les ordinateurs et utilisateurs sur le r seau M me si tel est le cas une fois qu un r seau est connect l Internet on ne peut plus supposer que le r seau demeure s curis Il suffit un pirate qui obtient l acc s au r seau d utiliser un simple analyseur de paquets aussi connu sous le nom de renifleur de paquets pour intercepter des noms d utilisateur et des mots de passes envoy s en texte clair De ce fait les comptes utilisateurs et l int grit de toute l infrastructure de s curit sont remis en cause Le but essentiel de Korberos est
143. service de r seau envelopp ne remarqueront que des enveloppeurs TCP sont utilis s Les utilisateurs l gitimes sont connect et branch s au service demand alors que les connexions provenant de clients non authoris s sont refus es Une gestion centrale de protocoles multiples tant donn que les enveloppeurs TCP fonction nent ind pendemment des services de r seau qu ils prot gent ils permettent de nombreuses ap plications serveurs de partager un jeu de fichiers de configuration commun offrant ainsi une gestion simplifi e Chapitre 15 Les enveloppeurs TCP et xinetd 227 15 2 Fichiers de configuration des enveloppeurs TCP Afin de d terminer si un ordinateur client est autoris se connecter un service les enveloppeurs TCP r f rencent les deux fichiers suivants couramment appel s fichiers d acc s des h tes etc hosts allow etc hosts deny Lorsqu une requ te cliente est re ue par un service envelopp avec TCP ce dernier suit les tapes l mentaires suivantes 1 Le service r f rence etc hosts allow Le service envelopp avec TCP fait l analyse grammaticale du fichier etc hosts allow de mani re s quentielle et applique la premi re r gle sp cifi e pour ce service Si une r gle correspond au service il autorise la connection Sinon il passe la deuxi me tape 2 Le service r f rence etc hosts deny Le service envelopp avec TCP fait l analyse grammaticale
144. supprim s il peut acc l rer la restauration de fichiers apr s une violation en r duisant au minimum le nombre de fichiers qui doivent tre remis en tat Gr ce ces capacit s Tripwire est un excellent outil pour les administrateur syst me la recherche d un outil de d tection des violations et d valuation des d g ts survenus sur leurs serveurs Tripwire compare des fichiers et des r pertoires avec des informations telles que des emplacements de fichier des dates de modification de fichier et d autres donn es La base de donn es contient des baselines qui sont des instantan s de r pertoires et de fichiers sp cifiques un moment donn Le contenu de la base de donn es r f rentielle doit tre cr e avant que le syst me ne coure le risque d tre victime d une intrusion Une fois la base de donn es r f rentielle cr e Tripwire compare le syst me en cours avec cette base de donn es et produit un rapport des modifications des ajouts et des suppressions effectu s Bien qu tant un outil valide qui permet de contr ler l tat de s curit de votre syst me Tripwire n est pas pris en charge par Red Hat Inc Pour d avantage d informations reportez vous au site Internet du projet Tripwire l adresse suivante http www tripwire org 19 1 Comment utiliser Tripwire L organigramme suivant illustre l utilisation de Tripwire 270 Chapitre 19 Tripwire 1 Installer T
145. tout fait utiliser le nom d h te de votre choix gt Remarque Pour assurer la compatibilit avec des logiciels plus anciens que certains utilisateurs pourraient installer comme par exemple trn le fichier etc nosTName devrait contenir les m mes valeurs qu ici GATEWAY lt valeur gt o lt valeur gt est l adresse IP de la passerelle r seau GATEWAYDEV lt valeur gt o lt valeur gt est le p riph rique de passerelle comme par exemple eth e NISDOMAIN lt valeur gt O lt valeur gt est le nom de domaine NIS 4 1 24 etc sysconfig ntpd Le fichier etc sysconfig ntpd est utilis pour transmettre des arguments au d mon ntpd au moment du d marrage Le d mon ntpd r gule et maintient l horloge du syst me pour la synchroniser avec un serveur d heure standard Internet Il met en oeuvre la version 4 du protocole NTP de l anglais Network Time Protocol Pour de plus amples informations sur les param tres que vous pouvez uti liser dans ce fichier consultez la page suivante l aide de votre navigateur usr share doc ntp lt version gt ntpd htm o lt version gt correspond au num ro de la version de ntpd Par d faut ce fichier r gle le propri taire du processus ntpd sur l utilisateur ntp 4 1 25 etc sysconfig pemcia Le frichier etc sysconfig pcemcia est utilis pour pr ciser des informations de configuration de la carte PCMCIA Il est possible d utiliser les valeur
146. trique e Le client s authentifie aupr s du serveur e Le client distant peut d sormais interagir de mani re s curis e avec l h te distant au moyen d une connexion crypt e 18 3 1 Couche transport Le r le principal d une couche transport est de faciliter une communication s curis e entre deux h tes non seulement au moment de l authentification mais galement apr s Pour ce faire la couche transport traite le cryptage et d cryptage de donn es et offre la protection de l int grit des paquets de donn es lors de leur envoi et de leur r ception De plus la couche transport effectue la compression des donn es permettant l acc l ration la vitesse de transfert d information Lorsqu un client communique avec un serveur au moyen d un protocole SSH de nombreux l ments importants sont n goci s afin que les deux syst mes puissent cr er correctement la couche transport Les op rations ci dessous ont lieu durant cet change e des cl s sont chang es e l algorithme de cryptage de cl s publiques est d termin e l algorithme de cryptage sym trique est d termin l algorithme d authentification de message est d termin e _l algorithme de hachage est d termin Durant l change des cl s le serveur s identifie au client au moyen d une cl d h te unique videm ment si le client communique pour la premi re fois avec ce serveur la cl du serveur ne sera pas connue
147. tsc msr mce cx8 pge mmx syscall 3dnow k6_ mtrr bogomips 5 79953 processor Fournit chaque processeur un num ro d identification Sur les syst mes dot s d un seul processeur ce num ro sera 0 cpu family Identifie avec certitude le type de processeur dont votre syst me dispose Si vous disposez d un syst me Intel placez simplement ce num ro devant 86 afin de d terminer la valeur Cela est particuli rement utile si vous essayez d identifier l architecture d un syst me plus ancien 586 486 ou 386 Comme certains paquetages RPM sont compil s pour chacune de ces architec tures particuli res cette valeur vous indique galement quel paquetage installer model name Affiche le nom commun ment utilis du processeur de m me que son nom de projet cpu MHz Indique la vitesse pr cise en m gahertz du processeur au milli me pr s e cache size Indique la quantit de m moire cache de niveau 2 disponible pour le processeur flags D finit un certain nombre de caract ristiques du processeur telle que la pr sence d une unit de virgule flottante ou FPU Floating Point Unit et la capacit traiter des instructions MMX 5 2 4 proc devices Ce fichier affiche les divers p riph riques d entr e sortie de caract res et blocs actuellement configu r s il ne contient pas les p riph riques dont les modules ne sont pas charg s Ci dessous figure un exemple de ce fichier vi
148. utilisation des contr les d acc s des enveloppeurs TCP en concert avec les contr les d acc s de xineta En effet une mauvaise configuration peut entra ner des effets ind sirables 15 4 3 3 Options de liaison et redirection Les fichiers de configuration de service pour xinetd prennent en charge la liaison du service une adresse IP et la redirection de requ tes entrantes pour ce service vers une autre adresse IP nom d h te ou port La liaison est contr l e par l option bind dans les fichiers de configuration d un service sp cifique et lie le service une adresse IP dans le syst me Une fois configur e l option bind autorise seulement des requ tes pour l adresse IP ad quate pour acc der au service De cette mani re diff rents services peuvent se trouver li s diff rentes interfaces r seau selon les besoins Cela est particuli rement utile pour les syst mes adaptateurs de r seaux multiples ou ayant de mul tiples adresses IP configur es Sur un tel syst me des services non s curis s comme Telnet peuvent tre configur s de mani re recevoir des requ tes seulement sur l interface connect e un r seau priv et pas l interface connect e I Internet L option redirect accepte une adresse IP ou nom d h te suivi par un num ro de port Elle permet de configurer le service de mani re ce qu il redirige toute requ te pour ce service vers l h te et le num ro de port sp ci
149. valeur par d faut G n ralement les variables suivantes seront utilis es DEFAULT D finit la bo te lettres o seront plac s les messages qui ne correspondent aucune recette La valeur DEFAULT par d faut est la m me que ORGMAIL INCLUDERC Sp cifie des fichiers rc suppl mentaires qui contiennent d autres recettes servant comparer les messages Ceci permet de diviser vos listes de recettes Procmail en fichiers indi viduels qui jouent diff rents r les tels que le blocage de spams et la gestion de listes d adresses lectroniques qui peuvent ensuite tre activ s ou d sactiv s l aide de caract res de commentaire dans le fichier procmailrc de l utilisateur Par exemple des lignes dans un fichier procmailrc de l utilisateur peuvent ressembler l extrait suivant MAILDIR HOME Msgs INCLUDERC SMAILDIR lists rc INCLUDERC MAILDIR spam rc Si l utilisateur souhaite d sactiver la filtration Procmail de ses listes d adresses mais d sire laisser le contr le des spams en place il n a qu commenter la premi re ligne INCLUDERC avec le symbole di se LOCKSLEEP D finit la dur e en secondes entre les tentatives de Procmail d utiliser un fichier de verrouillage donn La valeur par d faut est 8 secondes e LOCKTIMEOUT D finit la dur e en secondes qui doit s couler apr s la derni re modification d un fichier de verrouillage avant que Procmail ne
150. vers les bo tes lettres appropri es Par d faut la pr sence d un fichier procmailrc dans le r pertoire personnel d un uti lisateur invoquera Procmail d s qu un ACT re oit un nouveau message Les actions effectu es sur un message lectronique par Procmail d pendent des instructions de recettes particuli res ou r gles par rapport auxquelles les messages sont compar s Si un message correspond la recette il peut alors tre plac dans un fichier donn supprim ou trait d une autre fa on Lorsque Procmail est lanc il lit les messages lectroniques et s pare le corps de message des infor mations d en t te Ensuite Procmail cherche les fichiers etc procmailrc et rc dans le r pertoire etc procmailrces pour trouver les variables d environnement Procmail d ensemble et par d faut ainsi que les recettes Procmail cherche alors un fichier procmailrc dans le r pertoire personnel de l utilisateur pour trouver des r gles sp cifiques cet utilisateur De nombreux utilisateurs cr ent des fichiers rc suppl mentaires pour Procmail qui sont r f renc s par leur fichier procmailrc mais peuvent tre activ s ou d sactiv s rapidement en cas de probl me lors de la filtration de messages Par d faut aucun fichier rc pour l ensemble du syst me n existe dans le r pertoire etc et aucun fi chier utilisateur procmailrc n existe Pour commencer utiliser Procmail cr ez un fichier proc mailrc
151. votre site est une excellente r f rence pour la kerberisation d un r seau http www networkcomputing com netdesign kerbl html Kerberos Network Design Manual Manuel pour la conception d un r seau Kerberos offre un aper u complet du syst me Kerberos E redhat Chapitre 18 Protocole SSH SSHTM permet aux utilisateurs de se connecter distance d autres syst mes h tes Contrairement des protocoles tels que FTP ou Telnet SSH crypte session de connexion et emp che ainsi tout agresseurs d amasser des mots de passe en texte clair SSH est con u pour remplacer les applications de terminal plus anciennes et moins s curis es au moyen desquelles il est possible de se connecter des h tes distants comme telnet ou rsh Un pro gramme similaire appel scp remplace des programmes moins r cents con us pour copier les fichiers entre les diff rents h tes tels que rep tant donn que ces applications ne cryptent pas les mots de passe entre le client et le serveur il est recommand d viter autant que possible leur utilisation En ayant recours des m thodes s curis es pour vous connecter distance d autres syst mes les risques en mati re de s curit aussi bien pour le syst me client que pour l h te distant sont consid rablement r duits 18 1 Fonctionnalit s de SSH SSH ou Secure SHell est un protocole servant cr er une connexion s curis e entre deux syst mes utilis
152. 0 1 Priority acceptable Port 0x220 0x280 align 0x1f size 0x10 16 bit address decoding Port 0x300 0x330 align 0x2f size 0x2 16 bit address decoding Chapitre 5 Le syst me de fichiers proc 55 Port 0x388 0x3f8 align 0x0 size 0x4 16 bit address decoding IRQ 5 7 2 9 10 High Edge DMA 1 3 8 bit byte count compatible DMA 5 7 16 bit word count compatible Ce fichier peut tre assez long tout d pend du nombre de p riph riques affich s et de leurs besoins en ressources Chaque carte affiche son nom le num ro de version PnP et le num ro de version du produit Si le p riph rique est activ et configur ce fichier indique galement le port ainsi que les num ros IRQ pour le p riph rique De plus afin d assurer une meilleure compatibilit la carte sp cifie les valeurs preferred pr f rable et acceptable pour un certain nombre de param tres L objectif est de permettre aux cartes PnP de fonctionner conjointement et d viter tout conflit d IRQ ou de port 5 2 13 proc kcore Ce fichier repr sente la m moire physique du syst me et est stock sous forme de fichier core Contrairement la plupart des fichiers proc le fichier kcore affiche une taille Cette valeur est donn e en octets et est gale la taille de la m moire vive RAM utilis e plus 4 Ko Le contenu de ce fichier con u pour tre examin par un d bogueur tel que gdb est cod An N affichez pas le fichier virtuel proc kcore
153. 00 cards with DC21040 no SROM DC21041 A DC21140 A DC21142 DC21143 D Link DE 600 Ethernet de600 0 Pocket Adapter Adaptateur de poche D Link DE 620 Ethernet de620 0 Pocket Adapter Adaptateur de poche DIGITAL DEPCA amp depca o depca io port IRQ OU depca Ether WORKS DEPCA io io_ port irq IRQ DE100 DE101 DE200 Turbo DE201Turbo DE202 Turbo TP BNC DE210 DE422 EISA Digi Intl RightSwitch dgrs o SE X EISA et PCI Davicom dmfe o DM9102 A YDM9132 DM9801 Fast Ethernet PILOTE Intel Ether e100 0 e100_speed_duplex x Express 100 IfX 0 autodetect speed and duplex 1 10Mbps half duplex 2 10Mbps full duplex 3 100Mbps half duplex 4 100Mbps full duplex Intel EtherExpress 1000 e1000 0 Gigabit Cabletron E2100 e2100 0 e2100 i0 port IRQ mem OU e2100 io io_port irq 1RO mem mem Intel EtherExpress Pro10 eepro o eepro io_port IRO OU eepro io io_ port irq IRQ Annexe A Param tres g n raux et modules 293 Mat riel Param tres Pilote Intel i82557 182558 eepro100 0o PCI EtherExpressPro Intel EtherExpress 16 eexpress o eexpress io_port IRO OR eexpress 82586 io io_ port irq 1RO options 0x10 10base T half duplex 0x20 10base T full duplex 0x100 100base T half duplex 0x200 100baseT full duplex SMC EtherPower II 9432 epic100 o PCI S rie EPIC 83c170 175 Racal Interlan ES3210 es3210 0 EISA ICL EtherTeam 161i 32 eth16i o ethl6i io_port IRO OU ethl6i EISA ioaddr io port
154. 09fc00 0009ffff reserved 000a0000 000bffff Video RAM area 000c0000 000c7fff Video ROM 000f0000 000fffff System ROM 00100000 07ffffff System RAM 00100000 00291ba8 Kernel code 00291ba9 002e09cb Kernel data e0000000 e3ffffff VIA Technologies Inc VT82C597 Apollo VP3 e4000000 e7ffffff PCI Bus 01 e4000000 e4003fff Matrox Graphics Inc MGA G200 AGP e5000000 e57fffff Matrox Graphics Inc MGA G200 AGP e8000000 e8ffffff PCI Bus 01 e8000000 e8ffffff Matrox Graphics Inc MGA G200 AGP ea000000 ea00007f Digital Equipment Corporation DECchip 21140 FasterNet ea000000 ea00007 f tulip ffff0000 ffffffff reserved La premi re colonne affiche les registres de m moire utilis s par chacun des diff rents types de m moire La seconde colonne indique le type de m moire situ dans ces registres Cette colonne vous indique notamment quels registres sont utilis s par le noyau dans la m moire vive du syst me ou si vous avez plusieurs ports Ethernet sur votre carte d interface r seau les registres de m moire affect s chaque port 54 Chapitre 5 Le syst me de fichiers proc 5 2 11 proc ioports La sortie de proc ioports fournit une liste des fourchettes relatives aux ports actuellement enre gistr s et utilis s pour les communications d entr e et de sortie avec un p riph rique Ce fichier qui peut tre assez long affiche un d but semblable ce qui suit 0000 001f dmal 0020 003f picl 0040
155. 1 0 XT PIC fpu LG 11184294 15940594 I10 APIC level Intel EtherExpress Pro 10 100 Ethernet 20 8450043 11120093 IO APIC level megaraid 30 10432 10722 IO APIC level aic7xxx 31 23 22 IO APIC level aic7xxx NMI 0 ERR 0 La premi re colonne fait r f rence au num ro IRQ Chaque unit centrale du syst me a sa propre co lonne et son propre nombre d interruptions par IRQ La colonne suivante indique le type d interruption et la derni re colonne contient le nom du p riph rique situ cet IRQ Chaque type d interruption sp cifique l architecture qui pr sent dans ce fichier a une signification l g rement diff rente Pour les ordinateurs x86 les valeurs suivantes sont courantes XT PIC Il s agit des anciennes interruptions des ordinateurs AT 10 APIC edge Signal de voltage sur ces transitions d interruption de faible lev cr ant une d nivellation l o l interruption a lieu il n est signal qu une seule fois Des interruptions de ce genre de m me que l interruption I0 APIC 1evel ne se rencontrent que sur des syst mes ayant des processeurs de la gamme 586 ou d une gamme sup rieure 10 APIC level G n re des interruptions lorsque le signal de voltage devient lev jusqu ce qu il redevienne faible 5 2 10 proc iomem Ce fichier montre la topographie m moire actuelle du syst me pour chacun de ses p riph riques phy siques 00000000 0009fbff System RAM 00
156. 1 1 Envoi de messages lectroniques test Afin de tester la configuration de la notification par email de Tripwire utilisez la commande suivante usr sbin tripwire test email your email address Un message test est ainsi envoy imm diatement l adresse email par le programme tripwire 19 9 Mise jour du fichier de configuration Tripwire Si vous d sirez modifier le fichier de configuration de Tripwire vous devez d abord modifier l exemple de fichier de configuration etc tripwire twcfg txt Si vous avez d truit ce fichier comme c est le cas lorsque vous avez termin de configurer Tripwire vous pouvez le recr er en utilisant la commande suivante twadmin print cfgfile gt etc tripwire twcfg txt Tripwire ne reconna tra aucun changement de configuration tant que le fichier texte de configuration ne sera pas correctement sign et converti en etc tripwire tw pol avec la commande twadmin Utilisez la commande suivante pour recr er un fichier de configuration partir du fichier texte etc tripwire twcfg txt usr sbin twadmin create cfgfile S site key etc tripwire twcfg txt tant donn que le fichier de configuration ne modifie pas les politiques Tripwire ou les fichiers contr l s par l application il n est pas n cessaire de recr er la base donn es 19 10 R f rence d emplacement de fichier Tripwire Avant de travailler avec Tripwire vous devez savoir o sont situ s les fichiers importa
157. 11 chargement la cha ne 11 pour x86 1 tapes de 1 1 BIOS 1 chargeur de d marrage 2 commande sbin init 4 noyau 4 shell EFI 1 Procmail 171 configuration 171 recettes 173 actions sp ciales 175 conditions sp ciales 175 distribution 173 exemples 175 fichier de verrouillage local 174 indicateurs 174 non distribution 173 SpamAssassin 176 ressources suppl mentaires 179 programmes ex cution au d marrage 7 protocole SSH 261 authentification 264 couches de canaux 264 couche transport 263 fichiers de configuration 264 Fonctionnalit s du 261 n cessaires pour une connexion distante 267 protocoles non s curis s et 267 retransmission de port 266 retransmission X11 266 risques pour la s curit 262 s quence de connexions 263 version 1 262 version 2 262 Proxy directive de configuration Apache 152 ProxyRequests directive de configuration Apache 152 ProxyVia directive de configuration Apache 152 p riph rique de m moire vid o 52 Voir Aussi proc fb p riph riques blocs 50 Voir Aussi proc devices d finition de 50 p riph riques d entr e sortie de caract res 50 Voir Aussi proc devices d finition de 50 p riph riques locaux propri t des 223 Voir Aussi PAM R rc local modification 7 ReadmeName directive de configuration Apache 149 Redirect directive de configuration Apache 148 Refus de service pr vention l aide de xinetd 238 Voi
158. 12 2 1 4 D claration de zone Une d claration de zone d finit les caract ristiques d une zone tels que l emplacement de ses fichiers de configuration et les options sp cifiques la zone Cette d claration peut tre utilis e pour remplacer les d clarations globales d options statements Une d claration de zone se pr sente sous le format suivant zone lt zone nom gt lt zone classex gt lt zone options gt lt zone options gt Dans la d claration lt zone nom gt correspond au nom de la zone lt zone classe gt la classe optionnelle de la zone et lt zone options gt repr sente une liste des options caract risant la zone L attribut lt zone nom gt de la d claration de zone est particuli rement important puisqu il repr sente la valeur par d faut assign e la directive SORIGIN utilis s au sein du fichier de zone corres pondant qui se trouve dans le r pertoire var named Le d mon named attache le nom de la zone tout nom de domaine qui n est pas pleinement qualifi list dans le fichier de zone Par exemple si une d claration de zone d finit l espace de nom pour example com utilisez example com comme lt zone nom gt afin qu il soit plac la fin des noms d h tes au sein du fichier de zone example com Pour de plus amples informations sur les fichiers de zone reportez vous la Section 12 3 Parmi les options les plus courantes de la d claration de zone figu
159. 17 14 1 Avantages des PAM esiseeeeeeee 14 2 Fichiers de configuration PAM 14 3 Format des fichiers de configuration PAM 14 4 Exemples de fichiers de configuration PAM 14 5 Cr ation des modules PAM 5222 14 6 Propri t de PAM et des p riph riques 223 14 7 Ressources suppl mentaires 223 15 Les enveloppeurs TCP et xinetd s 15 Ees enveloppeurs TOP ensisi ni nt EATE EAEE a 225 15 2 Fichiers de configuration des enveloppeurs TOP 226 15 3 xinetd 5 15 4 Fichiers de configuration de xinet ds 233 15 5 Ressources suppl mentaires zacienienia idees 239 l6 IpEADTLES rss 241 16 1 Filtrage de paquets 16 2 Les diff rences entre iptables et ipchains 16 3 Options utilis es avec les commandes iptables 16 4 Stockage de l information iptables 250 16 5 Sources d informations suppl mentaires se ssssssssessseresissisrereseeresrresreseeees 251 17 RK TDeTOS EE Sn a er a A een DS OS 253 17 1 Les avantages de Kerberos 17 2 Terminologie Kerberos 17 3 Fonctionnement de Kerberos siiicsieni isos ituar ti eos Et Eran SSE ESTESE 255 17 4 Kerberos et PAM modules d authentification enfichables 256 17 5 Configuration d un serveur Kerberos 5 257 17 6 Configurer un client Kerberos 5 17 7 Ressources suppl mentaires 3 18 Protocole SSH 261 18 1 Fonctionnalit s de SSH 18 2 Versions du pro
160. 2 4 4 pour de plus amples informations Le fichier de configuration logrotate t renomm Le nom du fichier de configuration logrotate a t chang de etc logrotate d apache etc logrotate d httpd La section qui suit pr sente la migration d une configuration du Serveur HTTP Apache version 1 3 au nouveau format 2 0 Chapitre 10 Serveur HTTP Apache 127 10 2 Migration de fichiers de configuration du Serveur HTTP Apache version 1 3 Si vous effectuez une mise niveau de la version 7 3 de Red Hat Linux ou d une version pr c dente sur laquelle le Serveur HTTP Apache tait d j install le nouveau fichier de configuration pour le pa quetage du Serveur HTTP Apache 2 0 sera install sous etc httpd conf httpd conf rpmnew et la version originale 1 3 httpd conf ne sera pas modifi e Bien s r il vous appartient enti rement de d cider d utiliser la nouvelle configuration et de migrer vos anciens param tres vers celle ci ou d utiliser le fichier existant comme base et de le modifier en fonction de vos besoins cependant cer taines parties du fichier ayant t plus modifi es que d autres une approche mixte est g n ralement pr f rable Les fichiers de configuration pour les versions 1 3 et 2 0 sont divis s en trois sections L objectif de ce guide est de sugg rer la meilleure proc dure suivre Si le fichier etc httpd conf httpd conf est une version modifi e de la version par d faut Red Hat Linu
161. 2 4 Documentation sysctl1 vm txt contient des informations suppl mentaires sur ces divers fichiers 78 Chapitre 5 Le syst me de fichiers proc 5 3 10 proc sysvipc Ce r pertoire contient des informations sur les ressources IPC System V Les fichiers de ce r pertoire concernent les appels IPC System V de messages msg s maphores sem et m moire partag e shm 5 3 11 proc tty Ce r pertoire contient des informations sur les p riph riques tty disponibles et actuellement utilis s sur le syst me Appel s l origine p riph riques t l imprimeurs ou t l types tout terminal bas sur les caract res est un p riph rique tty Sous Linux il existe trois types diff rents de p riph rique tty Les p riph riques s rie sont utilis s avec les connexions s rie par exemple par modem ou c ble s rie Les terminaux virtuels cr ent la connexion console commune telle que les consoles virtuelles disponibles lorsque vous appuyez sur AIJ lt F key gt sur la console syst me Les pseudo terminaux cr ent une communication double sens utilis e par certaines applications de niveau sup rieur telles que XFree86 Le fichier drivers une liste des p riph riques tty actuellement utilis s serial dev cua 5 64 127 serial callout serial dev ttys 4 64 127 serial pty_slave dev pts 136 0 255 pty slave pty_master dev ptm 128 0 255 pty master pty_slave dev ttyp 3 0 255 pty slave pty_master dev pty 2 0 255 pty master
162. 7ffffff Bus 0 device function O PCI bridge Intel Corporation 440BX ZX 82443BX 7ZX AGP bridge rev 3 Master Capable Latency 64 Min Gnt 128 Bus 0 device 4 function z ISA bridge Intel Corporation 82371AB PIIXA ISA rev 2 Bus 0 device 4 function 1 IDE interface Intel Corporation 82371AB PIIX4 IDE rev 1 Master Capable Latency 32 I O at 0xd800 O0xd80f Bus 0 device 4 function 2 USB Controller Intel Corporation 82371AB PIIX4 USB rev 1 IR 5 Master Capable Latency 32 I O at 0xd400 Oxd41f Bus 0 device 4 function 3 Bridge Intel Corporation 82371AB PIIX4 ACPI rev 2 IR 9 Bus 0 device 9 function O Ethernet controller Lite On Communications Inc LNE100TX rev 33 IRO 5 Master Capable Latency 32 I O at 0xd000 Oxd0ff Non prefetchable 32 bit memory at 0xe3000000 O0xe30000ff Bus 0 device 12 function 0 VGA compatible controller S3 Inc ViRGE DX or GX rev 1 IR 11 Master Capable Latency 32 Min Gnt 4 Max Lat 255 Non prefetchable 32 bit memory at Oxdc000000 Oxdfffffff Cette sortie affiche une liste de tous les p riph riques PCI tri s par ordre de bus p riph rique et fonc tion En plus de fournir le nom et la version du p riph rique cette liste vous donne des informations IRQ d taill es afin que vous puissiez d tecter rapidement les conflits Astuce Pour obtenir une version plus lisible de ce genre d informations tapez sbin lspci vb
163. 8 proc filesystems Ce fichier affiche une liste des types de syst mes de fichiers actuellement pris en charge par le noyau Ci dessous figure un exemple de sortie d un fichier proc filesystems g n rique nodev rootfs nodev bdev nodev proc nodev sockfs nodev tmpfs nodev shm nodev pipefs ext2 nodev ramfs iso9660 nodev devpts ext3 nodev autofs nodev binfmt_misc La premi re colonne indique si le syst me de fichiers est mont sur un p riph rique bloc Ceux com men ant par nodev ne sont pas mont s sur un p riph rique La seconde colonne r pertorie les noms de syst mes de fichiers pris en charge La commande mount tourne en boucle dans ces syst mes de fichiers lorsque aucun d eux n est sp cifi comme argument 5 2 9 proc interrupts Ce fichier enregistre le nombre d interruptions par IRQ sur l architecture x86 Un fichier proc interrupts standard ressemble l extrait suivant CPUO 0 80448940 XT PIC timer E 174412 XT PIC keyboard 2a 0 XT PIC cascade 8 a XT PIC rtc 10 410964 XT PIC eth0 12 60330 XT PIC PS 2 Mouse 14 1314121 XT PIC ide0 15 5195422 XT PIC idel NMI 0 ERR 0 Dans le cas d un ordinateur ayant plusieurs processeurs le fichier peut tre l g rement diff rent CPUO CPUI 0 1366814704 0 XT PIC timer Chapitre 5 Le syst me de fichiers proc 53 1z 128 340 IO APIC edge keyboard 2 0 0 XT PIC cascade 8 0 1 IO APIC edge rtc Tss 5323 5793 IO APIC edge PS 2 Mouse Ess
164. 93326523 85756163 174412 0 3 3 0 6 O 1 0 428620 0 60330 0 1368304 5538681 disk_io 3 0 1408049 445601 5349480 962448 17135856 ctxt 27269477 btime 886490134 processes 206458 Ci apr s se trouve une liste des statistiques les plus utilis es cpu Mesure le nombre de jiffies 1 100 de seconde pendant lequel le syst me a t respective ment en mode utilisateur en mode utilisateur avec basse priorit nice en mode syst me et au repos Le total pour chacune des unit s centrales est indiqu au sommet et chaque unit centrale individuelle est r pertori e en dessous avec ses propres statistiques page Nombre de pages m moire que le syst me a enregistr es en entr e et en sortie swap Nombre de pages chang es par le syst me intr Nombre d interruptions re ues par le syst me btime Temps du d marrage mesur en nombre de secondes coul es depuis le ler janvier 1970 ce que l on appelle aussi parfois l poque 62 Chapitre 5 Le syst me de fichiers proc 5 2 28 proc swaps Ce fichier mesure l espace swap et son utilisation Pour un syst me n ayant qu une seule partition swap la sortie de proc swap peut ressembler l extrait ci dessous Filename Type Size Used Priority dev hda 6 partition 136512 20024 1 Bien qu il soit possible de trouver une partie de ces informations dans d autres fichiers du r pertoire proc proc swap fournit un instantan de chaque nom
165. BR que si l emplacement physique de la partition boot est d plac sur le disque Pour en savoir plus sur l installation de GRUB sur le MBR reportez vous la Section 2 3 Chapitre 2 Chargeurs de d marrage 13 2 3 Installation de GRUB Si pendant le processus d installation de Red Hat Linux GRUB n tait pas install vous pouvez l installer ult rieurement Une fois install il devient automatiquement le chargeur de d marrage par d faut Avant d installer GRUB v rifiez que vous disposez du paquetage GRUB le plus r cent ou utilisez le paquetage GRUB des CD ROM d installation Red Hat Linux Pour obtenir des instructions sur l installation de paquetages reportez vous au chapitre intitul Gestion des paquetages avec RPM du Guide de personnalisation de Red Hat Linux Une fois le paquetage GRUB install ouvrez une invite de shell root et lancez la commande sbin grub install lt emplacement gt o lt emplacement gt correspond l emplacement o le chargeur de d marrage GRUB tape 1 doit tre install La commande qui suit installe GRUB sur le MBR du dispositif IDE ma tre sur le bus IDE primaire sbin grub install dev hda Lors du prochain d marrage de votre syst me le menu chargeur de d marrage graphique de GRUB appara tra avant le chargement du noyau en m moire 2 4 Terminologie relative GRUB Un des points fondamentaux ma triser avant d utiliser GRUB est la fa on dont le programme fait r
166. C SmartUPSTM ou semblable fentonups un dispositif Fenton UPSTM optiups un dispositif OPTI UPSTM bestups un dispositif Best PowerTM genericups un dispositif UPS g n rique e ups trust425 625 un dispositif UPS TrustTM DEVICE lt valeur gt o lt valeur gt sp cifie o le dispositif UPS est branch comme par exemple dev ttys0 OPTIONS lt valeur gt o lt valeur gt correspond une commande sp ciale qui doit tre pass e au dispositif UPS 4 1 38 etc sysconfig vneservers Le fichier etc sysconfig vneservers configure la fa on dont le serveur Virtual Network Com puting ou VNC d marre VNC est un syst me d affichage distance qui vous permet de visualiser un environnement bureau non seulement sur l ordinateur o il est ex cut mais galement sur diff rents r seau d architectures vari es Ce fichier peut contenir les l ments suivants 44 Chapitre 4 Le r pertoire sysconfig VNCSERVERS lt valeur gt o lt valeur gt est r gl e sur une valeur ressemblant 1 fred pour indiquer qu un serveur VNC devrait tre d marr pur l utilisateur fred sur l cran 1 L utilisateur fred doit avoir configur un mot de passe VNC en utilisant vncpasswd avant d essayer de se connecter au serveur VNC distant Remarquez bien que lors de l utilisation d un serveur VNC la communication que vous tablissez avec le serveur n est pas crypt e
167. Config par d faut est etc mime types Au lieu d diter etc mime types il est plut t recommand d ajouter des types MIME l aide de la directive AddType Pour plus d informations sur AddType reportez vous la Section 10 5 58 10 5 35 DefaultType DefaultType d finit un type de contenu par d faut pour le serveur Web utiliser pour des documents dont les types MIME ne peuvent pas tre d termin s La valeur par d faut est text plain 10 5 36 IfModule Les balises lt IfModule gt et lt IfModule gt cr ent un conteneur conditionnel dontles directives ne sont activ s que si le module sp cifi est charg Les directives plac es entre les balises IfModule sont trait es dans l un des deux cas suivants Les directives sont trait es si le module contenu dans la balise de d but lt I1 fModule gt est charg Ou si un point d exclamation figure devant le nom du module les directives ne sont trait es que si le module dans la balise lt IfModule gt n est pas charg Pour de plus amples informations sur les modules du Serveur HTTP Apache reportez vous la Sec tion 10 7 146 Chapitre 10 Serveur HTTP Apache 10 5 37 HostnameLookups HostnameLookups peut tre param tr e sur on off ou double Si HostnameLookups est para m tr e sur on serveur r sout automatiquement l adresse IP pour chaque connexion La r solution de l adresse IP implique que le serveur tablit une ou plusieurs conn
168. DE ou SCSI mais d s l instant o tous les deux sont install s les choses deviennent un peu plus compliqu es 2 4 2 Noms de fichiers et listes des blocs En saisissant des commandes pour GRUB qui impliquent un fichier comme une liste de menu qui permet le d marrage de plusieurs syst mes d exploitation il est imp ratif d inclure le fichier imm diatement apr s avoir d sign le p riph rique et la partition Un exemple de sp cification pour un nom de fichier absolu se pr sente sous le format suivant lt type de p riph rique gt lt num ro p riph rique bios gt lt num ro partition gt chemin d acc s vers fichier La plupart du temps un utilisateur indiquera des fichiers en sp cifiant le chemin d acc s sur cette partition plus le nom du fichier Vous pouvez galement indiquer GRUB des fichiers qui n apparaissent pas dans le syst me de fichiers tel qu un chargeur de cha ne par exemple qui appara t dans les tous premiers blocs d une partition Pour indiquer ces fichiers vous devez fournir une liste de blocs qui explique GRUB bloc par bloc l emplacement du fichier sur la partition tant donn qu un fichier peut tre constitu de plusieurs blocs il existe une mani re particuli re d crire une liste de blocs Chaque emplacement de section de fichier est d crit par un num ro de bloc d cal suivi d un nombre de blocs apr s ce point de d calage les sections sont reli es entr
169. E pus ___ 1280 Qlogie 2400 Ra QLogic Fast SCSI FASXXX glogicfas o ISA VLB PCMCIA OLIS PA00 SLR Cartes SCSI QLogic ISP1020 glogicisp o Intelligent IQ PCI IQ PCI 10 IQ PCI D SBUS SCSI Qlogic ISP1020 arogieptio Future Domain TMC 885 seagate o controller_type 2 TMC 950 Seagate ST 01 02 base_address base_addr Future Domain TMC 8 xx irq IRQ Cartes avec circuit sym53c416 sym53c416 0 sym53c416 PORTBASE IRQ OU sym53c416 io PORTBASE irq IRQ Carte h te SCSI Trantor t128 0 T128 T128F T228 Tekram DC 390 T PCI tmsesimo ooo UlraStor 14F 34F ot 24 una sato o oo O R S rie WD7000 varoo Tableau A 3 Param tres SCSI Ci apr s figurent des exemples de certains modules utilis s Adaptec AHA1522 sur port 330 IRQ 11 SCSI aha152x 0x330 11 7 ID 7 Adaptec AHA1542 sur port 330 bases 0x330 Future Domain TMC 800 CA000 IRQ 10 controller_type 2 base_address 0xca000 irq 10 Tableau A 4 Exemples de configuration des param tres SCSI Annexe A Param tres g n raux et modules 291 A 4 Param tres Ethernet noran De nos jours la pluspart des cartes d interface r seau bas es sur Ethernet NIC ne n cessitent pas de param tres de module pour modifier la configuration Ils peuvent tre configur s l aide de ethtool O de mii too1 Les param tres de module ne devraient tre ajust s que si ces outils ne fonctionnent pas Pour de plus amples informations sur l utilisation de ces outils
170. Entr e pour valider la s lection Si aucun choix n est fait avant l expiration d un d lai pr tabli GRUB proc de au d marrage de l option par d faut Appuyez sur la touche e pour acc der l interface diteur d entr es ou sur la touche c pour charger une interface de ligne de commande Pour plus d informations sur la configuration de cette interface lisez la Section 2 7 Interface diteur d entr e de menu Pour acc der l diteur d entr e de menu appuyez sur la touche e depuis le menu du chargeur de d marrage Les commandes de GRUB relatives cette entr e sont pr sent es ci apr s Ces lignes de commande peuvent tre modifi es par les utilisateurs avant le d marrage du syst me d exploitation en ajoutant une ligne de commande o ins re la nouvelle ligne apr s la ligne actuelle et O l ins re avant en en modifiant une e ou finalement en en supprimant une Id Une fois que vos modifications sont effectu es appuyez sur la touche b pour les ex cuter les commande et d marrer le syst me d exploitation La touche chap elle permet d annuler ces modifications et recharge l interface menu standard Finalement la touche c elle charge l interface de la ligne de commande 16 Chapitre 2 Chargeurs de d marrage On Pour de plus amples informations sur la fa on de proc der pour changer les niveaux d ex cution avec GRUB en utilisant l diteur d entr e de me
171. GRUB pour le d marrage multiple de syst mes d exploitation va au del de la port e de ce chapitre Ainsi pour obtenir une liste des ressources suppl mentaires reportez vous la Section 2 11 2 8 LILO LILO un acronyme d signant LInux LOader est utilis depuis de nombreuses ann es pour d marrer Linux sur les syst mes x86 M me si GRUB est pr sent le chargeur de d marrage par d faut certains utilisateurs pr f rent utiliser LILO parce qu ils le connaissent mieux alors que d autres doivent le choisir par n cessit GRUB pouvant en effet rencontrer des probl mes lors de l amor age de certains mat riels 2 8 1 LILO et le processus de d marrage x86 Cette section traite de fa on plus d taill e le r le sp cifique jou par LILO lors du d marrage d un syst me x86 Pour une pr sentation d taill e du processus de d marrage global voir la Section 1 2 Le chargement en m moire de LILO est quasiment identique celui de GRUB la diff rence pr s qu il s agit d un chargeur deux tapes uniquement 1 Le chargeur tape 1 ou primaire est lu en m moire par le BIOS partir du MBR Le chargeur de d marrage primaire existe sur moins de 512 octets d espace disque dans le MBR Sa seule t che consiste charger le chargeur de d marrage tape 2 et lui transf rer les informations concernant la g om trie du disque 2 Le chargeur de d marrage tape 2 ou secondaire est lu en m moire Le
172. HTTP cr e une nouvelle version de ce fichier chaque fois qu il est utilis Pour obtenir plus d informations concernant Outil de configuration HTTP consultez le chapitre intitul Configuration du Serveur HTTP Apache du Guide de personnalisation de Red Hat Linux 10 1 Serveur HTTP Apache 2 0 Il existe des diff rences importantes entre la version 2 0 et la version 1 3 du Serveur HTTP Apache version 1 3 fournie avec la version 7 3 de Red Hat Linux et les versions pr c dentes Cette section passe en revue quelques unes des nouvelles fonctions du Serveur HTTP Apache 2 0 et pr sente les changements importants Pour obtenir des informations sur la migration d un fichier de configuration version 1 3 vers le format 2 0 reportez vous la Section 10 2 10 1 1 Fonctions du Serveur HTTP Apache 2 0 Le Serveur HTTP Apache 2 0 apporte bon nombre de nouvelles fonctions parmi lesquelles Nouvelle API Apache Les modules utilisent un nouvel ensemble d Interfaces de programmation d applications ou API de l anglais Application Programming Interfaces Dan Les modules labor s pour le Serveur HTTP Apache 1 3 ne fonctionneront pas s ils ne sont pas port s vers la nouvelle API Si vous ne savez pas si un module particulier a t port ou non consultez l assistance du paquetage avant la mise niveau Filtrage Les modules peuvent jouer le r le de filtres de contenu Reportez vous la Section 10 2 4 pour en savoir pl
173. L argument service system auth indique que l utilisateur doit passer travers la configuration PAM pour l authentification syst me qui se trouve dans etc pam d system auth Astuce Pour viter que PAM n invite l utilisateur fournir un mot de passe lorsque la v rification securetty choue changez l indicateur du module pam_ securetty so de required requisite 14 5 Cr ation des modules PAM Il est possible tout moment d ajouter des modules d authentification enfichables pouvant tre en suite utilis s par des applications prenant en charge les PAM Par exemple si un d veloppeur labore une m thode de cr ation de mot de passe unique et crit un module PAM pour la prendre en charge les programmes prenant en charge les PAM pourront imm diatement utiliser ce nouveau module ainsi que cette m thode de mot de passe sans avoir tre recompil s ou modifi s Ainsi des d veloppeurs et Chapitre 14 Modules d authentification enfichables PAM 223 administrateurs syst me peuvent combiner et tester rapidement des m thodes d authentification pour diff rents programmes sans devoir les recompiler La documentation sur l criture de modules est fournie avec le syst me dans le r pertoire usr share doc pam lt num ro de version gt o lt num ro de version gt correspond au num ro de version de PAM 14 6 Propri t de PAM et des p riph riques RHL donne au premier utilisateur privil gi s
174. La directive AllowOverride d finit si des Options peuvent tre invalid es par les instructions d un fichier htaccess Par d faut tant le r pertoire super utilisateur que DocumentRoot sont r gl s pour interdire les invalidations htaccess 10 5 27 Order La directive Order contr le simplement l ordre dans lequel les directives allow et deny sont analy s es Le serveur est configur pour analyser les directives Allow avant d analyser les directives Deny pour votre r pertoire DocumentRoot 10 5 28 Allow Allow sp cifie le demandeur pouvant acc der un r pertoire donn Le demandeur peut tre a11 un nom de domaine une adresse IP une adresse IP partielle une paire r seau masque r seau etc Le r pertoire DocumentRoot est configur pour permettre Allow les requ tes de quiconque a11 ainsi tout le monde peut y acc der 10 5 29 Deny Deny fonctionne selon le m me principe que Allow sauf que cette fois ci l acc s est refus un demandeur donn Le DocumentRoot n est pas configur par d faut pour refuser Deny des requ tes provenant d un demandeur quelconque 10 5 30 userDir UserDir est le nom du sous r pertoire au sein du r pertoire personnel de chaque utilisateur o devraient tre plac s les fichiers HTML personnels devant tre servis par le serveur Web Par d faut la valeur attribu e cette directive est disable d sactiver Dans le fichier de configuration par d faut l
175. Les options suivantes sont accept es yes notifie les serveurs esclaves no ne notifie pas les serveurs esclaves explicit notifie seulement les serveurs esclaves sp cifi s dans une liste also notify l int rieur d une d claration de zone type d finit le type de zone Les types num r s ci dessous peuvent tre utilis s Ci apr s figure une liste des options valides forward retransmet toutes les requ tes d informations propos de cette zone vers d autres serveurs de noms hint un type sp cial de zone utilis pour diriger des transactions vers les serveurs de noms racines qui r solvent des requ tes lorsqu une zone n est pas connue autrement Aucune configu ration au del de la valeur par d faut n est n cessaire avec une zone hint master d signe le serveur de noms faisant autorit pour cette zone Une zone devrait tre configur e comme de type master ma tre si les fichiers de configuration de la zone se trouvent sur le syst me slave d signe le serveur de noms comme serveur esclave pour cette zone Cette option sp cifie galement l adresse IP du serveur de noms ma tre pour cette zone e zone statistics configure named pour qu il conserve des statistiques concernant cette zone en les crivant soit dans l emplacement par d faut var named named stats soit l emplacement express ment d sign par l option statistics file dans
176. MS pr cise l endroit o peuvent tre ajout s des param tres suppl mentaires 4 1 11 etc sysconfig hwconf Le fichier etc sysconfig hwconf affiche la liste de tout le mat riel que kudzu a d tect sur votre ordinateur ainsi que des informations sur les pilotes utilis s l ID du fabricant et du p riph rique Le programme kudzu d tecte et configure le mat riel nouveau et ou chang sur un syst me Le fichier etc sysconfig hwconf n est pas suppos tre modifi manuellement Dans le cas o vous le feriez certains p riph riques pourraient soudainement appara tre comme tant ajout s ou supprim s 4 1 12 etc sysconfig il8n Le fichier etc sysconfig i18n r gle la langue par d faut toute langue prise en charge et la police de caract res par d faut Par exemple LANG en_US UTF 8 SUPPORTED en_US UTF 8 en_US en SYSFONT latarcyrheb sun16 4 1 13 etc sysconfig identd Le fichier etc sysconfig identd est utilis pour transmettre des arguments au d mon identd lors du d marrage Le d mon identd renvoie le nom d utilisateur des processus avec connexions TCP IP ouvertes Certains des services sur le r seau comme les serveurs FTP et IRC entra nent des plaintes et des r ponses lentes si identd n est pas en cours d ex cution Mais en g n ral identd n est pas un service indispensable ainsi si la s curit est critique nous vous conseillons de ne pas le lancer Pour de plus amples informations
177. O LDAP HOWTO html Un document LDAP HOWTO plus ancien mais toujours pertinent http www padl com Les d veloppeurs de nss_1dap et pam_1dap entre autres outils LDAP utiles http www kingsmountain com ldapRoadmap shtml La Road Map LDAP de Jeff Hodges con tient des liens vers diff rents Forums aux questions et des nouvelles importantes concernant le protocole LDAP Chapitre 13 Protocole LDAP Lightweight Directory Access Protocol 213 _http www webtechniques com archives 2000 05 wilcox Un regard utile sur la gestion des groupes dans LDAP _http www ldapman org articles Articles offrant une bonne introduction LDAP ainsi que des m thodes de cr ation d arborescence de r pertoires et des structures de r pertoire de personnalisa tion 13 9 3 Livres sur le sujet Implementing LDAP de Mark Wilcox Wrox Press Inc Understanding and Deploying LDAP Directory Services de Tim Howes et al Macmillan Technical Publishing 214 Chapitre 13 Protocole LDAP Lightweight Directory Access Protocol Ill R f rences la s curit L utilisation de protocoles s curis s repr sente un l ment vital dans le maintien de l int grit d un syst me Cette partie se concentre sur certains outils critiques utilis s pour l identification des utili sateurs le contr le de l acc s au r seau l tablissement de communications r seau s curis es et la d tection des intrusions Pour obtenir
178. Pour cette raison il est vivement d conseill de l utiliser sur un r seau faible s curit Pour des instructions sp cifiques sur l utilisation de SSH pour s curiser la communication avec le serveur VNC lisez les informations pr sentes sur le site http www uk research att com vnc sshvnc html Pour de plus amples informations sur SSH reportez vous au Chapitre 18 ou au Guide de personnalisation de Red Hat Linux 4 1 39 etc sysconfig xinetd Le fichier etc sysconfig xinetd est utilis pour transmettre des arguments au d mon xinetd au moment du d marrage Le d mon xinetd lance des programmes qui fournissent des services Internet lorsqu une requ te est re ue sur le port de ce service Pour des plus amples informations sur les param tres que vous pouvez utiliser dans ce fichier consultez la page de manuel relative xinetd Pour des plus amples informations sur le service xinetd consultez la Section 15 3 4 2 R pertoires contenus dans le r pertoire etc sysconfig Les r pertoires suivants se trouvent normalement dans etc sysconfig apm scripts contient le script Red Hat APM suspendre reprendre Il est d conseill d diter directement ce fichier Si vous devez le personnaliser il suffit de cr er un fichier nomm etc sysconfig apm scripts apmcontinue et il sera invoqu la fin du script Vous pouvez aussi contr ler le script en ditant etc sysconfig apmd cbq ce r pertoire contient les fich
179. Pour cr er un canal de retransmission de port TCP IP qui attend les connexions sur l h te local utilisez la commande suivante ssh L port local h te distant port distant nom d utilisateur nom d h te Remarque Afin de pouvoir d finir la retransmission de port pour qu elle puisse tre en mode r ception des ports inf rieurs 1024 il est n cessaire d avoir un acc s super utilisateur ou root Pour v rifier le courrier lectronique sur un serveur nomm mail example com au moyen du protocole POP travers une connexion crypt e utilisez la commande ci dessous ssh L 1100 mail example com 110 mail example com Une fois que le canal de retransmission de port est en place entre l ordinateur client et le serveur de courrier dirigez le client POP mail pour qu il utilise le port 1100 sur l h te local afin de v rifier le nouveau courrier Toute requ te envoy e au port 1100 de le syst me client sera dirig e de fa on s curis e vers le serveur mail example com Chapitre 18 Protocole SSH 267 Si mail example com n ex cute pas un serveur SSH mais qu un autre ordinateur le fait SSH peut toujours tre utilis pour s curiser une partie de la connexion Dans ce cas un commande l g rement diff rente est n cessaire ssh L 1100 mail example com 110 other example com Dans cet exemple des requ tes POP du port 1100 sur l ordinateur client sont transf r es au moyen de la connexion SSH au port 22 vers
180. REALM Pour un utilisateur ordinaire la variable root correspond l ID de connexion L instance est facultative Si le principal a une instance il est s par de la variable root par une barre oblique en avant Une cha ne vide est consid r e comme une instance valide qui diff re de l instance NULL par d faut mais son utilisation peut tre source de confusion Tous les l ments principaux d une zone realm ont leur propre cl d riv e de leur mot de passe ou d finie de fa on al atoire pour les services realm Un r seau utilisant Kerberos compos d un ou plusieurs serveurs appel s galement KDC et un nombre potentiel tr s lev de clients service Programme accessible via le r seau ticket Ensemble temporaire de certificats d identit lectroniques indiquant l identit d un client pour un service particulier Service d mission de tickets Ticket Granting Service ou TGS Serveur d livrant les tickets pour un service demand que l utilisateur doit ensuite employer pour acc der au service en question TGS fonctionne en g n ral sur le m me h te que KDC Ticket d mission de tickets Ticket Granting Ticket ou TGT Ticket sp cial permettant au client d obtenir des tickets suppl mentaires sans les demander au KDC mot de passe non crypt Un mot de passe en texte clair lisible par quiconque 17 3 Fonctionnement de Kerberos Kerberos est diff rent des autres m t
181. REROUTING cette cha ne modifie les paquets re us par une interface de r seau avant qu ils ne soient rout s OUTPUT cette cha ne modifie les paquets g n r s localement avant qu ils ne soient rout s via une interface r seau Chaque paquet de r seau re u ou exp di par un syst me Linux est soumis au moins une table Chaque paquet avant de sortir d une cha ne peut tre soumis un tr s grand nombre de r gles La structure et le r le de ces r gles peuvent changer mais elles visent g n ralement identifier un paquet en provenance ou destination d une adresse IP donn e ou d un groupe d adresses lors de l utilisation d un protocole ou d un service de r seau particulier Ind pendamment de leur destination lorsque les paquets correspondent une r gle pr cise d une des tables ils se voient assigner une cible font l objet d une certaine action Si la r gle sp cifie une cible de type ACCEPT un paquet est accept apr s avoir t contr l avec succ s et peut proc der vers sa destination en vitant le reste des contr les de la r gle Si une r gle sp cifie une cible de type DROP le paquet est abandonn et se voit refuser l acc s au syst me rien n est donc renvoy l h te qui a exp di le paquet Si une r gle sp cifie une cible de type QUEUE le paquet est mis en attente dans l espace utilisateur ou user space Finalement si une r gle sp cifie un
182. Red Hat Linux 9 Guide de r f rence de Red Hat Linux y redhat Red Hat Linux 9 Guide de r f rence de Red Hat Linux Copyright 2003 par Red Hat Inc 3 Red Hat Inc 1801 Varsity Drive Raleigh NC 27606 2072 USA Phone 1 919 754 3700 Phone 888 733 4281 Fax 1 919 754 3701 PO Box 13588 Research Triangle Park NC 27709 USA rhl rg FR 9 Print RHI 2003 02 13T19 20 Copyright 2003 by Red Hat Inc Ce produit ne peut tre distribu qu aux termes et conditions stipul s dans la licence Open Publication License V1 0 ou successive la derni re version est actuellement disponible l adresse http www opencontent org openpub Toute distribution de versions modifi es du contenu du pr sent document est interdite sans l autorisation explicite du d tenteur du copyright Toute distribution du contenu du document ou d un d riv de ce contenu sous la forme d un ouvrage imprim standard quel qu il soit des fins commerciales est interdite sans l autorisation pr alable du d tenteur du copyright Red Hat Red Hat Network le logo Red Hat Shadow Man RPM Maximum RPM le logo RPM Linux Library PowerTools Linux Undercover RHmember RHmember More Rough Cuts Rawhide et tous les logos et les marques d pos es de Red Hat sont des marques d pos es de Red Hat Inc aux Etats Unis et dans d autres pays Linux est une marque d pos e de Linus Torvalds Motif et UNIX sont des marques d pos es de Th
183. Remarque Par d faut kinit tente de vous authentifier l aide du nom d utilisateur de connexion associ au compte utilis lorsque vous vous tes connect pour la premi re fois votre syst me pas au serveur Kerberos Si le nom d utilisateur de ce syst me ne correspond pas un l ment principal dans votre base de donn es Korberos un message d erreur s affichera Dans ce cas indiquez simplement kinit le nom de votre l ment principal en tant qu argument sur la ligne de commande kinit l ment principal Une fois les tapes ci dessus r alis es votre serveur Kerberos devrait tre op rationnel Vous devrez ensuite configurer vos clients Kerberos 17 6 Configurer un client Kerberos 5 Il est moins complexe de configurer un client Kerberos 5 qu un serveur Vous devez au minimum installer les paquetages clients et fournir vos clients un fichier de configuration krb5 conf va lide Les versions kerberis es de rsh et rlogin devront galement tre modifi e au niveau de la configuration 1 Assurez vous que la synchronisation de l heure est bien tablie entre le client Kerberos et le KDC Reportez vous la Section 17 5 pour de plus amples informations En outre v rifiez que le DNS fonctionne correctement sur le client Kerberos avant d installer les programmes de ce client 2 Installez les paquetages krb5 1ibs et krb5 workstat ion sur tous les clients de votre realm Vous devez fournir une version de
184. TCP ne prend pas en charge la consultation des h tes Pour cette raison utilisez seulement des adresses IP ou le mot cl ALL lors de la sp cification des h tes dans hosts allow Ou hosts deny De plus les changements apport s aux r gles de contr le d acc s portmap ne prennent pas toujours effet imm diatement tant donn que des services tr s populaires comme NIS et NFS d pendent de portmap pour leur fonctionnement assurez vous de bien prendre ces limitations en compte 15 2 3 Les champs d options Au del de la simple autorisation ou du refus d acc s l impl mentation Red Hat Linux des enve loppeurs TCP prend en charge des extensions au langage utilis pour le contr le d acc s au moyen des champs d options En utilisant des champs d options au sein des r gles d acc s d h tes les ad ministrateurs peuvent accomplir un vaste ventail de t ches comme entre autres la modification du comportement de journalisation la consolidation du contr le d acc s et le lancement de commandes du shell Chapitre 15 Les enveloppeurs TCP et xinetd 231 15 2 3 1 Journalisation Les champs d options permettent aux administrateurs de changer facilement la fonction de journali sation et le niveau de gravit d une r gle l aide de la directive severity Dans l exemple suivant les connexions au d mon SSH partir de tout h te du domaine example com sont journalis es dans le journal authpriv par d
185. TTP Apache 10 5 20 ServerAdmin Donnez comme valeur la directive ServerAdmin l adresse lectronique de l administrateur du ser veur Web Cette adresse lectronique appara tra dans les messages d erreur sur les pages Web g n r es par le serveur afin que les utilisateurs puissent signaler un probl me en envoyant un message lectro nique l administrateur du serveur La valeur par d faut donn e ServerAdmin est root localhost G n ralement la valeur donn e ServerAdmin est Webmaster example com Vous pouvez ensuite cr er un alias pour Webmaster au nom de la personne responsable du serveur Web dans etc aliases et ex cuter usr bin newaliases 10 5 21 ServerName Utilisez ServerName pour d finir un nom d h te et un num ro de port en accord avec la directive Listen pour le serveur La directive ServerName ne doit pas forc ment correspondre au nom d h te de l ordinateur Par exemple le serveur Web pourrait tre www example com bien que le nom d h te de l ordinateur soit foo example com La valeur sp cifi e dans ServerName doit tre un nom de domaine ou DNS de l anglais Domain Name Service valide qui peut tre r solu par le syst me ne vous contentez surtout pas d en inventer un Ci dessous figure un exemple de directive ServerName ServerName www example com 80 Lors de la d termination d un ServerName assurez vous que son adresse IP et son nom de serveur sont bien i
186. TURN arr te le contr le du paquet en fonction des r gles en vigueur dans la cha ne actuelle Si le paquet avec la cible RETURN correspond une certaine r gle appel e depuis une autre cha ne le paquet est renvoy la premi re cha ne pour la continuation de son contr le au point o il s tait arr t Dans le cas o la r gle RETURN est utilis e dans une cha ne int gr e et que le paquet ne peut pas revenir vers la cha ne pr c dente la cible appliqu e par d faut d cide alors de l action entreprendre Outre ces cibles standards plusieurs autres cibles peuvent tre utilis es avec des extensions appel es modules cibles qui fonctionnent d une mani re semblable aux modules d options de concordance reportez vous la Section 16 3 5 4 Il existe de nombreux modules cibles tendus la plupart d entre eux s appliquent des tables ou des situations sp cifiques Ci dessous figurent certains des modules cibles les plus r pandus inclus par d faut dans Red Hat Linux 250 Chapitre 16 iptables LOG journalise tous les paquets correspondant cette r gle tant donn que les paquets sont journalis s par le noyau le fichier etc syslog conf d termine l emplacement o ces entr es sont enregistr es Par d faut elles sont plac es dans le fichier var log messages Diff rentes options peuvent tre utilis es apr s la cible LOG pour sp cifier le processus de journali sation e
187. _http www redhat com mirrors LDP HOWTO LDAP HOWTO html Le LDAP Linux HOWTO du Projet de documentation Linux en miroir sur le site Red Hat Ci dessous figurent les tapes de base pour cr er un serveur LDAP 1 Installez les RPM de openldap openldap servers et openldap clients 2 ditez le fichier etc openldap slapd conf afin de r f rencer votre domaine ainsi que votre serveur LDAP Reportez vous la Section 13 6 1 afin d obtenir davantage d informations sur la mani re d diter ce fichier 3 Lancez slapd l aide de la commande sbin service ldap start Apr s avoir correctement configur LDAP vous pouvez utiliser chkconfig ntsysv ou l Outil de configuration des services pour configurer LDAP de fa on le lancer avec le syst me Pour de plus amples informations sur la configuration des services consultez le chapitre intitul Contr le de l acc s aux services du Guide de personnalisation de Red Hat Linux 4 Ajoutez des entr es votre r pertoire LDAP l aide de 1dapadd 5 Utilisez 1dapsearch afin de v rifier si slapd acc de correctement aux informations 6 ce stade votre r pertoire LDAP devrait exister L tape suivante consiste configurer vos applications compatibles avec LDAP de mani re ce qu elles puissent utiliser le r pertoire LDAP Chapitre 13 Protocole LDAP Lightweight Directory Access Protocol 209 13 6 1 dition de etc openldap slapd conf Afin d utiliser l
188. _krb5 est install Le paquetage pam_krb5 contient des exemples de fichiers de configuration qui permettent des services tels que login et gdm d authentifier des utilisateurs et d obtenir des certificats d identit initiaux l aide de leurs mots de passe Pour autant que l acc s aux serveurs de r seau s effectue toujours l aide de services kerberis s ou de services utilisant GSS APT par exemple IMAP le r seau peut tre consid r comme raisonnablement s r Les administrateurs s assureront de ne pas permettre l authentification des utilisateur aupr s de la plupart des r seaux au moyen de leurs mots de passe Kerberos En effet de nombreux protocoles utilis s par ces services ne cryptent pas le mot de passe avant de l envoyer sur le r seau annulant ainsi tous les avantages d un syst me Korberos Les utilisateurs ne devraient par exemple pas tre autoris s s authentifier au moyen de leur mot de passe Kerberos sur un r seau Telnet La section suivante va d crire de quelle fa on configurer un serveur Kerberos de base 17 5 Configuration d un serveur Kerberos 5 Lors de la configuration de Kerberos installez tout d abord le serveur Si vous devez configurer des serveurs esclaves les relations de configuration entre les serveurs ma tres et esclaves sont pr sent es de fa on d taill e dans le Guide d installation Kerberos V5 dans usr share doc krb5 server lt num ro version gt Pou
189. a Section 19 8 Pour obtenir des instructions plus d taill es sur ces diff rentes tapes consultez les sections de ce chapitre les concernant 19 2 Installation du RPM de Tripwire La fa on la plus simple d installer Tripwire consiste s lectionner le RPM de Tripwire lors du proces sus d installation Red Hat Linux Toutefois si Red Hat Linux est d j install vous pouvez utiliser la commande rpm ou l Outil de gestion de paquetages redhat config packages pour installer le RPM Tripwire partir des CD ROM de Red Hat Linux 9 Si vous n tes pas s r que Tripwire est install tapez la commande suivante l invite du shell rpm q tripwire Si Tripwire est install cette commande fournira la r ponse suivante tripwire lt version number gt Dans la sortie ci dessus lt version number gt correspond au num ro de la version du paquetage Si tripwire est install l invite du shell r appara tra Les tapes suivantes d finissent la mani re de trouver et d installer Tripwire partir du CD ROM en utilisant l application de ligne de commande RPM 272 Chapitre 19 Tripwire 1 Ins rez le CD ROM 2 des CD ROM d installation de Red Hat Linux 9 2 Si le CD ROM n est pas mont automatiquement tapez la commande suivante mount mnt cdrom 3 V rifiez que le RPM de Tripwire figure sur le CD ROM en tapant ls mnt cdrom RedHat RPMS grep tripwire Si le RPM est sur le CD ROM cette instruction affich
190. a liste d adresses tux lug domain com sera automatiquement plac dans la bo te lettres tuxlug pour le AGC Notez que la condition dans cet exemple permettra d obtenir une concordance avec des messages si des adresses lectroniques de la liste d adresses se trouvent sur l une des lignes suivantes From CC ou To Pour obtenir des informations sur des recettes plus d taill es et puissantes consultez l une des nom breuses ressources en ligne sur Procmail disponibles dans la Section 11 6 11 4 2 6 Filtres de spam Puisque Procmail est appel par Sendmail Postfix et Fetchmail lors de la r ception de nouveaux messages il peut tre utilis comme un outil puissant pour combattre le pourriel Le combat contre le pourriel est encore plus efficace lorsque Procmail est utilis de concert avec SpamAssassin En effet gr ce une double action ces deux applications peuvent rapidement identifier des messages pourriel de les trier et de les d truire SpamAssassin recours une analyse de l en t te et du texte des listes noires et des bases de donn es de localisation de spam pour identifier et tiqueter tout pourriel Chapitre 11 Courrier lectronique 177 Pour un utilisateur local la meilleure fa on d utiliser SpamAssassin consiste ins rer la ligne suivante vers le haut du fichier procmailre INCLUDERC etc mail spamassassin spamassassin default rc Le programme etc mail spamassassin spamassassin defa
191. a version 2 du protocole SSH identity la cl RSA priv e utilis e par ssh pour la version 1 du protocole SSH identity pub la cl RSA priv e utilis e par ssh pour la version 1 du protocole SSH known_hosts ce fichier contient les cl s d h tes DSA des serveurs SSH auxquels l utilisateur a eu acc s Ce fichier est tr s important car il permet de garantir que le client SSH se connecte au bon serveur SSH Si la cl d h te d un serveur SSH a chang le client informera l utilisateur que le processus de connexion ne peut se poursuivre tant que que la cl d h te du serveur n a pas t supprim e du fichier known_hosts en Utilisant un diteur de texte Avant de proc der cette op ration il est conseill de contacter l administrateur syst me du serveur SSH pour vous assurer que le serveur n est pas compromis Veuillez lire les pages de manuel concernant ssh et sshd pour avoir plus de d tails sur les diff rentes directives disponibles dans les fichiers de configuration SSH 266 Chapitre 18 Protocole SSH 18 5 Beaucoup plus qu un shell s curis Une interface s curis e en ligne de commande n est que la premi re utilisation parmi tant d autres de SSH En ayant la quantit n cessaire de bande passante les sessions X11 peuvent tre dirig es sur un canal SSH ou bien en utilisant la retransmission TCP IP les connexions par port entre sys t mes consid r es auparavant comme tant
192. ables de votre syst me par rapport au besoin d une journalisation exhaustive netdev_max_backlog d finit le nombre maximum de paquets pouvant tre mis en file d attente lorsqu une interface sp cifique re oit des paquets plus rapidement que le noyau ne peut les traiter La valeur par d faut de ce fichier est de 300 optmem_max configure la taille maximum des tampons auxiliaires autoris e par socket rmem_default d finit la taille par d faut en octets du tampon de socket de r ception rmem_max d finit la taille maximum en octets du tampon de r ception wmem_default d finit la taille par d faut en octets du tampon d envoi wmem_ max d finit la taille maximum en octets du tampon d envoi Le r pertoire proc sys net ipv4 contient des param tres de mise en r seau suppl mentaires Bon nombre de ces param tres utilis s en connexion les uns avec les autres sont tr s utiles pour emp cher des attaques contre votre syst me ou pour utiliser le syst me en tant que routeur Ohscntion Une modification inappropri e de ces fichiers pourrait avoir un effet n faste sur votre connectivit distante au syst me 76 Chapitre 5 Le syst me de fichiers proc Ci dessous sont num r s certains des fichiers les plus importants du r pertoire proc sys net ipv4 icmp_destunreach_ rate icmp_echoreply_rate icmp_paramprob_rate et icmp_timeexeed_rate d finissent le d lai maximum d envo
193. ache org docs 2 0 mod mod_ssl html 10 5 2 ServerRoot Le r pertoire ServerRoot est le r pertoire de niveau sup rieur contenant les fichiers du serveur Tant le serveur s curis que le serveur non s curis tablissent la directive ServerRoot etc httpd 10 5 3 ScoreBoardFile ScoreBoardFile stocke les informations internes au processus serveur utilis es pour la communication entre le processus serveur parent et ses processus enfants Red Hat Linux utilise la m moire partag e pour stocker ScoreBoardFile la valeur par d faut etc httpd logs apache_runtime_status n est utilis e qu en cas de secours Chapitre 10 Serveur HTTP Apache 139 10 5 4 PidFile PidFile est le nom du fichier dans lequel le serveur consigne son identifiant de processus PID Le PID par d faut est var run httpd pid 10 5 5 Timeout Timeout d finit en secondes la dur e pendant laquelle le serveur attend des r ceptions et des mis sions en cours de communication Plus sp cifiquement Timeout d finit la dur e pendant laquelle le serveur attend de recevoir une requ te GET la dur e pendant laquelle il attend de recevoir des paquets TCP sur une requ te POST ou PUT et la dur e pendant laquelle il attend entre des ACK r pondant aux paquets TCP La valeur de Timeout est r gl e 300 secondes par d faut ce qui est appropri dans la plupart des cas 10 5 6 KeepAlive KeepAlive d finit si votre serveur autorisera plus d un requ
194. aire de passer outre les param tres par d faut conte nue dans le fichier etc rndc conf Les options suivantes sont disponibles e c lt fichier configuration gt donne rndc l instruction d utiliser un autre fichier de configuration que le fichier par d faut etc rndc conf p lt num ro port gt sp cifie le num ro de port utiliser pour la connexion de rnac autre que le port par d faut 953 s lt serveur gt donne rndc l instruction d envoyer la commande vers un autre serveur que celui de l option default server sp cifi dans le fichier de configuration e y lt nom cl gt sp cifie une cl autre que l option default key dans le fichier etc rndc conf Chapitre 12 Berkeley Internet Name Domain BIND 199 Des informations suppl mentaires sur ces options sont disponibles dans la page de manuel rndc 12 5 Propri t s avanc es de BIND La plupart des impl mentations de BIND utilisent named pour fournir un service de r solution de noms ou pour faire autorit pour un domaine ou sous domaine particuliers Toutefois la version 9 de BIND poss de aussi un certain nombre de propri t s avanc es qui permettent d offrir un service DNS plus efficace et plus s curis Os Certaines de ces propri t s avanc es comme DNSSEC TSIG et IXFR ne doivent tre utilis es que dans les environnements de r seau munis de serveurs de noms qui prennent en charge ces propri t s Si votre envir
195. aires peuvent tre ins r s gr ce au symbole di se et un retour la ligne peut tre introduit gr ce une barre oblique inverse Chaque fichier export doit avoir sa ligne propre Les h tes autoris s plac s apr s un syst me de fichiers export doivent tre s par s par des espaces Les options pour chacun des h tes doivent tre plac es entre parenth ses directement apr s l identifieur d h te sans espace entre l h te et la premi re parenth se Dans sa forme la plus simple etc exports requiert seulement le r pertoire export et l h te auto ris l exploiter some directory bob example com another exported directory 192 168 0 3 Apr s la r exportation de etc exports gr ce la commande sbin service nfs reload l h te bob example com pourra monter some directory et 192 168 0 3 peut monter ano ther exported directory Parce qu aucune option n est sp cifi e dans cet exemple plusieurs pr f rences par d faut de NFS entrent en vigueur ro Lecture seule Les h tes qui montent ce syst me de fichiers ne pourront pas le modifier Pour autoriser les h tes apporter des modifications au syst me de fichiers l option rw Lecture criture doit tre sp cifi e async Permet au serveur d crire des donn es sur le disque lorsqu il le juge opportun Bien que cela ne soit pas important si l h te re oit des donn es en lecture seule s il apporte des modifica t
196. aleur On sp cifie le nom d h te et la version du Serveur HTTP Apache si la valeur retenue est Fu11 transf re toutes les lignes Via inchang es si la valeur est of f et supprime les lignes Via si la valeur est Block 10 5 67 Directives cache Un certain nombre de directives cache comment es sont fournies dans le fichier de configuration par d faut du Serveur HTTP Apache Dans la plupart des situations il suffit de supprimer le commentaire en retirant le symbole di se plac au d but de la ligne Toutefois ci apr s figure une liste de certaines des directives associ es au cache ayant une grande importance CacheRoot d finit le nom du r pertoire qui contiendra les fichiers mis en cache La valeur par d faut pour CacheRoot est le r pertoire var httpd proxy e CacheSize d finit la quantit d espace en kilo octets Ko que le cache peut utiliser La valeur par d faut pour Cachesize est 5 Ko CacheGcInterval d finit la dur e en heures devant s couler avant que les fichiers mis en cache ne soient supprim es La valeur par d faut pour CacheGcInterval est 4 heures e CacheMaxExpire d finit la dur e pendant laquelle les documents HTML mis en cache seront conserv s sans rechargement partir du serveur Web dont ils proviennent La valeur par d faut est de 24 heures e CacheLastModifiedFactor param tre la cr ation d une date d expiration pour un docu ment qui a t re u du ser
197. aleur est de 2097152 shmmax d finit la plus grande taille autoris e par le noyau d un segment de m moire partag e en octets Par d faut cette valeur est de 33554432 Le noyau prend cependant en charge des valeurs beaucoup plus lev es shmmni d finit le nombre maximum de segments de m moire partag e pour l ensemble du syst me Par d faut cette valeur est de 4096 e sysraq active la touche d interrogation syst me si cette valeur est diff rente de la valeur par d faut qui est de 0 Reportez vous la Section 5 3 9 afin d obtenir des informations d taill es sur la touche d interrogation syst me threads max d finit le nombre maximum d unit s d ex cution devant tre utilis es par le noyau avec une valeur par d faut de 2048 Chapitre 5 Le syst me de fichiers proc 75 version affiche la date et l heure de la derni re compilation du noyau Le premier champ dans ce fichier par exemple 3 fait r f rence au nombre de fois que le noyau a t construit partir de la source Le r pertoire random stocke un certain nombre de valeurs relatives la g n ration de num ros al a toires pour le noyau 5 3 9 4 proc sys net Ce r pertoire contient des r pertoires vari s relatifs des l ments r seau Diverses configurations lors de la compilation du noyau d terminent la pr sence ou non de diff rents r pertoires cet endroit comme par exemple appletalk eth
198. all es les applications de KDE peuvent tre ex cut es dans un environnement GNOME et vice versa Pour obtenir de plus amples informations sur la personnalisation des environnements de bureau GNOME et KDE reportez vous au Guide de d marrage de Red Hat Linux Chapitre 7 Le syst me X Window 91 7 2 2 Gestionnaires de fen tre Les gestionnaires de fen tre sont des programmes clients X qui font partie d un environnement de bu reau ou dans certains cas sont des applications part enti re Leur objectif principal est de contr ler le positionnement le redimensionnement et le d placement des fen tres graphiques Les gestionnaires de fen tre contr lent galement les barres de titres le comportement du focus de la fen tre et les liai sons personnalis es de touche et de souris Cinq gestionnaires de fen tre sont compris dans Red Hat Linux kwin Le gestionnaire de fen tre KWin est le choix par d faut pour l environnement de bureau KDE Il s agit d un gestionnaire simple et efficace qui supporte des th mes personnalis s metacity Le gestionnaire de fen tre Metacity est le choix par d faut pour l environnement de bureau GNOME Il s agit d un gestionnaire simple et efficace qui supporte des th mes personnal is s mwm Le gestionnaire de fen tre Motif est un gestionnaire de fen tre part enti re dot s de fonctions l mentaires tant donn qu il est suppos tre un gestionnaire d
199. anal tant que l h te n a pas re u un message lui indiquant que le canal est ouvert Le client et le serveur n gocient automatiquement la configuration de chaque canal selon le type de service demand par le client et le mode de connexion de l utilisateur au r seau Ceci permet de g rer facilement diff rents types de connexions distantes sans devoir changer l infrastructure de base du protocole 18 4 Fichiers de configuration d OpenSSH OpenSSH est constitu de deux ensembles de fichiers de configuration un pour les programmes client ssh scp et sftp et l autre pour le service sshd 4 Une connexion multiplexe se compose de plusieurs signaux envoy s sur un support commun et partag Avec le protocole SSH divers canaux sont envoy s sur une connexion s curis e commune Chapitre 18 Protocole SSH 265 Les informations de configuration SSH qui s appliquent l ensemble du syst me sont stock es dans le r pertoire etc ssh moduli contient les groupes Diffie Hellman utilis s pour l change de cl s Diffie Hellman qui est crucial pour la cr ation d une couche transport s curis e Lorsque les cl s sont chang es au d but d une session SSH une valeur secr te partag e ne pouvant tre d termin e que conjointe ment par les deux parties est cr e Cette valeur est ensuite utilis e pour accorder l authentification d h te e ssh_config fichier de configuration client SSH pour l
200. ande suivante usr sbin tripwire init L ex cution de cette commande peut prendre un certain temps Lorsque vous avez ex cut ces tapes avec succ s Tripwire dispose d un instantan r f rentiel de votre syst me de fichiers n cessaire pour v rifier les modifications de fichiers importants Apr s ini tialisation de la base de donn es Tripwire vous devriez ex cuter une premi re v rification d int grit Cette v rification doit tre effectu e avant de relier l ordinateur au r seau et de le mettre en phase de production Pour obtenir des instructions sur la mani re de proc der consultez la Section 19 5 Une fois que Tripwire est configur en fonction de vos besoins vous pouvez commencer utiliser le syst me 19 5 Ex cution d une v rification d int grit Par d faut le Tripwire RPM ajoute un script de promptage appel tripwire check au r pertoire etc cron daily Ce script d clenchera automatiquement une v rification d int grit par jour Vous pouvez toutefois ex cuter une v rification d int grit Tripwire tout moment en tapant la commande suivante usr sbin tripwire check Lors d une v rification d int grit Tripwire compare les objets actuels du syst me de fichiers avec leurs propri t s qui sont enregistr es dans la base de donn es Les violations sont imprim es l cran et une copie crypt e du rapport est cr e dans var l1ib tripwire report Vous p
201. andes iptables 16 3 3 Commandes Les commandes donnent iptables l instruction d ex cuter une action sp cifique Seule une com mande est autoris e par cha ne de commande iptables l exception de la commande d aide toutes les autres commandes doivent tre crites en majuscules Les commandes iptables disponibles sont les suivantes e A ajoute une r gle iptables la fin d une cha ne donn e On l utilise pour ajouter simplement une r gle lorsque l ordre des r gles l int rieur de la cha ne n est pas primordial C contr le une r gle donn e avant de l ajouter la cha ne sp cifi e par l utilisateur Cette com mande peut vous aider crire des r gles iptables compliqu es en vous indiquant les param tres et options suppl mentaires tablir Chapitre 16 iptables 245 D limine une r gle l int rieur d une cha ne donn e de fa on num rique comme par exemple en utilisant 5 pour la cinqui me r gle d une cha ne Il est galement possible de taper la r gle compl te et iptables effacera la r gle dans la cha ne correspondante E sert changer le nom d une cha ne sp cifi e par un utilisateur Cette option n affecte en aucun cas la structure de la table F supprime la cha ne s lectionn e entra nant par l m me l limination de toutes les r gles de la cha ne Si aucune cha ne n est sp cifi e cette commande supprim
202. ant un bus USB auquel aucun p riph rique n est connect a un r pertoire proc bus usb qui contient plusieurs fichiers total 0 dr xr xr x t root root 0 May 3 16 25 001 E a a 1 root root 0 May 3 16 25 devices Er a SE 1 root root 0 May 3 16 25 drivers Le r pertoire proc bus usb contient des fichiers qui d tectent les diff rents p riph riques sur les bus USB ainsi que les pilotes n cessaires pour les utiliser Le r pertoire proc bus usb 001 contient tous les p riph riques pr sents sur le premier bus USB En examinant le contenu du fichier devices vous pouvez identifier le concentrateur root USB sur la carte m re T Bus 01 Lev 00 Prnt 00 Port 00 Cnt 00 Dev 1 Spd 12 MxCh 2 B Alloc 0 900 us 0 Int 0 Iso 0 D Ver 1 00 Cls 09 hub Sub 00 Prot 00 MxPS 8 Cfgs 1 P Vendor 0000 ProdID 0000 Rev 0 00 S Product USB UHCI Root Hub S SerialNumber d400 C Ifs 1 Cfg 1 Atr 40 MxPwr OmA TS If 0 Alt 0 EPs 1 Cls 09 hub Sub 00 Prot 00 Driver hub E Ad 81 I Atr 03 Int MxPS 8 Ivl 255ms 5 3 3 proc driver Ce r pertoire contient des informations sur des pilotes sp cifiques utilis s par le noyau On peut y trouver un fichier commun rtc qui fournit une sortie provenant du pilote pour l horloge temps r el RTC de l anglais Real Time Clock du syst me le dispositif qui maintient l heure lorsque le syst me est teint Ci apr s figure un exemple de sortie de proc driver rtc r
203. ant une architecture serveur client SSH offre les garanties de s curit suivantes e Apr s avoir effectu une connexion initiale le client peut s assurer que sa connexion est tablie avec le m me serveur que lors de sa session pr c dente e Le client transmet ses donn es d authentification au serveur au moyen d un cryptage 128 bits e Toutes les donn es envoy es et re ues lors d une session sont transf r s au moyen d un cryptage 128 bits rendant par l m me le d cryptage et la lecture de toute transmission intercept e extr me ment difficile Le client a la possibilit d utiliser des applications X11 partir du serveur Cette technique ap pel e retransmission X11 fournit un moyen s curis pour l utilisation d applications graphiques sur un r seau tant donn que le protocole SSH crypte tout ce qu il envoie et re oit il peut tre utilis pour s curiser des protocoles non s rs Gr ce la technique de retransmission de port un serveur SSH peut tre employ pour s curiser des protocoles non s rs tel que POP augmentant ainsi la s curit du syst me et de ses donn es Red Hat Linux contient le paquetage OpenSSH g n ral openssh les paquetages serveur OpenSSH openssh server et client OpenSSH openssh clients Veuillez consultez le chapitre intitul OpenSSH du Guide de personnalisation de Red Hat Linux pour obtenir des instructions d installation et d utilisation d
204. ante http www redhat com mirrors LDP HOWTO HOWTO INDEX howtos html traitent des as pects particuliers de Linux des modifications sot riques du noyau de bas niveau l utilisation de Linux pour des stations de radio amateurs 2 3 Documentation pour les utilisateurs chevronn s Si vous utilisez Red Hat Linux depuis longtemps vous savez probablement que le meilleur moyen de comprendre un programme est de lire son code source et ou ses fichiers de configuration L un des plus principaux avantages de Red Hat Linux est que le code source est toujours disponible videmment comme nous ne sommes pas tous des programmateurs le code source ne sera pas for c ment d une grande aide Toutefois si vous avez les connaissances et les aptitudes n cessaires pour le comprendre le code source peut r pondre toutes vos interrogations Introduction v 3 Conventions de documentation En lisant ce manuel vous verrez que certains mots sont repr sent s avec des polices diff rentes au niveau du type de la taille et de l utilisation de caract res gras Cette pr sentation est syst matique diff rents mots sont repr sent s dans le m me style pour indiquer leur appartenance une certaine cat gorie Parmi les types de mots repr sent s de cette fa on figurent commande Les commandes de Linux et les commandes d autres syst mes d exploitation lorsqu elles sont utilis es sont repr sent es de cette fa on Ce style vous
205. appara tre une liste de rapports Tripwire Les rapports Tripwire peuvent tre assez longs selon le nombre de violations trouv es ou d erreurs g n r es Un exemple de rapport commence comme l extrait ci dessous Tripwire R 2 3 0 Integrity Check Report Report generated by root Report created on Fri Jan 12 04 04 42 2001 Database last updated on Tue Jan 9 16 19 34 2001 Report Summary Host name some host com Host IP address 10 0 0 1 Host ID None Policy file used etc tripwire tw pol Configuration file used etc tripwire tw cfg Database file used var lib tripwire some host com twd Command line used usr sbin tripwire check Section Unix File System Rule Name Severity Level Added Removed Modified Invariant Directories 69 0 0 0 Temporary directories 33 0 0 0 Tripwire Data Files 100 1 0 0 Critical devices 100 0 0 0 User binaries 69 0 0 0 Tripwire Binaries 100 0 0 0 19 6 2 Affichage des base de donn es de Tripwire Vous pouvez galement utiliser twprint pour visualiser la base de donn es compl te ou certaines informations sur des fichiers de votre choix dans la base de donn es de Tripwire C est tr s pratique pour avoir une id e de la quantit d informations contr l es par Tripwire sur votre syst me Pour visualiser la base de donn es compl te de Tripwire entrez cette commande usr sbin twprint m d print dbfile less Cette commande cr era une grande quantit de donn e
206. apper dans un sous r pertoire dans le r pertoire courant de l utilisateur bob comme par exemple home bob public_html Cette particularit permettant un ventuel agresseur de d terminer si un nom d utilisateur donn est pr sent sur le syst me la configuration par d faut pour le Serveur HTTP Apache 2 0 d sactive cette directive Pour activer le mappage de UserDir changez la directive dans le fichier httpd conf de 130 Chapitre 10 Serveur HTTP Apache UserDir disable en ce qui suit UserDir public_html Pour plus d informations sur le sujet reportez vous la documentation suivante sur le site Web Apache Software Foundation adresse http httpd apache org docs 2 0 mod mod_userdir html userdir 10 2 2 2 Journalisation Les directives de journalisation suivantes ont t supprim es AgentLog RefererLog Refererlgnore Cependant les journaux Agent et Referrer sont encore disponibles en utilisant les directives Custom Log et LogFormat Pour plus d informations sur le sujet reportez vous la documentation suivante sur le site Web d Apache Software Foundation _http httpd apache org docs 2 0 mod mod_log_config html customlog _http httpd apache org docs 2 0 mod mod_log_config html logformat 10 2 2 3 Indexation des r pertoires La directive d sapprouv e FancyIndexing est d sormais supprim e La m me fonctionnalit est disponible par le biais de l option FancyIndexing
207. ar les enveloppeurs TCP le serveur NFS se r f re son fichier de configuration etc exports pour d terminer si le client peut monter l un des syst mes de fichier export s Apr s avoir autoris l acc s toute op ration de fichiers ou de r pertoires est envoy e au serveur par le biais d appels de proc dure distante Aro Les privil ges de montage NFS sont accord s sp cifiquement un client pas un utilisateur Tout utilisateur d un ordinateur distant peut acc der aux syst mes de fichiers export s Lorsque vous configurez le fichier etc exports soyez tr s prudent lors de l attribution des permis sions de lecture et criture rw un syst me de fichiers export 9 1 1 NFS et portmap Pour son fonctionnement NFS d pend des Appels de proc dure distante ou RPC Le service port map est n cessaire pour orienter les requ tes RPC vers les services appropri s Les processus RPC s annoncent portmap lorsqu ils d marrent r v lant le num ro de port qu ils contr lent et les nu m ros de programmes RPC qu ils entendent servir Le syst me client contacte alors portmap sur le serveur avec un num ro de programme RPC particulier Le service portmap redirige ensuite le client vers le num ro de port correct afin de communiquer avec le service souhait Parce que les services utilisant RPC se basent sur portmap pour assurer toutes les connexions avec les requ tes de client entrantes portmap doit
208. ar une entr e LDAP Parmi les attributs associ s l organisation on pourrait avoir son num ro de fax son adresse etc Des personnes pourraient galement constituer des entr es dans le r pertoire LDAP Parmi les attributs courants utilis s pour les personnes figurent les num ros de t l phone et adresses lectroniques Certains attributs sont obligatoires tandis que d autres sont facultatifs Une classe d objets d finit les attributs obligatoires et les attributs facultatifs Vous trouverez des d finitions de classes d objets dans diff rents fichiers sch ma plac s dans le r pertoire etc openldap schema Pour de plus amples informations sur le sch ma LDAP consultez la Section 13 5 LDIF Le LDAP Data Interchange Format LDIF format d change de donn es LDAP est un format de texte ASCII pour les entr es LDAP Les fichiers qui changent des donn es avec des serveurs LDAP doivent tre de format LDIF Une entr e LDIF ressemble l extrait ci dessous lt id gt dn lt distinguished name gt lt attrtype gt lt attrvalue gt lt attrtype gt lt attrvalue gt lt attrtype gt lt attrvalue gt Toute entr e peut contenir autant de paires lt attrtype gt lt attrvalue gt que n cessaire Une ligne vierge indique que l entr e est termin e Orion Toutes les paires lt attrtype gt et lt attrvalue gt doivent tre d finies par un fichier de sch ma avant de pouvoir utiliser ces informations
209. ateur peut ajouter une option timeo lt valeur gt o lt valeur gt sp cifie la dur e d attente en secondes avant de rapporter l erreur e intr Autorise l interruption des requ tes NFS si le serveur est en panne ou ne peut pas tre atteint nolock Peut tre n cessaire afin de pouvoir se connecter d anciens serveurs NFS Pour ef fectuer le verrouillage utilisez l option lock noexec Interdit l ex cution de binaires sur le syst me de fichiers mont Cette option est utile si votre syst me Red Hat Linux est en train de monter un syst me de fichiers non Linux via NFS contenant des binaires incompatibles nosuid Interdit aux bits identifieur d utilisateur fix ou identifieur de groupe fix de prendre effet e rsize 8192etwsize 8192 Peuvent acc l rer la communication NFS pour la lecture rsize et l criture wsize en d terminant une taille de blocs de donn es sup rieure exprim e en bits pour les transf rer en une fois Soyez prudent si vous changez ces valeurs des noyaux Linux ou des cartes de r seau anciens pourraient ne pas fonctionner correctement avec des tailles de blocs sup rieures nfsvers 2 or nfsvers 3 Sp cifie la version du protocole NFS utiliser La page de manuel relative mount num re davantage d options y compris les options pour monter des syst mes de fichiers autres que les syst mes de fichiers NFS 9 4 S curiser NFS NES fonctionne
210. beaucoup de probl mes potentiels avant leur apparition S il n est pas indispensable de ma triser tous les aspects du noyau Linux il est utile de savoir de quoi Linux est fait Ce point est particuli rement important si vous avez d j travaill avec d autres syst mes d exploitation certaines de vos certitudes quant au fonctionnement des ordinateurs peu vent ne pas tre transposables Linux Aper u des commandes avec des exemples Ce document est probablement l l ment le plus im portant de la documentation de Linux La philosophie de conception sous jacente Linux est qu il est pr f rable d utiliser de nombreuses petites commandes interconnect es de diff rentes mani res plut t que d avoir un grand nombre de commandes volumineuses et complexes qui font tout le travail Si vous ne disposez pas d exemples illustrant cette approche de Linux vous risquez d tre effray rien que par le nombre de commandes disponibles sur votre syst me Red Hat Linux Souvenez vous que vous ne devez pas conna tre toutes les commandes Linux existantes Diff rentes techniques permettent de trouver la commande requise pour l accomplissement d une t che Vous devez simplement comprendre le fonctionnement de Linux de fa on g n rale ce que vous devez accomplir et comment acc der l outil qui vous fournira les instructions exactes permettant l ex cution de la commande Le Guide d installation de Red Hat L
211. bien pour le partage de syst mes de fichiers entiers avec un grand nombre d h tes connus et d une mani re largement transparente Beaucoup d utilisateurs acc dant aux fichiers gr ce un montage NFS ne se rendent pas compte que le syst me de fichiers qu ils sont en train d utiliser ne se trouve pas vraiment sur leur syst me local De ce fait et avec l habitude d utilisation divers probl mes potentiels de s curit peuvent surgir Les points suivants doivent tre consid r s lorsque des syst mes de fichiers NFS sont export s sur un serveur o lorsqu ils sont mont s sur un client Ce faisant les risques de s curit NFS seront minimis s et les donn es stock es sur le serveur seront mieux prot g es 9 4 1 Acc s des h tes NES contr le qui peut monter un syst me de fichiers export en se basant sur l h te qui effectue la requ te de montage et non pas sur l utilisateur qui exploitera effectivement le syst me de fichiers Les h tes doivent se voir accorder des droits explicites pour pouvoir monter le syst me de fichiers export Le contr le d acc s n est possible pour les utilisateurs que par les permissions de fichier et de r per toire En d autres termes une fois qu un syst me de fichiers est export via NFS tout h te distant connect au serveur NFS peut avoir acc s aux donn es partag es Afin de limiter les risques poten tiels les administrateurs syst me peuvent restreindre l ac
212. btenir de plus amples informations sur les directives SSL l aide d un navigateur rendez vous l une des adresses suivantes _http localhost manual mod mod_ssl html 154 Chapitre 10 Serveur HTTP Apache _http httpd apache org docs 2 0 mod mod_ssl html Pour vous informer sur l installation d un serveur s curis HTTP Apache reportez vous au chapitre intitul Configuration du serveur s curis HTTP Apache du Guide de personnalisation de Red Hat Linux gt Remarque Les directives SSL comme elles sont install es sont configur es de mani re appropri e pour la plupart des situations Fa tes tr s attention lors de la modification des directives du serveur HTTP Apache car une mauvaise configuration peut tre l origine de br ches de s curit rendant votre syst me vuln rable 10 6 Modules par d faut Serveur HTTP Apache est distribu avec un certain nombre de modules Par d faut les modules suivants sont install s et activ s avec le paquetage httpa sur Red Hat Linux mod_ access mod_auth mod_auth_anon mod_auth_dbm mod_auth_digest mod_include mod_log_ config mod_env mod_mime_ magic mod_ cern_ meta mod_expires mod_headers mod_usertrack mod_unique_id mod_setenvif mod_mime mod_dav mod_ status mod_autoindex mod_asis mod_info mod_cgi mod_dav_fs mod_vhost_alias mod_negotiation mod_dir mod_imap mod_actions mod_speling mod_userdir mod_alias mod_rewrite mod_proxy mod_proxy_
213. bue tous les messages sortants la m me adresse de retour Dans ce cas de figure le serveur Sendmail est oblig de d guiser le nom des ordinateurs du r seau de la soci t de fa on ce que leur adresse de retour soit user bigcorp com au lieu de user devel bigcorp com Pour ce faire ajoutez les lignes suivantes etc mail sendmail mc FEATURE always_add_domain dnl FEATURE masquerade_ entire domain FEATURE masquerade_envelope FEATURE allmasquerade MASQUERADE_ AS bigcorp com MASQUERADE_DOMAIN bigcorp com MASQUERADE_ AS bigcorp com Une fois qu elle aura g n r un nouveau sendmail cf l aide de m4 cette configuration fera en sorte que le tous les messages envoy s partir du r seau semblent avoir t envoy s depuis bigcorp com 11 3 1 5 Blocage des spams Les spams ou pourriel peuvent tre d finis comme tant des messages lectroniques inutiles et ind sirables re us par un utilisateur qui n en a jamais fait la demande Il s agit d un abus tr s pertur bateur co teux et r pandu des normes de communication Internet Sendmail rend relativement ais le blocage des nouvelles techniques utilis es pour envoyer des spams Il bloque m me par d faut un grand nombre des m thodes d envoi de spams les plus courantes Par exemple le r acheminement de messages SMTP aussi appel retransmission relaying a t d sactiv par d fau
214. c dez l invite boot en tapant Ctrl X Ensuite entrez linux lt num ro d ex cution gt Dans cette commande remplacez lt num ro d ex cution gt par le num ro du niveau d ex cution auquel vous souhaitez que le d marrage soit amorc de 1 5 ou les mots single ou emergency Si vous utilisez GRUB comme chargeur de d marrage suivez les tapes suivantes l cran de chargeur de d marrage graphique GRUB s lectionnez l tiquette ou label de d mar rage Red Hat Linux et appuyez sur e pour l diter l aide de la fl che bas allez jusqu la ligne de noyau et appuyez sur e pour l diter l invite tapez le num ro du niveau d ex cution souhait de 1 5 ou les mots single ou emergency et appuyez sur Entr e Vous retournerez l cran GRUB avec les informations sur le noyau Appuyez sur la touche b pour d marrer le syst me Pour plus d informations sur les niveaux d ex cution voir la Section 1 4 1 2 11 Ressources suppl mentaires Ce chapitre se limite une introduction GRUB et LILO Consultez les ressources suivantes si vous souhaitez en savoir plus sur le fonctionnement de GRUB et LILO 2 11 1 Documentation install e usr share doc grub lt num ro de version gt Ce r pertoire contient un certain nombre d informations sur l utilisation et la configuration de GRUB Le lt num ro de version gt dans le chemin d acc s vers ce fic
215. c s une lecture seule ou peuvent r duire les utilisateurs une ID d utilisateur et de groupe commune Ceci tant de telles solutions peuvent emp cher l utilisation du partage NFS de la mani re originellement pr vue De plus si un agresseur prend le contr le du serveur DNS utilis par le syst me effectuant l exportation du syst me de fichiers NFS le syst me associ avec un nom d h te particulier ou Chapitre 9 Le syst me de fichiers r seau NFS 123 un nom de domaine pleinement qualifi peut renvoyer vers un ordinateur non l gitime ce stade l ordinateur non autoris devient le syst me ayant l autorisation de monter le partage NES puisqu aucun nom d utilisateur ou mot de passe n est chang pour fournir une s curit suppl mentaire au montage NFS Les serveurs NIS compromis courent le m me risque si des groupes r seau NIS sont utilis s pour permettre certains h tes de monter un partage NFS En utilisant des adresses IP situ es dans etc exports ce genre d attaque devient plus difficile Les caract res g n riques doivent tre utilis s avec parcimonie lorsque la persmission d exporter des partages NFS est attribu e car le champs d action de ces caract res g n riques peut s tendre un plus grand nombre de syst mes que pr vus Pour de plus amples informatons sur la s curisation de NFS reportez vous au chapitre intitul S curit du serveur du Guide de s curit de Re
216. c s permanent Deux versions de NFS sont actuellement en vigueur La version 2 de NFS NFSv2 d une part utilis e depuis plusieurs ann es est largement support e par divers syst mes d exploitation La version 3 de NES NFSv3 d autre part apporte d autres fonctions y compris un traitement de fichiers de taille variable et un meilleur rapportage d erreurs Red Hat Linux supporte les deux versions NFSv2 et NES v3 et utilise NFSv3 par d faut lors de la connexion un serveur qui le supporte Ce chapitre se concentre sur la version 2 de NFS mais la plupart des concepts discut s ici s appliquent aussi la version 3 De plus ici ne seront abord s que les concepts fondamentaux de NFS et des r f rences suppl mentaires seront indiqu es Pour des instructions sp cifiques concernant la configuration et l exploitation de NFS sur des ordinateurs serveurs ou clients voyez le chapitre intitul Network File System NFS du Guide de personnalisation de Red Hat Linux 9 1 M thodologie Linux utilise certes une combinaison de support de niveau noyau et des processus de d mons constam ment actifs pour fournir le partage de fichier NFS mais NFS doit toutefois tre activ dans le niveau Linux pour fonctionner NFS utilise les Appels de proc dure distante ou RPC de l anglais Remote Procedure Calls pour router des requ tes entre clients et serveurs ce qui signifie que le service portmap doit tre activ et en op
217. c Sendmail mais fait partie du paquetage m4 Dan Le fichier sendmail1 cf par d faut n autorise pas Sendmail accepter des connexions r seau de tout h te autre que l ordinateur local Afin de configurer Sendmail en tant que serveur pour d autres clients ditez etc mail sendmail mc et modifiez les valeurs de DAEMON OPTIONS pour permettre l coute des p riph riques de r seau ou supprimez tout simplement les commentaires appropri s pour cette option R g n rez ensuite le fichier etc mai1 sendmai1 cf gr ce la commande m4 etc mail sendmail mc gt etc mail sendmail cf Chapitre 11 Courrier lectronique 165 Cette configuration devrait fonctionner pour la plupart des sites exclusivement SMTP Elle ne fonc tionnera pas pour les sites UUCP UNIX to UNIX Copy vous devrez g n rer un nouveau fichier sendmail cf si vous devez utiliser les transferts de courrier UUCP Consultez le fichier usr share sendmail cf README avant de modifier tout fichier contenus dans les r pertoires sous le r pertoire usr share sendmail cf car ils peuvent affecter la confi guration future de fichiers etc mail sendmail cf 11 3 1 4 Masquarade L une des configurations courantes de Sendmail est d avoir un seul ordinateur qui agit comme passe relle de messagerie pour tous les ordinateurs sur un r seau Par exemple une soci t pourrait souhaiter qu un ordinateur appel mail bigcorp com g re tout son courrier lectronique et attri
218. c options de concordance suppl mentaires Des options de concordance suppl mentaires sont galement disponibles par l entremise des modules charg s par la commande iptables Pour utiliser un module d option de concordance chargez le mo dule en l appelant par son nom l aide de l option m comme par exemple m lt nom du module gt o lt nom du module gt correspond au nom du module Un nombre important de modules est disponible par d faut Il est m me possible de cr er vos propres modules pour fournir des options de concordance suppl mentaires pour une fonctionnalit accrue Il existe de nombreux modules mais seuls les plus fr quents sont abord s ici limit module permet de limiter le nombre de paquets qui sont compar s une r gle donn e Ceci se r v le tout particuli rement pratique lors de la concordance avec des r gles de journal isation afin d viter que les r sultats n entra nent l invasion de vos journaux par des messages r p titifs ou ne consomment trop de ressources syst me Le module 1imit permet les options suivantes limit limite le nombre de concordances dans un espace temps donn gr ce un mod ificateur de nombre et de temps param tr sous la forme suivante lt nombre gt lt temps gt Par exemple en crivant limit 5 hour une r gle effectue son contr le de concordance seule ment cinq fois par heure Si aucun modificateur de nombre ou temps n
219. c resolv conf Ce fichier pr cise les adresses IP des serveurs DNS et le domaine de recherche moins d tre configur autrement les scripts d initialisation du r seau sont contenus dans ce fichier Pour obtenir davantage d informations sur ce fichier voyez la page de manuel resolv conf etc sysconfig network Pr cise les informations de routage et d h bergement h te pour toutes les interfaces de r seau Pour obtenir davantage d informations sur ce fichier et sur les direc tives qu il accepte reportez vous la Section 4 1 23 etc sysconfig network scripts ifcfg lt interface name gt Pour chaque interface r seau sur un syst me Red Hat Linux il existe un script de configuration d interface correspondant Chacun de ces fichiers fournit des informations sp cifiques une interface r seau particuli re Con sultez la Section 8 2 pour obtenir davantage d informations sur ce type de fichier et les directives qu il accepte Din Le r pertoire etc sysconfig networking est utilis par l Outil d administration de r seau redhat config network et son contenu ne doit pas tre modifi manuellement Pour 108 Chapitre 8 Interfaces r seau obtenir davantage d informations sur la configuration des interfaces de r seau utilisant l Outil d administration de r seau voyez le chapitre intitul Configuration r seau du Guide de personnalisation de Red Hat Linux 8 2 Fichiers de configuration d i
220. c sys net ipv4 route contient des sp cifications qui s appliquent au routage avec toutes les interfaces du syst me Bon nombre de ces param tres tels que max_size max_ delay et min_delay font r f rence au contr le de la taille du cache de routage Pour lib rer le cache de routage sp cifiez simplement une valeur quelconque dans le fichier flush Des informations suppl mentaires sur ces r pertoires et les valeurs possibles pour leurs fichiers de configuration sont disponibles dans usr src linux 2 4 Documentation filesystems proc txt Chapitre 5 Le syst me de fichiers proc 77 5 3 9 5 proc sys vm Ce r pertoire facilite la configuration du sous syst me de la m moire virtuelle VM du noyau Linux Le noyau utilise de fa on exhaustive et intelligente la m moire virtuelle que l on appelle commun ment l espace swap Les fichiers suivants se trouvent g n ralement dans le r pertoire proc sys vm bdflush d finit diff rentes valeurs li es au d mon noyau baflush buffermem permet de contr ler la quantit en pourcentage de la m moire totale du syst me devant tre utilis e comme m moire tampon La sortie de ce fichier ressemble l extrait ci dessous 2 10 60 La premi re et la derni re valeur d finissent le pourcentage minimum et maximum de m moire utiliser comme m moire tampon La valeur au milieu indique le pourcentage de m moire syst me d di la m moire tampon partir du
221. cernant la s curit du syst me et le contr le de l authentification nous esp rons que ce guide sera pour vous une pr cieuse ressource Ce guide vous convient tout particuli rement si vous souhaitez en savoir plus sur la mani re dont fonctionne votre syst me Red Hat Linux Il examine en effet les sujets suivants e La structure du syst me de fichiers e Le processus de d marrage Le syst me X Window e Les outils de s curit e Les services de r seau 1 Modifications apport es ce manuel La structure de ce manuel a t r organis e dans un souci de clart Le manuel a galement t mis jour de mani re inclure les nouvelles fonctionnalit s de Red Hat Linux 9 Ci apr s figure une liste des modifications apport es Mise jour du chapitre Syst me X Window Le chapitre Syst me X Window a t compl tement r vis et r organis dans un souci de clart En outre de nouvelles instructions concernant la configuration des polices de caract res ont t ajout es Nouveau chapitre sysconfig La section sysconfig du chapitre Processus de d marrage Init arr t a non seulement t toff e mais convertie en un chapitre part enti re Mise jour du chapitre Enveloppeurs TCP et xinetd Le chapitre Enveloppeurs TCP et xinetd r vis a t restructur dans un souci de clart Mise jour du chapitre Utilisateurs et groupes Le chapitre Utilisateurs et groupes a t mis jour et res
222. chier proc sys il faut enregistrer la nouvelle valeur dans le fichier l aide de la commande echo Par exemple pour activer la touche d interrogation syst me sur un noyau en cours d ex cution tapez la commande echo 1 gt proc sys kernel sysrq Cette op ration aura pour effet de modifier la valeur sysra du fichier qui passera de 0 off 1 on La touche d interrogation syst me a t con ue pour vous permettre d indiquer au noyau d ex cuter un certain nombre d op rations importantes au moyen d une simple combinaison de touches comme par exemple arr ter ou red marrer imm diatement un syst me synchroniser tous les syst mes de fichiers mont s ou vider des informations importantes sur votre console Cette fonction est particuli rement utile lorsque vous utilisez un noyau de d veloppement ou si vous rencontrez des blocages de syst me Elle est toutefois consid r e comme un risque de s curit pour une console automatique et est donc d sactiv e par d faut sous Red Hat Linux Reportez vous usr src linux 2 4 Documentation sysrq txt afin d obtenir davantage d informations sur la touche d interrogation syst me Quelques fichiers de configuration proc sys contiennent plus d une valeur Placez un espace blanc entre chaque valeur transmise l aide de la commande echo afin d envoyer correctement les nouvelles valeurs comme c est le cas l exemple suivant echo 4 2 45 gt proc sys kern
223. chiers de configuration d interface et etc sysconfig network ifup ipx permet d activer une interface IPX Chapitre 8 Interfaces r seau 113 ifup plip permet d activer une interface PLIP _ifup plusb permet d activer une interface USB pour les connexions r seau ifdown post et ifup post contiennent des commandes ex cuter apr s l activation ou la d sactivation d une interface sp cifique e _ifdown ppp et ifup ppp permettent d activer ou de d sactiver une interface PPP ifup routes ajoute des itin raires statiques pour un p riph rique particulier lorsque son inter face est activ e e ifdown sit et ifup sit contiennent des fonctions associ es l activation et la d sactivation d un tunnel IPv6 au sein d une connexion IPv4 ifdown s1 et ifup s1 permettent d activer ou de d sactiver une interface SLIP Are La suppression ou la modification de ces scripts dans le r pertoire etc sysconfig network scripts peut provoquer le mauvais fonctionnement ou l chec de diverses connexions Seuls les utilisateurs chevronn s peuvent se permettre de modifier les scripts concernant une interface r seau Pour simplifier la manipulation simultan e de tous les scripts r seau utilisez la commande sbin service sur le service de r seau etc rc d init d network comme ci dessous sbin servicenetwork lt action gt Dans cet exemple lt action gt peut correspondre
224. cipal sur le tableau de bord gt Programmation gt Emacs pour lancer l diteur de texte Emacs bouton sur un cran ou une fen tre GUI Ce style indique que le texte se trouve sur un bouton cliquer sur un cran GUI Par exemple Cliquez sur le bouton Retour pour revenir la derni re page Web que vous avez affich e sortie d ordinateur Du texte dans ce style vous indique qu il est affich par l ordinateur en ligne de commande Vous verrez affich de cette mani re les r ponses aux commandes que vous avez tap es des messages d erreur et des invites interactives pour vos saisies durant des scripts ou des programmes Par exemple Utilisez la commande 1s pour afficher le contenu d un r pertoire 1s Desktop about html logs paulwesterberg png Mail backupfiles mail reports La sortie produite en r ponse cette commande dans ce cas le contenu du r pertoire est affich e de cette fa on invite L invite est la fa on qu a l ordinateur de vous indiquer qu il est pr t recevoir votre saisie Elle est repr sent e de cette fa on Exemples stephen maturin stephen leopard login saisie de l utilisateur Le texte que l utilisateur doit entrer que ce soit en ligne de commande ou dans une zone de texte sur un cran GUI est affich de cette fa on Dans l exemple suivant text est affich de cette fa on Pour d marrer votre syst me dans le programme d installation en mode tex
225. cis cela peut parfois provoquer une surcharge du syst me Si overcommit_memory a la valeur 1 le risque de surcharge du syst me est accru mais cela permet galement de d velopper les performances au niveau des t ches n cessitant beaucoup de m moire telles que celles effectu es par certains logiciels scientifiques Les deux options suivantes ont t ajout es pour les clients qui souhaitent prendre moins de risque au niveau d un surengagement de la m moire Donner overcommit_memory la valeur 2 choue si une demande de m moire est sup rieure la moiti de la m moire vive plus le swap Lui donner une valeur de 3 choue si la demande de m moire est sup rieure ce que le swap seul peut garder pagecache contr le la quantit de m moire utilis e par le cache de page Les valeurs de page cache sont exprim es en pourcentage et fonctionnent de fa on semblable buffermem pour ap pliquer des valeurs minimales et maximales de m moire cache de page disponible page cluster d finit le nombre de pages lues en une seule tentative La valeur par d faut est 4 et se rapporte en fait 16 pages cette valeur est ad quate pour la plupart des syst mes pagetable_cache contr le le nombre de tables de pages mises en cache par processeur La premi re et la deuxi me valeur font respectivement r f rence au nombre minimal et maximal de tables de pages ne pas prendre en compte Le fichier usr src linux
226. clure une adresse MAC d une r gle placez un point d exclamation apr s l option de concordance mac source Pour obtenir des informations sur d autres options de concordance disponibles avec les modules reportez vous la page de manuel de iptables 16 3 6 Options de cible Une fois que la concordance d un paquet a t contr l e par une r gle sp cifique cette derni re peut diriger le paquet vers un certain nombre de cibles qui d cideront de son traitement et si possible en treprendront des actions suppl mentaires Chaque cha ne poss de une cible par d faut qui est utilis e si aucune des r gles de la cha ne ne correspond un paquet ou si aucune des r gles qui correspondent un paquet ne sp cifie de cible particuli re Ci dessous figurent les cibles standards lt cha ne sp cifi e par l utilisateur gt remplacez lt cha ne sp cifi e par l utilisateur gt par le nom d une cha ne d finie par l utilisateur au sein de cette table Cette cible transmet le paquet la cha ne cible ACCEPT permet au paquet de continuer sa progression vers sa destination ou une autre cha ne si sa configuration l y oblige DROP abandonne le paquet r pondre au demandeur Le syst me ayant exp di ce paquet n est pas inform de l chec de l op ration QUEUE le paquet est mis en attente et sera trait par une application de l espace utilisateur user space RE
227. consid re le fichier de verrouillage comme tant vieux et pouvant par cons quent tre supprim La valeur par d faut est 1024 secondes LOGFILE L emplacement et le fichier devant contenir tout message d erreur ou d information Procmail MAILDIR R gle le r pertoire de travail en cours pour Procmail S il est r gl tous les autres chemins Procmail sont relatifs ce r pertoire ORGMAIL Sp cifie la bo te lettres originale ou un autre endroit o placer les messages s ils ne peuvent tre plac s l emplacement par d faut ou requis par la recette Par d faut une valeur de var spool mail1 S LOGNAME est utilis e e SUSPEND D finit la dur e en secondes de pause de Procmail si une ressource n cessaire telle que l espace swap n est pas disponible e SWITCHRC Permet un utilisateur de sp cifier un fichier externe contenant des recettes Procmail suppl mentaires plus ou moins comme l option INCLUDERC sauf que la v rification des recettes est arr t e sur le fichier de configuration traitant et seules les recettes sur le fichier sp cifi avec SWITCHRC sont utilis es e VERBOSE Fait en sorte que Procmail journalise beaucoup plus d informations Cette option est pratique pour le d bogage D autres variables d environnement importantes sont obtenues depuis le shell comme LOGNAME qui est le nom de connexion HOME qui est l emplacement du r pertoire personnel
228. conslutez le Chapitre 16 4 1 17 etc sysconfig irda Le fichier etc sysconfig irda contr le la configuration des p riph riques infrarouge de votre syst me lors du d marrage Les valeurs suivantes peuvent tre utilis es IRDA lt valeur gt O lt valeur gt correspond une des valeurs bool ennes suivantes yes irattach s ex cute et v rifie de fa on p riodique si certains p riph riques essaient de se connecter au port infrarouge comme par exemple un autre bloc notes qui tente d effectuer une connexion r seau Pour que des p riph riques infrarouge fonctionnent sur votre syst me cette ligne doit prendre la valeur yes no irattach ne s ex cutera pas emp chant ainsi toute communication avec les p riph riques infrarouge DEVICE lt valeur gt o lt valeur gt correspond au p riph rique habituellement un port s rie qui g re les connexions infrarouge DONGLE lt valeur gt o lt valeur gt sp cifie le type de cl lectronique utilis e pour les con nexions par infrarouge Ce param tre existe pour les personnes utilisant une cl lectronique s rie plut t que de vrais ports infrarouges Une cl lectronique est un dispositif qui est branch un port s rie traditionnel pour la communication par infrarouges Cette ligne est par d faut r gl e sur l inactivit car les ordinateurs bloc notes dot s de vrais ports infrarouge sont beaucoup plus fr quents
229. contenu suivant Connection closed by foreign host De plus la tentative de connexion est enregistr e dans var 1og secure de la mani re suivante Chapitre 15 Les enveloppeurs TCP et xinetd 237 May 15 17 38 49 boo xinetd 16252 START telnet pid 16256 from 10 0 1 2 May 15 17 38 49 boo xinetd 16256 FAIL telnet address from 10 0 1 2 May 15 17 38 49 boo xinetd 16252 EXIT telnet status 0 pid 16256 Lors de l utilisation des enveloppeurs TCP de concert avec les acc s de contr le xinetd il est im portant de bien comprendre la relation entre les deux m canismes de contr le d acc s Les informations suivantes montrent l ordre des op rations suivi par xinetd lorsqu un client de mande tablir une connexion 1 Le d mon xinetd acc de aux r gles d acc s par h te des enveloppeurs TCP et ce par le biais d un appel la biblioth que 1ibwrap a Si une r gle de refus s applique l h te client la connexion est abandonn e Si une r gle d autorisation s applique l h te client la connexion est pass e xinetd 2 Le d mon xinetd v rifie ses propres r gles de contr le d acc s aussi bien pour le service xinetd que pour le service demand Si une r gle de refus s applique l h te client la con nexion est abandonn e Sinon xinetd d marre une instance du service demand et lui c de le contr le de la connexion Important Il est important de bien faire attention lors de l
230. creen 0 indique que le premier connecteur du moniteur ou que la t te de la carte vid o utilise la configuration sp cifi e dans la section Screen avec l identificateur Screen0 Si la carte vid o a plus d une t te il faudra ajouter une entr e Screen avec un num ro diff rent et un identificateur diff rent pour la section Screen Les nombres la droite de Screen0 donnent les coordonn es absolues X et Y pour le coin sup rieur gauche de l cran par d faut 0 0 e InputDevice sp cifie le nom d une section InputDevice utiliser avec le serveur XFree86 Il doit y avoir au moins deux entr es InputDevice une pour la souris par d faut et une pour le clavier par d faut Les options CorePointer et CoreKeyboard indiquent qu il s agit du clavier et de la souris primaires Option lt nom de l option gt correspond une entr e facultative qui pr cise des param tres suppl mentaires pour cette section Tout param tre sp cifi ici remplacent ceux mentionn s dans la section ServerFlags Remplacez lt nom de 1 option gt par une option valide pour cette section parmi celles nu m r es dans la page de manuel relative XF86Config Il est possible de cr er plus d une section ServerLayout Toutefois le serveur ne lira que la sec tion apparaissant en premier moins qu une autre section ServerLayout ne soit sp cifi e en tant qu argument en ligne de commande 7 3 1 4 Files La se
231. cteurs de CD ROM r pertori s ne sont pas tous pris en charge Veuillez consulter la liste de compatibilit des composants mat riels sur le site Web de Red Hat l adresse suivante http hardware redhat com pour vous assurer que votre lecteur de CD ROM est bien pris en charge Bien que les param tres soient sp cifi s une fois la disquette de pilotes charg e et le p riph rique d fini l un des param tres les plus couramment utilis s hdX cdrom o X correspond la lettre identi fiant le p riph rique appropri peut tre entr une invite de d marrage boot lors de l installation Ceci est permis car il a une influence sur les CD ROM IDE ATAPI CD ROM qui font d j partie du noyau Dans les tableaux suivants la plupart des modules r pertori s sans aucun param tre sont capables d une d tection automatique du mat riel ou n cessiteront un changement manuel de param tres dans le code source du module et une recompilation Mat riel Module Param tres Lecteurs de CD ROM hdx cdrom ATAPTIDE Aztech CD268 01A Orchid aztcd o aztcd io port CD 3110 Okano Wearnes CDD110 Conrad TXC CyCDROM CRS520 CyCDROM CR540 non IDE Sony CDU 31A CD ROM cdu31a o cdu3la io port IRO OU cdu31a_port base addr cdu3la_irq irq Lecteur de CD ROM cm206 0 cm206 i0o port IRQ Philips LMS 206 avec carte adaptateur h te cm260 Goldstar R420 CD ROM Interface CD ROM de carte isp16 0 ispl io port IRO dma son ISP16
232. ction Si l ordinateur ne s teint pas automatiquement ne le faites pas manuellement avant que le message confirmant l arr t du syst me n apparaisse l cran Si vous n attendez pas ce message il se peut que toutes les partitions du disque dur n aient pas t compl tement d mont es ce qui pourrait entra ner la corruption de syst mes de fichiers 10 Chapitre 1 Processus de d marrage Init et arr t redhat Chapitre 2 Chargeurs de d marrage Avant que Red Hat Linux ne puisse s ex cuter sur un syst me il doit tre charg en m moire par un progamme sp cial appel chargeur de d marrage Un chargeur de d marrage existe g n ralement sur le disque dur principal du syst me ou sur d autres supports et a pour seule responsabilit de charger en m moire le noyau Linux ainsi que les fichiers dont il a besoin ou dans certains cas d autres syst mes d exploitation 2 1 Chargeurs de d marrage et architecture syst me Chaque architecture syst me pouvant ex cuter Red Hat Linux utilise un chargeur de d marrage diff rent Par exemple l architecture Alpha utilise le chargeur de d marrage aboot tandis que l architecture Itanium utilise le chargeur de d marrage ELILO Ce chapitre examine les commandes et options de configuration des deux chargeurs de d marrage fournis avec Red Hat Linux pour l architecture x86 savoir GRUB et LILO 2 2 GRUB Le GNU GRand Unified Boot loader
233. ction Files sp cifie les chemins de services vitaux pour le serveur XFree86 comme le chemin des polices L exemple suivant illustre une section Files typique Section Files RgbPath usr X11R6 l1ib X11 rgb FontPath unix 7100 EndSection Parmi les entr es les plus commun ment utilis es dans la section Files figurent RgbPath sp cifie l emplacement de la base de donn es de couleurs RGB dans le syst me Cette base de donn es d finit tous les noms de couleurs valides dans XFree86 et les lie aux valeurs RGB particuli res FontPath sp cifie l endroit o le serveur XFree86 doit se connecter pour obtenir les polices du serveur de polices xfs 94 Chapitre 7 Le syst me X Window Par d faut la valeur de FontPath est unix 7100 Ceci indique au serveur XFree86 d obtenir des informations de police en utilisant les connecteurs de domaine UNIX pour les communications inter processus IPC sur le port 7100 Consultez la Section 7 4 pour obtenir de plus amples informations sur XFree86 et les polices ModulePath Un param tre facultatif permettant de sp cifier d autres r pertoires pour le stock age de modules du serveur XFree86 7 3 1 5 Module La section Module sp cifie les modules du r pertoire usr X11R6 1ib modules devant tre char g s par le serveur XFree86 Ces modules fournissent au serveur XFree86 des fonctionnalit s suppl mentaires L exemple suivant illustre une section Mod
234. cument FHS le plus r cent pour obtenir des renseignements complets 3 2 1 1 Le r pertoire dev Le r pertoire dev contient des entr es de syst me de fichiers repr sentant des p riph riques connec t s au syst me Ces fichiers sont essentiels au bon fonctionnement du syst me 3 2 1 2 Le r pertoire etc Le r pertoire etc est r serv aux fichiers de configuration locaux sur votre ordinateur Tous les fichiers binaires qui se trouvaient auparavant dans etc devraient dor navant aller dans sbin ou si possible dans bin Les r pertoires X11 et ske1 doivent tre des sous r pertoires du r pertoire etc etc X11 skel Le r pertoire X11 est destin aux fichiers de configuration X11 tels que XF86Config Le r pertoire skel est consacr aux fichiers utilisateur squelette utilis s pour remplir un r pertoire personnel lors de la cr ation d un nouvel utilisateur 3 2 1 3 Le r pertoire lib Le r pertoire lib ne devrait contenir que les biblioth ques n cessaires l ex cution de fichiers bi naires dans bin et sbin Ces images de biblioth ques partag es sont particuli rement importantes pour le d marrage du syst me et l ex cution de commandes dans le syst me de fichiers racine 3 2 1 4 Le r pertoire mnt Le r pertoire mnt se r f re aux syst mes de fichiers mont s de fa on temporaire tels que les CD ROM et les disquettes 3 2 1 5 Le r pertoire opt Le r pertoire opt
235. d terminent les services qui seront arr t s ou d marr s par init Par exemple le niveau d ex cution 1 mode mono utilisateur arr te tout service r seau alors que le niveau d ex cution 3 lui d marre ces m mes services En d terminant le d marrage ou l arr t de services sp cifiques un niveau d ex cution donn init peut rapidement changer le mode de l ordinateur sans que l utilisateur n ait arr ter ou d marrer ces services manuellement Les niveaux d ex cution suivants sont d finis par d faut pour Red Hat Linux 0 Arr t 1 Mode texte mono utilisateur 2 Pas utilis e 3 Mode texte multi utilisateurs complet 4 Pas utilis 5 Mode graphique multi utilisateurs complet avec un cran de connexion de type X Window 6 Red marrage En g n ral les utilisateurs font fonctionner Red Hat Linux un niveau d ex cution 3 ou 5 les deux niveaux correspondant des modes multi utilisateurs complets Parfois les utilisateurs personnalisent les niveaux d ex cution 2 et 4 pour leurs besoins sp cifiques puisque ces derniers ne sont pas utilis s Le niveau d ex cution par d faut du syst me se trouve dans etc inittab Pour trouver le niveau d ex cution par d faut d un syst me recherchez la ligne semblable celle reproduite ci dessous au d but de etc inittab id 5 initdefault Dans l exemple ci dessus le niveau d ex cution par d fau
236. d Hat Linux 9 4 2 Permissions de fichiers Une fois que le syst me de fichier NFS est mont en lecture criture par un h te distant la seule protection dont dispose chacun des fichiers partag s r side dans ses permissions Si deux utilisateurs partageant la m me valeur d ID d utilisateur montent le m me syst me de fichier NFS ils pourront modifier les fichiers mutuellement De plus toute personne connect e en tant que super utilisateur ou root sur le syst me client peut utiliser la commande su pour devenir un utilisateur ayant acc s des fichiers particuliers via un partage NFS Pour de plus amples informations sur les conflits entre NFS et les ID d utilisateur reportez vous au chapitre intitul Gestion de comptes et groupes du Guide d administration syst me de Red Hat Linux Le comportement par d faut lors de l exportation d un syst me de fichiers via NFS consiste utiliser la fonction de r duction du super utilisateur ou root squashing Cette derni re permet d assigner PID d utilisateur d une personne quelconque acc dant au partage NFS en tant que super utilisateur ou root sur son ordinateur local une valeur du compte personne nobody du serveur Il est vivement conseill de ne jamais d sactiver la fonction de root squashing Si l exportation d un partage NFS ne doit se faire qu en lecture seule songez utiliser l option all_squash qui attribue tout utilisateur acc
237. d rc5 a Tous les fichiers dans etc rc d rc5 d sont en fait des liens symboliques qui pointent vers les scripts situ s dans le r pertoire etc rc d init d Des liens symboliques sont utilis s dans chacun des r pertoires rc afin que les niveaux d ex cution puissent tre reconfigur s en cr ant modifiant et supprimant les liens symboliques et ce sans affecter les scripts auxquels ils font r f rence Le nom de chaque lien symbolique commence par K ou S Les liens K correspondent des processus arr t s ce niveau d ex cution tandis que les liens s correspondent des processus d marr s La commande init arr te tout d abord tous les liens symboliques K du r pertoire en mettant la commande etc rc d init d lt commande gt stop lt commande gt correspondant au processus arr ter Elle d marre ensuite tous les liens symboliques s en mettant la commande etc rc d init d lt commande gt start Astuce Une fois que le syst me a termin son d marrage il est possible d tablir une connexion en tant que super utilisateur et d ex cuter ces m mes scripts pour arr ter et d marrer des services Par exemple la commande etc rc d init d httpda stop arr tera le serveur Web Apache Chacun des liens symboliques est num rot de fa on tablir l ordre de d marrage L ordre dans lequel les services sont d marr s ou arr t s peut tre modifi en changeant ce num ro Plus le num ro est bas plus avanc e
238. d tWnn KiShttpd gt init d httpd Ki5postgresql gt init d postgresql Kl6rarpd gt init d rarpd K20bootparamd gt init d bootparamd K20iscsi gt init d iscsi K20netdump server gt init d netdump server K20nfs gt init d nfs K20rstatd gt init d rstatd K20rusersd gt init d rusersd K20rwalld gt init d rwalld K20rwhod gt init d rwhod K24irda gt init d irda K25squid gt init d squid K28amd gt init d amd K34dhcrelay gt init d dhcrelay K34yppasswdd gt init d yppasswdd K35atalk gt init d atalk K35dhcpd gt init d dhcpd K35smb gt init d smb K35vncserver gt init d vnceserver K35winbind gt init d winbind K40mars nwe gt init d mars nwe K45arpwatch gt init d arpwatch K45named gt init d named K45smartd gt init d smartd K46radvd gt init d radvd K50netdump gt init d netdump K50snmpd gt init d snmpd K50snmptrapd gt init d snmptrapd K50tux gt init d tux K54pxe gt init d pxe K55routed gt init d routed K6lldap gt init d ldap K65identd gt init d identd K65kadmin gt init d kadmin K65kprop gt init d kprop K65krb524 gt init d krb524 K65krb5kdc gt init d krb5kdce K70aep1000 gt init d aep1000 K70bcm5820 gt init d bcm5820 K74ntpd gt init d ntpd K7aups gt init d ups K74ypserv gt init d ypserv K74ypxfrd gt init d ypxfrd K84bgpd gt init d bgpd K84ospf6d gt init d ospf6d K84ospfd gt in
239. ddType application x httpd php php AddType application x httpd php source phps Sous la version 2 0 du Serveur HTTP Apache utilisez plut t les directives suivantes lt Files php gt SetOutputFilter PHP SetInputFilter PHP 136 Chapitre 10 Serveur HTTP Apache lt Files gt Dans PHP 4 2 0 et les versions post rieures l ensemble des variables pr d finies par d faut et ayant g n ralement une port e globale a chang L entr e individuelle et les variables serveur ne sont plus directement plac es par d faut dans la port e globale Ce changement risque d interrompre les scripts Vous devrez peut tre revenir l ancien comportement en r glant register_globals sur On dans le fichier etc php ini Pour plus d informations sur le sujet et pour obtenir des d tails sur les changements au niveau de la port e globale reportez vous l adresse suivante _http www php net release_4_1_O php 10 3 Apr s l installation Une fois l installation du paquetage httpd termin e la documentation sur le Serveur HTTP Apache est disponible en installant le paquetage httpd manual et en vous rendant l adresse http localhost manual ou en parcourant la documentation du Serveur HTTP Apache disponible en ligne l adresse suivante http httpd apache org docs 2 0 La documentation du Serveur HTTP Apache contient une liste exhaustive de toutes les options de configuration et leurs descriptions compl tes Pour plus de co
240. de bureau GNOME auxquelles la plupart des utilisateurs de Red Hat Linux sont habitu s Afin de cr er cette derni re interface la plus perfectionn e deux cat gories principales de d applications clients X doivent tre connect es au serveur XFree86 un environnement de bureau et un gestionnaire de fen tre 7 2 1 Environnements de bureau Un environnement de bureau rassemble des clients X assortis qui lorsqu ils sont utilis s ensemble cr ent un environnement d utilisateur graphique commun ainsi qu une plateforme de d veloppement Les environnements de bureau contiennent des fonctions plus avanc es qui permettent aux clients X et autres processus en cours de communiquer les uns avec les autres Ce faisant toutes les applications crites pour cet environnement peuvent s int grer parfaitement comme par exemple la fonction de d placement par glissement Red Hat Linux fournit deux environnements de bureau GNOME L environnement de bureau par d faut pour Red Hat Linux bas sur la bo te outils graphique GTK 2 KDE Un autre environnement de bureau bas sur la bo te outils graphique Qt 3 Aussi bien GNOME que KDE disposent non seulement d applications de productivit avanc es comme des traitements de texte des tableurs et des navigateurs Web mais fournissent galement des outils permettant de personnaliser l apparence de la GUI De plus si les deux biblioth ques GTK 2 et Qt sont inst
241. de cryptage SSL plac autour des d mons non s curis s standard imapd ou pop34 Le programme stunnel utilise des biblioth ques OpenSSL externes fournies avec Red Hat Linux pour offrir un cryptage puissant et prot ger les connexions Il est recommand de faire une demande de certificat SSL aupr s d une Autorit de certification AC mails il est galement possible de cr er un certificat auto sign Pour cr er un certificat SSL auto sign passez au r pertoire usr share ssl certs et tapez la commande suivante make stunnel pem Ici encore r pondez toutes les questions pour accomplir tout le processus Une fois le certificat cr il est possible d utiliser la commande stunnel pour d marrer le d mon imapd l aide de la commande suivante usr sbin stunnel d 993 1 usr sbin imapd imapd Apr s l ex cution de cette commande il est possible d ouvrir un client de messagerie IMAP et d tablir une connexion au serveur de messagerie utilisant le syst me de cryptage SSL Pour lancer pop34 l aide de la commande stunnel tapez la commande suivante usr sbin stunnel d 993 1 usr sbin pop3d pop3d Pour obtenir plus d informations sur la fa on d utiliser stunne1 lisez la page de manuel relative stunnel ou consultez les documents dans usr share doc stunnel lt num ro version gt directory 11 6 Ressources suppl mentaires Ci dessous figure une liste de la documentation suppl mentaire relati
242. de d marrage 1 2 Examen d taill du processus de d marrage 1 3 Ex cution de programmes suppl mentaires au d marrage 1 4 Niveaux d ex cution de SysV Init 1 5 Arr t 2 Chargeurs de d marrage Chargeurs de d marrage et architecture syst me 3 Installation de GRUB 2 4 Terminologie relative GRUB 2 5 Interfaces GRUB 2 6 Les commandes GRUB 2 7 Fichier de configuration du menu de GRUB 2 8 LILO 2 9 Options dans etc lilo conf 2 10 Changement de niveau d ex cution au d marrage 2 11 Ressources suppl mentaires 3 Structure d un syst me de fichiers 3 1 Pourquoi partager une structure commune 3 2 Aper u du FHS Filesystem Hierarchy Standard 3 3 Emplacement de fichiers sp ciaux 4 Le r pertoire sysconfig 4 1 Fichiers contenus dans le r pertoire etc sysconfig 4 2 R pertoires contenus dans le r pertoire etc sysconfig 44 4 3 Ressources suppl mentaires 5 Le syst me de fichiers proc 5 1 Un syst me de fichiers virtuel 5 2 Les fichiers du niveau sup rieur dans le gt syst me de fichiers proc 5 3 R pertoires de proc 5 4 Utilisation de la commande sysct1 5 5 Ressources suppl mentaires 6 Utilisateurs et groupes 6 1 Outils de gestion des utilisateurs et des groupes 6 2 Utilisateurs standard 6 3 Groupes standard 6 4 Groupes propres l utilisateur 6 5 Mo
243. de fichier swap du type d espace swap et de la taille totale et de l espace utilis exprim e en Ko La colonne priority est utile lorsque plusieurs fichiers swap sont en cours d utilisation Plus la priorit est basse plus il est possible que le fichier swap soit utilis 5 2 29 proc uptime Ce fichier contient des informations sur le temps de fonctionnement du syst me depuis le dernier red marrage La sortie de proc uptime est succincte 350735 47 234388 90 Le premier nombre vous indique le nombre total de secondes de fonctionnement depuis le d marrage Le second vous indique en secondes galement la p riode d inactivit de l ordinateur pendant ce m me temps 5 2 30 proc version Ce fichier vous indique les versions du noyau Linux et de gcc utilis es de m me que la version de Red Hat Linux install e sur le syst me Linux version 2 4 20 0 40 user foo redhat com gcc version 3 2 1 20021125 Red Hat Linux 8 0 3 2 1 1 1 Tue Dec 3 20 50 18 EST 2002 Ces informations ont diverses fonctions telles que de fournir des donn es sur la version lorsqu un utilisateur se connecte 5 3 R pertoires de proc Les groupes communs d informations sur le noyau sont regroup s en r pertoires et sous r pertoires dans proc 5 3 1 R pertoires de processus Chaque r pertoire proc contient un certain nombre de r pertoires nomm s partir de chiffres Ci dessous figure un exemple de d but de listing d
244. de l anglais User Private Group qui facilite consid rablement la gestion de groupes UNIX Un UPG est cr chaque fois qu un nouvel utilisateur est ajout au syst me Les UPG portent le m me nom que l utilisateur pour lequel ils ont t cr s et seul cet utilisateur est un membre de l UPG Gr ce l utilisation d UPG des permissions par d faut peuvent tre d termin es en toute s curit sur un nouveau fichier ou r pertoire qui permettent l utilisateur ainsi qu au groupe de cet utilisateur de modifier le fichier ou r pertoire Le param tre qui d termine les diff rentes permissions accorder de nouveaux fichiers ou r per toires s appelle umask et est configur dans le fichier etc bashre Sur des syst mes UNIX umask a traditionnellement une valeur de 022 permettant uniquement l utilisateur qui a cr le fichier ou r pertoire de le modifier Sous ce syst me tous les autres utilisateurs y compris les membres du groupe du cr ateur ne sont pas autoris s apporter de modifications Cependant tant donn que chaque utilisateur a son propre groupe priv dans le syst me UPG cette protection de groupe n est pas n cessaire 6 4 1 R pertoire de groupes De nombreuses soci t s du secteur informatique aiment cr er un groupe pour chaque projet majeur et ensuite assignent des personnes aux groupes si ces derni res doivent avoir acc s aux fichiers du projet Ce syst me trad
245. de la base de donn es de Tripwire 275 introduction 269 organigramme de 269 rapports affichage 275 cr ation 275 d finition de 281 Ressources suppl mentaires 282 documentation install e 282 sites Web utiles 282 v rification d int grit commande tripwire check 275 twm 91 Voir Aussi XFree86 TypesConfig directive de configuration Apache 145 U UseCanonicalName directive de configuration Apache 142 User directive de configuration Apache 141 UserDir directive de configuration Apache 144 utilisateurs letc passwd 82 outils pour la gestion de Gestionnaire d utilisateurs 81 useradd 81 pr sentation 81 r pertoires HTML personnels 144 standard 82 UID 81 utilitaire Apache APXS 155 V VirtualHost directive de configuration Apache 153 Ww Webmestre adresse lectronique du 142 X X Voir XFree86 X 500 Voir LDAP X 500 Lite Voir LDAP XFree86 etc X11 XF86Config Device 96 DRI 98 identificateur Section 92 introduction 91 Monitor 95 Screen 97 section Files 93 section InputDevice 94 section Module 94 section ServerFlags 92 section ServerLayout 92 structure 92 valeurs bool ennes de 92 clients X 89 90 environnements de bureau 90 startx command 101 xinit command 101 environnements de bureau GNOME 90 KDE 90 fichiers de configuration etc X11 XF86Config 91 options dans 91 options du serveur 91 r pertoire etc X11 91 gestionnaires af
246. de zone peut par exemple contenir la ligne suivante SORIGIN example com Tout nom utilis dans les enregistrements de ressources et ne finissant pas par un point se verront ajouter le nom de domaine example com f Remarque L utilisation de la directive SoRIGIN n est pas n cessaire si l on nomme la zone dans etc named conf parce que le nom de la zone est utilis par d faut comme la valeur de la directive ORIGIN TTL r gle la valeur par d faut de Time to Live TTL ou temps de vie pour la zone Cette valeur exprim e en secondes correspond la dur e pendant laquelle les enregistrements de ressources de la zone resteront valides Chaque enregistrement de ressources peut contenir sa propre valeur TTL qui remplace alors cette directive En accroissant cette valeur les serveurs de noms distants peuvent mettre en cache ces informa tions de zone pendant plus longtemps Cela r duit le nombre de requ tes effectu es au sujet de cette zone mais rallonge galement le temps n cessaire pour la prolif ration des changements des enregistrements de ressources 12 3 2 Enregistrements de ressources de fichiers de zone Les enregistrements de ressources repr sentent le premier composant d un fichier de zone Il existe de nombreux types diff rents d enregistrements de ressources de fichiers de zone Ceux nu m r s ci dessous sont n anmoins les plus fr quemment utilis s A enregistrement d adresse qui sp ci
247. des informations d taill es sur les sockets UDP e unix Liste les sockets de domaine UNIX actuellement utilis s Chapitre 5 Le syst me de fichiers proc 69 wireless R pertorie les donn es d interface sans fil 5 3 8 proc scsi Ce r pertoire est analogue au r pertoire proc ide la seule diff rence pr s qu il est r serv aux p riph riques SCSI Le fichier principal est proc scsi scsi qui contient une liste de tous les p riph riques SCSI reconnus Cette liste fournit galement des informations sur le type de p riph rique ainsi que le nom de mod le le fabricant le canal et les donn es ID SCSI disponibles Par exemple si un syst me disposait d un lecteur de CD ROM d un lecteur de bande de disques durs ainsi que d un contr leur RAID ce fichier ressemblerait l extrait ci dessous Attached devices Host scsil Channel 00 Id 05 Lun 00 Vendor NEC Model CD ROM DRIVE 466 Rev 1 06 Type CD ROM ANSI SCSI revision 02 Host scsil Channel 00 Id 06 Lun 00 Vendor ARCHIVE Model Python 04106 XXX Rev 7350 Type Sequential Access ANSI SCSI revision 02 Host scsi2 Channel 00 Id 06 Lun 00 Vendor DELL Model 1x6 U2W SCSI BP Rev 5 35 Type Processor ANSI SCSI revision 02 Host scsi2 Channel 02 Id 00 Lun 00 Vendor MegaRAID Model LDO RAIDS 34556R Rev 1 01 Type Direct Access ANSI SCSI revision 02 Chaque pilote SCSI utilis par le syst me a son propre
248. des t ches les plus importantes qu un administrateur de syst me doive effectuer Pour des informations plus d taill es sur les strat gies de gestion des utilisateurs et groupes reportez vous au chapitre intitul Managing Accounts and Group Gestion de comptes et groupe du Guide d administration syst me de Red Hat Linux 6 1 Outils de gestion des utilisateurs et des groupes La gestion des utilisateurs et des groupes peut tre une t che laborieuse mais avec Red Hat Linux vous disposez des outils et conventions facilitant cette gestion La mani re la plus simple de g rer des utilisateurs et groupes consiste utiliser l application graphique Gestionnaire d utilisateurs redhat config users Pour plus d informations sur le Gestion naire d utilisateurs reportez vous au chapitre intitul Configuration des utilisateurs et des groupes du Guide de personnalisation de Red Hat Linux Les outils de la ligne de commande suivants peuvent galement servir g rer les utilisateurs et groupes useradd usermod et userdel m thodes conformes aux standards de l industrie permettant d ajouter de supprimer et modifier des comptes d utilisateurs groupadd groupmod et groupdel m thodes conformes aux standards de l industrie permet tant d ajouter de supprimer et modifier des groupes d utilisateurs gpasswd m thode conforme aux standards de l industrie permettant d administrer le fichier etc gro
249. difi s tout moment sans aucune intervention Les fichiers statiques tels que la documentation ou les fi chiers binaires ne peuvent tre chang s sans l action directe de l administrateur syst me ou d un agent mis en place par ce dernier afin d accomplir cette t che Nous d finissons ces fichiers de cette mani re en raison des diff rents types d autorisations donn es aux r pertoires qui les contiennent La fa on dont le syst me d exploitation et ses utilisateurs utilisent les fichiers d termine le r pertoire o ces fichiers doivent tre plac s selon qu il est mont pour la lecture seule ou pour la modification ainsi que le niveau d acc s permis pour chaque fichier Le niveau le plus lev de cette organisation est crucial car l acc s aux sous r pertoires sous jacents pourrait tre limit ou des probl mes de s curit pourraient survenir si le niveau le plus lev est mal organis ou s il ne dispose pas d une structure largement utilis e Toutefois le fait d avoir une structure ne signifie pas grand chose moins qu elle ne soit un standard En effet des structures concurrentes peuvent cr er plus de probl mes qu elles n en r glent Pour cette raison Red Hat a choisi la structure de syst me de fichiers la plus utilis e et l a tendue l g rement pour la prise en charge de fichiers sp ciaux sp cifiques Red Hat Linux 3 2 Aper u du FHS Filesystem Hierarchy Standard R
250. diriger le courrier envoy un nom d espace particulier contr l par cette zone IN MX lt valeur pr f rence gt lt nom serveur email gt Dans cet exemple lt valeur pr f rence gt permet de classer num riquement les serveurs de mail pour un espace de nom en donnant une pr f rence certains syst mes de courrier sur d autres L enregistrement de ressource MX dot de la lt valeur pr f rencer gt la plus basse est pr f r aux autres Toutefois de multiples serveurs de courrier peuvent avoir la m me valeur pour distribuer de mani re gale le trafic des emails entre eux L option lt nom serveur email gt peut tre un nom d h te ou un FQDN IN MX 10 mail example com IN MX 20 mail2 example com Dans cet exemple le premier serveur de courrier mail example com est pr f r au serveur de courrier mai12 example com lors de la r ception des emails destin s au domaine example com NS enregistrement de serveur de noms NameServer annon ant les serveurs de noms faisant autorit pour une zone particuli re Ci dessous figure un exemple d enregistrement NS IN NS lt nom serveur de noms gt L option lt nom serveur de noms gt devrait correspondre un FQDN Ensuite deux serveurs de noms sont r pertori s comme faisant autorit pour le domaine Le fait que ces serveurs de noms soient esclaves ou que l un soit ma tre n a pas d importance ils sont tous les deux consid r s comme faisant autori
251. doivent tre des sous r pertoires de usr bin dict doc l etc games 28 Chapitre 3 Structure d un syst me de fichiers include kerberos lib libexec local sbin share JS e gt tmp gt var tmp X11R6 Le r pertoire bin contient des fichiers ex cutables doc contient des pages de documentation etc contient des fichiers de configuration pour l ensemble du syst me games est pour les jeux in clude contient des fichiers d en t te C kerberos contient des fichiers binaires et d autres l ments pour Kerberos et enfin 1ib contient des fichiers objet et des biblioth ques qui ne sont pas desti n s tre utilis s directement par les utilisateurs ou les scripts shell Le r pertoire 1ibexec contient de petits programmes d aide appel s par d autres programmes sbin est pour les fichiers binaires d administration du syst me ceux qui n appartiennent pas sbin share contient des fichiers qui ne sont pas sp cifiques l architecture src est pour le code source et X11R6 est pour le syst me X Window XFree86 sur Red Hat Linux 3 2 1 9 Le r pertoire usr local FHS indique ce qui suit La hi rarchie usr local est destin e tre install e par l administrateur syst me lors de l installation locale du logiciel Elle doit tre l abri de toute r criture lors de la mise jour du logiciel syst me Elle peut tre utilis e pour des
252. dot d une adresse IP comprise entre 192 168 0 0 et 192 166 1 255 ALL 192 168 0 0 255 255 254 0 e _L ast risque Des ast risques peuvent tre utilis s pour autoriser des groupes entiers de noms d h tes ou d adresses IP condition qu ils ne fassent pas aussi partie d une liste de clients contenant d autres types de gabarits L exemple suivant s appliquerait tout h te du domaine example com ALL example com La barre oblique Si une liste de clients commence par une barre oblique elle est consid r e comme un nom de fichier Ce symbole est utile lorsque des r gles sp cifiant de nombreux h tes sont n cessaires L exemple suivant renvoie les enveloppeurs TCP au fichier etc telnet hosts pour toutes les connexion Telnet in telnetd etc telnet hosts D autres gabarits moins utilis s sont galement accept s par les enveloppeurs TCP Consultez la sec tion 5 de la page de manuel relative l acc s d h tes hosts_access pour de plus amples informations D Ve Soyez tr s prudent lorsque vous cr ez des r gles n cessitant une r solution de nom comme par exemple noms d h tes et noms de domaines Des agresseurs peuvent recourir une vari t s de tactiques pour contourner une r solution de nom pr cise En outre toute perturbation du service DNS emp cherait m me des utilisateurs autoris s d utiliser les services du r seau 230 Chapitre 15 Les enveloppeurs TCP et xi
253. du client et la connexion ne pourra tre tablie OpenSSH contourne ce probl me en accep tant la cl d h te du serveur apr s notification de l utilisateur et v rifie l acceptation de la nouvelle cl d h te Lors des connexions suivantes la cl d h te du serveur peut tre v rifi e au moyen d une version enregistr e sur le client permettant ainsi au client de s assurer qu il communique bien avec le serveur d sir Si l avenir la cl d h te n est plus valide l utilisateur doit supprimer la version sauvegard e du client avant qu une nouvelle connexion ne puisse avoir lieu Orion Un pirate pourrait se faire passer pour le serveur SSH lors de la premi re connexion car le syst me local ne reconna t aucune diff rence entre le serveur d sir et celui tablit par le pirate Afin d viter une telle situation contr lez l int grit d un nouveau serveur SSH en contactant l administrateur du serveur avant d tablir la premi re connexion ou dans le cas d une cl d h te sans correspondance valide Le protocole SSH est con u pour fonctionner avec la plupart des types d algorithme de cl publique ou de format de codage Apr s la cr ation de deux valeurs lors de l change initial des cl s une valeur de 264 Chapitre 18 Protocole SSH hachage utilis e pour les changes et une valeur secr te partag e les deux syst mes commencent im m diatement calculer de nouveaux algorithmes
254. du fichier etc hosts deny de mani re s quentielle Si une r gle correspond au service il refuse la connection Sinon il autorise l acc s au service Ci apr s figurent des points importants prendre en compte lors de l utilisation d enveloppeurs TCP pour prot ger des services de r seau Parce que les r gles d acc s contenues dans le fichier hosts allow sont appliqu es en premier elles ont priorit par rapport aux r gles sp cifi es dans le fichier hosts deny Par cons quent si l acc s un service est autoris dans hosts allow mais qu une r gle refusant l acc s ce m me service est contenue dans le fichier hosts deny cette derni re ne sera pas prise en compte e tant donn que les r gles dans chaque fichier sont lues de haut en bas et que la premi re r gle appliqu e un service donn est la seule r gle prise en compte l ordre de ces derni res est essentiel e Si aucune r gle contenue dans l un ou l autre des fichiers ne s appliquent au service ou si aucun de ces fichiers n existe l acc s au service est autoris Des services envelopp s avec TCP ne mettent pas en cache les r gles des fichiers d acc s d h tes ainsi tout changement apport hosts allow ou hosts deny prend effet imm diatement sans devoir red marrer les services de r seau 15 2 1 Formatage des r gles d acc s Le format est le m me pour le fichier etc hosts allow et le fichier etc h
255. du syst me X Window XFree86 est livr avec Red Hat Linux pour contr ler le mat riel n cessaire et fournir un environnement d interface graphique GUT e http dri sourceforge net Page d accueil du projet DRI Direct Rendering Infrastructure La DRI est le composant central de l acc l ration du mat riel 3D pour XFree86 _http www redhat com mirrors LDP HOWTO XFree86 HOWTO Un document HOWTO d taillant le manuel d installation et la configuration personnalis e de XFree86 _http www gnome org Page d accueil du projet GNOME _http www kde org Page d accueil de l environnement de bureau KDE http nexp cs pdx edu fontconfig Page d accueil du sous syst me de polices Fontconfig pour XFree86 104 Chapitre 7 Le syst me X Window 7 6 3 Livres sur le sujet The Concise Guide to XFree86 for Linux de Aron Hsiao Que Fournit l avis d un expert sur le fonctionnement de XFree86 sur les syst mes Linux The New XFree86 de Bill Ball Prima Publishing Examine XFree86 et sa relation avec les envi ronnements de bureau couramment utilis s comme GNOME et KDE Beginning GTK and GNOME de Peter Wright Wrox Press Inc Pr sente aux programmeurs l architecture GNOME leur montrant comment d buter dans GTK GTK GNOME Application Development de Havoc Pennington New Riders Publishing Un examen avanc au coeur de la programmation GTK concentr sur un chantillon de cod
256. dule pour fonctionner Chapitre 5 Le syst me de fichiers proc 59 5 2 22 proc mounts Ce fichier fournit une br ve liste de tous les montages utilis s par le syst me rootfs rootfs rw 0 0 dev hda2 ext3 rw 0 0 proc proc proc rw 0 0 dev hdal boot ext3 rw 0 0 none dev pts devpts rw 0 0 none dev shm tmpfs rw 0 0 none proc sys fs binfmt_misc binfmt_misc rw 0 0 Cette sortie est semblable au contenu de etc mtab mis part que proc mount est plus actuel La premi re colonne sp cifie le p riph rique mont et la deuxi me indique le point de montage La troisi me colonne donne le type de syst me de fichiers et la quatri me vous indique s il est mont en lecture seule ro ou en lecture et criture rw Les cinqui me et sixi me colonnes sont des valeurs fictives con ues pour correspondre au format utilis dans etc mtab 5 2 23 proc mtrr Ce fichier fait r f rence aux MTRR Memory Type Range Registers utilis s avec le syst me Si l architecture de votre syst me prend en charge les MTRR votre fichier proc mtrr pourrait avoir l aspect suivant reg00 base 0x00000000 OMB size 64MB write back count 1 Les MTRR sont utilis s avec les processeurs de la famille P6 d Intel Pentium II et sup rieur pour contr er l acc s du processeur aux plages de m moire En utilisant une carte vid o sur un bus PCI ou AGP un fichier proc mtrr correctement configur peut augmenter les performa
257. e Voir BIOS syst me de fichiers hi rarchie 25 organisation 26 standard FHS 26 structure 25 virtuel Voir syst me de fichiers proc syst me de fichiers proc proc isapnp 54 syst me de fichiers proc r pertoire proc sys r pertoire proc sys dev 71 syst me de fichiers proc proc apm 49 Iproc cmdline 49 proc cpuinfo 49 proc devices p riph riques blocs 50 p riph riques d entr e sortie de caract res 50 proc dma 51 Iproc execdomains 51 Iproc filesystems 52 proc interrupts 52 Iproc iomem 53 proc ioports 54 Iproc kcore 55 proc kmsg 55 proc ksyms 55 proc loadavg 56 Iproc locks 56 Iproc mdstat 56 Iproc meminfo 57 Iproc misc 58 Iproc modules 58 Iproc mounts 59 Iproc mtrr 59 Iproc partitions 59 proc pci affichage l aide de Ispci 60 proc slabinfo 61 Iproc stat 61 Iproc swaps 62 proc uptime 62 proc version 62 afficher des fichiers dans 47 modification de fichiers dans 48 70 78 ressources suppl mentaires 79 documentation install e 79 sites Web utiles 79 r pertoire proc sys r pertoire proc sys vm 77 r pertoire proc bus 65 r pertoire proc driver 65 r pertoire proc fs 66 r pertoire proc ide r pertoires de p riph riques 66 r pertoire proc ide 66 r pertoire proc irq 67 r pertoire proc net 68 r pertoire proc scsi 69 r pertoire proc self 64 r pertoire proc sys 70 78 Voir Aussi sysctl proc sys kernel
258. e 139 MaxRequestsPerChild directive de configuration Apache 140 MaxSpareServers directive de configuration Apache 139 MBR d finition 1 1 Voir Aussi chargeur de d marrage Voir Aussi processus de d marrage metacity 91 Voir Aussi XFree86 MinSpareServers directive de configuration Apache 139 modules Voir modules du noyau Voir modules du noyau Apache chargement 155 propre 155 par d faut 154 modules d authentification enfichables Voir PAM modules du noyau introduction 285 modules de CD ROM exemples 287 modules Ethernet param tres 291 modules SCSI exemples 290 param tres d un module sp cification 285 types de 285 modules Ethernet Voir modules du noyau modules NIC Voir modules du noyau modules pour CD ROM Voir modules du noyau modules SCSI Voir modules du noyau modules Serveur HTTP Apache 154 mot de passe 220 Voir Aussi PAM mots de passe masqu s 220 mots de passe 303 masqu s 86 mots de passe masqu s aper u 86 mwm 91 Voir Aussi XFree86 N named conf Voir BIND NameVirtualHost directive de configuration Apache 153 netfilter Voir iptables NFS client letc fstab 120 autofs 120 configuration 120 options de montage 121 introduction 115 m thodologie 115 portmap 116 ressources suppl mentaires 123 documentation install e 123 livres sur le sujet 124 serveur fichiers de configuration 117 s curit 122 acc s des h tes 122 permis
259. e les scripts rc serial ainsi que les r pertoires suivants init d rc0 d rcl d rc2 d rc3 d rc4 d re5 d rc6 d 5 Consultez la Section 5 3 11 pour des informations suppl mentaires sur les p riph riques tty 8 Chapitre 1 Processus de d marrage Init et arr t Le r pertoire init a contient les scripts utilis s par la commande sbin init pour le contr le des services Chacun des r pertoires num rot s repr sentent les six niveaux d ex cution configur s par d faut sous Red Hat Linux 1 4 1 Niveaux d ex cution Runlevels Les niveaux d ex cution correspondent un tat ou mode d fini par les services dans le r pertoire etc rc d rc lt x gt d de SysV o lt x gt repr sente le num ro du niveau d ex cution L id e derri re les niveaux d ex cution de SysV init se r sume au principe que divers syst mes peuvent tre utilis s de diff rentes mani res Par exemple un serveur fonctionne plus efficacement lorsqu il n est pas d pendant de l utilisation des ressources du syst me par le syst me X Window En d autres occasions il se peut qu un administrateur syst me doive faire fonctionner le syst me un niveau d ex cution inf rieur afin d effectuer des t ches de diagnostic comme par exemple pour r soudre la corruption de disques un niveau d ex cution 1 lorsque les utilisateurs n utilisent pas le syst me Les caract ristiques d un niveau d ex cution donn
260. e sbin service Pour d marrer votre serveur en tant que super utilisateur entrez la commande suivante sbin service httpd start Pour arr ter votre serveur en tant que super utilisateur entrez la commande suivante Chapitre 10 Serveur HTTP Apache 137 sbin service httpd stop L option restart est une fa on rapide d arr ter et de red marrer le Serveur HTTP Apache Pour red marrer le serveur en tant que super utilisateur entrez sbin service httpd restart Remarque Si vous ex cutez le Serveur HTTP Apache en tant que serveur s curis il est n cessaire de saisir le mot de passe du serveur lors de toute utilisation des options start OU restart Apr s avoir modifi le fichier httpd conf toutefois il n est pas n cessaire d arr ter et de red marrer votre serveur En revanche utilisez l option reload Afin de recharger le fichier de configuration en tant que super utilisateur entrez la commande sui vante sbin service httpd reload Remarque Si vous ex cutez le Serveur HTTP Apache en tant que serveur s curis vous n aurez pas besoin de saisir votre mot de passe lors de utilisation de l option re1oaa recharger Par d faut le service httpd ne d marrera ne d marrera pas automatiquement au d marrage Pour configurer le service httpd de mani re ce qu il se lance au d marrage utilisez un utilitaire de script d initialisation initscript comme sbin chkconfig sbin nts
261. e Open Group Itanium et Pentium sont des marques d pos es enregistr es de Intel Corporation Itanium et Celeron sont des marques d pos es de Intel Corporation AMD AMD Athlon AMD Duron et AMD K6 sont des marques d pos es d Advanced Micro Devices Inc Netscape est une marque d pos e de Netscape Communications Corporation aux Etats Unis et dans d autres pays Windows est une marque d pos e de Microsoft Corporation SSH et Secure Shell sont des marques d pos es de SSH Communications Security Inc FireWire est une marque d pos e de Apple Computer Corporation Tous les autres copyrights et marques cit s sont la propri t de leurs d tenteurs respectifs Le code GPG de la cl security redhat com key est CA 20 86 86 2B D6 9D FC 65 F6 EC C4 21 91 80 CD DB 42 A6 0E Table des mati res MEEA NITU a CI i EPSON RE ORNE RE ES RS EEE PR i 1 Modifications apport es ce manuel 2 Documentation appropri e vos besoins 2 1 Documentation pour les d butants 2 2 Documentation pour les utilisateurs exp riment s 2 3 Documentation pour les utilisateurs chevronn s 3 Conventions de documentation 4 Utilisation de la souris 5 Fonction Copier coller avec X 6 Prochainement 6 1 Vos commentaires sont importants 7 Enregistrez vous pour b n ficier de l assistance I R f rences au syst me 1 Processus de d marrage Init et arr t 1 1 Processus
262. e aux utilisateurs Red Hat Linux Les prochaines ditions contiendront de plus amples informations sur les changements de la structure et de l organisation du syst me de nouveaux outils de s curit plus performants et d autres ressources qui vous aideront accro tre la puissance de votre syst me Red Hat Linux ainsi que vos capacit s l exploiter au maximum de ses possibilit s Pour nous permettre de remplir notre engagement votre contribution est importante 6 1 Vos commentaires sont importants Si vous trouvez une erreur faute de frappe dans le Guide de r f rence de Red Hat Linux ou si vous avez song une mani re d am liorer ce manuel faites nous part de vos commentaires Signalez Terreur dans Bugzilla l adresse http bugzilla redhat com bugzilla dans la section rhl rg N oubliez pas de mentionner la r f rence du manuel rhl rg FR 9 Print RHI 2003 02 13T19 20 Nous pourront ainsi conna tre la version du guide laquelle vous faites r f rence Si vous avez la moindre suggestion susceptible d am liorer la documentation essayez d en donner une description aussi d taill e que possible Si vous avez d tect une erreur veuillez inclure le num ro de section et une partie du texte qui l entoure de fa on ce que nous puissions la retrouver ais ment 7 Enregistrez vous pour b n ficier de l assistance Si vous avez une dition de Red Hat Linux 9 n oubliez pas de vous inscrire pou
263. e bureau devant tre ex cut comme par exemple DESKTOP GNOME 4 1 7 etc sysconfig dhcpd Le fichier etc sysconfig dhcpdest utilis pour transmettre des arguments au d mon dhepa lors du d marrage Le d mon ahcpa met en oeuvre les protocoles Dynamic Host Configuration Protocol ou DHCP et Internet Bootstrap Protocol ou BOOTP DHCP et BOOTP assignent des noms d h tes aux ordinateurs sur le r seau Pour de plus amples informations sur les param tres pouvant tre utilis s dans ce fichier consultez la page de manuel relative ahcpa 4 1 8 etc sysconfig firstboot Depuis Red Hat Linux 8 0 lors du premier d marrage du syst me le programme sbin init ap pelle le script etc rc d init d firstboot qui son tour lance l Agent de param trage Cette application permet l utilisateur d installer les derni res mises jour ainsi que les applications et la documentation suppl mentaires Le fichier etc sysconfig firstboot indique l application Agent de param trage de ne pas s ex cuter lors de prochains d marrages Pour la lancer lors du prochain d marrage du syst me sup primez etc sysconfig firstboot et ex cutez chkconfig level 5 firstboot on 4 1 9 etc sysconfig gpm Le fichier etc sysconfig gpm est utilis pour transmettre des arguments au d mon gpm lors du d marrage Le d mon gpm permet l acc l ration de la souris et le collage en cliquant sur le bouton central de la souri
264. e chaque r gle de chaque cha ne h fournit une liste des structures de commande ainsi qu un bref r sum des param tres et options des commandes e I ins re une r gle l int rieur d une cha ne un point pr cis sp cifi par une valeur paire d finie par l utilisateur Si aucun num ro n est sp cifi iptables placera la commande au tout d but de la cha ne O rentin Pr tez particuli rement attention l option a or 1 utilis e lors de l ajout d une r gle L ordre dans lequel les r gles apparaissent dans une cha ne est tr s important quand il s agit de d finir quelles r gles appliquer quels paquets e L tablit la liste compl te des r gles dans la cha ne indiqu e apr s la commande Pour obtenir une liste de toutes les r gles de toutes les cha nes contenues dans la table par d faut filter ne pr cisez ni cha ne ni table Sinon la syntaxe utiliser pour tablir la liste des r gles contenues dans une cha ne donn e d une table pr cise doit tre la suivante iptables L lt nom de cha ne gt t lt nom de table gt Des options puissantes pour la commande L fournissant le nombre de r gles et permettant une description tr s d taill e de ces derni res sont d crites dans la Section 16 3 7 N cr e une nouvelle cha ne avec un nom sp cifi par l utilisateur P d finit la politique par d faut d une cha ne donn e de sorte que lorsq
265. e cible de type REJECT le paquet est abandonn mais par rejet et dans ce cas un paquet d erreur est renvoy l exp diteur Chaque cha ne dispose d une politique par d faut pour accepter ACCEPT abandonner DROP rejeter REJECT ou mettre en attente QUEUE Si aucune des r gles pr sentes dans la cha ne ne s applique au paquetage celui ci est trait en fonction de la politique par d faut de la cha ne La commande iptables permet de configurer ces tables et d en cr er de nouvelles si n cessaire 16 2 Les diff rences entre iptables et ipchains Au premier abord ipchains et iptables semblent assez similaires Les deux m thodes de filtrage de paquets font appel des cha nes de r gles actives l int rieur du noyau Linux pour d cider non seulement du type de paquets autoris s entrer ou sortir du syst me mais galement du traitement des paquets qui r pondent certaines r gles Cependant la commande iptables repr sente une mani re plus flexible de filtrer les paquets en donnant l administrateur syst me un degr de contr le plus lev sans pour autant ajouter un degr plus lev de complexit Chapitre 16 iptables 243 Ainsi les utilisateurs l aise avec la commande ipchains devront tenir compte des diff rences importantes existant entre les commandes ipchains et iptables avant d essayer de se servir de iptables Sous iptables chaque paquet filtr est trait en utili
266. e d tail des rapports Vous trouverez ci dessous une liste des variables configurables par l utilisateur n cessaires dans le fichier etc tripwire twcfg txt POLFILE Pr cise l emplacement du fichier de politiques etc tripwire tw pol est la valeur d faut DBFILE Pr cise l emplacement du fichier de base donn es var lib tripwire HOSTNAME twdest la valeur par d faut REPORTFILE Pr cise l emplacement du des fichiers rapport Par d faut cette valeur est r gl e sur var lib tripwire report HOSTNAME DATE twr e SITEKEYFILE Pr cise l emplacement du fichier cl site etc tripwire site key est la valeur par d faut LOCALKEYFILE Pr cise l emplacement du fichier cl local etc tripwire HOSTNAME local key est la valeur par d faut Chapitre 19 Tripwire 273 Si vous modifiez le fichier de configuration et laissez non d finie l une de ces variables le fichier de configuration sera consid r comme invalide Si cela se produit lorsque vous ex cutez la commande tripwire le fichier rapportera une erreur et se fermera Le reste des variables configurables dans l exemple de fichier etc tripwire twcfg txt est op tionnel Ces variables comprennent EDITOR Pr cise l diteur de texte appel par Tripwire La valeur par d faut est bin vi LATEPROMPTING Si elle est r gl e sur true cette variable configure Tripwire pour attendre aussi longtemps que
267. e de chemins de police utiliser Chaque chemin de police doit tre s par par une virgule pour que la liste soit exploitable Utilisez la cha ne unscaled imm diatement apr s le chemin de polices pour faire charger en premier les polices non proportionn es dans cette liste Sp cifiez alors nouveau le chemin de police entier pour que les autres polices proportionn es soient galement charg es e client limit sp cifie le nombre maximum de clients que ce serveur de polices va approvi sionner La valeur par d faut est 10 clone self autorise le serveur de polices reproduire une autre version de lui m me lorsque la limite de clients client limit est atteinte La valeur par d faut pour cette option est on default point size sp cifie la taille de point par d faut pour toute police qui ne sp cifie pas cette valeur La valeur par d faut est en d cipoints La valeur par d faut de 120 correspond une police de 12 points default resolutions sp cifie une liste de r solutions prises en charge par le serveur XFree86 Chaque r solution figurant dans la liste doit tre s par e par une virgule deferglyphs sp cifie si le chargement de glyphs le graphique utilis pour la repr sentation visuelle d une police doit tre diff r Pour d sactiver cette fonction utilisez none pour l activer pour toutes ces polices utilisez a11 ou pour ne l activer que pour les polices 16 bit utilisez
268. e de commande 15 menu 15 ordre de 16 diteur d entr e de menu 15 modification des niveaux d ex cution avec 15 processus de d marrage 11 ressources suppl mentaires 22 documentation install e 22 sites Web utiles 23 r le dans le processus de d marrage 2 terminologie 13 fichiers 14 p riph riques 13 syst me de fichiers root 15 grub conf 18 Voir Aussi GRUB H HeaderName directive de configuration Apache 149 hi rarchie syst me de fichiers 25 HostnameLookups directive de configuration Apache 146 hosts allow Voir enveloppeurs TCP hosts deny Voir enveloppeurs TCP httpd conf Voir directives de configuration Apache h tes virtuels bas s sur le nom 155 configuration 155 fichiers inclure c t serveur 150 301 Listen command 156 Options 143 IfDefine directive de configuration Apache 14 ifdown 112 IfModule directive de configuration Apache 145 ifup 112 Include Len directive de configuration Apache 140 IndexIgnore directive de configuration Apache 149 IndexOptions directive de configuration Apache 148 introduction i ipchains Voir iptables iptables compar es ipchains 242 de cha nes iptables 241 enregistrer les r gles 251 iptables 241 241 les bases du filtrage de paquets 241 options 243 commandes 244 iptables 243 249 listage 250 param tres 245 structure 244 options de concordance 246 modules 248 protocoles ICMP
269. e elles dans un ordre d fini selon les virgules plac es entre les diff rents l ments Prenons l exemple de la liste de blocs suivante pour illustrer cette notion 0 50 100 25 200 1 Cette liste de blocs indique GRUB qu il doit utiliser un fichier commen ant au premier bloc de la partition et qui utilise les blocs 0 49 99 124 et 199 Savoir comment crire des listes de blocs est tr s utile lorsque GRUB doit charger des syst mes d exploitation qui utilisent le chargement de cha ne comme Microsoft Windows Vous pouvez laisser tomber le d calage de bloc si vous commencez au bloc 0 Par exemple le fichier de chargement de cha ne dans la premi re partition du premier disque dur devrait s appeler ainsi hd0 0 1 Vous pouvez galement utiliser la commande chainloader suivante avec un mode d indication de liste de blocs similaire la ligne de commande GRUB apr s avoir sp cifi le bon p riph rique et la bonne partition et en tant connect en tant que root Chapitre 2 Chargeurs de d marrage 15 chainloader 1 2 4 3 Syst me de fichiers root de GRUB Certains utilisateurs sont d sorient s par l emploi du terme syst me de fichiers root dans GRUB Il est important de se rappeler que le syst me de fichiers root de GRUB n a rien voir avec le syst me de fichiers root de Linux Par syst me de fichiers root de GRUB on d signe la partition racine d un p riph rique donn GRUB exploi
270. e en Ko MemFree Quantit de m moire vive exprim e en Ko non utilis e par le syst me MemShared Non utilis avec les noyaux 2 4 ou sup rieurs mais gard pour des raisons de compatibilit avec les versions de noyau pr c dentes Buffers Quantit de m moire vive exprim e en Ko utilis e pour les tampons de fichiers Cached Quantit de m moire vive exprim e en Ko utilis e comme m moire cache Active Quantit totale de m moire tampon ou de m moire cache de pages exprim e en Ko en utilisation active Inact_dirty Quantit totale de tampon ou de pages de cache exprim e en Ko qui peut tre libre et disponible Inact_clean Quantit totale de tampon ou de pages de cache exprim e en Ko qui est r elle ment libre et disponible 58 Chapitre 5 Le syst me de fichiers proc Inact_target La quantit nette d allocations par seconde exprim e en Ko en moyenne par minute HighTotal et HighFree Respectivement la quantit totale et libre de m moire qui n est pas directement mapp e dans l espace du noyau La valeur HighTotal peut varier en fonction du type de noyau utilis LowTotal et LowF ree Respectivement la quantit totale et libre de m moire qui est directement mapp e dans l espace du noyau La valeur LowTotal peut varier en fonction du type de noyau utilis SwapTotal Quantit totale de m moire swap disponible ex
271. e et une tude exhaustive des API disponibles KDE 2 0 Development de David Sweet et Matthias Ettrich Sams Publishing Expose aux d veloppeurs d butants et avanc s comment exploiter au maximum les nombreuses directives d environnement n cessaires l laboration d applications QT pour KDE Il R f rences aux services du r seau Sous Red Hat Linux il est possible de d ployer un grand ventail de services r seau Cette partie d crit non seulement la mani re dont les interfaces r seau sont configur es mais fournit galement des informations d taill es sur des services r seau critiques tels que NFS Serveur HTTP Apache Sendmail Fetchmail Procmail BIND et LDAP Table des mati res 8 Interfaces r seau 9 Le syst me de fichiers r seau NFS 10 Serveur HTTP Apache 11 Courrier lectronique 12 Berkeley Internet Name Domain BIND 13 Protocole LDAP Lightweight Directory Access Protocol ss 203 redhat Chapitre 8 Interfaces r seau Sous Red Hat Linux toutes les communications r seau se font entre des interfaces logicielles confi gur es et des p riph riques r seau connect s au syst me Les fichiers de configuration pour les interfaces r seau et les scripts permettant de les activer et d sacti ver sont plac s dans le r pertoire etc sysconfig network scripts M me si certains fichiers d interface peuvent diff rer d un syst me l autre ce r pertoire
272. e fen tre part enti re il ne devrait pas tre utilis de concert avec les environnements de bureau GNOME ou KDE sawfish Le gestionnaire de fen tre Sawfish est un gestionnaire de fen tre dot s de nombreuses fonctions qui jusqu la version 8 0 de Red Hat Linux tait le choix par d faut pour l environnement de bureau GNOME Il peut tre utilis de concert avec un environnement de bureau ou en tant que gestionnaire de fen tre part enti re twm Le gestionnaire de fen tre minimaliste Tab Window Manager fournissant l outillage le plus l mentaire de tous les gestionnaires de fen tre peut tre utilis de concert avec un environnement de bureau ou en tant que gestionnaire de fen tre part enti re Il est install en tant que composant de XFree86 Ces gestionnaires de fen tres peuvent fonctionner sans bureau afin de mieux se rendre compte de leurs diff rences Pour ce faire tapez la commande xinit e lt chemin du gestionnaire de fen tre gt o lt chemin du gestionnaire de fen tre gt correspond l emplacement du fi chier binaire du gestionnaire de fen tre Vous pourrez trouver ce fichier binaire en tapant which lt nom du gestionnaire de fen tre gt 7 3 Fichiers de configuration du serveur XFree86 Le serveur XFree86 un ex cutable binaire usr X11R6 bin XFree86 qui charge dynamiquement au d marrage tous les modules de serveur X n cessaires depuis le r pertoire usr X11R6 1ib modules
273. e groupe priv par d faut du groupe de l utilisateur Ensuite donnez une valeur au bit setgid qui donne tout fichier cr s dans le r pertoire la m me permission de groupe que le r pertoire lui m me emacs Utilisez la commande suivante chmod 2775 usr lib emacs site lisp ce stade comme l umask par d faut de chaque utilisateur est 002 tous les membres du groupe emacs peuvent cr er et modifier des fichiers dans le r pertoire usr l1lib emacs site lisp sans que l administrateur n aie changer les permissions de fichiers chaque fois que des utilisateurs enregistrent de nouveaux fichiers 6 5 Mots de passe masqu s Dans un environnement multi utilisateurs il est primordial d utiliser des mots de passe masqu s four nis par le paquetage shadow ut ils et parfois appel s mots de passe ombre ou shadow passwords Ce faisant la s curit des fichiers d authentification du syst me se voit accrue Pour cette raison le programme d installation Red Hat Linux active des mots de passe masqu s par d faut Ci dessous figure une liste des avantages associ s aux mots de passe masqu s par rapport l ancienne mani re de stocker des mots de passe sur des syst mes bas s sur UNIX am lioration de la s curit du syst me en d pla ant les hachages de mots de passe crypt s d un fichier etc passwa lisible par quiconque un fichier etc shadow seulement lisible par le super utilisateur e stoc
274. e invite boot appuyez sur Ctrl X 2 8 2 LILO contre GRUB En g n ral LILO fonctionne d une fa on similaire GRUB mais il existe cependant trois diff rences importantes Il ne dispose pas d une interface de commande interactive e Il stocke les informations sur l emplacement du noyau ou du syst me d exploitation qu il doit charger sur le MBR Il ne peut pas lire les partitions ext2 La premi re diff rence est que l invite de commande LILO n est pas interactive et n autorise qu une commande avec des arguments Les deux autres diff rences sont les suivantes si vous modifiez le fichier de configuration LILO ou installez un nouveau noyau vous devez r crire le chargeur de d marrage Etape 1 sur le MBR en ex cutant la commande suivante sbin lilo v v Cela est beaucoup plus risqu que la m thode de GRUB car un bloc de d marrage ma tre mal configur emp che tout simplement le d marrage du syst me Avec GRUB si le fichier de configuration est mal configur le programme va tout simplement revenir par d faut son interface de ligne de commande partir de laquelle l utilisateur peut d marrer manuellement le syst me Astuce Si vous mettez niveau le noyau l aide de l application Agent de mise jour Red Hat le MBR sera mis jour automatiquement Pour plus d informations sur RHN reportez vous l URL suivante https rhn redhat com 2 9 Options dans etc lilo con
275. e ipchains save Il n est pas recommand d utiliser ipchains pour tablir des r gles de pare feu car cette commande est plus ou moins obsol te est risque de dispara tre des versions futures de Red Hat Linux Si vous avez besoin d un pare feu utilisez plut t iptables Chapitre 4 Le r pertoire sysconfig 37 4 1 16 etc sysconfig iptables Tout comme etc sysconfig ipchains le fichier etc sysconfig iptables stocke des in formations utilis es par le noyau pour configurer des services de filtrage au moment du d marrage ou lors de tout d marrage du service Il est d conseill de modifier ce fichier manuellement moins que vous ne sachiez exactement com ment construire des r gles iptables La mani re la plus simple d ajouter des r gles consiste utiliser l Outil de configuration du niveau de s curit redhat config securitylevel la commande usr sbin l1okkit ou l application GNOME Lokkit pour cr er un pare feu En utilisant ces ap plications ce fichier sera automatiquement modifi la fin du processus Il est possible de cr er des r gles manuellement l aide de sbin iptables tapez ensuite sbin service iptables save pour ajouter les r gles au fichier etc sysconfig iptables Une fois que ce fichier existe toutes les r gles de pare feu sauvegard es ici seront conserv es lors d un r amor age du syst me ou lors de red marrage d un service Pour de plus amples informations sur iptables
276. e l option gt correspond une entr e facultative qui pr cise des param tres suppl mentaires pour cette section Remplacez lt nom de 1l option gt par une option valide pour cette section selon celles num r es dans la page de manuel relative XF86Config 7 3 1 8 Device Chaque section Device configure section une carte vid o utilis e par le syst me Alors qu une section Device est le minimum requis il tout fait possible d en avoir d autres pour chaque carte vid o install e sur l ordinateur La meilleure fa on de configurer une carte vid o consiste configurer X lors du processus d installation ou utiliser l Outil de configuration X Pour obtenir de plus amples informations sur l utilisation de l Outil de configuration X reportez vous au chapitre intitul Audio Video et divertissement en g n ral du Guide de d marrage de Red Hat Linux L exemple suivant illustre une section Device typique pour une souris Section Device Identifier Videocard0 Driver mga VendorName Videocard vendor BoardName Matrox Millennium G200 VideoRam 8192 Option dpms EndSection Parmi les options les plus commun ment utilis es dans la section Device figurent Identifier sp cifie un nom unique utilis pour cette section Device Cette entr e est n ces saire Driver sp cifie le pilote devant tre charg par le serveur XFree86 afin que la carte vid o puisse tre utilis
277. e la commande cat proc apm sur un portable utilisant Red Hat Linux lorsqu il est branch une prise de courant 1 16 1 2 0x03 0x01 0x03 0x09 100 1 Si l on d branche ce portable de sa source d alimentation pendant quelques minutes le contenu du fichier apm change de la mani re suivante 1 16 1 2 0x03 0x00 0x00 0x01 99 1792 min La commande apm v va pr sent g n rer des donn es plus utiles comme par exemple APM BIOS 1 2 kernel driver 1 16 AC off line battery status high 99 1 day 5 52 5 2 2 proc cmdline Ce fichier montre les param tres transmis au noyau au moment du d marrage Un exemple de fichier proc cmdline ressemble l exemple ci dessous ro root dev hda2 Cet extrait nous indique que le noyau est mont en lecture seule comme l indique l l ment ro signifiant read only sur la deuxi me partition du premier p riph rique IDE dev hda2 5 2 3 proc cpuinfo Ce fichier virtuel identifie le type de processeur utilis par votre syst me L extrait ci dessous montre un exemple de la sortie typique de proc cpuinfo 50 Chapitre 5 Le syst me de fichiers proc processor 0 vendor_id AuthenticAMD cpu family 5 model y 19 model name AMD K6 tm 3D Processor stepping amp i cpu MHz 400 919 cache size 256 KB fdiv_ bug no hlt_bug no f00f_bug no coma_bug no fpu yes fpu_exception yes cpuid level EE wp yes flags fpu vme de pse
278. e la commande suivante en tant connect en tant que super utilisateur ou root ttmkfdir d usr share fonts local o usr share fonts local fonts scale 4 Red marrez le serveur de polices xfs l aide de la commande suivante en tant connect en tant que super utilisateur ou root service xfs reload 7 5 Niveaux d ex cution et XFree86 Dans la plupart des cas l installation par d faut de Red Hat Linux configure l ordinateur pour qu il d marre dans un environnement de connexion graphique connu en tant que niveau d ex cution 5 Il est toutefois possible de d marrer en mode multi utilisateurs texte seul connu en tant que niveau d ex cution 3 et de d marrer ainsi un session X Pour obtenir de plus amples informations sur les niveaux d ex cution reportez vous la Section 1 4 Cette section passe en revue le d marrage de XFree86 aussi bien au niveau d ex cution 3 qu au niveau d ex cution 5 7 5 1 Niveau d ex cution 3 Au niveau d ex cution 3 la meilleure fa on de lancer une session X consiste se connecter et taper la commande startx Cette commande startx est une commande frontale ou front end la com mande xinit qui lance le serveur XFree86 et y connecte les applications client X tant donn que l utilisateur est d j connect au syst me au niveau d ex cution 3 startx ne lance pas un gestion naire d affichage et n authentifie pas les utilisateurs Pour obtenir de p
279. e la prise en charge IPv6 Ce fichier contient galement des fonctions permettant de configurer et d effacer des itin raires IPv6 statiques de cr er et de supprimer des tunnels d ajouter et de supprimer des adresses IPv6 d une interface et de rechercher l existence d une adresse IPv6 sur une interface 114 Chapitre 8 Interfaces r seau 8 5 Ressources suppl mentaires Les ressources suivantes contiennent davantage d informations sur les interfaces r seau 8 5 1 Documentation install e e usr share doc initscripts lt version gt sysconfig txt Un guide complet des op tions disponibles pour les fichiers de configuration de r seau y compris les options IPv6 n ayant pas t abord es dans ce chapitre usr share doc iproute lt version gt ip cref ps Ce fichier PostscriptM contient un grand nombre d informations sur la commande ip qui peut tre utilis e entre autres pour ma nipuler des tables de routage Utilisez l application ghostview ou kghostview pour acc der ce fichier C redhat Chapitre 9 Le syst me de fichiers r seau NFS Le syst me de fichiers r seau ou NFS Network File System permet aux h tes de monter des partitions sur un syst me distant et de les utiliser exactement comme des syst mes de fichier locaux Ceci permet l administrateur syst me de stocker des ressources dans un emplacement central du r seau fournissant ainsi aux utilisateurs l gitimes un ac
280. e module n cessite un argument db pour sp cifier la base de donn es Berkeley quelle base de donn es pr cise doit tre utilis e pour le service demand Une ligne pam_userdb s0 typique d un fichier de configuration PAM ressemble l extrait suivant auth required lib security pam userdb so db lt chemin au fichier gt Dans l exemple pr c dent remplacez lt chemin au fichier gt par le chemin d acc s complet au fichier de la base de donn es Berkeley DB Les arguments non valides ne sont pas pris en compte et n ont aucune incidence sur la r ussite ou l chec du module PAM Toutefois la plupart des modules rapporteront une erreur dans le fichier var log messages 14 4 Exemples de fichiers de configuration PAM Ci dessous figure un exemple de fichier de configuration PAM PAM 1 0 auth required lib security pam securetty so auth required lib security pam unix so shadow nullok auth required lib security pam nologin so account required lib security pam unix so password required lib security pam cracklib so retry 3 password required lib security pam_ unix so shadow nullok use_authtok session required lib security pam unix so La premi re ligne est un commentaire comme l indique le caract re di se plac au d but de la ligne Les lignes deux quatre empilent trois modules utiliser pour l authentification de connexion auth required lib security pam securetty so Ce module sert
281. e nom du sous r pertoire est public_html Par exemple le serveur pourrait recevoir la requ te suivante http example com nom d utilisateur foo html Le serveur rechercherait le fichier home username public_html foo html Dans l exemple ci dessus home username est le r pertoire personnel de l utilisateur notez que le chemin d acc s par d faut aux r pertoires personnels des utilisateurs peut tre diff rent sur votre syst me Assurez vous que les autorisations relatives aux r pertoires personnels des utilisateurs sont correc tement d finies Les r pertoires personnels des utilisateurs doivent tre d finis sur 0711 Les bits de lecture r et d ex cution x doivent tre d finis sur les r pertoires public_html des utilisateurs 0755 fonctionnera Les fichiers qui seront servis dans les r pertoires public_html des utilisateurs doivent tre d finis sur au moins 0644 Chapitre 10 Serveur HTTP Apache 145 10 5 31 Directorylndex Directorylndex est la page servie par d faut lorsqu un utilisateur demande un index de r pertoire en ins rant une barre oblique la fin d un nom de r pertoire Lorsqu un utilisateur demande acc der la page http example ce_r pertoirel il re oit soit la page DirectorylIndex si elle existe soit une liste de r pertoires g n r e par le serveur La valeur par d faut pour Directorylndex est index html et le type de mappe index html var Le ser veur essaie de tr
282. e politiques doivent tre contr l es et qui doit tre le destinataire du message lorsque ces r gles sont viol es Notez galement que sur les syst mes importants ayant plusieurs administrateurs syst me vous pouvez faire en sorte que des groupes d individus diff rents soient avertis selon le type de violations Une fois que vous savez qui avertir et quelles violations de r gles doivent faire l objet d un rapport modifiez le fichier etc tripwire twpol txt en ajoutant une ligne emailto la section de directive de r gle correspondant chaque r gle concern e Pour cela ajoutez une virgule apr s la 280 Chapitre 19 Tripwire ligne severity et indiquez emailto sur la ligne suivante suivie par une ou plusieurs adresses email Plusieurs adresses email peuvent tre sp cifi es condition qu elles soient s par es par un point virgule Par exemple si vous d sirez avertir deux administrateurs Sam et Bob lorsqu un programme de connexion au r seau est modifi changez la directive de la r gle des programmes de connexion au r seau dans le fichier de politiques afin qu elle ressemble l extrait ci dessous rulename Networking Programs severity SIG_ HI emailto johnray domain com bob domain com Apr s modification du fichier de politiques suivez les instructions contenue dans la Section 19 8 pour cr er une copie mise jour crypt e et sign e du fichier de politiques Tripwire 19 8
283. e que des messages d erreur d appara tre apr s la commande fetchmail v Ex cute Fetchmail en mode prolixe affichant toute communication entre Fetchmail et les serveurs de messagerie distants V Affiche des informations d taill es sur la version utilis e la liste des options globales et les param tres appliquer chaque utilisateur y compris le protocole de messagerie et la m thode d authentification Lors de l utilisation de cette option aucun courrier lectronique n est r cup r pour quelque utilisateur que ce soit 11 3 2 7 Options sp ciales Ces options peuvent parfois tre pratiques pour craser les valeurs par d faut qui se trouvent souvent dans le fichier fetchmailrc a Indique Fetchmail de t l charger tous les messages depuis le serveur de messagerie distant qu ils soient nouveaux ou d j visualis s Par d faut Fetchmail ne t l charge que les nouveaux messages k Fait en sorte que Fetchmail laisse les messages sur le serveur de messagerie distant apr s les avoir t l charg s Cette option crase le comportement par d faut qui consiste supprimer les messages apr s les avoir t l charg s 1 lt nombre max octets gt Indique Fetchmail de ne pas t l charger les messages dont la taille est sup rieure la taille sp cifi e et de les laisser sur le serveur de messagerie distant quit Quitte le processus d mon de Fetchmail
284. e serveur LDAP slapd vous devrez modifier son fichier de configuration etc openldap slapd conf Vous devez diter le fichier de fa on sp cifier le domaine et le serveur corrects La ligne de suffix nomme le domaine pour lequel le serveur LDAP fournira les informations et devrait tre chang e ainsi suffix dc your domain dc com de fa on refl ter votre nom de domaine Par exemple suffix dc example dc com L entr e rootan est le Nom distinctif DN pour un utilisateur non restreint par les param tres de contr le d acc s ou de limite administrative d finis pour des op rations sur le r pertoire LDAP L utilisateur rootdn peut tre consid r comme le super utilisateur pour le r pertoire LDAP Dans le fichier de configuration changez la ligne root dn de sa valeur par d faut quelquechose semblable la ligne ci dessous rootdn cn root dc example dc com Si vous avez l intention de remplir le r pertoire LDAP sur le r seau modifiez la ligne rootpw en rempla ant la valeur par d faut par une cha ne de mot de passe crypt e Afin de cr er une cha ne de mots de passe crypt e tapez la commande suivante slappasswd Il vous sera demand d inscrire et de r inscrire un mot de passe Le programme imprime ensuite le mot de passe crypt vers le terminal Ensuite copiez le mot de passe crypt que vous venez de cr er dans gt etc openldap slapd conf sur une des lignes rootpw et supprimez le s
285. eant l entr e par d faut default lorsque le dur e d attente initiale timeout est d pass e L utilisateur peut visualiser le menu standard de GRUB en appuyant sur la touche Echap e password lt mot de passe gt l utilisation de cette commande permet d interdire tout util isateur ne connaissant pas le mot de passe d diter les entr es relatives l option de ce menu Il est possible ventuellement d indiquer un autre fichier de configuration de menu apr s la com mande password lt mot de passe gt Dans ce cas GRUB red marrera le chargeur de d marrage tape 2 et utilisera le deuxi me fichier de configuration sp cifi pour construire le menu Si ce fichier alternatif n est pas indiqu dans cette commande tout utilisateur en possession du mot de passe sera m me d diter le fichier de configuration actuel timeout l utilisation de cette commande permet de r gler la dur e en secondes qui peut s couler avant que GRUB ne charge l entr e indiqu e dans la commande default splashimage pr cise l emplacement de l image de fond utilis e lors du d marrage de GRUB title d finit le titre utiliser avec un groupe donn de commandes utilis lors du chargement d un syst me d exploitation Le symbole di se permet d ins rer des commentaires dans le fichier de configuration du menu 2 7 2 Structure des fichiers de configuration Le fichier de configu
286. ed Hat adh re au FHS de l anglais Filesystem Hierarchy Standard un document de collaboration d finissant les noms et les emplacements de nombreux fichiers et r pertoires Nous continuerons respecter cette norme pour garantir la conformit de Red Hat Linux avec le FHS Le document FHS actuel est la r f rence faisant autorit pour tout syst me de fichiers compatible avec le standard FHS mais le standard comprend de nombreuses zones ind finies ou extensibles Cette section donne un aper u de la norme et une description des l ments du syst me de fichiers qui ne sont pas couverts par celle ci La norme compl te peut tre consult e l adresse suivante http www pathname com fhs La conformit avec la norme signifie beaucoup mais les deux aspects les plus importants sont la compatibilit avec d autres syst mes galement conformes et la possibilit de monter la partition 26 Chapitre 3 Structure d un syst me de fichiers usr en lecture seule car elle contient des fichiers ex cutables courants et n a pas pour vocation d tre modifi e par les utilisateurs Du fait que le r pertoire usr peut tre mont en lecture seule il est possible de monter usr depuis le CD ROM ou un autre ordinateur par le biais d un NFS en lecture seule 3 2 1 Organisation de FHS Les r pertoires et les fichiers mentionn s ici sont un petit sous ensemble de ceux qui sont sp cifi s par le document FHS Consultez le do
287. el acct i 2 Remarque Toute modification de configuration effectu e l aide de la commande echo dispara tra lorsque le syst me est red marr Pour faire en sorte que vos modifications soient appliqu es au d marrage reportez vous la Section 5 4 Le r pertoire proc sys contient plusieurs sous r pertoires qui contr lent diff rents aspects d un noyau en cours d ex cution 5 3 9 1 proc sys dev Ce r pertoire fournit des param tres pour des p riph riques particuliers du syst me La plupart des syst mes ont au moins deux r pertoires savoir cdrom et raid Les noyaux personnalis s eux peuvent en avoir d autres tels que parport qui donne la possibilit de partager un port parall le entre plusieurs pilotes de p riph riques Le r pertoire cdrom contient un fichier appel info qui indique un certain nombre de param tres importants pour le lecteur de CD ROM CD ROM information Id cdrom c 3 12 2000 10 18 drive name hdc 72 Chapitre 5 Le syst me de fichiers proc drive speed 32 drive of slots 1 Can close tray 1 Can open tray 1 Can lock tray 1 Can change speed 1 Can select disk 0 Can read multisession 1 Can read MCN 1 Reports media changed 1 Can play audio 1 Can write CD R 0 Can write CD RW 0 Can read DVD 0 Can write DVD R 0 Can write DVD RAM 0 Ce fichier peut tre examin rapidement pour d couvrir les qualit s d un lecteur de CD ROM inconnu pour le
288. elopp par TCP permettant de contr ler l acc s un sous r seau de services de r seau populaires parmi lesquels figurent FTP IMAP et Telnet Il permet gale ment de sp cifier des options de configuration sp cifiques aux services en mati re de cont le d acc s journalisation am lior e liaison redirection et de contr le d utilisation de ressources Lorsqu un h te client essaie de se connecter un service du r seau contr l par xinetd le super service re oit la requ te et v rifie l existence de toute r gle de contr le d acc s des enveloppeurs TCP Si l acc s est autoris xinetd v rifie non seulement que la connexion est galement bien autoris e selon ses propres r gles d acc s pour ce service mais que le service n utilise pas plus de ressources que la quantit qui lui est attribu e et qu il ne commet aucune d infraction aux r gles d finies Il d marre alors une instance du service demand et lui c de le contr le de la connexion Une fois la connexion tablie xinetd n interf re plus dans le processus de communication entre l h te client et le serveur 15 4 Fichiers de configuration de xinetd Les fichiers de configuration de xinetd sont les suivants e le fichier etc xinetd conf le fichier de configuration g n ral de xinetd configuration file e le r pertoire etc xinetd d le r pertoire contenant tous les fichiers sp cifiques aux services 15 4 1 Le fichier
289. en flux continu multi fils multi threaded 10g_on_failure et 1og_on_success Pour une liste compl tes des options de journalisation consultez les pages de manuel relatives xinetd conf 236 Chapitre 15 Les enveloppeurs TCP et xinetd 15 4 3 2 Options de contr le d acc s Les utilisateurs des services xinetd peuvent choisir d utiliser les r gles de contr le d acc s des en veloppeurs TCP de fournir le contr le d acc s par le biais des fichiers de configuration de xinet a ou de recourir un m lange des deux Des informations sur l utilisation des fichiers de contr le d acc s par l h te des enveloppeurs TCP se trouvent dans la Section 15 2 Cette section examine l utilisation de xinetd pour contr ler l acc s aux services gt Remarque la diff rence des enveloppeurs TCP les changements des contr les d acc s ne prennent effet que si l administrateur de xineta administrator relance le service xinetd Le contr le d acc s des h tes xinetd est diff rent de la m thode utilis e par les enveloppeurs TCP Alors que ces derniers placent toutes les configurations d acc s dans deux fichiers soit etc hosts allow et etc hosts deny le fichier de chaque service dans etc xineta d peut contenir ses propres r gles de contr le d acc s Les options suivantes d acc s des h tes sont prises en charge par xinetd only_from Permet seulement aux h tes sp cifi s d utiliser le service
290. ent de transfert de courrier L Agent de Transfert de Courrier ATC ou MTA de l anglais Mail Transfer Agent sert transf rer des messages lectroniques entre des h tes utilisant SMTP Un message peut requ rir l utilisation de plusieurs ATC lors de sa progression vers sa destination finale Alors que l acheminement de messages entre ordinateurs peut sembler plut t simple et direct l ensemble du processus permettant de d cider si un ATC donn peut ou devrait accepter un message envoyer est en fait assez complexe De plus en raison des probl mes cr s par les spams l utilisation d un ATC donn est g n ralement limit e par la configuration m me de l ATC ou par le manque d acc s au r seau de l ATC Nombre d ATC plus gros et plus complexes peuvent aussi tre utilis s pour envoyer des messages Toutefois il ne faut pas confondre cette op ration avec le vrai r le d un ATC La seule raison pour laquelle les programmes client de messagerie peuvent envoyer des emails comme ATC r side dans le fait que l h te ex cutant l application ne dispose pas de son propre ATC Cette situation s applique tout particuli rement aux programmes client de messagerie faisant partie de syst mes d exploitations 162 Chapitre 11 Courrier lectronique qui ne sont pas bas s sur Unix Cependant ces programmes client de messagerie n envoient que des messages de sortie un ATC qu ils sont autoris s uti
291. epAliveTimeout est 15 secondes 10 5 9 MinSpareServers and MaxSpareServers Le Serveur HTTP Apache s adapte de fa on dynamique la charge re ue en maintenant un nombre de processus serveur de rechange appropri en fonction du trafic Le serveur v rifie le nombre de serveurs attendant une requ te et en supprime s ils sont plus nombreux que MaxSpareServers ou en cr e s ils sont moins nombreux que MinSpareServers La valeur par d faut donn e MinSpareServers est 5 la valeur par d faut attribu e MaxSpare Servers 20 Ces param tres par d faut devraient convenir presque toutes les situations Ne donnez pas MinSpareServers une valeur tr s lev e car un tel choix cr era une charge de traitement importante sur le serveur m me si le trafic est faible 140 Chapitre 10 Serveur HTTP Apache 10 5 10 StartServers Start Servers d finit le nombre de processus serveur cr s au d marrage tant donn que le serveur Web supprime et cr e des processus serveur de fa on dynamique en fonction de la charge du trafic il n est pas n cessaire de modifier ce param tre Votre serveur Web est configur de mani re lancer huit processus serveur au d marrage 10 5 11 MaxClients MaxClients fixe une limite au nombre total de processus serveur ou de clients connect s simulta n ment pouvant s ex cuter en m me temps L objectif principal de cette directive est d viter qu un Serveur HTTP Apache surcharg
292. er etc inittab r gle le niveau d ex cution par d faut et tablit que sbin update doit s ex cuter chaque fois qu il d marre un niveau d ex cution donn Ensuite la commande init configure la biblioth que de fonctions sources etc rc d init d functions pour le syst me Celle ci indique comment d marrer ou arr ter un programme et comment d terminer le PID d un programme Le programme init d marre tous les processus d arri re plan en recherchant dans le r pertoire rc ap propri le niveau d ex cution sp cifi comme niveau par d faut dans etc inittab Les r pertoires rc sont num rot s de fa on correspondre au niveau d ex cution qu ils repr sentent Par exemple etc rc d rc5 d est le r pertoire correspondant au niveau d ex cution 5 En d marrant au niveau d ex cution 5 le programme init examine le r pertoire etc rc d rc5 d afin de d terminer les processus arr ter et d marrer Ci dessous figure un exemple de listing pour un r pertoire etc rc d rc5 d KO5innd gt init d innd KO5saslauthd gt init d saslauthd K10psacct gt init d psacct Ki2cWnn gt init d chnn K1i2FreelWnn gt init d Freelnn K12kWnn gt init d kWnn 3 Pour plus d informations sur SysV init voir la Section 1 4 4 La commande update est utilis e pour nettoyer les tampons sales Chapitre 1 Processus de d marrage Init et arr t K12mysqld gt init d mysqld Ki2tWnn gt init
293. era le nom du paquetage Si le RPM n est pas sur le CD ROM l invite du shell r appara tra Dans ce cas vous devrez v rifier les autres CD ROM d installation de Red Hat Linux 9 en d montant d abord le CD ROM et en r p tant ensuite les tapes un trois D montez le CD ROM en cliquant sur l ic ne CD ROM l aide du bouton droit de votre souris et en s lectionnant jecter ou en tapant la commande suivante umount mnt cdrom 4 Apr s avoir localis le RPM de Tripwire installez le en tapant la commande suivante en tant que root rpm Uvh mnt cdrom RedHat RPMS tripwire rpm Vous trouverez des notes et les fichiers README Lisez moi concernant Tripwire dans le r pertoire usr share doc tripwire lt version number gt sachant que lt version number gt cor respond au num ro de version du logiciel Ces documents contiennent d importantes informations concernant le fichier de politiques par d faut et d autres sujets 19 3 Personnalisation de Tripwire Apr s avoir install le RPM de Tripwire vous devez suivre les tapes suivantes pour initialiser le logiciel 19 3 1 diter etc tripwire twcfg txt Bien que vous ne soyez pas oblig de modifier cet exemple de fichier de configuration Tripwire cela peut s av rer n cessaire dans votre situation Par exemple il est possible que vous vouliez modifier l emplacement de fichiers Tripwire personnaliser des param tres d email ou personnaliser le niveau d
294. ernet ipv4 ipx et ipv6 Dans ces r pertoires vous pouvez ajuster les diverses valeurs r seau pour cette configuration sur un syst me en cours d ex cution tant donn le nombre important d options r seau possibles et disponibles sous Linux ainsi que la grande quantit d espace n cessaire pour en parler nous n aborderons que les r pertoires proc sys net les plus courants Le r pertoire proc sys net core contient une s rie de param tres qui contr lent l interaction entre le noyau et les couches r seau Les fichiers les plus importants de ce r pertoire sont message_burst la dur e en dixi mes de seconde n cessaire pour crire un nouveau message d avertissement Ceci est utilis pour emp cher les attaques de refus de service DoS La valeur par d faut est de 50 message_cost aussi utilis pour emp cher les attaques de refus de service en indiquant un co t sur chaque message d avertissement Plus la valeur de ce fichier est lev e 5 par d faut plus il est probable que le message d avertissement sera ignor L id e de base d une attaque DoS est de bombarder votre syst me de requ tes qui g n rent des erreurs et remplissent les partitions de disque de fichiers journaux ou qui accaparent toutes les ressources de votre syst me pour g rer la journalisation des erreurs Les param tres de mes sage_burst etmessage_cost sont con us pour tre modifi s en fonction des risques accept
295. erreur et ne pourra pas lancer iptables Ces messages d erreur lors du d marrage n affectent pas la fonctionnalit d ipchains 16 1 Filtrage de paquets Les informations se d placent l int rieur d un r seau sous la forme de paquets Un paquets r seau repr sente un ensemble de donn es de dimension et format particuliers Afin de transmettre un fichier sur un r seau l ordinateur faisant l envoi doit d abord diviser le fichier en paquets en fonction des r gles du protocole r seau Chacun de ces paquets contient une petite partie des donn es du fichier la r ception de la transmission l ordinateur cible reconstruit le fichier l aide des paquets Chaque paquet dispose de ses propres informations de navigation lui permettant de se d placer sur le r seau jusqu sa destination finale Le paquet est capable d indiquer entre autres sa provenance sa destination et son identit aux ordinateurs rencontr s tout au long de son parcours ainsi qu l ordinateur vers lequel il se dirige La plupart des paquets servent au transport de donn es bien que certains protocoles les utilisent pour des t ches particuli res Par exemple le protocole de transmission connu sous l abr viation TCP Transmission Control Protocol utilise un paquet nomm SYN qui ne contient aucune donn e et sert tablir une communication entre deux syst mes Parmi ses nombreux r les le noyau Linux la possibilit de fil
296. ertains des fichiers de configuration du noyau disponibles dans proc sys consultez la Section 5 3 9 5 2 Les fichiers du niveau sup rieur dans le syst me de fichiers proc Ci dessous figure une liste de certains des fichiers virtuels les plus utiles du niveau sup rieur du r pertoire proc Chapitre 5 Le syst me de fichiers proc 49 i Remarque Dans la plupart des cas le contenu des fichiers r pertori s dans cette section sera diff rent sur votre ordinateur En effet une bonne partie des informations d pendent de la configuration mat rielle sur laquelle vous ex cutez Red Hat Linux 5 2 1 proc apm Ce fichier fournit des informations sur l tat du syst me de gestion de la consommation d nergie APM de l anglais Advanced Power Management et est utilis par la commande apm Si le syst me sans batterie est connect une source d alimentation de courant alternatif ce fichier virtuel sera similaire 1 16 1 2 0x07 0x01 Oxff 0x80 1 1 La sortie r sultant de l ex cution de la commande apm v ressemble l extrait ci dessous APM BIOS 1 2 kernel driver 1 16 AC on line no system battery Pour les syst mes n utilisant pas de batterie comme source d alimentation apm ne peut gu re faire grand chose de plus que de mettre l ordinateur en mode veille La commande apm est beaucoup plus utile sur les portables Ci dessous se trouve l exemple d une sortie r sultant de l ex cution d
297. es La quatri me colonne indique le nombre de processus en cours d ex cution ainsi que le nombre total de processus La derni re colonne affiche le dernier ID de processus utilis 5 2 17 proc locks Ce fichier affiche les fichiers actuellement verrouill s par le noyau Le contenu de ce fichier comprend des donn es internes de d bogage du noyau et peut varier norm ment en fonction de l utilisation du syst me Ci apr s figure un exemple de fichier proc 1ocks d un syst me peu charg 1 FLOCK ADVISORY WRITE 807 03 05 308731 0 EOF c2a260c0 c025aa48 c2a26120 2 POSIX ADVISORY WRITE 708 03 05 308720 0 EOF c2a2611c c2a260c4 c025aa48 Chaque verrouillage a sa propre ligne qui commence par un num ro unique La deuxi me colonne indique la classe de verrouillage utilis e dans laquelle FLOCK repr sente les verrouillages de fichiers UNIX de type plus ancien d un appel syst me flock et POSIX repr sente les verrouillages POSIX plus r cents de l appel syst me lock La troisi me colonne peut avoir 2 valeurs ADVISORY ou MANDATORY La valeur ADVISORY signifie que le verrouillage n emp che pas les autres personnes d avoir acc s aux donn es il ne fait que les emp cher d essayer de les verrouiller La valeur MANDATORY quant elle signifie que personne d autre n est autoris acc der aux donn es tant que le verrouillage est en effectif La quatri me colonne indique si le verrouillage autorise le d tenteur av
298. es donn es de fichiers virtuels et de les afficher de fa on compr hensible Parmi ces utilitaires figurent par exemple 1spci apm free et top f Remarque Certains des fichiers virtuels du r pertoire proc ne peuvent tre lus que par l utilisateur root 5 1 2 Modification de fichiers virtuels En g n ral la plupart des fichiers virtuels du r pertoire proc sont en lecture seule Certains peuvent toutefois tre utilis s pour r gler les param tres dans le noyau Cela vaut particuli rement pour les fichiers du sous r pertoire proc sys Pour modifier la valeur d un fichier virtuel utilisez la commande echo et un symbole gt afin de r acheminer la nouvelle valeur vers le fichier Par exemple pour modifier votre nom d h te rapidement vous pouvez taper echo www example com gt proc sys kernel hostname D autres fichiers servent de commutateur binaire ou bool en Par exemple si vous tapez cat proc sys net ipv4 ip_forward vous obtiendrez comme sortie un 0 ou un 1 Le 0 indique que le noyau ne r achemine pas les paquets r seau En utilisant la commande echo pour modifier la valeur du fichier ip_forward en 1 vous pouvez d clencher imm diatement le r acheminement des paquets Astuce La commande proc sys permet galement de modifier les param tres du sous r pertoire sbin sysct1 Pour obtenir davantage d informations sur cette commande reportez vous la Section 5 4 Pour obtenir une liste de c
299. es dans un r pertoire LDAP Parmi ces outils se trouvent 206 Chapitre 13 Protocole LDAP Lightweight Directory Access Protocol ldapmodify Modifie les entr es dans un r pertoire LDAP acceptant leur apport par un fichier ou par inscription standard ldapadd Ajoute des entr es dans votre r pertoire acceptant leur apport par un fichier ou par inscription standard 14apadd est en fait un lien dur vers la commande ldapmodify a ldapsearch Recherche des entr es dans un r pertoire LDAP par une invite du shell ldapdelete Supprime des entr es dans un r pertoire LDAP en acceptant l action dont l origine est un fichier ou l utilisateur au moyen du terminal l exception de la commande ldapsearch chacun de ces utilitaires a une utilisation plus facile en fonctionnant par r f rence un fichier contenant les changements effectuer plust t que par l utilisation d une commande pour chaque entr e que vous d sirer changer dans le r pertoire LDAP Le format d un tel fichier est expliqu dans les pages de manuel relative chaque application 13 3 1 NSS PAM et LDAP Outre les paquetages OpenLDAP Red Hat Linux comprend un paquetage nomm nss_1ldap qui am liore la capacit de LDAP s int grer aussi bien dans un environnement Linux que tout autre environnement UNIX Le paquetage nss_ldap fournit les modules suivants lib libnss_ldap lt glibc version gt so e lib security pam_ldap
300. es de syntaxe car des erreurs mineures en apparence emp cheront le d marrage du service named A ivatiesomoit Ne modifiez pas manuellement le fichier etc named conf ou tout autre fichier dans le r pertoire var named si vous n utilisez pas l Outil de configuration Bind au moment des modifications Tout changement manuel dans ce fichier ou dans tout fichier de ce r pertoire sera cras lors de la prochaine utilisation de l Outil de configuration Bind Un fichier named conf typique est organis de mani re semblable l extrait ci dessous lt d claration 1 gt lt d claration 1 nom gt lt d claration 1 classex gt lt option 1 gt lt option 2 gt lt option N gt lt d claration 2 gt lt d claration 2 nom gt lt d claration 2 classe gt lt option 1 gt lt option 2 gt lt option N gt lt d claration N gt lt d claration N nom gt lt statement N classe gt lt option 1 gt lt option 2 gt lt option N gt 12 2 1 Types de d clarations courants Les types de d clarations suivants sont couramment utilis s dans etc named conf 186 Chapitre 12 Berkeley Internet Name Domain BIND 12 2 1 1 D claration ac La d claration ac1 ou d claration de contr le d acc s d finit des groupes d h tes qui peuvent ensuite tre autoris s ou non acc der au serveur de noms Une d claration ac1 se pr sente sous le format suivant acl lt acl nom
301. es informations sur un sujet similaire sont group s dans des r pertoires et sous r pertoires virtuels Par exemple proc ide contient des in formations se rapportant tous les p riph riques IDE De m me les r pertoires process contiennent des donn es concernant tous les processus en cours d ex cution sur le syst me 5 1 1 Affichage de fichiers virtuels En appliquant les commandes cat more ou less aux fichiers du r pertoire proc vous avez imm diatement acc s une tr s importante source d informations sur le syst me Par exemple pour conna tre le type d unit centrale dont dispose votre ordinateur tapez cat proc cpuinfo et vous obtiendrez une sortie semblable l extrait ci dessous processor 0 vendor_id AuthenticAMD cpu family 5 model 9 model name AMD K6 tm 3D Processor stepping 1 cpu MHz 400 919 cache size 256 KB fdiv_bug no hlt_bug no fO0f_ bug no coma_bug no 48 Chapitre 5 Le syst me de fichiers proc fpu yes fpu_exception yes cpuid level 1 wp yes flags fpu vme de pse tsc msr mce cx8 pge mmx syscall 3dnow k6_mtrr bogomips 799 53 Lorsque vous affichez diff rents fichiers virtuels dans le syst me de fichiers proc vous pouvez remarquer que certaines des informations sont facilement compr hensibles tandis que d autres sont cod es C est en partie pour cela qu existent des utilitaires dont la fonction consiste r cup rer d
302. es peuvent utiliser la biblioth que Xft avec Fontconfig afin de cr er du texte l cran Au fil du temps les sous syst me Fontconfig Xft remplacera le sous syst me de polices X de base Dan Le sous syst me de polices Fontconfig ne peut pas encore tre utilis avec OpenOffice org et Abi word qui utilisent leur propre technologie de rendu des polices Il est important de noter ici que Fontconfig partage le fichier de configuration etc fonts fonts conf qui remplace le fichier etc X11 XftConfig Le fichier de configuration de Fontconfig ne doit pas tre modifi manuellement Chapitre 7 Le syst me X Window 99 Astuce En raison de la transition vers le nouveau syst me de polices les applications GTK 1 2 ne sont affect es par aucun changement apport s par le bais du dialogue Pr f rences de polices ac cessible en s lectionnant le bouton Menu principal sur le panneau gt Pr f rences gt Polices Pour ces applications une police peut tre configur e en ajoutant les lignes suivantes au fichier gtkre mine style user font fontset lt sp cification de police gt widget_class x style user font Remplacez lt sp cification de policex gt par la sp cification de la police dans le style utilis par les applications X classiques comme par exemple adobe helvetica medium r normal 120 x 4 x 4x x est possible d obtenir une liste compl te des polices de base en ex cutant xlsfonts
303. es r cup re Il essaie ensuite de les acheminer au port 25 de l ordinateur local au moyen de l ATC local pour placer les messages sur le fichier spoule de l utilisateur appropri Si Procmail est disponible il peut ensuite tre utilis pour filtrer les messages et les placer dans une bo te lettres de sorte qu ils puissent tre lus avec un AGC 11 3 2 1 Options de configuration de Fetchmail Bien qu il soit possible de passer toutes les options n cessaires pour v rifier le courrier sur un serveur distant depuis la ligne de commande lorsque l on ex cute Fetchmail il est beaucoup plus simple d utiliser un fichier fetchmailrc Toutes les options de configuration vont certes dans le fichier fetchmailrc mais il est possible de les craser lorsque Fetchmail est en cours en sp cifiant cette option la ligne de commande Le fichier fetchmailrc d un utilisateur est divis en trois types d option de configuration options globales donne Fetchmail des instructions qui contr lent l exploitation du programme ou fournit des r glages pour toute connexion de v rification du courrier options serveur Sp cifie les informations n cessaires sur le serveur scrut telles que le nom d h te de m me que les pr f rences que vous souhaitez utiliser avec un serveur de messagerie donn comme le port v rifier ou le nombre de secondes d attente avant d interrompre la connex ion Ces options affecte
304. espond l adresse IP du syst me distance Cette valeur n est en g n ral pas sp cifi e WVDIALSECT lt nom gt O lt nom gt associe cette interface une configuration de composeur dans etc wvdial conf Ce fichier contient le num ro de t l phone composer et d autres informa tions importantes pour l interface 8 2 3 Autres interfaces Parmi d autres fichiers de configuration d interface courants qui utilisent ces options figurent ifcfg lo une interface de bouclage locale loopback est souvent utilis e pour effectuer des tests et est aussi utilis e dans un certain nombre d applications qui n cessitent une adresse IP r f rant au m me syst me Toutes les donn es envoy es au p riph rique de bouclage sont imm di atement renvoy es la couche r seau de l h te Ass Ne jamais modifier manuellement le script de l interface de bouclage etc sysconfig network scripts ifcfg l1o Ce faisant vous pourriez en effet provoquer un mauvais fonctionnement du syst me ifcfg irlan0 une interface infrarouge permet des informations de circuler entre des p riph riques tels qu un ordinateur portable et une imprimante par l interm diaire d un lien in frarouge qui fonctionne de la m me fa on qu un p riph rique Ethernet sauf qu il est g n ralement utilis dans une connexion de poste poste e ifcfg plip0 une connexion Parallel Line Interface Protocol PLIP fonctio
305. est pr cis une valeur par d faut de 3 hour sera retenue e limit burst limite le nombre de paquets pouvant tre compar s une r gle un moment donn Cette option est utiliser conjointement avec l option 1imit et accepte un num ro pour en d finir le seuil Si aucun num ro n est indiqu seulement cinq paquets sont en mesure d tre contr l s la r gle module state permet la concordance d tat Ce module state permet les options suivantes state compare un paquet avec les tats de connexion suivants ESTABLISHED le paquet contr l est associ d autres paquets dans une connexion tablie Chapitre 16 iptables 249 e INVALID le paquet contr l ne peut tre associ une connexion connue __NEW le paquet contr l cr e une nouvelle connexion ou fait partie d une connexion double sens qui n a pas encore t vue RELATED le paquet contr l commence une nouvelle connexion li e d une fa on ou d une autre une connexion existante Ces tats de connexion peuvent tre employ s de concert avec d autres condition qu ils soient s par s par des virgules comme par exemple m state state INVALID NEW mac module permet la concordance d une adresse MAC mat rielle Le module mac permet l option suivante mac source compare une adresse MAC de la carte d interface r seau qui a envoy le paquet Pour ex
306. et SHELL qui est le shell par d faut Consultez la page de manuel relative procmailrc pour obtenir des explications exhaustives sur les variables d environnement de m me que leurs valeurs par d faut Chapitre 11 Courrier lectronique 173 11 4 2 Recettes Procmail Les nouveaux utilisateurs trouvent g n ralement que les recettes constituent l l ment le plus diffi cile de l apprentissage d utilisation de Procmail Ce sentiment est compr hensible jusqu un certain point tant donn que les recettes proc dent la comparaison avec les messages l aide d expressions r guli res qui est un format particulier utilis pour sp cifier des qualifications de concordance de cha nes Ceci tant les expressions r guli res ne sont pas tr s compliqu es cr er et le sont encore moins comprendre et lire De plus la coh rence avec laquelle les recettes Procmail sont crites sans tenir compte des expressions r guli res permet de comprendre facilement ce qui se passe L explication exhaustive des expressions r guli res va au del de la port e de ce chapitre La structure des recettes Procmail est plus importante et des exemples pratiques de recettes Procmail figurent diff rents endroits sur Internet notamment http www iki fi era procmail links html Le bon usage et l adaptation des expressions r guli res qui se trouvent dans ces exemples de recettes d pendent de la compr hension de la st
307. et aux processus en cours d ex cution De plus certains des fichiers situ s dans l arborescence du r pertoire proc peuvent tre manipul s par les utilisateurs ainsi que par les applications afin de transmettre des changements de configuration au noyau 5 1 Un syst me de fichiers virtuel Sous Linux toutes les donn es sont stock es en tant que fichiers La plupart des utilisateurs sont fa miliers avec les deux principaux types de fichiers texte et binaire Mais le r pertoire proc contient un autre type de fichier nomm fichier virtuel C est pour cette raison que proc est souvent d sign sous le nom de syst me de fichiers virtuel Ces fichiers virtuels ont des qualit s uniques La plupart d entre eux ont une taille gale z ro octet pourtant lorsqu on les affiche on constate qu ils contiennent parfois une grande quantit d informations De plus la plupart du temps les param tres date et heure des fichiers virtuels refl tent la date et l heure actuelles et montrent ainsi le fait qu ils sont mis jour continuellement Des fichiers virtuels tels que proc interrupts proc meminfo proc mounts et proc partitions fournissent un aper u de l environnement d un syst me un moment donn D autres tels que proc filesystems et le r pertoire proc sys fournissent des informations sur la configuration du syst me ainsi que des interfaces des fins d organisation les fichiers qui contiennent d
308. et de nouvelles cl s pour prot ger l authentification et les donn es qui seront envoy es au cours de la connexion Apr s qu une certaine quantit de donn es a t transmise au moyen d une cl et d un algorithme pr cis la quantit exacte d pend de la mise en application du protocole SSH un nouvel change de cl s s effectue et produit un autre ensemble de valeurs de hachage et une autre valeur secr te partag e De cette fa on m me si un pirate r ussit d terminer les valeurs de hachage et la valeur secr te partag e ces informations ne lui seront utiles que pour une dur e limit e 18 3 2 Authentification Une fois que la couche transport a cr un tunnel s curis pour envoyer les informations entre les deux syst mes le serveur indique au client les diff rentes m thodes d authentification prises en charge telles que l utilisation d une signature dot e d une cl cod e ou la saisie d un mot de passe Le client doit ensuite essayer de s authentifier aupr s du serveur au moyen d une des m thodes sp cifi es Les serveurs et clients SSH pouvant tre configur s de fa on permettre diff rents types d authentification chacune des deux parties se voit attribuer un niveau de contr le optimal Le serveur peut d cider des m thodes de cryptage prendre en charge en fonction de son mod le de s curit et le client peut choisir l ordre des m thodes d authentification utiliser pa
309. et sont l endroit o des changements peuvent tre apport s aux fichiers les serveurs de noms primaires secondaires ou serveurs de noms esclaves quant eux re oivent leurs fichiers de zone des serveurs de noms primaires Tout serveur de noms peut tre simultan ment ma tre ou esclave pour diff rentes zones et peut aussi tre consid r comme faisant autorit pour de multiples zones Tout cela d pend de la configuration du serveur de noms 12 1 2 Types de serveurs de noms Il existe quatre types de configuration de serveurs de noms ma tre Stocke les enregistrements de zone originaux faisant autorit pour un certain espace de nom et r pond aux questions d autres serveurs de noms qui cherchent des r ponses concernant cet espace de nom esclave R pond aux requ tes d autres serveurs de noms concernant les espaces de nom pour lesquels il est consid r comme faisant autorit Les serveurs de noms esclaves re oivent leurs informations d espace de noms des serveurs de noms ma tres e caching only Offre des services de r solution nom vers IP mais ne fait pas autorit dans n importe quelle zone Les r ponses pour toutes les r solutions sont plac es en cache dans une base de donn es stock e en m moire pour une p riode tablie qui est sp cifi e par l enregistrement de zone import retransmission Fait suivre des requ tes pour r solution une liste sp cifique de serveurs de noms S
310. etc xinetd conf Le fichier etc xinetd conf contient des param tres de configuration g n raux ayant une in fluence sur tous les services plac s sous le contr le de xinetd Il n est lu que lors du lancement du service xinetd par cons quent afin que des changement apport s la configuration puissent prendre effet l administrateur doit red marrer le service xinetd Ci apr s figure un exemple de fi chier etc xinetd conf defaults instances 60 log_type SYSLOG authpriv log_on_success HOST PID log_on_failure HOST cps 25 30 includedir etc xinetd d 234 Chapitre 15 Les enveloppeurs TCP et xinetd Ces lignes contr lent divers aspects de xinetd instances d termine le nombre maximum de requ tes qu un service xinetd peut g rer un moment donn log_type indique xinetd d utiliser le journal authpriv qui enregistre des entr es de journalisation dans le fichier var log secure En ajoutant ici une directive comme FILE var log xinetdlog un fichier de journalisation personnalis portant le nom xinetdlog sera cr dans le r pertoire var 1og log_on_success Configure xinetd de fa on ce qu il journalise si la connexion est tablie avec succ s Par d faut sont enregistr s aussi bien l adresse IP de l h te distant que l ID de proces sus du serveur traitant la requ te log_on_failure Configure xinetd de fa on ce qu il journalise si la connexion cho
311. etd 240 Chapitre 15 Les enveloppeurs TCP et xinetd D redhat Chapitre 16 iptables Avec Red Hat Linux sont install s des outils permettant le filtrage de paquets r seau le processus contr lant les paquets r seau lorsqu ils entrent traversent et sortent de la pile r seau dans le noyau Les noyaux ant rieurs la version 2 4 utilisaient ipchains pour le filtrage de paquets et faisaient appel des listes de r gles appliqu es aux paquets chaque tape du processus de filtrage Avec le noyau version 2 4 a t mis service iptables aussi appel netfilter qui est semblable la commande ipchains si ce n est qu elle multiplie les potentialit s et le degr de contr le disponible lors du filtrage de paquets Ce chapitre d crit en d tail les principes des techniques de filtrage de paquets en expliquant les dif f rences entre ipchains et iptables en pr sentant les diff rentes options disponibles avec ip tables et en montrant comment maintenir l int grit des r gles de filtrage entre chaque d marrage de votre syst me Pour obtenir des instructions sur la construction de r gles iptables ou sur la configuration d un pare feu bas sur ces r gles reportez vous la Section 16 5 T VIRE Le m canisme de pare feu par d faut dans le noyau 2 4 est iptables mais iptables ne peut pas tre utilis si ipchains est d j mis en oeuvre Si ipchains sont pr sentes au d marrage le noyau annoncera une
312. ette section donne un bref aper u de la mani re de configurer votre syst me Red Hat Linux pour per mettre l authentification l aide de OpenLDAP moins que vous ne soyez un expert de OpenLDAP vous aurez probablement besoin de plus de documentation que vous n en trouverez ici Reportez vous aux r f rences de la Section 13 9 pour de plus amples informations Installez les paquetages LDAP n cessaires Commencez par v rifier que les paquetages appropri s sont pr sents la fois sur le serveur LDAP et sur les machines LDAP clientes Le serveur LDAP n cessite le paquetage openldap Servers Les paquetages openldap openldap clients et nss_1dap doivent tre install s sur tous les ordinateurs clients LDAP ditez les fichiers de configuration e Sur le serveur LDAP ditez le fichier etc openldap slapd conf pour vous assurer qu il correspond bien aux l ment sp cifiques de votre organisation Pour obtenir des instructions sur la mani re d diter s1apd conf reportez vous la Section 13 6 1 e Sur les ordinateurs clients etc ldap conf et etc openldap 1dap conf doivent con tenir les informations correctes sur le serveur et la base de recherche de votre organisation La fa on la plus simple de proc der consiste lancer l Outil de configuration d authentification authconfig gtk et s lectionner Activer le support LDAP sous l onglet Informations utilisateur Vous pouvez aussi diter ces fichiers ma
313. euillez vous reporter aux ressources qui suivent 10 9 1 Sites Web utiles _http httpd apache org Le site Web officiel du Serveur HTTP Apache contenant de la documen tation non seulement sur toutes les directives mais galement sur tous les modules par d faut _http www modssl org Le cite Web officiel de mod_ss1 _http www apacheweek com Une excellente ressource publiant en ligne toutes les semaines des documents de toutes sortes en relation avec Apache 10 9 2 Livres sur le sujet Apache Desktop Reference de Ralf S Engelschall Addison Wesley crit par Ralf Engelschall un membre d Apache Software Foundation ASF et auteur de mod_ss1 Apache Desktop Refer ence est un guide de r f rence concis et exhaustif pour l utilisation du Serveur HTTP Apache et plus sp cialement pour sa compilation sa configuration et son ex cution Ce livre est galement disponible en ligne http www apacheref com e Professional Apache de Peter Wainwright Wrox Press Ltd Professional Apache est un des nom breux livres de la collection Programmer to Programmer de la maison d dition Wrox Press Ltd destin aussi bien aux administrateurs de serveurs Web aussi bien exp riment s que d butants 158 Chapitre 10 Serveur HTTP Apache Administering Apache de Mark Allan Arnold Osborne Media Group fournisseurs d acc s Internet d sireux d offrir des services plus s curis s Ce livre est destin aux
314. ex cutable de ce processus e fd R pertoire qui contient tous les descripteurs de fichiers pour un processus donn Ces derniers sont fournis en liens num rot s total 0 1 root root 64 May 8 11 31 0 gt dev null 1 root root 64 May 8 11 31 1 gt dev null 1 root root 64 May 8 11 31 2 gt dev null 1 root root 64 May 8 11 31 3 gt dev ptmx 1 root root 64 May 8 11 31 4 gt socket 1 7774817 1 root root 64 May 8 11 31 5 gt dev ptmx 1 root root 64 May 8 11 31 6 gt socket 1 7774829 1 root root 64 May 8 11 31 7 gt dev ptmx maps Contient les configurations m moire vers les divers fichiers ex cutables et les biblio th ques associ s ce processus Ce fichier peut tre long en fonction de la complexit du processus Ci apr s figure un exemple de d but de sortie du processus sshd 08048000 08086000 r xp 00000000 03 03 391479 usr sbin sshad 08086000 08088000 rw p 0003e000 03 03 391479 usr sbin sshd 08088000 08095000 rwxp 00000000 00 00 0 40000000 40013000 r xp 00000000 03 03 293205 lib 1d 2 2 5 so 40013000 40014000 rw p 00013000 03 03 293205 lib 1d 2 2 5 so 40031000 40038000 r xp 00000000 03 03 293282 lib libpam so 0 75 40038000 40039000 rw p 00006000 03 03 293282 lib libpam so 0 75 40039000 4003a000 rw p 00000000 00 00 0 4003a000 4003c000 r xp 00000000 03 03 293218 l1ib libdl 2 2 5 so 4003c000 4003d000 rw p 00001000 03 03 293218 lib libdl 2 2 5 so mem M moire retenue par le process
315. exions avec un DNS rallongeant la dur e des op rations Si HostnameLookups tre param tr e sur double le serveur tablira une recherche DNS double invers e rallongeant ainsi encore plus la dur e des op rations Afin de conserver des ressources sur le serveur la valeur par d faut pour HostnameLookups est off Si des noms d h tes sont n cessaires dans les fichiers journaux de serveur songez ex cuter l un des nombreux outils con us pour analyser les fichiers journaux ces derniers effectuent des recherches DNS non seulement de mani re plus efficace mais galement en masse lors de la rotation des fichiers journaux de serveur Web 10 5 38 ErrorLog ErrorLog sp cifie le fichier dans lequel sont consign es les erreurs du serveur La valeur par d faut pour cette directive est var log httpd error_log 10 5 39 LogLevel LogLevel d finit le niveau de d tail des messages d erreur devant s appliquer aux journaux des er reurs Les valeurs possible de LogLevel sont du niveau le moins d taill au niveau le plus d taill emerg alert crit error warn notice info ou debug La valeur par d faut pour LogLevel est warn 10 5 40 LogFormat La directive LogFormat d termine le format devant s appliquer aux fichiers journaux des diff rents serveurs Web Le LogFormat utilis d pend en fait des param tres attribu s dans la directive Cus tomLog voir la Section 10 5 41 Ci dessous figurent les options de fo
316. exports Cette option sert tester un syst me de fichiers export avant de l ajouter de fa on permanente la liste des syst mes de fichiers exporter i ne prend pas en compte etc exports seules les options donn es par la ligne de com mande sont utilis es pour d finir des syst mes de fichiers export s 118 Chapitre 9 Le syst me de fichiers r seau NFS u d sexporte des r pertoires de leur montage par des utilisateurs distants La commande ex portfs ua suspend effectivement le partage de fichier NFS tout en laissant actifs les divers d mons NFS Pour permettre au partage NFS de continuer tapez exportfs r e v op ration prolixe selon laquelle les syst mes de fichiers exporter ou d sexporter sont af fich s avec de plus amples d tails lors de l ex cution de la commande exportfs Si aucune option n est transmise la commande exportfs elle affiche une liste des syst mes de fichiers export s en cours Les changements apport s etc exports peuvent aussi se lire en rechargeant le service NFS l aide de la commande service nfs reload Ce faisant les d mons NFS demeurent actifs tout en r exportant le fichier etc exports 9 2 1 etc exports Le fichier etc exports permet non seulement de contr ler quels syst mes de fichiers sont export s vers des h tes distants mais permet galement de sp cifier des options Les lignes vierges ne sont pas prises en compte des comment
317. ez utiliser un utilitaire d interface utilisateur graphique GUI pour l administration de Kerberos vous devez galement installer le paquetage gnome kerberos Celui ci contient krb5 un outil GUI pour g rer les tickets 3 ditez les fichiers de configuration etc krb5 conf et var kerberos krb5kdc kdc conf afin qu ils correspondent vos mappages nom du realm et domaine realm Un simple realm peut tre construit en rempla ant des instances de EXAMPLE COM et example com par votre nom de domaine en vous assurant de bien respecter le format correct des noms contenant des lettres majuscules et minuscules et en changeant le KDC dans kerberos example com pour le nom de votre serveur Kerberos Par convention tous les noms de realm sont en lettres majuscules et tous les noms de d h tes et 258 Chapitre 17 Kerberos de domaines DNS sont en lettres minuscules Pour des informations d taill es sur le format de ces fichiers consultez leur page de manuel respectives Cr ez la base de donn es en utilisant l utilitaire kdb5_ut i1 partir de l invite du shell usr kerberos sbin kdb5_util create s La commande create cr e la base de donn es qui sera utilis e pour stocker les cl s pour votre realm dans Kerberos L option s permet la cr ation forc e d un fichier stash dans lequel la cl du serveurs ma tre est stock e En l absence d un fichier stash partir duquel la cl peut tre lue le serveur Ko
318. f Le fichier de configuration de LILO est etc l1ilo conf Les commandes sbin 1ilo utilisent ce fichier afin de d terminer ce qui devra tre crit sur le MBR avertissement Avant d apporter toute modification au fichier etc lilo conf assurez vous de bien faire une copie de sauvegarde du fichier Assurez vous galement que vous disposez d une disquette de d marrage afin de pouvoir modifier le MBR en cas de probl me Pour plus d informations sur la cr ation d une disquette de d marrage consultez les pages de manuel relatives mkbootdisk Le fichier etc lilo conf est utilis par la commande sbin lilo pour pr ciser le syst me d exploitation ou le noyau d marrer ainsi que l emplacement de son installation Un exemple de fichier etc lilo conf ressemble l extrait suivant Chapitre 2 Chargeurs de d marrage 21 boot dev hda map boot map install boot boot b prompt timeout 50 message boot message 1ba32 default linux image boot vmlinuz 2 4 0 0 43 6 label linux initrd boot initrd 2 4 0 0 43 6 img read only root dev hda5 other dev hda1 label dos Cet exemple illustre un syst me configur pour d marrer deux syst mes d exploitation Red Hat Linux et DOS Ci apr s figure un examen plus d taill de ces lignes boot dev hda indique LILO de s installer sur le premier disque dur du premier contr leur IDE map boot map localise le fichier map Pour une utilisation norma
319. fDefine gt et lt IfDefine gt entourent des directives de configuration Elles s appliquent si le test indiqu dans la balise lt IfDefine gt est vrai Les directives sont ignor es si le test est faux Le test dans les balises lt IfDefine gt est un nom de param tre comme par exemple HAVE_ PERL Si le param tre est d fini c est dire sp cifi comme argument de la commande de d marrage du serveur le test est vrai Dans ce cas lorsque le serveur Web est d marr le test est vrai et les directives contenues dans les balises IfDefine sont appliqu es Par d faut les balises lt IfDefine HAVE_SSL gt entourent les balises d h tes virtuels pour votre ser veur s curis Les balises lt IfDefine HAVE_SSL gt entourent galement les directives LoadModule et AddModule pour ss1_module 10 5 18 user La directive User d finit le nom d utilisateur du processus serveur et d termine les fichiers auxquels le serveur peut avoir acc s Tous les fichiers inaccessibles cet utilisateur seront galement inaccessibles aux clients se connectant au Serveur HTTP Apache La valeur par d faut donn e User est apache Remarque Pour des raisons de s curit le Serveur HTTP Apache refuse d tre ex cut en tant que super utilisateur ou root user 10 5 19 Group Sp cifie le nom de groupe des processus du Serveur HTTP Apache La valeur par d faut attribu e Group est apache 142 Chapitre 10 Serveur H
320. faut partir des options list es sous cette ligne Le nom linux renvoie la ligne label en dessous dans chacune des options de d marrage image boot vmlinuz 2 4 0 0 43 6 sp cifie le noyau Linux d marrer avec cette option de d marrage particuli re label linux pr cise l option de syst me d exploitation l cran LILO Dans ce cas il s agit galement du nom auquel la ligne default fait r f rence initrd boot initrd 2 4 0 0 43 6 img se rapporte l image du disque ram initial util is e au d marrage pour initialiser et d marrer les dispositifs permettant l amor age du noyau Le disque ram initial est un ensemble de pilotes sp cifiques n cessaires l op ration d une carte SCSI d un disque dur ou de tout autre dispositif entrant dans le chargement du noyau Ne partagez jamais des disques ram initiaux entre plusieurs machines 22 Chapitre 2 Chargeurs de d marrage e read only pr cise que la partition root voir la ligne root ci dessous est en lecture seule et ne peut pas tre modifi e lors du processus de d marrage e root dev hda5 indique LILO quelle partition de disque utiliser comme partition root other dev hdal indique la partition contenant DOS 2 10 Changement de niveau d ex cution au d marrage Sous Red Hat Linux il est possible de changer le niveau d ex cution par d faut au d marrage Si vous utilisez LILO comme chargeur de d marrage ac
321. faut tous les h tes sont autoris s interroger le serveur de noms Une liste de contr le d acc s ou un ensemble d adresses IP ou de r seaux peuvent tre utilis s ici afin de n autoriser que des h tes pr cis interroger le serveur de noms e allow recursion semblable al11ow query cette option s applique des demandes r cur sives Par d faut tous les h tes sont autoris s effectuer des demandes r cursives sur le serveur de noms blackhole sp cifie les h tes qui ne sont pas autoris s interroger le serveur de noms directory change le r pertoire de travail named var named pour une valeur autre que var named la valeur par d faut forward contr le le comportement de retransmission d une directive forwarders Les options suivantes sont accept es first tablit que les serveurs de noms sp cifi s dans la directive forwarders soient inter rog s avant que named ne tente de r soudre le nom lui m me only sp cifie que named ne doit pas tenter d effectuer lui m me une r solution de nom dans le cas o des demandes vers les serveurs de noms sp cifi s dans la directive forwarders choueraient forwarders sp cifie une liste d adresses IP valides correspondant aux serveurs de noms vers lesquels les requ tes devraient tre envoy es pour la r solution e listen on sp cifie l interface r seau sur laquelle named prend note des requ tes Par
322. fi Cette fonction peut tre employ e pour diriger vers un autre num ro de port sur le m me syst me rediriger la requ te vers une autre adresse IP sur la m me machine rediriger la requ te vers un syst me et num ro de port totalement diff rents ou pour toute combinaison de ces options De cette fa on un utilisateur se connectant un certain service sur un syst me peut tre rerout vers un autre syst me sans interruption Le d mon xinetdpeut accomplir cette redirection en produisant un processus qui reste actif pour la dur e de la connexion entre l ordinateur du client effectuant la requ te et l h te fournissant r ellement le service transf rant les donn es entre les deux syst mes Les avantages des options bind et redirect sont les plus vidents lorsque ces options sont utilis es ensemble En liant un service une adresse IP particuli re sur un syst me puis en redirigeant les requ tes pour ce service vers une seconde machine que seule la premi re peut percevoir il est possible 238 Chapitre 15 Les enveloppeurs TCP et xinetd d utiliser un syst me interne pour fournir des services un r seau totalement diff rent Ces options peuvent galement tre utilis es pour non seulement limiter l exposition d un service particulier sur un ordinateur multi sites une adresse IP connue mais aussi pour rediriger toute requ te pour ce service vers une autre machine sp cialement configur e cet effet E
323. fication 155 modification du partage 157 domaines d ex cution 51 Voir Aussi proc execdomains d finition de 51 Dos Voir Refus de service DSO chargement 155 d monnamed Voir BIND 300 E ELILO 3 11 Emplacement de fichiers Red Hat Linux sp ciaux letc sysconfig 30 Voir Aussi sysconfig r pertoire var lib rpm 30 var spool up2date 30 enveloppeurs TCP 233 Voir Aussi xinetd avantages des 226 d finition 226 fichiers de configuration letc hosts allow 226 227 letc hosts deny 226 227 champs d options 230 expansions 232 fichiers d acc s des h tes 227 gabarits 229 jockers 228 option de contr le d acc s 231 option de journal 231 option des commandes du shell 231 option spawn 231 option twist 231 op rateurs 230 r gles de formatage dans 227 pr sentation 225 ressources suppl mentaires documentation install e 239 livres sur le sujet 239 sites Web utiles 239 enveloppeurs TCP wrappers ressources suppl mentaires 239 environnements de bureau Voir XFree86 epoch 61 Voir Aussi proc stat d finition de 61 ErrorDocument directive de configuration Apache 151 ErrorLog directive de configuration Apache 146 Ethernet Voir r seau ExtendedStatus directive de configuration Apache 141 F Fetchmail 167 options de commande 170 information 170 sp ciales 170 options de configuration 167 options globales 168 options serveur 169 options utilisateur 169 re
324. fichage configuration pr f r e 102 d finition 102 gdm 102 kdm 102 prefdm script 102 xdm 102 gestionnaires de fen tre kwin 91 metacity 91 mwm 91 sawfish 91 twm 91 niveaux ex cution 3 101 5 102 niveaux d ex cution et 101 polices ajout de polices Fontconfig 99 ajout de polices xfs 101 configuration de xfs 100 extension X Render 98 Fontconfig 98 FreeType 98 introduction 98 serveur de polices X 100 sous syst me de polices X de base 100 xfs 100 Xft 98 pr sentation 89 ressources suppl mentaires 103 documentation install e 103 livres sur le sujet 104 sites Web utiles 103 serveur X 89 XFree86 89 serveur X server fonctions 89 utilitaires Outil de configuration X 89 X clients gestionnaires de fen tre 91 xinetd 233 Voir Aussi enveloppeurs TCP attaques Dos et 238 fichiers de configuration 233 letc xinetd conf 233 option de journalisation 234 options de contr le d acc s 236 options de gestion de ressources 238 options de journalisation 233 235 options de laison 237 options de redirection 237 r pertoire etc xinetd d 234 pr sentation 225 233 relation avec les enveloppeurs TCP 236 ressources suppl mentaires documentation install e 239 livres sur le sujet 239 sites Web utiles 239 xinit Voir XFree86 309 redhat Colophon Les guides Red Hat Linux sont crits sous format DocBook SGML v4 Les formats HTML et PDF sont produit
325. fie une adresse IP assigner un nom comme dans l exemple ci dessous lt h te gt IN A lt adresse IP gt Chapitre 12 Berkeley Internet Name Domain BIND 193 Si la valeur lt h teY gt est omise alors un enregistrement A renvoie une adresse IP par d faut pour le haut de l espace de nom Ce syst me est la cible de toutes les requ tes non FQDN Examinons les exemples d enregistrement A suivants pour le fichier de zone example com IN A 10 0 1 3 serveri IN A 100 15 Les requ tes pour example com sont orient es vers 10 0 1 3 alors que les requ tes pour ser verl example com sont orient es vers 10 0 1 5 CNAME enregistrement de nom canonique mappant un nom un autre Ce type d enregistrement est pus connu sous le nom d enregistrement d alias L exemple suivant donne named l instruction d envoyer toute requ te au lt nom alias gt qui sera sera alors orient e vers l h te lt nom r e1 gt Les enregistrements CNAME sont g n ralement utilis s pour orienter vers les services qui utilisent un proc d commun de nommage comme par exemple www pour les serveurs Web lt nom alias gt IN CNAME lt nom r el gt Dans l exemple suivant un enregistrement A fixe un nom d h te une adresse IP alors qu un enre gistrement CNAME y oriente le nom d h te www le fr quemment utilis serveri IN A 10 0 1 5 WWW IN CNAME serverl e MX enregistrement Mail eXchange qui indique o doit se
326. frent trois utilitaires de ce type e sbin chkconfig l utilitaire sbin chkconfig est un outil de ligne de commande simple permettant de maintenir la hi rarchie des r pertoires etc rc d init d e _ sbin ntsysv l utilitaire sbin ntsysv bas sur ncurses fournit une interface interactive de mode texte que certains utilisateurs trouvent plus simple utiliser que chkconfig L Outil de configuration des services le programme graphique Outil de configuration des services redhat config services est un utilitaire flexible bas sur GTK2 permettant de con figurer les niveaux d ex cution Veuillez vous reporter au chapitre concernant le Contr le de l acc s aux services du Guide de person nalisation de Red Hat Linux pour obtenir de plus amples informations sur ces outils 1 5 Arr t Pour arr ter Red Hat Linux le super utilisateur peut ex cuter la commande sbin shutdown La page de manuel relative shutdown contient une liste compl te des options ceci tant les deux options les plus courantes sont les suivantes sbin shutdown hnow sbin shutdown rnow Apr s avoir tout arr t l option h teindra l ordinateur et l option r le red marrera Les utilisateurs autres que les super utilisateur peuvent utiliser les commandes reboot et halt pour teindre l ordinateur en tant un niveau d ex cution entre 1 et 5 Tous les syst mes d exploitation Linux ne prennent cependant pas en charge cette fon
327. ftp mod_proxy_http mod_proxy_connect Chapitre 10 Serveur HTTP Apache 155 En outre les modules suivants sont disponibles en installant des paquetages compl mentaires mod_auth_ mysql mod_auth_pgsql mod_perl mod_python mod_ssl php squirrelmail 10 7 Ajout de modules Le Serveur HTTP Apache prend en charge les objets partag s dynamiques ou DSO de l anglais Dynamically Shared Objects ou des modules qui peuvent tre charg s facilement lors de l exploitation selon les besoins L Apache Project fournit en ligne une documentation compl te sur les objets partag s dynamiques DSO l adresse suivante http httpd apache org docs 2 0 dso html Sinon si le paquetage http manual est install e de la documentation sur DSO se trouve http localhost manual mod Pour que le Serveur HTTP Apache puisse utiliser un DSO ce dernier doit tre sp cifi dans une directive LoadModule du r pertoire etc httpd conf httpd conf sile module est fourni par un paquetage s par la ligne doit appara tre dans le fichier de configuration du module dans le r pertoire etc httpd conf d Reportez vous la Section 10 5 15 pour obtenir de plus amples informations sur la directive LoadModule Lors de l ajout ou de la suppression des modules du fichier http conf le Serveur HTTP Apache doit tre recharg et relanc comme l explique la Section 10 4 Lors de la cr ation d un nouveau module installez tout d abord le paque
328. g rement diff rent car les informations IP sont fournies par le serveur DHCP dans ce cas DEVICE eth0 BOOTPROTO dhcp ONBOOT yes L utilitaire Outil d administration de r seau redhat config network permet de modifier faci lement les diff rents fichiers de configuration des interfaces r seau reportez vous au chapitre intitul Configuration r seau du Guide de personnalisation de Red Hat Linux pour obtenir des instructions d taill es sur l utilisation de cet outil Vous pouvez galement modifier manuellement le fichier de configuration pour une interface r seau donn e Vous trouverez ci dessous une liste de param tres pouvant tre configur s dans un fichier de configu ration d interface Ethernet BOOTPROTO lt protocole o lt protocole gt correspond l une des valeurs suivantes none sp cifie quaucun protocole de d marrage ne devrait tre utilis bootp sp cifie que le protocole BOOTP devrait tre utilis dhcp sp cifie que le protocole DHCP devrait tre utilis Chapitre 8 Interfaces r seau 109 BROADCAST lt adresse gt o lt adresse gt correspond l adresse de diffusion Cette directive est d conseill e DEVICE lt nom gt O lt nom gt correspond au nom du p riph rique physique l exception des p riph riques PPP affectation dynamique o il s agit du nom logique DNS 1 2 lt adresse gt o lt adressex gt correspond une adres
329. ge de KDE permettant le d marrage l arr t et la connexion au syst me par l utilisateur xdm Un gestionnaire d affichage rudimentaire ne permettant que la connexion de l utilisateur au syst me Lors du d marrage au niveau d ex cution 5 le script prefdm d termine le gestionnaire d affichage de pr f rence en consultant le fichier etc sysconfig desktop Pour obtenir une liste des options disponibles pour ce fichier reportez vous au fichier usr share doc initscripts lt num ro de version gt sysconfig txt o lt num ro de versionx gt correspond au num ro de ver sion du paquetage initscripts Chacun des gestionnaires d affichage consultent le fichier etc X11 xdm Xsetup_O pour configurer l cran de connexion Une fois que l utilisateur s est connect au syst me le script etc X11 xdm GiveConsole s ex cuter pour assigner l utilisateur la propri t de la console Ensuite le script etc X11 xdm Xsession se lance pour effectuer de nombreuses t ches habituellement ex cut es par le script xinitrc lorsque X est d marr au niveau d ex cution 3 y compris le param trage du syst me et des ressources utilisateurs et le lancement des scripts dans le r pertoire etc X11 xinit xinitrc d L utilisateur peut sp cifier l environnement de bureau qu il souhaite utiliser quand il s authentifie par le bais des gestionnaires d affichage gdm ou kdm en le s lectionnant dans le menu Session access
330. gent de distribution du courrier AddDescription directive de configuration Apache 149 AddEncoding directive de configuration Apache 150 AddHandler directive de configuration Apache 150 Addicon directive de configuration Apache 149 AddiconByEncoding directive de configuration Apache 148 AddiconByType directive de configuration Apache 149 AddLanguage directive de configuration Apache 150 AddType directive de configuration Apache 150 AGC Voir Agent de gestion de courrier Agent de distribution du courrier Voir courrier lectronique Agent de gestion de courrier Voir courrier lectronique Agent de transfert de courrier Voir courrier lectronique Alias directive de configuration Apache 147 Allow directive de configuration Apache 144 AllowOverride directive de configuration Apache 144 Apache Voir Serveur HTTP Apache arr t 9 Voir Aussi arr t ATC Voir Agent de transfert de courrier Attaque de DoS Voir Attaque de refus de Service Attaque de refus de Service 75 Voir Aussi r pertoire proc sys net d finition de 75 autofs 120 B Berkeley Internet Name Domain Voir BIND BIND configuration directives de fichiers de zone 192 enregistrements de ressources de fichiers de zone 192 example de d clarations zone 189 exemples de fichiers de zone 195 r solution de noms invers e 196 d mon named 185 erreurs courantes 200 fichier de configuration fichiers de zone 191
331. gt Remplacez lt example com gt par le nom de domaine de second niveau du serveur Web Pour fournir des rapports de configuration de serveur y compris des modules install s et des directives de configuration en r ponse des requ tes en provenance de votre domaine utilisez les directives suivantes lt Location server info gt SetHandler server info Order deny allow Deny from all Allow from lt example com gt lt Location gt Ici encore remplacez lt example com gt par le nom de domaine de second niveau du serveur Web 152 Chapitre 10 Serveur HTTP Apache 10 5 64 ProxyRequests Pour configurer le Serveur HTTP Apache de mani re ce qu il fonctionne comme un serveur Proxy supprimez le symbole di se plac au d but de la ligne lt IfModule mod_proxy c gt pour charger le module mod_proxy et param trez la directive ProxyRequests sur On 10 5 65 Proxy Les balises lt Proxy gt et lt Proxy gt permettent de cr er un conteneur qui renferme un groupe de directives de configuration devant s appliquer seulement au serveur proxy l int rieur des balises lt Proxy gt il est possible d utiliser de nombreuses directives s appliquant un r pertoire 10 5 66 ProxyVia La commande ProxyVia contr le si une ligne d en t te HTTP Via est envoy e en m me temps que les demandes ou les r ponses transitant par le serveur proxy Apache L en t te Via indique le nom d h te si ProxyVia a pour v
332. h te sont inconnus ou lorsque l utilisateur est inconnu PARANOID Autorise tout h te dont le nom d h te ne correspond pas l adresse d h te O rentin Les jokers KNOWN UNKNOWN et PARANOID doivent tre utilis s avec pr caution car une rupture de la r solution de noms peut emp cher des utilisateurs l gitimes d acc der au service 15 2 1 2 Patterns Les gabarits peuvent tre utilis s dans le champ de la liste de clients des r gles d acc s afin de sp cifier de mani re plus pr cise des groupes d h tes clients Ci dessous figure une liste des gabarits les plus commun ment accept s pour une entr e dans la liste de clients Nom d h te commen ant par un point En pla ant un point au d but d un nom d h te tous les h tes partageant l l ment list du nom seront autoris s L exemple suivant s appliquerait tout h te du domaine example com ALL example com Adresse IP finissant par un point En pla ant un point la fin d une adresse IP tous les h tes partageant les premiers groupes num riques d une adresse IP seront autoris s L exemple suivant s appliquerait tout h te du r seau 192 168 x x ALL 192 168 Paire adresse IP masque r seau Les expression de masques r seau peuvent galement tre utilis es comme un gabarit pour contr ler l acc s un groupe particulier d adresses IP L exemple suivant s appliquerait tout h te
333. h et Lar Kaufman dit par O Reilly amp Associates e Red Hat Linux 8 Unleashed de Bill Ball et Hoyle Duff Pearson Education Les livres ci dessus sont d excellentes sources d informations sur le fonctionnement de base du sys t me Red Hat Linux Pour des informations plus approfondies reportez vous aux livres mentionn s dans les diff rents chapitres de ce manuel en particulier dans la section Ressources suppl mentaires 2 2 Documentation pour les utilisateurs exp riment s Si vous avez utilis d autres distributions Linux vous connaissez probablement d j les commandes les plus utilis es Vous avez peut tre install votre syst me Linux et t l charg des logiciels que vous avez trouv s sur Internet Une fois Linux install les proc dures de configuration peuvent toutefois poser probl me Le Guide de personnalisation de Red Hat Linux est con u pour expliquer la ou les configuration s du syst me Red Hat Linux afin de pouvoir choisir celle r pondant le mieux vos objectifs Ce guide vous permettra d acqu rir des connaissances sur des options de configuration sp cifiques et vous expliquera comment les appliquer Lorsque vous installez des logiciels qui ne figurent pas dans le Guide de personnalisation de Red Hat Linux il est souvent utile de voir ce que d autres personnes ont fait dans des circonstances si milaires Les documents HOWTO du Projet de documentation Linux disponibles l adresse sui v
334. h required lib security pam_stack so service system auth Tout d abord pam_nologin so v rifie l existence de etc nologin S il existe seul le super utilisateur ou root se voit autoriser la connexion auth required lib security pam_securetty so Le module pam_securetty so emp che les connexions en tant que super utilisateur sur des termi naux non s curis s Ce faisant toute tentative d acc s au module rlogin est rejet e en raison des pr cautions de s curit Astuce Pour tablir une connexion en tant que super utilisateur utilisez OpenSSH la place Pour plus d informations sur le protocole SSH consultez le Chapitre 18 auth required lib security pam_env so Cette ligne charge le module pam_env s0 qui d finit les variables d environnement sp cifi es dans etc security pam_ env conf auth sufficient lib security pam_ rhosts_auth so Le module pam_rhosts_auth so authentifie ensuite l utilisateur l aide de rhosts dans le r pertoire personnel de l utilisateur En cas de r ussite PAM authentifie imm diatement la session En revanche si pam_rhosts_auth so choue lors de l authentification de l utilisateur cette tentative non r ussie n est pas prise en compte auth required lib security pam stack so service system auth Si le module pam rhosts_auth so ne r ussit pas authentifier l utilisateur le module pam_stack so ex cute une authentification normale avec mot de passe
335. ha nes INPUT ou FORWARD et des inter faces de sortie option o avec les cha nes FORWARD ou OUTPUT Ceci est n cessaire d une part parce que les cha nes OUTPUT ne sont plus utilis es par les interfaces d entr e et d autre part parce que les cha nes INPUT ne sont pas vues par les paquets se d pla ant au travers des interfaces de sortie Les pr cisions ci dessus ne constituent en aucun cas une liste compr hensive des changements ap port s en effet iptables repr sente fondamentalement un filtre r seau r crit Pour obtenir des informations plus sp cifiques reportez vous au document Linux 2 4 Packet Filtering HOWTO qui se trouve dans la Section 16 5 16 3 Options utilis es avec les commandes iptables Les r gles permettant le filtrage de paquets par le noyau sont mise en oeuvre en ex cutant la com mande iptables Lorsque vous utilisez la commande iptables vous devez sp cifier les options suivantes Type de paquet stipule le type de paquets que la commande filtre Origine Destination du paquet sp cifie les paquets que la commande filtre sur la base de l origine ou de la destination du paquets e Cible stipule l action appliquer sur les paquets remplissant les crit res voqu s ci dessus Les options utilis es avec une r gle iptables donn e doivent tre logiquement group es sur la base du but et des conditions de la r gle g n rale afin que la r gle soit valide 16 3 1 Tables
336. hier correspond la version du paquetage GRUB install La page d info de GRUB accessible en tapant la commande info grub contient des le ons ainsi qu un manuel de r f rence pour les utilisateurs et les programmeurs et un Forum Aux Questions FAQ usr share doc lilo lt num ro de version gt Ce r pertoire contient un nombre impor tant d informations sur l utilisation et la configuration de LILO Plus pr cis ment le sous r pertoire doc contient un fichier postscript appel User_Guide ps qui contient des informations tr s utiles Le lt num ro de version gt dans le chemin d acc s vers ce r pertoire correspond la version du paquetage GRUB install Chapitre 2 Chargeurs de d marrage 23 2 11 2 Sites Web utiles _http www gnu org software grub La page d accueil du projet GRUB de GNU Ce site contient des informations concernant l tat du d veloppement de GRUB ainsi qu un FAQ http www uruk org orig grub La documentation originale de GRUB telle qu elle existait avant que le projet ne soit pass la Free Software Foundation pour un plus d veloppement pouss _http www redhat com mirrors LDP HOWTO mini Multiboot with GRUB html examine les diff rents usages possibles de GRUB y compris le d marrage de syst mes d exploitation autres que Linux http www linuxgazette com issue64 kohli html Un article d introduction traitant de la configu ration de GRUB su
337. hitecture r side dans le choix de l application utilis e pour trouver et charger le noyau Par exemple l architecture Alpha utilise le chargeur de d marrage aboot tandis que l architecture Itanium utilise le chargeur de d marrage ELILO Consultez le Guide d installation de Red Hat Linux sp cifique ces plates formes pour obtenir de plus amples informations sur la mani re de configurer leurs chargeurs de d marrage 2 Pour obtenir des informations concernant la cr ation d un initrd consultez le chapitre intitul Le syst me de fichiers ext3 du Guide de personnalisation de Red Hat Linux 4 Chapitre 1 Processus de d marrage Init et arr t 1 2 3 Le noyau Lors du chargement du noyau ce dernier initialise et configure imm diatement la m moire de l ordinateur Ensuite il configure les divers mat riels attach s au syst me y compris tous les processeurs et sous syst mes E S ainsi que les p riph riques de stockage Il recherche ensuite l image initrd compress e dans un emplacement pr d termin dans la m moire la d compresse la monte et charge tous les pilotes n cessaires Ensuite il initialise les dispositifs virtuels li s aux syst mes de fichiers tels que LVM ou RAID logiciel avant de d monter l image disque initrd et de lib rer par l m me toute la m moire qu elle occupait Le noyau cr e alors un dispositif root monte la partition root en lecture seule et lib re la m moire non utili
338. hodes d authentification Plut t que de laisser l authentification avoir lieu entre chaque machine cliente et chaque serveur Kerberos utilise un cryptage sym trique et un programme fiable connu sous le nom de Centre distributeur de tickets KDC Key Distribu tion Center afin d authentifier les utilisateurs sur un r seau Une fois l authentification effectu e 256 Chapitre 17 Kerberos Kerberos stocke un ticket sp cifique cette session sur l ordinateur de l utilisateur et les services ker beris s rechercheront ce ticket au lieu de demander l utilisateur de s authentifier l aide d un mot de passe a Lorsqu un utilisateur d un r seau kerberis se connecte sur son poste de travail son principal est envoy au KDC comme une demande de TGT Cette demande peut tre mise par le programme de connexion de sorte qu elle est transparente pour l utilisateur ou peut tre mise par le programme kinit une fois l utilisateur connect Le KDC v rifie la pr sence du principal dans sa base de donn es Si le principal y figure le KDC cr e un TGT le crypte l aide de la cl de l utilisateur puis le renvoie ce dernier Le programme de connexion ou le progamme kinit pr sent sur l ordinateur client d crypte ensuite le TGT l aide de la cl de l utilisateur qu il recompose partir du mot de passe La cl de l utilisateur est utilis e seulement sur l ordinateur
339. i en centi mes de seconde de paquets ICMP aux h tes sous certaines conditions La valeur 0 liminant tout d lai elle n est pas recommand e e icmp_echo_ignore_all et icmp_echo_ignore_broadcasts permet au noyau d ignorer les paquets ECHO ICMP de tous les h tes ou uniquement ceux qui proviennent respectivement d adresses de diffusion ou de multidiffusion Une valeur de 0 permet au noyau de r pondre alors qu une valeur de 1 elle lui fait ignorer les paquets ip_default_tt1 d finit la dur e de vie TTL de l anglais Time To Live par d faut qui limite le nombre de sauts qu un paquet peut faire avant d atteindre sa destination L augmentation de cette valeur peut r duire les performances du syst me ip_forward permet aux interfaces du syst me de r acheminer des paquets aux autres inter faces Par d faut ce fichier est d fini sur 0 En param trant ce fichier sur 1 vous activez le r achem inement des paquets r seau ip_local_port_range sp cifie la plage de ports que TCP ou UDP doivent utiliser lorsqu un port local est requis Le premier nombre correspond au port le plus bas utiliser et le second au port le plus lev Tout syst me sur lequel on s attend un nombre de ports requis sup rieur aux valeurs 1024 4999 par d faut devrait utiliser la plage 32768 61000 dans ce fichier e tcp_syn_retries fournit une limite du nombre de fois que votre syst me retran
340. i aucun des serveurs de noms sp cifi s ne peut effectuer la r solution le processus s arr te et la r solution a chou Un serveur de noms peut tre d un ou plusieurs de ces types Par exemple un serveur de noms peut tre non seulement ma tre pour certaines zones esclave pour d autres mais peut galement offrir seulement la transmission d une r solution pour d autres encore Chapitre 12 Berkeley Internet Name Domain BIND 185 12 1 3 BIND en tant que serveur de noms Le serveur de noms BIND fournit ses services de r solution de noms l aide du d mon usr sbin named BIND contient galement un utilitaire d administration appel usr sbin rndc De plus amples informations sur rndc sont disponibles dans la Section 12 4 BIND stocke ses fichiers de configuration dans les deux endroits suivants e le fichier etc named conf le fichier de configuration du d mon named e le r pertoire var named le r pertoire de travail de named qui stocke les fichiers de zone de statistiques et les fichiers de cache Les sections suivantes examinent les fichiers de configuration de mani res plus d taill e 12 2 etc named conf Le fichier named conf est une suite de d clarations utilisant des options ins r es qui sont plac es entre accolades Les administrateurs doivent tre tr s prudents lorsqu ils modifient le fichier named conf et doivent veillez tout particuli rement ne pas faire de faut
341. ible en choisissant le bouton Menu principal sur le panneau gt Pr f rences gt Pr f rences sup pl mentaires gt Sessions Si l environnement de bureau n est pas sp cifi dans le gestionnaire de fen tre le script etc X11 xdm Xsession v rifiera les fichiers xsession et Xclients dans le r pertoire personnel ou home de l utilisateur pour d cider quel environnement de bureau charger En dernier ressort le fichier etc X11 xinit Xclients la r f rence pour s lectionner un environne ment de bureau ou gestionnaire de fen tres utiliser de la m me fa on que pour le niveau d ex cution 3 Lorsque l utilisateur termine une session X sur l affichage par d faut 0 et se d connecte le script etc X11 xdm TakeConsole s ex cute et r assigne la propri t de la console au super utilisateur Chapitre 7 Le syst me X Window 103 ou root Le gestionnaire d affichage original qui ne s est pas teint depuis la connexion de l utilisateur reprend le contr le d clenchant un nouveau gestionnaire d affichage Ce faisant le serveur XFree86 est red marr un nouvel cran d authentification est affich et tout le processus recommence L utilisateur revient au gestionnaire d affichage apr s s tre d connect de X au niveau d ex cution 5 Pour obtenir de plus amples informations sur le cont le de l authentification des utilisateurs par les gestionnaires d affichage reportez vous d une
342. ication password est utilis e mais certains protocoles prennent en charge d autres types d authentification notamment kerberos_v5 kerberos_v4 et ssh Si le type d authentification any est retenu Fetchmail essaiera d abord des m thodes qui ne n cessitent aucun mot de passe puis des m thodes qui masquent votre mot de passe et en dernier ressort essaiera d envoyer votre mot de passe en texte en clair pour effectuer l authentification au serveur e interval lt nombre gt Indique Fetchmail de ne scruter que ce serveur chaque lt nombre gt de fois qu il v rifie le courrier sur tous les serveurs configur s Cette option est g n ralement utilis e pour les serveurs de messagerie sur lesquels un utilisateur ne re oit que peu de messages port lt num ro de port gt crase le num ro de port par d faut pour un protocole sp cifi proto lt protocole gt Sp cifie un protocole particulier tel que pop3 ou imap utiliser pour v rifier le courrier sur ce serveur timeout lt secondes gt Sp cifie la dur e d inactivit du serveur en secondes apr s laquelle Fetchmail abandonne une tentative de connexion Si cette valeur n est pas configur e le syst me retient une valeur par d faut de 300 secondes 11 3 2 4 Options utilisateur Les options utilisateur peuvent tre plac es sur leurs propres lignes sous une option serveur ou alors sur la m me ligne qu une option serveur Dans les deux
343. ication peuvent tre embo t s offrant ainsi plus de contr le pour l identification et l ex cution d actions sur les messages Les recettes de distribution qui correspondent des messages font en sorte que Procmail ex cute l action sp cifi e et cesse de comparer les messages en question aux autres recettes Les messages qui correspondent aux conditions de recettes de non distribution continuent d tre compar s aux autres recettes dans les fichiers rc courants et suivants En d autres termes les recettes de non distribution font en sorte que les messages continuent vers les autres recettes apr s l ex cution d une action sur eux 11 4 2 2 Indicateurs Les indicateurs sont tr s importants pour d terminer la fa on dont les conditions d une recette sont compar es un message et pour d cider si elles doivent l tre ou non Les indicateurs suivants sont couramment utilis s A Sp cifie que cette recette ne sera utilis e que si la recette pr c dente sans indicateur A ou a a galement obtenu la concordance avec ce message Pour vous assurer que l action sur cette derni re recette pr c dente correspondante a bel et bien t compl t e avant d accorder la concordance la recette actuelle utilisez plut t l indicateur a B Analyse le corps du message et recherche des conditions de concordance b Utilise le corps de message pour toute action r sultante telle que l criture du
344. ichiers se trouvent dans le fichier etc exports Ce fichier est lu par la commande exportf s pour fournir rpc mountd et rpc nfsd les informations n cessaires pour le montage distant d un syst me de fichier par un h te autoris La commande export fs permet au super utilisateur d exporter ou d sexporter s lectivement des r pertoires sans red marrer le service NFS Lorsque exportf s a pass les options appropri es les syst mes de fichiers exporter sont crits dans var lib nfs xtab Puisque rpc mountd se r f re au fichier xtab lorsqu il d cide des privil ges d acc s un syst me de fichier les changements apport s la liste des syst mes de fichiers export s prennent effet imm diatement Diverses options sont disponibles lorsque l on utilise export fs e r provoque l exportation de tous les r pertoires list s dans etc exports par la construction d une nouvelle liste d exportation dans etc l1ib nfs xtab Cette option rafra chit effective ment la liste d exportations par tout changement apport etc exports a provoque l exportation ou la d sexportation de tous les r pertoires selon les autres options d exportfs o options permet l utilisateur de sp cifier les r pertoires exporter qui ne sont pas list s dans etc exports Ces partages de syst mes de fichiers suppl mentaires doivent tre crits de la m me mani re qu ils sont sp cifi s dans etc
345. iculi res pour le montage du syst me de fichiers export placez les dans la section lt options de montage gt en les s parant bien par des virgules Pour des montages NFS utilisant autofs placez fstype nfs dans la section lt options de montage gt Bien que les fichiers de configuration autofs puissent tre utilis s pour divers montages pour divers types de p riph riques et syst mes de fichiers ils se r v lent particuli rement utiles lors de la cr aton de montages NFS Par exemple des organisations stockent le r pertoire home d utilisateur sur un serveur central via le partage NFS Ensuite elles configurent le fichier auto master sur chacune des stations de travail pour renvoyer un fichier auto home contenant les sp cifications du montage du r pertoire home via NFS Cela permet l utilisateur d acc der ses donn es personnelles et aux fichiers de configuration dans son r pertoire home en se connectant sur n importe quel ordinateur du r seau interne Le fichier auto master dans cette situation ressemblerait l extrait suivant home etc auto home Ceci installe le point de montage home sur le syst me de fichier local configurer avec le fichier etc auto home qui pourrait ressembler l extrait suivant fstype nfs soft intr rsize 8192 wsize 8192 nosuid server example com home Cette ligne d clare que tout r pertoire auquel un utilisateur tente d acc der dans le r pertoire home
346. iers de configuration n cessaires pour le Class Based Queuing rangement selon la classe pour la gestion de la largeur de bande sur les interfaces r seau networking ce r pertoire est utilis par l Outil d administration de r seau redhat config network et son contenu ne devrait pas tre modifi manuellement Pour de plus amples informations sur la configuration des interfaces r seau l aide de l utilitaire Outil d administration de r seau consultez le chapitre intitul Configuration r seau du Guide de personnalisation de Red Hat Linux network scripts ce r pertoire contient les fichiers de configuration relatifs au r seau ci dessous e Les fichiers de configuration r seau pour chaque interface r seau configur e comme par exem ple ifcfg eth0 pour l interface Ethernet etho Les scripts utilis s pour activer et d sactiver des interfaces r seau comme par exemple ifup et ifdown e Les scripts utilis s pour activer et d sactiver des interfaces r seau ISDN comme par exemple ifup isdnet ifdown isdn e Divers scripts de fonctions r seau partag s qu il est vivement d conseill de modifier directe ment Pour de plus amples informations sur le r pertoire network scripts consultez le Chapitre 8 rhn ce r pertoire contient les fichiers de configuration ainsi que les cl s GPG pour Red Hat Net work Aucun fichier de ce r pertoire ne devrait tre diter manuellement Pour de
347. iers portant les extensions bin ou exe 10 5 50 DefaultIcon Default Icon sp cifie l ic ne afficher dans les listes de r pertoire g n r es par le serveur pour les fichiers pour lesquels aucune autre ic ne n est sp cifi e Le fichier image unknown gif est la valeur par d faut 10 5 51 AddDescription Lors de l utilisation de FancyIndexing comme param tre de IndexOptions la directive AddDes cription peut tre utilis e pour afficher des descriptions sp cifi es par l utilisateur pour certains fichiers ou pour certains types de fichiers dans des listes de r pertoire g n r es par le serveur La directive AddDescription prend en charge les fichiers de listes sp cifiques les expressions carac t res g n riques wildcards ou les extensions de fichiers 10 5 52 ReadmeName ReadmeName nomme le fichier qui s il existe dans le r pertoire est ajout la fin des listes de r pertoire g n r es par serveur Le serveur Web commence par essayer d inclure le fichier comme document HTML puis essaie de l inclure comme simple texte Par d faut ReadmeName est param tr sur README html 10 5 53 HeaderName HeaderName nomme le fichier qui s il existe dans le r pertoire est ajout au d but des listes de r pertoire g n r es par serveur Comme ReadmeName le serveur essaie si possible de l inclure sous la forme d un document HTML ou sinon comme simple texte 10 5 54 Indexlgnore
348. igne di se Une fois cette modification apport e la ligne devrait ressembler l exemple ci dessous rootpw SSHA vv2y i6V 6esazrlv7 70xSSnNAJEl8bb2u PVR Les mots de passe LDAP y compris la directive rootpw sp cifi e dans etc openldap slapd conf sont envoy s sur le r seau en texte simple moins que vous ne permettiez le cryptage TLS Pour permettre le cryptage TLS passez en revue les commentaires figurant dans etc openldap slapd conf et consultez la page de manuel relative s1apa conf Pour une meilleure s curit la directive rootpw devrait tre comment e apr s avoir peupl le r per toire LDAP Pour ce faire ajoutez un signe di se avant cette directive Si vous utilisez l outil de ligne de commande usr sbin slapadd localement pour peupler le r pertoire il n est pas n cessaire d utiliser la directive rootpw 210 Chapitre 13 Protocole LDAP Lightweight Directory Access Protocol JS Vous devez tre connect en tant que super utilisateur pour pouvoir utiliser usr sbin slapadd Toutefois le serveur de r pertoires tourne en tant que l utilisateur 14ap Par cons quent le serveur de r pertoires ne sera pas en mesure de modifier tout fichier cr par s1apaad Pour r soudre ce probl me tapez la commande ci dessous lorsque vous avez fini d utiliser s1apaaa chown R ldap var lib ldap 13 7 Configuration de votre syst me pour l authentification l aide de OpenLDAP C
349. ilisa teur 170 Chapitre 11 Courrier lectronique 11 3 2 5 Options de commande Fetchmail La plupart des options utilis es la ligne de commande lors de l ex cution de la commande fetch mail r pliquent les options de configuration de fetchmailrc Ainsi Fetchmail peut tre utilis avec ou sans fichier de configuration La plupart des utilisateurs n utilisent jamais ces options la ligne de commande car il est plus simple de les laisser dans le fichier fetchmailrc et de les utiliser chaque fois que Fetchmail est ex cut Toutefois il se peut que dans certaines situations la commande fet chmai 1 doive tre ex cut e avec d autres options dans un but bien pr cis tant donn que les options sp cifi es la ligne de commande crasent les options du fichier de configuration il est possible d ex cuter des options de commande pour craser temporairement un param trage de fetchmailrc qui est la cause d une erreur 11 3 2 6 Options d information ou de d bogage Certaines options utilis es apr s la commande fetchmai1 permettent d obtenir d importantes infor mations configdump Affiche toutes les options possibles sur la base des informations de fetch mailrc et les valeurs par d faut de Fetchmail Aucun message lectronique n est t l charg lorsque vous utilisez cette option et ce pour aucun utilisateur s Ex cute Fetchmail en mode silencieux emp chant tout message autr
350. ilisateurs et ne doit pas tre modifi manuellement Pour de plus amples informations sur l utilisation de cette application consultez le chapitre intitul Configuration des utilisateurs et des groupes du Guide de personnalisation de Red Hat Linux 4 1 30 etc sysconfig redhat logviewer Le fichier etc sysconfig redhat logviewer est le fichier de configuration pour l application d affichage de journal graphique et interactive Afficheur de journal Ce fichier peut tre dit depuis le menu d roulant diter gt Pr f rences dans l application Afficheur de journal application et ne doit pas tre modifi manuellement Pour de plus amples informations sur l utilisation de cette application consultez le chapitre intitul Fichiers journaux du Guide de personnalisation de Red Hat Linux 4 1 31 etc sysconfig samba Le fichier etc sysconfig samba est utilis pour transmettre des arguments aux d mons smbd et nmbd au moment du d marrage Le d mon smba offre une connectivit de partage de fichiers pour les clients Windows sur le r seau Le d mon nmba offre NetBIOS sur les services de nommage IP Pour de plus amples informations sur les param tres pouvant tre utilis s dans ce fichier consultez la page 42 Chapitre 4 Le r pertoire sysconfig de manuel relative smbd Par d faut ce fichier r gle le fonctionnement de smbd et nmbd en mode d mon 4 1 32 etc sysconfig sendmail Le fichier etc sysconfig sendmail
351. iliser des versions kerberis es de toutes les applications client serveur qui envoient des mots de passe en texte clair soit ne pas utiliser du tout ces applications client serveur sur votre r seau 17 2 Terminologie Kerberos Kerberos dispose de sa propre terminologie pour d finir diff rents aspects du service Avant d voquer la mani re dont Kerberos fonctionne il convient de se familiariser avec les termes suivants ciphertext Donn es crypt es client Entit sur le r seau utilisateur h te ou application pouvant obtenir un ticket Kerberos cache de certificat d identit ou fichier de ticket Fichier contenant les cl s n cessaires au cryptage des communications entre un utilisateur et divers services r seau Kerberos 5 fournit un environnement permettant d utiliser d autres types de cache par exemple une m moire partag e mais les fichiers sont mieux pris en charge de cette fa on hache crypt Hache unidirectionnel utilis pour l authentification des utilisateurs Plus s r que le texte clair mais relativement facile d coder pour un pirate exp riment GSS API Generic Security Service Application Program Interface GSS APT RFC 2743 est un ensem ble de fonctions fournissant des services de s curit Les clients peuvent les utiliser pour leur authentification aupr s des serveurs et les serveurs peuvent peuvent y avoir recours pour leur au thentification aupr s des client
352. imordial Les modules portant l indication sufficient et requisite en revanche donnent l ordre une importance vitale Il existe d sormais pour PAM une nouvelle syntaxe d indicateurs de contr le offrant un contr le en core plus pr cis Veuillez lire les documents PAM figurant dans le r pertoire usr share doc pam lt num ro de version gt pour obtenir des informations sur cette nouvelle syntaxe o lt num ro de version gt correspond au num ro de version de PAM 14 3 3 Chemins d acc s aux modules Les chemins d acc s aux modules indiquent PAM o trouver les modules enfichables utiliser avec l interface de module sp cifi e Normalement le chemin d acc s complet du module est indiqu comme par exemple 1ib security pam_stack so Cependant si ce n est pas le cas les syst me 220 Chapitre 14 Modules d authentification enfichables PAM suppose que le module sp cifi se trouve dans le r pertoire 1ib security l emplacement par d faut des modules PAM 14 3 4 Arguments des modules PAM utilise des arguments pour transmettre des informations un module enfichable lors du processus d authentification de certains modules Par exemple le module pam_userdb s0 utilise des indications secr tes stock es dans un fichier de la base de donn es Berkeley pour authentifier les utilisateurs La base de donn es Berkeley est une base de donn es Open Source int gr e dans de nombreuses applications L
353. inf rieure au nombre d octets sp cifi e gt V rifie si la taille du message est sup rieure au nombre d octets sp cifi Les caract res suivants sont utilis s pour ex cuter des actions sp ciales e Dans la ligne d action ce caract re indique Procmail de r acheminer le message vers les adresses lectroniques sp cifi es Renvoie une variable r gl e pr c demment dans le fichier rc Ceci est g n ralement utilis pour d finir une bo te lettres commune laquelle diverses recettes feront r f rence e Le caract re de tube indique Procmail de lancer un programme sp cifique pour traiter ce message and Construit un bloc d imbrication utilis pour contenir des recettes suppl mentaires appliquer aux messages compar s Si aucun caract re sp cial n est utilis au d but de la ligne d action Procmail consid re alors que la ligne d action sp cifie une bo te lettres o les messages devraient tre crits 11 4 2 5 Exemples de recettes Procmail est un programme extr mement flexible vous permettant de comparer des messages sur la base de conditions tr s sp cifiques et ensuite d ex cuter des actions d taill es sur ces derniers Toutefois pour les nouveaux utilisateurs cette flexibilit peut rendre difficile la cr ation d une recette Procmail de toutes pi ces visant atteindre un objectif bien pr cis La meilleure fa on de d vel
354. informations sur la configuration de Sendmail sont disponibles dans la Section 11 3 1 3 Divers fichiers de configuration Sendmail sont install s dans etc mai1 notamment e access Sp cifie les syst mes qui peuvent utiliser Sendmail pour le courrier lectronique sortant domaintable Sp cifie le mappage de noms de domaine local host names Sp cifie les alias de l h te e mailertable Sp cifie des instructions qui crasent le routage de domaines sp cifiques e virtusertable Sp cifie une forme de d nomination par alias sp cifique au domaine ce qui permet des domaines virtuels multiples d tre h berg s sur un ordinateur Plusieurs fichiers de configuration plac s dans etc mai1 tels que access domaintable mai lertable et virtusertable doivent en fait stocker leurs informations dans des fichiers de base de 164 Chapitre 11 Courrier lectronique donn es avant que Sendmail puisse appliquer les modifications apport es la configuration Pour in clure les changements apport s ces fichiers de configuration dans leurs fichiers de base de donn es vous devez ex cutez la commande makemap hash etc mail lt nom gt lt etc mail lt nom gt o lt nom gt doit tre remplac par le nom du fichier de configuration convertir Par exemple pour que tous les messages lectroniques destin s au domaine example com soit en VOy S lt bob other example com gt ajoutez la ligne re
355. installer sous usr local Par la suite peut tre si vous r ussissez convaincre l administrateur syst me de jake d installer le programme dans usr vous pourrez le d sinstaller du r pertoire usr local 3 3 Emplacement de fichiers sp ciaux Red Hat tend l g rement la structure FHS pour prendre en charge les fichiers sp ciaux utilis s par Red Hat Linux La plupart des fichiers appartenant Red Hat Package Manager ou RPM se trouvent dans le r pertoire var 1ib rpm Pour avoir plus de d tails sur RPM reportez vous au chapitre intitul Gestion de paquetage avec RPM du Guide de personnalisation de Red Hat Linux Le r pertoire var spool up2date contient des fichiers utilis s par l Agent de mise jour Red Hat y compris des informations de titres RPM Cet emplacement peut aussi tre utilis pour stocker temporairement des RPM t l charg s lorsque vous mettez jour votre syst me Pour plus d informations sur le R seau Red Hat voyez le site Web l adresse suivante https rhn redhat com Un autre emplacement sp cifique Red Hat Linux est le r pertoire etc sysconfig directory ce r pertoire stocke un grand nombre d informations de configuration De nombreux scripts lanc s au d marrage utilisent les fichiers de ce r pertoire Consultez le Chapitre 4 pour obtenir plus d informations sur le contenu de ce r pertoire et le r le de ces fichiers dans le processus de d marrage Enfin un der
356. inux est une excellente r f rence qui vous assistera dans l installation et la configuration initiale de Red Hat Linux Le Guide de d marrage de Red Hat Linux couvre les commandes de base du syst me l environnement de bureau graphique et bien d autres concepts fondamentaux Nous vous conseillons de commencer par ces deux livres afin d acqu rir vos connaissances de base sur Red Hat Linux Il ne vous faudra pas beaucoup de temps avant que des concepts plus compliqu s ne deviennent tr s clairs car vous aurez compris les id es principales de Linux Outre les manuels Red Hat Linux bien d autres sources de documentation sont disponibles un prix r duit ou gratuitement Parmi celles ci figurent entre autres 2 1 1 Introduction aux sites Web de Linux _http www redhat com Sur le site Web de Red Hat vous trouverez des liens qui vous permettront de consulter le Projet de documentation Linux LDP Linux Documentation Project les versions en ligne des manuels Red Hat Linux le Forum Aux Questions FAQ une base de donn es qui vous assiste dans la recherche d un Groupe d utilisateurs Linux pr s de chez vous les informations techniques contenues dans le Red Hat Support Knowledge Base etc http www linuxheadquarters com Le site Web du si ge social de Linux contient de nombreux guides examinant diff rents outils de Linux 2 1 2 Introduction aux groupes de discussion Linux Vous pouvez participer aux groupes de d
357. ions un syst me de fichiers en lecture criture et que le serveur plante des donn es peuvent tre perdues En sp cifiant l option sync toutes les op rations d criture doivent tre confi es au disque avant que la requ te d criture par le client ne soit effectivement achev e Cela peut diminuer les performances wdelay Cette option entra ne un retard des op ration d criture sur le disque par NFS s il suspecte qu une autre requ te d criture est imminente Ce faisant les performances peuvent tre am lior es gr ce une r duction du nombre d acc s au disque par des commandes d criture s par es r duisant ainsi le temps d criture L option no_wdelay quant elle d sactive cette fonc tion mais n est disponible que lors de l utilisation de l option sync e root_squash Retire au super utilisateur en connexion distante tous les privil ges de son status en lui assignant l ID d utilisateur personne Ce faisant le pouvoir du super utilisateur distant est r duit au niveau d utilisateur le plus bas lui emp chant d agir comme comme s il tait le super utilisateur sur le syst me local Sinon l option no_root_squash annule cette fonction de r duction des privil ges du super utilisateur Afin de limiter le champ d action de chaque utilisateur distant y compris le super utilisateur utilisez l option a11_squash Pour sp cifier l utilisateur et ID de groupe util
358. ions pr c dentes Pour toute informations concernant le statut de ce module rendez vous sur le site Web de Apache Software Foundation l adresse suivante http www apache org Chapitre 13 Protocole LDAP Lightweight Directory Access Protocol 207 13 3 3 Applications clientes LDAP Il existe des clients LDAP graphiques qui supportent la cr ation et la modification de r pertoires mais ces applications ne sont pas incluses dans Red Hat Linux Un exemple est le navigateur diteur LDAP Browser Editor Cet outil bas sur Java est disponible en ligne l adresse suivante http www iit edu gawojar Idap La plupart des autres clients LDAP acc dent aux r pertoires en lecture seulement et les utilisent pour r f rencer et non pas modifier les informations de l entreprise en g n ral Parmi ces applications on compte les navigateurs Web bas s sur Mozilla Sendmail Balsa Pine Evolution et Gnome Meeting 13 4 Fichiers de configuration OpenLDAP Les fichiers de configuration OpenLDAP sont install s dans le r pertoire etc openldap Ci dessous figure une br ve liste des r pertoires et fichiers les plus importants etc openldap ldap conf Ce fichier est le fichier de configuration pour toutes les appli cations clientes qui utilisent les biblioth ques comme ldapsearch ldapadd Sendmail Pine Balsa Evolution et Gnome Meeting Le r pertoire etc openldap slapd conf Ce fichier de configuration est celui
359. ipts c t serveur d sign par la directive ScriptAlias directive Cette derni re est connue sous le nom cgi bin et prend var www cgi bin comme valeur par d faut Il est possible de cr er des r pertoires pour stocker des ex cutables en dehors du r pertoire cgi bin Pour de plus amples information sur la mani re de proc der reportez vous la Section 10 5 59 et la Section 10 5 24 148 Chapitre 10 Serveur HTTP Apache 10 5 45 Redirect Lorsqu une page Web est d plac e Redirect peut tre utilis e pour mapper l ancienne URL sur une autre URL Le format est le suivant Redirect lt ancien chemin gt lt nom de fichier gt http lt domaine actuel gt lt chemin actuel gt lt nom de fichier gt Dans cet exemple remplacez lt ancien cheminY gt par les informations de l ancien chemin vers lt nom de fichier gt et lt domaine actuel gt et lt chemin actuel gt par les informations du domaine et chemin actuels pour lt nom de fichier gt Dans cet exemple toute requ te pour lt nom de fichier gt l ancien emplacement est automati quement redirig e vers le nouvel emplacement Pour obtenir des informations sur les techniques de redirection utilisez le module mod_rewrite in clus dans le Serveur HTTP Apache Pour de plus amples informations sur la configuration du module mod_rewrite reportez vous la documentation d Apache Software Foundation disponible en ligne http httpd apache org docs 2 0 mod
360. ire IRQ Les valeurs de smp_affinity sp cifient quelles unit s centrales g rent cet IRQ sp cifique 68 Chapitre 5 Le syst me de fichiers proc Pour obtenir davantage d informations sur le r pertoire proc irq consultez usr src linux 2 4 Documentation filesystems proc txt 5 3 7 proc net Ce r pertoire fournit une vision exhaustive de nombreux param tres et statistiques r seau Chaque fichier couvre une gamme sp cifique d informations relatives la gestion du r seau sur le syst me Vous trouverez ci dessous une liste partielle de ces fichiers virtuels arp Contient la table ARP du noyau Ce fichier est particuli rement utile pour connecter une adresse c bl e une adresse IP sur un syst me atm Un r pertoire contenant des fichiers avec divers param tres et statistiques de mode de trans fert asynchrone ATM de l anglais Asynchronous Transfer Mode Ce r pertoire est principale ment utilis pour la gestion de r seau ATM et les cartes ADSL dev R pertorie les diff rents p riph riques r seau configur s sur le syst me complet avec les statistiques de transmission et de r ception Ce fichier vous indique rapidement le nombre d octets envoy s et re us par chaque interface le nombre de paquets entrants et sortants le nombre d erreurs trouv es le nombre de paquets perdus etc dev_mcast Affiche les diff rents groupes de multidiffusion Layer2 qu coute chaque p ri
361. ire affiche le menu et l environnement de commandes GRUB Cette interface vous permet de s lectionner le syst me d exploitation ou noyau Linux d marrer de transf rer des arguments au noyau ou de v rifier des param tres du syst mes comme la quantit de m moire RAM disponible 4 Le chargeur de d marrage secondaire lit le syst me d exploitation ou noyau et initrd en m moire Une fois que GRUB d termine le syst me d exploitation d marrer il le charge en m moire et c de le contr le de la machine ce syst me d exploitation 1 Pour en savoir plus sur le BIOS et le MBR voir la Section 1 2 1 12 Chapitre 2 Chargeurs de d marrage La m thode de d marrage utilis e pour charger Red Hat Linux est appel e la m thode de charge ment direct car le chargeur de d marrage charge directement le syst me d exploitation Il n y a pas d interm diaire entre le chargeur de d marrage et le noyau Le processus de d marrage utilis par d autres syst mes d exploitation peut diff rer Par exemple les syst mes d exploitation DOS et Windows de Microsoft ainsi que divers autres syst mes d exploitation propri taires utilisent une m thode de d marrage bas e sur le chargement en cha ne Avec cette m thode le MBR pointe simplement vers le premier secteur de la partition contenant le syst me d exploitation A cet endroit il trouve les fichiers permettant de d marrer v ritablement ce syst me d expl
362. iscussion en suivant les interventions d autres personnes en posant des questions ou en essayant de r pondre aux questions pos es Les utilisateurs exp riment s de Linux sont pass s ma tres dans l art d aider les d butants comprendre Linux en particulier si les questions sont bien formul es et adress es au forum appropri Si vous n avez pas acc s une application qui permet d entrer dans ces groupes vous pouvez acc der ces informations sur le Web iv Introduction l adresse http groups google com Il existe des dizaines de groupes de discussion concernant Linux parmi ceux ci figurent _linux help Un excellent site o vous obtiendrez de l aide de la part d autres utilisateurs Linux _linux redhat Ce groupe de discussion aborde des th mes sp cifiques Red Hat Linux linux redhat install Posez vos questions concernant l installation ou voyez comment d autres personnes r solvent des probl mes similaires aux v tres _linux redhat misc Pour des questions ou des demandes d aide particuli res _linux redhat rpm Une bonne adresse si vous n arrivez pas atteindre des objectifs particuliers avec RPM 2 1 3 Livres sur Linux pour les utilisateurs d butants Red Hat Linux for Dummies 2 me dition de Jon maddog Hall dit par IDG Special Edition Using Red Hat Linux de Alan Simpson John Ray et Neal Jamison dit par Que Running Linux de Matt Wels
363. ise jour de la base de donn es de Tripwire Si vous ex cuter une v rification d int grit et que Tripwire d c le des violations du syst me vous devrez d abord d terminer si ces violations sont caus es par de v ritables infractions au syst me de s curit ou si elles sont provoqu es de fa on autoris e Si par exemple vous avez r cemment install une application ou modifi des fichiers syst me critiques Tripwire rapporte avec raison ces violations lors de la v rification d int grit Dans ce cas pr cis vous devez mettre jour votre base de donn es Tripwire afin que ces changements ne soient plus consid r s comme des violations du syst me Toutefois si des changements non autoris s ont t apport s des fichiers syst me et provoquent des violations lors de la v rification d int grit devez alors restaurer les fichiers originaux partir d une copie de sauvegarde ou r installer le programme Pour mettre jour votre base de donn es Tripwire afin qu elle accepte les violations de politiques valides Tripwire compare d abord un fichier de rapport avec la base de donn es puis y int gre les violations valides depuis le fichier de rapport Lorsque vous mettez jour la base de donn es assurez vous d utiliser le rapport le plus r cent Utilisez la commande suivante pour mettre jour la base de donn es Tripwire Dans cette commande name correspond au nom du fichier de rapport le plus
364. iser avec des utilisateurs distants d un h te particulier Chapitre 9 Le syst me de fichiers r seau NES 119 utilisez respectivement les options anonuid et anongid Dans ce cas vous pouvez cr er un compte d utilisateur sp cial pour que les utilisateurs NFS distants partagent et sp cifient anonuid lt uid valeur gt anongid lt valeur gid gt o lt valeur uid gt correspond au num ro de l ID d utilisateur et lt gid valeur gt repr sente le num ro de l ID de groupe Pour outrepasser ces r glages par d faut vous devez sp cifier une option qui les remplace Par exemple si vous ne sp cifiez pas rw cette exportation sera partag e seulement en lecture Ce remplacement des r glages par d faut doit tre explicitement sp cifi pour chaque syst me de fichier export De plus d autres options sont disponibles l o il n existe pas de valeur par d faut Elles permettent d annuler la v rification de sous arborescence l acc s des ports non s rs et les verrouillages non s rs de fichiers n cessaires pour certaines impl mentations anciennes de client NFS Consultez la page de manuel relative exports pour plus de d tails sur ces options moins souvent utilis es Lors de la pr cisions des nom d h tes utilisez les m thodes suivantes h te simple single host O un h te particulier est sp cifi avec un nom de domaine d h te ou une adresse IP pleinement qualifi s caract res
365. isponibles Parmi les entr es les plus commun ment utilis es dans la section Monitor figurent Identifier sp cifie un nom unique utilis pour cette section Monitor Cette entr e est n ces saire VendorName correspond un param tre facultatif pr cisant le nom du fabricant du moniteur ModelName correspond un param tre facultatif pr cisant le nom de mod le du moniteur DisplaySize correspond un param tre facultatif pr cisant en millim tres la taille physique de la partie image du moniteur HorizSync sp cifie la gamme de fr quences sync horizontales compatible avec le moniteur en kHz Ces valeurs aident le serveur XFree86 d terminer la validit des entr es Modeline pr d finies ou sp cifi es pour le moniteur VertRefresh sp cifie la gamme des fr quences de rafra chissement vertical prise en charge par le moniteur en kHz Ces valeurs aident le serveur XFree86 d terminer la validit des entr es Modeline pr d finies ou sp cifi es pour le moniteur 96 Chapitre 7 Le syst me X Window Modeline correspond un param tre facultatif pr cisant les modes vid o suppl mentaires util is s par le moniteur pour des r solutions particuli res avec certaines r solutions de rafra chisse ment horizontal sync et vertical Pour obtenir de plus amples explications sur les entr es Modeline consultez la page de manuel relative XF86Config Option lt nom d
366. it d ospfd K84ripd gt init d ripd K84ripngd gt init d ripngd K85zebra gt init d zebra K90isicom gt init d isicom K92ipvsadm gt init d ipvsadm K95firstboot gt init d firstboot S00microcode_ct1 gt init d microcode_ctl SO5kudzu gt init d kudzu S08ip6tables gt init d ip tables 6 Chapitre 1 Processus de d marrage Init et arr t S08ipchains gt init d ipchains S08iptables gt init d iptables S09isdn gt init d isdn Si0network gt init d network S12syslog gt init d syslog S13portmap gt init d portmap Si4nfslock gt init d nfslock S17keytable gt init d keytable S20random gt init d random S24pcmcia gt init d pemcia S25netfs gt init d netfs S26apmd gt init d apmd S28autofs gt init d autofs S44acpid gt init d acpid S55sshd gt init d sshd SS 6rawdevices gt init d rawdevices S56xinetd gt init d xinetd S80sendmail gt init d sendmail S80spamassassin gt init d spamassassin S84privoxy gt init d privoxy S85gpm gt init d gpm S90canna gt init d canna S90crond gt init d crond S90cups gt init d cups S90xfs gt init d xfs S95anacron gt init d anacron S95atd gt init d atd S97rhnsd gt init d rhnsd S991ocal gt rc local S99mdmonitor gt init d mdmonitor Comme le montre ce listing aucun des scripts qui lancent et arr tent vraiment les services n est r ellement situ dans le r pertoire etc rc
367. itionnel rend la gestion de fichiers difficile car lorsqu une personne cr e un fichier ce dernier est associ au groupe primaire auquel la personne appartient Lorsqu une m me personne travaille sur plusieurs projets il devient difficile d associer les bons fichiers au bon groupe Toutefois gr ce syst me UPG les groupes sont automatiquement assign s aux fichiers cr s dans un r pertoire avec le bit setgid d fini ce qui facilite consid rablement la gestion des projets de groupe partageant un r pertoire commun 86 Chapitre 6 Utilisateurs et groupes Supposons par exemple qu un groupe de personnes travaille sur des fichiers figurant dans le r pertoire usr lib emacs site lisp Certaines personnes dignes de confiance peuvent certes tre auto ris es modifier le r pertoire mais en aucun cas tout le monde Ainsi il faut d abord cr er un groupe emacs comme le montre la commande suivante usr sbin groupadd emacs Afin d associer le contenu du r pertoire au groupe emacs tapez chown R root emacs usr lib emacs site lisp Il est maintenant possible d ajouter les utilisateurs appropri s au groupe l aide de la commande gpasswd usr bin gpasswd a lt nom d utilisateur gt emacs Afin d autoriser les utilisateurs cr er r ellement des fichiers dans le r pertoire utilisez la commande suivante chmod 775 usr lib emacs site lisp Lorsqu un utilisateur cr e un nouveau fichier il se voit assigner l
368. iv e en utilisant le service ipop3s ou le programme usr sbin stunnel Reportez vous la Section 11 5 1 pour de plus amples informations Chapitre 11 Courrier lectronique 161 11 1 2 2 IMAP Sous Red Hat Linux usr sbin imapd est le serveur IMAP par d faut fourni par le paquetage imap Lors de l utilisation d un serveur de messagerie IMAP le courrier lectronique reste sur le ser veur o les utilisateurs peuvent lire et supprimer les emails IMAP permet galement aux applications client de cr er renommer ou supprimer des r pertoires de messagerie sur le serveur afin d organiser ou de stocker le courrier lectronique Le protocole IMAP est utile tout particuli rement pour les utilisateurs acc dant leur courrier lectro nique au moyen d ordinateurs multiples Ce protocole est galement pratique pour les utilisateurs se connectant au serveur de messagerie par le biais d une connexion lente car seule l information d en t te du message est t l charg e jusqu ce qu il soit ouvert conomisant ainsi de la largeur de bande En outre l utilisateur peut galement supprimer des messages sans devoir les lire ou les t l charger Par commodit les applications IMAP client peuvent mettre en cache localement des copies des messages afin que l utilisateur puissent naviguer parmi des messages d j lus m me lorsqu il n est pas directement connect au serveur IMAP IMAP tout comme POP est compatible
369. ive dont un court extrait figure ci dessous net ipv4 route min_ delay 2 kernel sysrq 0 kernel sem 250 32000 32 128 Chapitre 5 Le syst me de fichiers proc 79 Il s agit des m mes informations de base que celles que vous verriez si vous visualisiez chaque fichier individuellement La seule diff rence r side dans l emplacement du fichier Le fichier proc sys net ipv4 route min_delay est signifi par net ipv4 route min_ delay o les barres obliques de r pertoire sont remplac es par des points et la partie proc sys est implicite Il est possible d utiliser la commande sysct1 au lieu de echo pour affecter des valeurs aux fichiers modifiables du r pertoire proc sys Par exemple au lieu d utiliser la commande echo 1 gt proc sys kernel sysrq vous pouvez utiliser la commande sysct1 sysctl w kernel sysrq 1 kernel sysrq 1 Ce type de r glage rapide de valeurs individuelles dans proc sys est certes pratique en phase de tests mais ne fonctionne pas aussi bien sur un syst me de production car tous les param tres sp ciaux de proc sys sont perdus lors du red marrage du syst me Pour pr server les param tres que vous souhaitez affecter de fa on permanente votre noyau ajoutez les au fichier etc sysctl conf Chaque fois que le syst me d marre le programme init ex cute le script etc rc d rc sysinit Ce dernier contient une commande pour ex cuter sysct1 l aide de etc sysctl conf afin de d termine
370. ivres sur le sujet Sendmail de Bryan Costales avec Eric Allman et al O Reilly amp Associates Une bonne r f rence Sendmail crite avec l aide du cr ateur original de Delivermail et Sendmail Removing the Spam Email Processing and Filtering de Geoff Mulligan Addison Wesley Pub lishing Company Un livre examinant les diverses m thodes utilis es par les administrateurs de messagerie ayant recours des outils tablis tels que Sendmail et Procmail pour g rer les prob l mes caus s par les spams Internet Email Protocols A Developer s Guide de Kevin Johnson Addison Wesley Publishing Company Fournit des informations d taill es sur les principaux protocoles de messagerie et la s curit offerte par ceux ci Managing IMAP de Dianna Mullet et Kevin Mullet O Reilly amp Associates Explique les tapes n cessaires la configuration d un serveur IMAP 182 Chapitre 11 Courrier lectronique redhat Chapitre 12 Berkeley Internet Name Domain BIND Sur la plupart des r seaux modernes y compris l Internet les utilisateurs localisent les autres ordina teurs au moyen du nom Ceci vite aux utilisateurs de devoir se rappeler de l adresse r seau num rique des ressources r seau La mani re la plus efficace de configurer un r seau afin de permettre des connexions base de nom consiste tablir un Service de Nom de Domaine ou DNS de l anglais Domain Name Service ou serve
371. joutant la ligne suivante options de etc named conf query source address port 53 12 7 Ressources suppl mentaires Les sources d information suivantes fournissent une documentation suppl mentaire sur l utilisation de BIND 12 7 1 Documentation install e BIND propose une gamme compl te de documentation install e couvrant de nombreux sujets cha cun d eux tant plac dans son propre r pertoire th matique usr share doc bind lt num ro version gt contient un fichier README avec une liste des propri t s les plus r centes usr share doc bind lt num ro version gt arm contient les versions HTML et SGML de BIND 9 Administrator Reference Manual qui d crit en d tail les ressources n cessaires pour BIND la fa on de configurer diff rents types de serveurs de noms d op rer un quilibrage des charges et d autres sujets avanc s Pour la plupart des nouveaux utilisateurs de BIND ces ressources constituent le meilleur point de d part usr share doc bind lt num ro version gt draft contient des documents techniques assortis qui traite des probl mes en relation avec service DNS et propose quelques solutions pour les r soudre usr share doc bind lt num ro version gt misc contient des documents pr par s pour aborder des probl mes sp cifiques avanc s Les utilisateurs de la version 8 de BIND de vraient consulter le document migration pour s informer des changements imp
372. kage d informations sur l expiration de mots de passe e possibilit d utiliser le fichier etc login defs pour mettre en oeuvre les politiques de s curit La plupart des utilitaires fournis par le paquetage shadow ut i1s fonctionnent correctement que des mots de passe masqu s soient activ s ou non Toutefois comme les informations sur l expiration des mots de passe sont stock es exclusivement dans le fichier etc shadow aucune commande cr ant ou modifiant les informations sur l expiration des mots de passe ne fonctionnera Chapitre 6 Utilisateurs et groupes 87 Ci apr s figure une liste des commandes qui ne peuvent pas fonctionner sans que le mots de passe masqu s ne soient pr alablement activ s chage gpasswd usr sbin usermod options e ou f usr sbin useradd options e ou f 88 Chapitre 6 Utilisateurs et groupes redhat Chapitre 7 Le syst me X Window Alors que le coeur de Red Hat Linux est son noyau pour beaucoup d utilisateurs le visage du sys t me d exploitation est l environnement graphique fourni par le Syst me X Window aussi appel tout simplement X De nombreux environnement de fen trage ont d j exist dans le monde UNIX et ce depuis des d cennies avant l apparition de nombreux syst mes d exploitations traditionnels courants Au fil des ann es X est devenu l environnement graphique pr f r des syst mes d exploitation de type UNIX L environnemen
373. l int rieur de la directive IndexOptions La nouvelle option VersionSort la directive IndexOptions engendre le classement des fichiers contenant des num ros de version dans un ordre plus naturel Par exemple httpd 2 0 6 tar appa ra t avant httpd 2 0 36 tar dans une page d index de r pertoires Les param tres par d faut pour les directives ReadmeName et HeaderName ont t transf r s des fichiers README et HEADER vers les fichiers README html et HEADER html Pour plus d informations sur le sujet reportez vous la documentation suivante sur le site Web d Apache Software Foundation _http httpd apache org docs 2 0 mod mod_autoindex html indexoptions _http httpd apache org docs 2 0 mod mod_autoindex html readmename _http httpd apache org docs 2 0 mod mod_autoindex html headername 10 2 2 4 N gociation du contenu La directive CacheNegotiatedDocs retient d sormais les crit res on ou off Les cas existants de CacheNegotiatedDocs devront tre remplac s par CacheNegotiatedDocs on Pour plus d informations sur le sujet reportez vous la documentation suivante sur le site Web d Apache Software Foundation Chapitre 10 Serveur HTTP Apache 131 _http httpd apache org docs 2 0 mod mod_negotiation html cachenegotiateddocs 10 2 2 5 Documents d erreur Afin de pouvoir utiliser un message cod en dur avec la directive ErrorDocument le message devrait appara tre entre guillemets plut t que d
374. l te sur la source les cor rectifs et la documentation de nombreuses versions du noyau Linux 80 Chapitre 5 Le syst me de fichiers proc redhat Chapitre 6 Utilisateurs et groupes Le contr le des utilisateurs et groupes est au coeur de l administration de syst me de Red Hat Linux Les utilisateurs peuvent tre aussi bien des personnes avec des comptes attach s des utilisateurs physiques que des comptes existant pour une utilisation par des applications sp cifiques Les groupes sont des expressions logiques d une soci t regroupant des utilisateurs pour un but com mun Les utilisateurs appartenant un groupe donn peuvent lire crire ou ex cuter des fichiers appartenant ce groupe Chaque utilisateur et chaque groupe se voit attribuer un num ro identificateur num rique unique ap pel respectivement un userid UID et un groupid GID Lors de sa cr ation tout fichier se voit assigner un utilisateur et un groupe Il re oit galement les permissions de lecture d criture et d ex cution pour le propri taire du fichier le groupe ou tout autre utilisateur L utilisateur et le groupe poss dant un fichier ainsi que les permissions d acc s ce fichier peuvent tre modifi s par le super utilisateur ou root et dans la plupart des cas par le cr ateur du fichier La bonne gestion des utilisateurs et groupes d une part et celle des permissions de fichiers d autre part font partie
375. la d claration server Reportez vous la Section 12 2 2 pour de plus amples informations sur la d claration server 12 2 1 5 Exemples de d clarations zone Statements La plupart des changements apport s au fichier etc named conf d un serveur de noms ma tre ou esclave implique l ajout la modification ou la suppression de d clarations de zone Alors que ces d clarations de zone peuvent contenir de nombreuses options la plupart des noms de serveurs n en ont besoin que de peu pour fonctionner de mani re efficace Les d clarations de zone suivantes sont des exemples tr s l mentaires illustrant une relation de serveurs de noms ma tre esclave Ci dessous se trouve un exemple de d claration de zone pour le serveur de noms primaire h bergeant example com 192 168 0 1 zone example com IN 190 Chapitre 12 Berkeley Internet Name Domain BIND type master file example com zone allow update none Dans cette d claration la zone est identifi e en tant que example com le type est d fini comme mas ter et le service named a comme instruction de lire le fichier var named example com zone Elles indique named de refuser la mise jour tout autre h te La d claration de zone d un serveur esclave pour example com est l g rement diff rente de l exemple pr c dent Pour un serveur esclave le type retenu est slave et une directive indiquant named l adresse IP du serveur ma tre remplace
376. la ligne a11low update La d claration de zone d un serveur esclave pour example com pourrait ressembler l extrait ci dessous zone example com type slave file example com zone masters 192 168 0 1 Cette d claration de zone configure named sur le serveur esclave de mani re ce qu il cherche le serveur ma tre l adresse IP 192 168 0 1 pour y trouver les informations sur la zone appel e example com Les informations que le serveur esclave re oit du serveur ma tre sont enregistr es dans le fichier var named example com zone 12 2 2 Autres types de d clarations Ci dessous se trouve une liste de types de d clarations disponibles au sein de named conf mais utilis s moins fr quemment controls configure diverses contraintes de s curit n cessaires l utilisation de la commande rndc pour administrer le service named Consultez la Section 12 4 1 pour voir ce quoi devrait ressembler la d claration controls y compris les options diverses qui ne peuvent tre utilis es qu avec elle key lt nom cl gt d finit une cl sp cifique par nom Les cl s servent valider diverses actions comme les mises jour s curis es ou l utilisation de la commande rndc Deux options sont utilis es avec key algorithm lt nom algorithme gt le type d algorithme utilis comme par exemple dsa ou hmac mds secret lt valeur cl gt La cl crypt e Reportez v
377. le cette ligne ne doit pas tre modifi e install boot boot b indique LILO d installer le fichier sp cifi comme nouveau secteur de d marrage Pour une utilisation normale cette ligne ne doit pas tre modifi e Si la ligne in stall est absente LILO d signera boot boot b comme fichier utiliser par d faut prompt indique LILO de vous montrer ce qui est r f renc la ligne message Bien qu il ne soit pas recommand de supprimer la ligne prompt si vous le faites vous pouvez toujours obtenir une invite en appuyant longuement Maj pendant que le d marrage de votre machine commence timeout 50 tablit la dur e pendant laquelle LILO attendra une saisie de l utilisateur avant de passer au d marrage de l entr e sp cifi e la ligne default Cette dur e est mesur e en dixi mes de secondes 50 tant la valeur par d faut message boot message renvoie l cran que LILO affiche pour vous permettre de s lec tionner le syst me d exploitation ou noyau d marrer 1ba32 d crit la g om trie du disque dur LILO L entr e linear est galement courante Nous vous conseillons de ne pas modifier cette ligne moins que vous ne soyez vraiment certain des cons quences Dans le cas contraire vous pourriez placer votre syst me dans une situation o le d marrage sera impossible default linux se rapporte au syst me d exploitation que LILO doit charger par d
378. le de leur stockage dans des fichiers de configuration s par s est de faciliter la personnalisation et d viter qu elle n affecte trop les autres services Pour comprendre comment ces fichiers sont structur s examinons le fichier etc xinetd d telnet service telnet flags REUSE socket_type stream wait no user root server usr sbin in telnetd 4 USERID disable yes log_on_failure Chapitre 15 Les enveloppeurs TCP et xinetd 235 Ces lignes contr lent diff rents aspects du service telnet service D finit le nom du service g n ralement pour correspondre un service num r dans le fichier etc services e flags D finit tout attribut pour la connexion parmi la vari t disponible REUSE donne l instruction xinetd de r utiliser le support pour une connexion Telnet socket_type Sp cifie le connecteur r seau comme tant de type stream e wait D termine si le service est mono fil single threaded yes ou multi fils multi threaded no user D termine l ID d utilisateur sous lequel le processus sera ex cut server D finit le fichier binaire ex cutable lancer e log_on_success D termine les param tres de journalisation de 1log_on_success en plus de ceux d j d finis dans xinetd conf e log_on_failure D termine les param tres de journalisation de 1og_on_failure en plus de ceux d j d finis dans xinetd conf
379. les 289 Mat riel module Param tres Contr leur Compaq Smart Array cciss o 5300 Contr leur Compaq Smart 2 cpqarray o RAID Contr leur Compaq cpqfc o FibreChannel Domex DMX3191D Data Technology Corp dtc o DTC3180 3280 Cartes h tes SCSI DTP eata o EATA DMA PM2011B 9X ISA M2021A 9X ISA PM2012A M2012B PM2022A 9X FISA M2122A 9X PM2322A 9X martRAID PM3021 PM3222 M3224 artes SCSI DTP PM2011 eata_dma o M2021 PM2041 PM3021 M2012B PM2022 PM2122 M2322 PM2042 PM3122 M3222 PM3332 PM2024 M2124 PM2044 PM2144 M3224 PM3334 Sun Enterprise Network Array fcal o FC AL Future Domain TMC 16xx SCSI TD n TTT Q ar Bar UT UT NCR5380 pilote g n rique Contr leur ICP RAID 120 Block Driver pilote de bloc Carte SCSI pour port parall le imm o IOMEGA MatchMaker Carte SCSI ISA Always IN2000 in2000 0 in2000 setup_string valeu OU in2000 setup _string valeur Cartes h tes SCSI Initio initio o INI 9X00U UW IBM ServeRAID ps y O AMI MegaRAID 418 428 438 megaraid o 466 762 Cartes SCSI NCR avec circuits ncr53c8xx o ncrs3c8xx optionl valeurl 810 810A 815 825 825 A 860 875 R76 895 option2 valeur2 OU ncr53c8xx optionl valeurl option2 valeur2 290 Annexe A Param tres g n raux et modules Param tres Pro Audio Spectrum Studio 16 A lice PCI 22201 EIDE RAID Carte h te SCSI pour port ppa o parall le IOMEGA PPA3 Perceptive Solutions PSI 2401 psi240i 0 FRE
380. liser et n acheminent pas directement le message au serveur de messagerie du destinataire tant donn que Red Hat Linux installe deux ATC savoir Sendmail et Postfix les programmes client de messagerie ne sont g n ralement pas sollicit s pour agir en tant qu ATC Red Hat Linux inclut galement un ACT avec un objectif bien sp cifique nomm Fetchmail Pour obtenir de plus amples informations sur Sendmail et Fetchmail reportez vous la Section 11 3 11 2 2 Agent de distribution du courrier ADC Un Agent de Distribution de Courrier ADC ou MDC de l anglais Mail Delivery Agent est utilis par l ATC pour distribuer le courrier arrivant dans la bo te lettres de l utilisateur appropri Dans de nombreuses situations l ADC est en fait un Agent de Distribution Locale ADLou LDA de l anglais Local Delivery Agent comme mai1 ou Procmail En fait tout programme traitant un message pour la distribution jusqu au point o il peut tre lu par une application client de messagerie peut tre consid r comme un ADC Pour cette raison certains ATC comme Sendmail et Postfix peuvent aussi jouer le r le d un ADC lorsqu ils ajoutent de nou veaux messages lectroniques au fichier spoule ou spool de courrier lectronique d un utilisateur local En g n ral les ADC n acheminent pas de messages entre les deux syst mes et ne fournissent pas une interface utilisateur les ADC distribuent et classent
381. liste compl te de ces derni res tapez info grub 2 7 Fichier de configuration du menu de GRUB Le fichier de configuration boot grub grub conf utilis pour cr er la liste des syst mes d exploitation d marrer dans l interface menu permet l utilisateur de s lectionner un groupe pr tabli de commandes ex cuter Les commandes fournies dans la Section 2 6 peuvent tre utilis es ainsi que certaines commandes sp ciales qui ne sont disponibles que dans le fichier de configuration 2 7 1 Commandes sp ciales du fichier de configuration Les commandes suivantes ne peuvent tre utilis es qu avec le fichier de configuration du menu de GRUB 18 Chapitre 2 Chargeurs de d marrage color lt couleur normale gt lt couleur s lectionn e gt permet de d finir les couleurs utiliser dans le menu soit une couleur pour le premier plan et une pour l arri re plan Il est possible de n utiliser que les noms de ces couleurs comme red black rouge noir par exemple color red black green blue default lt nom titre gt le titre de l entr e par d faut qui sera charg e si le d lai imparti pour le choix d une option du menu est d pass fallback lt nom titre gt cette commande par son utilisation permet d indiquer le titre de l entr e essayer dans le cas o la premi re tentative choue hiddenmenu son utilisation emp che l affichage de l interface menu de GRUB charg
382. login Jo is rvarrspoon meus var spool uucp sbin nologin o root sbin notogin 100 sbin nologin usr lib gopher data sbin nologin Pr smimnotegin 0 1 2 7 0 0 0 12 13 14 0 30 Chapitre 6 Utilisateurs et groupes 83 titisateur un GID R pertoire personnel Shell 4 E so 4 2 webalizer 6 2 2 7 bi sbi i sbi i sbi i Di zb i s5 7 24 48 43 80 42 67 a a s a 51 23 55 34 77 75 78 9 8 3 8 idem i 101 ete privony o L ivar spoot tex 55 nerdump fa ea ident a Ps var spool mqueue sbin nologin var spoo1 fax Tableau 6 1 Utilisateurs standards 6 3 Groupes standard Dans le Tableau 6 2 sont num r s les groupes standards configur s par une installation de type Com plet Everything Sous Red Hat Linux les groupes sont stock s dans le fichier etc group Membres adm root adm d mon is 84 Chapitre 6 Utilisateurs et groupes kmem wheel message informations uucp man jeux gopher dip ftp sshd rpcuser nfsnobody pym apache xfs desktop gdm Chapitre 6 Utilisateurs et groupes 85 webalizer mailman mailnull smmsp squid Idap netdump pcap ident privoxy radvd fax slocate wnn Tableau 6 2 Groupes standards 6 4 Groupes propres l utilisateur Red Hat Linux utilise un syst me de groupe propre l utilisateur ou UPG
383. lter les informations ci dessous pour des informations suppl mentaires sur le filtrage de paquets avec iptables 16 5 1 Documentation install e man iptables contient une description compl te des diff rents param tres et commandes ainsi que d autre options 16 5 2 Sites Web utiles http netfilter samba org contient une s rie d informations sur iptables y compris un FAQ traitant de probl mes sp cifiques et un certain nombres de guides r dig s par Rusty Russell le responsable du pare feu IP de Linux Les documents HOWTO couvrent des sujets de base tels que les concepts l mentaires de mise en r seaux les techniques de filtrage de paquets avec le noyau 2 4 et les configurations NAT http www linuxnewbie org nhf Security IPtables_Basics html une pr sentation simple concer nant le d placement de paquets dans le noyau Linux ainsi qu une introduction la construction de commandes iptables simples e _http www redhat com support resources networking firewall html cette page contient plusieurs liens mis jour vers diverses ressources traitant du filtrage de paquets 252 Chapitre 16 iptables redhat Chapitre 17 Kerberos Kerberos est un protocole d authentification r seau cr par MIT et utilisant une cryptographie cl s secr tes pour authentifier les utilisateurs de services d un r seau liminant par l m me le besoin de transmettre des mots de passe sur le r
384. ltez le BIND 9 Administrator Reference Manual dans la Section 12 7 1 server d finit des options particuli res qui affectent la fa on dont named doit se comporter envers les serveurs de noms distants particuli rement en ce qui concerne les notifications et les transferts de zone L option transfer format d termine si un enregistrement de ressource est envoy avec chaque message one answer ou si des enregistrements de ressource multiples sont envoy s avec chaque message many answers Alors que many answers est plus efficace seuls les plus r cents ser veurs de noms BIND peuvent la comprendre trusted keys contient des cl s publiques assorties utilis es pour un DNS s curis DNSSEC Consultez la Section 12 5 3 pour de plus amples informations sur la s curit sous BIND view lt nom vue gt cr e des vues sp ciales selon l h te qui contacte le serveur de noms Ceci permet certains h tes de recevoir une r ponse concernant une zone particuli re alors que d autres h tes re oivent des informations totalement diff rentes Certains h tes de confiance peuvent gale ment se voir accorder l acc s certaines zones alors que d autres h tes qui ne sont des dignes de confiance doivent limiter leurs requ tes d autres zones Vous pouvez utiliser de multiples vues pour autant que leurs noms soient uniques L option mat ch clients sp cifie les adresses IP qui s appliquent une vue particuli
385. lude permet d inclure d autres fichiers de configuration au moment du lancement Le chemin d acc s de ces fichiers de configuration peut tre absolu ou relatif au ServerRoot Dan Pour que le serveur utilise individuellement des modules paquet s tels que mod ssl mod perl et php la directive suivante doit tre int gr e dans la Section 1 Global Environment du httpd conf Include conf d conf Chapitre 10 Serveur HTTP Apache 141 10 5 15 LoadModule LoadModule est utilis e pour charger des modules DSO de l anglais Dynamic Shared Object objet partag dynamique Pour plus d informations sur le support DSO du Serveur HTTP Apache y compris la mani re pr cise d utiliser la directive LoadModule reportez vous la Section 10 7 Notez que l ordre de chargement des modules n est plus important avec le Serveur HTTP Apache 2 0 Reportez vous la Section 10 2 1 3 pour plus d informations sur le support DSO du Serveur HTTP Apache 2 0 10 5 16 ExtendedStatus La directive ExtendedStatus contr le le type d informations sur l tat des serveurs produit par Apache lorsque le module de commande server status est appel le informations fournies peuvent tre sommaires off ou d taill es on Le module de commande Server status est appel l aide des balises Location Pour plus d informations sur l appel de server status reportez vous la Section 10 5 63 10 5 17 IfDefine Les balises lt I
386. lus amples informations sur les gestionnaires d affichage reportez vous la Section 7 5 2 Lorsque la commande startx est ex cut e elle recherche un fichier xinitrc dans le r pertoire personnel ou home de l utilisateur pour d finir l environnement de bureau et le cas ch ant d autres application client X lancer Si aucun fichier xinitrc n existe il enclenchera sa place le fichier etc X11 xinit xinitre par d faut du syst me Le script xinitre par d faut recherche alors les fichiers d finis par l utilisateur et les fichiers sys t mes par d faut y compris Xresources Xmodmap et Xkbmap dans le r pertoire personnel de l utilisateur d une part et Xresources Xmodmap et Xkbmap dans le r pertoire etc X11 d autre part Les fichiers Xmodmap et Xkbmap s ils existent sont utilis s par l utilitaire xmodmap pour confi gurer le clavier Les fichiers Xresources sont lus afin d assigner des valeurs pr f rentielles sp ci fiques aux applications 102 Chapitre 7 Le syst me X Window Apr s avoir param tr ces options le script xinitrc ex cute tous les scripts situ s dans le r pertoire etc X11 xinit xinitre d Parmi les scripts importants faisant partie de ce r pertoire figure xinput permettant de configurer des param tres comme la langue par d faut Ensuite le script xinitrc essaie d ex cuter Xclients dans le r pertoire personnel home de l utilisateur et recoure etc X11 xini
387. m envoy es cet ordinateur Inversement les administrateurs peuvent d cider des machines qui traiteront une requ te bas e sur le nom Le service DNS est normalement mis en oeuvre gr ce des serveurs centralis s qui font autorit pour certains domaines et se r f rent d autres serveurs DNS pour d autres domaines Lorsqu un h te client demande des informations au serveur de noms il se connecte g n ralement sur le port 53 Le serveur de noms tente alors de r soudre le FQDN d apr s sa biblioth que de solutions qui peut contenir des informations importantes sur l h te demand ou des donn es mise en cache suite une requ te ant rieure Si le serveur de noms ne poss de pas encore la r ponse dans sa biblioth que de solutions il se tourne vers d autres serveurs de noms appel s serveurs de noms root ou serveurs de noms racines afin de d terminer les serveurs de noms faisant autorit pour le FQDN en question Gr ce ces informations il effectuera ensuite une requ te aupr s des serveurs de noms faisant autorit pour d terminer l adresse IP de l h te en question S il effectue une op ration dans le sens inverse reverse lookup c est la m me proc dure qui est utilis e si ce n est que la requ te est pr sent e avec une adresse IP inconnue au lieu d un nom 184 Chapitre 12 Berkeley Internet Name Domain BIND 12 1 1 Zones de serveurs de noms Sur Internet le FQDN d un h te peut
388. mail que Tripwire devrait utiliser Les valeurs acceptables sont SMTP et SENDMAIL La valeur par d faut est SENDMAIL MAILPROGRAM Pr cise le programme d email que Tripwire devrait utiliser La valeur par d faut est usr sbin sendmail oi t Apr s avoir modifi l exemple de fichier de configuration vous devrez configurer l exemple de fichier politiques Ai Pour des raisons de s curit vous devriez soit supprimer soit stocker dans un endroit s r toute le copie du fichier texte etc tripwire twcfg txt apr s avoir ex cut le script d installation ou avoir recr un fichier de configuration sign Vous pouvez galement modifier les permissions de fa on ce qu il soit illisible par toute personne non autoris e 19 3 2 diter etc tripwire twpol tzxt Bien que cela ne soit pas n cessaire vous pouvez modifier ce fichier politiques Tripwire comportant de nombreux commentaires pour prendre en consid ration les applications les fichiers et les r pertoires sp cifiques sur votre syst me Se fier la configuration non modifi e du RPM peut ne pas prot ger votre syst me correctement 274 Chapitre 19 Tripwire Modifier le fichier politiques augmente galement l utilit des rapports de Tripwire en r duisant les fausses alertes pour les fichiers et programmes que vous n utilisez pas et en ajoutant de la fonctionna lit telle que notification par email Remarque La notification via email n est
389. maine du syst me tel que example com hostname permet de configurer le nom d h te du syst me tel que wuw example com hotplug configure l utilitaire utiliser lorsqu un changement de configuration est d tect par le syst me Il est surtout utilis avec USB et Cardbus PCI La valeur par d faut de sbin hotplug ne devrait pas tre modifi e moins que vous ne testiez un nouveau programme pour jouer ce r le modprobe d finit l emplacement du programme utiliser pour charger des modules du noyau lorsque cela s av re n cessaire La valeur par d faut de sbin modprobe signifie que kmod l appelle pour charger un module lorsqu une unit d ex cution du noyau appelle kmod msgmax d finit la taille maximum de tout message envoy d un processus un autre sa valeur par d faut est 8192 octets Soyez prudent lorsque vous d cidez d augmenter cette valeur car les messages mis en file d attente entre les processus sont stock s dans la m moire non changeable du noyau Toute augmentation de msgmax augmentera galement la demande de m moire vive du syst me msgmnb d finit le nombre maximum d octets dans une file d attente de messages La valeur par d faut est 16384 msgmni d finit le nombre maximum d identificateurs de file d attente de messages Par d faut la valeur est 16 osrelease fournit le num ro de version du noyau Linux Ce fichier ne peut tre modifi
390. manage authdb view htdbm 1 TDB authdb la base de donn es V rifie un mot de passe dbmmanage authdb check htdbm v TDB authdb username username Tableau 10 1 Migration de dbmmanage vers htdbm Les options m et s fonctionnent avec dbmmanage et htdbm permettant d utiliser les algorithmes MD5 ou SHA respectivement pour hacher des mots de passe Quand vous cr ez une nouvelle base de donn es avec ht dbm l option c doit tre utilis e Pour plus d informations sur le sujet reportez vous la documentation suivante sur le site Web d Apache Software Foundation _http httpd apache org docs 2 0 mod mod_auth_dbm html Chapitre 10 Serveur HTTP Apache 135 10 2 4 5 Module moa_per1 Module La configuration du module mod_perl a t transf r e du fichier httpd conf vers le fichier etc httpd conf d perl conf Pour que ce fichier soit charg et permette ainsi mod_per1 de fonctionner correctement la d claration Include conf d conf doit figurer dans le fichier httpd conf comme le d crit la Section 10 2 1 3 Les occurrences de Apache contenues dans votre fichier httpd conf doivent tre remplac es par ModPer1 En outre la fa on dont les pilotes handlers sont enregistr s a t modifi e Ci dessous figure un exemple de la configuration du Serveur HTTP Apache 1 3 pour le module mod_perl lt Directory var www perl gt SetHandler perl script PerlHandler Apache Registry Options
391. ment de port afin que les mots de passe et les messages soient transf r s de mani re s curis e e http www sendmail net Contient des informations r centes entrevues et articles relatifs Sendmail notamment un aper u d taill des nombreuses options disponibles _http www sendmail org Offre une explication technique tr s d taill e des fonctions de Send mail et des exemples de configuration _http tuxedo org esr fetchmail Page d accueil de Fetchmail comprenant un manuel en ligne et une FAQ exhaustive _http www procmail org Page d accueil de Procmail avec des liens menant diverses listes d adresses de participants d di es Procmail de m me que de nombreux documents FAQ e http www ling helsinki fi users reriksso procmail mini faq html Un excellent FAQ sur Proc mail offrant des conseils pour le r solution de probl mes des informations au sujet du verrouillage de fichiers et l utilisation de caract res g n riques wildcards _http www uwasa fi ts info proctips html Contient de nombreux conseils rendant l utilisation de Procmail plus ais e Ce site inclut des instructions sur la mani re de tester les fichiers proc mailrc et d utiliser le marquage de Procmail pour d cider si une action donn e doit tre ex cut e ou non http www spamassassin org Le site officiel du projet SpamAssassin Chapitre 11 Courrier lectronique 181 11 6 3 L
392. mise niveau vers la derni re version de Red Hat Linux assurez vous que la carte vid o est bien compatible avec la version 4 de XFree86 en consultant la liste de compatibilit du mat riel de Red Hat disponible en ligne l adresse suivante http hardware redhat com Les fichiers concernant XFree86 se trouvent essentiellement dans deux emplacements usr X11R6 contient le serveur X et certaines applications client ainsi que les fichiers d en t te biblioth ques modules et documentation de X etc X11 contient tous les fichiers de configuration pour des applications client et serveur X Ceci inclue les fichiers de configuration du serveur X lui m me l ancien serveur de polices xfs les gestion naires d affichage X et bien d autres composants de base Il est important de noter ici que le fichier de configuration pour la nouvelle architecture de polices bas e sur Fontconfig est etc fonts fonts conf qui remplace le fichier etc X11 XftConfig Pour de plus amples informations sur la configuration et l ajout de polices reportez vous la Section 7 4 90 Chapitre 7 Le syst me X Window tant donn que le serveur X accomplit beaucoup de t ches difficiles en utilisant une large gamme de mat riel il n cessite une configuration d taill e Le programme d installation de Red Hat Linux met en place et configure XFree86 automatiquement moins que les paquetages XFree86 ne soient s lectionn s comme devant
393. mmandes du shell autoriser ou refuser l acc s et modifier le comportement de connexion voir la Section 15 2 3 Ci apr s figure un exemple l mentaire de r gle d acc s d h te vsftpd example com Cette r gle donne aux enveloppeurs TCP l instruction de surveiller les connexions tablies au d mon FTP vsftpd partir de tout h te du domaine example com Si cette r gle appara t dans hosts allow la connexion sera accept e En revanche si la r gle est pr sente dans hosts deny la connexion sera refus e La r gle d acc s d h tes suivante est plus complexe et inclus deux champs d option sshd example com spawn bin echo bin date access denied gt gt var log sshd log deny Notez que dans cet exemple chaque champ d option est pr c d de la barre oblique inverse L utilisation de ce symbole emp che que la r gle n choue en raison de sa longueur A ren Si la derni re ligne du fichier d acc s d h tes ne correspond pas au caract re symbolisant une nou velle ligne cr en pressant sur la touche Entr e la derni re r gle du fichier chouera et un message d erreur sera journalis soit dans var 1og messages Soit dans var 1og secure Ceci s applique aussi des lignes de r gles qui s tendent sur plusieurs lignes sans inclure le symbole de la barre oblique inverse L exemple suivant illustre la partie pertinente d un message de journalisation faisant r f rence l
394. mme des types MIME PHP La directive ci dessous indique au Serveur HTTP Apache de reconna tre l extension de fichier shtml AddType text html shtml AddHandler server parsed shtml 10 5 59 AddHandler AddHandler mappe des extensions de fichier sur des modules de commande sp cifiques Par exemple le module de commande cgi script peut tre utilis en association avec l extension cgi pour traiter automatiquement un fichier dont le nom se termine par cgi comme un script CGI L exemple suivant est un exemple de directive AddHandler pour l extension cgi AddHandler cgi script cqgi Cette directive actives les scripts CGI en dehors du r pertoire cgi bin afin qu ils puissent fonction ner dans tout r pertoire se trouvant sur le serveur ayant l option ExecCGI au sein du conteneur de r pertoires Reportez vous la Section 10 5 24 pour obtenir plus d informations sur la d finition de l option ExecCGI pour un r pertoire Outre son utilisation avec les scripts CGI la directive AddHandler sert aussi au traitement de fichiers HTLM et imagemap analys s par le serveur 10 5 60 Action Action sp cifie l association d un type MIME un CGI de sorte que toute requ te d un fichier de ce type d clenche l ex cution d un script CGI particulier Chapitre 10 Serveur HTTP Apache 151 10 5 61 ErrorDocument La directive ErrorDocument associe un code de r ponse HTTP un message ou une URL qui sera renvoy a
395. mmodit ce guide fournit de br ves descriptions des directives de configuration utilis es par le Serveur HTTP Apache 2 0 La version du Serveur HTTP Apache faisant partie de Red Hat Linux offre la possibilit de d finir des serveurs Web s curis s au moyen du cryptage SSL offert par les paquetages mod_ss1 et openss1 Lorsque vous examinez le fichier de configuration sachez qu il contient aussi bien un serveur Web non s curis et un serveur Web s curis Le serveur Web s curis fonctionne comme un h te virtuel qui est configur dans le fichier etc httpd conf d ss1 conf Pour obtenir de plus amples infor mations sur les h tes virtuels reportez vous la Section 10 8 Pour vous informer sur la configuration d un h te virtuel sur un serveur s curis reportez vous la Section 10 8 1 Pour vous informer sur l installation d un serveur s curis HTTP Apache reportez vous au chapitre intitul Configuration du serveur s curis HTTP Apache du Guide de personnalisation de Red Hat Linux i Remarque Red Hat Inc ne contient pas les extensions FrontPage car la licence Microsoft interdit d inclure ces extensions dans le produit d un fournisseur tiers Pour obtenir plus d informations sur les extensions FrontPage et le Serveur HTTP Apache visitez l adresse http www rtr com fpsupport 10 4 D marrage et arr t de httpd Le RPM httpd installe le script etc rc d init d httpd qui est accessible en utilisant la com mand
396. mples informations sur les diff rents param tres pouvant tre utilis s dans ce fichier consultez la page de manuel relative named Pour des renseignements d taill s sur la fa on de configurer un serveur BIND DNS reportez vous au Chapitre 12 Par d faut le fichier ne contient aucun param tre 4 1 22 etc sysconfig netdump Le fichier etc sysconfig netdump est le fichier de configuration du service etc init d netdump Le service net dump envoie la fois des donn es oops et des surplus de m moire sur le r seau En g n ral net dump n est pas un service n cessaire ainsi ne le lancez que si vous en avez absolument besoin Pour de plus amples informations sur les param tres que vous pouvez utilisez dans ce fichier consultez la page de manuel relative netdump 4 1 23 etc sysconfig network Le fichier etc sysconfig network est utilis pour sp cifier des informations sur la configuration r seau d sir e Les valeurs suivantes peuvent tre utilis es NETWORKING lt valeur gt o lt valeur gt correspond une des valeurs bool ennes suivantes yes la mise en r seau devrait tre configur e no la mise en r seau ne devrait pas tre configur e 40 Chapitre 4 Le r pertoire sysconfig HOSTNAME lt valeur gt o lt valeur gt devrait tre le le nom de domaine complet FQDN de l anglais Fully Qualified Domain Name comme par exemple hostname domain com mais vous pouvez
397. n gt lt Ildif file gt Dans la commande ci dessus remplacez lt 1dif_file gt par le nom du fichier de sortie Tapez ensuite la commande suivante pour importer ce fichier dans OpenLDAP 2 0 slapadd 1 lt Ildif_ file gt Dan Vous devez tre connect en tant que super utilisateur pour pouvoir utiliser usr sbin slapadd Toutefois le serveur de r pertoires tourne en tant que l utilisateur 14ap Par cons quent le serveur de r pertoires ne sera pas en mesure de modifier tout fichier cr par s1apaaa Pour r soudre ce probl me tapez la commande ci dessous lorsque vous avez fini d utiliser s1apaaa chown R ldap var lib ldap 13 9 Ressources suppl mentaires Il existe d autres informations concernant LDAP Consultez ces sources en particulier le site Web OpenLDAP et le HOWTO LDAP avant de commencer configurer LDAP sur votre syst me 13 9 1 Documentation install e La page du manuel relative LDAP La page de manuel de 14ap constitue un bon point de d part pour une introduction LDAP Vous trouverez aussi des pages de manuel consacr es aux d mons et utilitaires de LDAP e usr share docs openldap lt version number gt Contient un document README g n ral ainsi que des informations diverses 13 9 2 Sites Web utiles _http www openldap org Site du projet OpenLDAP Ce site Web contient de nombreuses infor mations sur la configuration de OpenLDAP _http www redhat com mirrors LDP HOWT
398. n 12 7 1 pour davantage d informations 12 5 2 Vues multiples En fonction la d claration view dans named conf BIND peut fournir diff rentes informations selon l identit du demandeur de requ te Cette option est utilis e essentiellement pour contr ler l acc s des services DNS ayant des fonctions critiques en refusant l acc s aux clients externes au r seau local mais en permettant les requ tes des clients internes au r seau local La d claration view utilise l option match clients pour faire correspondre les adresses IP ou des r seaux entiers et leur attribuer des options et des donn es de zones sp ciales 12 5 3 S curit BIND supporte plusieurs m thodes diff rentes pour prot ger la mise jour et le transfert de zones aussi bien sur les serveurs de noms ma tres qu esclaves 200 Chapitre 12 Berkeley Internet Name Domain BIND DNSSEC abr viation de DNS SECurity cette propri t permet de signer cryptographiquement des zones avec une cl de zone De cette fa on on peut v rifier que les informations au sujet d une zone sp cifique proviennent d un serveur de noms qui les a sign es avec une cl priv e particuli re du moment que le receveur poss de la cl publique de ce serveur de noms La version 9 de BIND prend aussi en charge la m thode de cl publique priv e SIG 0 d authentification de messages TSIG abr viation de Transaction SIGnatures cette propri t
399. n PAM dans le r pertoire etc pam d Par exemple le programme login attribue le nom etc pam d login son service 218 Chapitre 14 Modules d authentification enfichables PAM 14 3 Format des fichiers de configuration PAM Chaque fichier de configuration PAM comprend un ensemble de directives tablies selon format sui vant lt interface modulex gt lt indicateur contr lex gt lt chemin modulex gt lt arguments modulex gt Les sections suivantes d crivent ces l ments un par un 14 3 1 Interface du module Il existe quatre types d interface pour les modules PAM chacune correspondant un aspect diff rent du processus d autorisation auth Ces modules sont utilis s pour authentifier l utilisateur par exemple en lui demandant son mot de passe et en le v rifiant Les modules avec cette peuvent galement tablir des certificats d identit tels qu une inscription un groupe ou des tickets Kerberos account Ces modules sont utilis s pour v rifier que l acc s est bien autoris Par exemple ils peuvent v rifier si le compte a expir ou non ou bien si l utilisateur est autoris se connecter un moment donn de la journ e password Ces modules sont utilis s pour d finir les mots de passe session Ces modules sont utilis s pour configurer et g rer des sessions d utilisateurs These modules configure and manage user sessions Les modules ayant cette interface peuven
400. n charge par le pilote de la carte vid o Cette section n est pas prise en compte moins que l interface DRI ne soit activ e dans la section Module L exemple suivant illustre une section DRI typique Section DRI Group 0 Mode 0666 EndSection tant donn que diff rentes cartes vid o utilise la DRI de mani re diff rente nous vous recommandons de ne pas changer les valeurs de cette section sans consulter d abord le fichier usr X11R6 1ib X11 doc README DRI 7 4 Polices Red Hat Linux utilise deux m thodes pour g rer les polices et afficher sous XFree86 Le tout nouveau sous syst me de polices Fontconfig simplifie le gestion des polices et fournit des fonctions d affichage avanc es comme le lissage Ce syst me est utilis automatiquement pour des applications program m es pour utiliser la bo te outils graphiques Qt 3 ou GTK 2 Pour des raisons de compatibilit Red Hat Linux fournit le sous syst me de polices original appel le sous syst me de polices X de base core Ce syst me qui a plus de 15 ans s articule autour du Serveur de polices X xfs Cette section examine la configuration des polices pour X utilisant les deux syst mes 7 4 1 Fontconfig Le sous syst me de polices Fontconfig permet des applications d acc der directement aux polices du syst me et utilise Xft ou tout autre m canisme de rendu des polices de Fontconfig avec un lissage avanc Des applications graphiqu
401. n point d exclamation apr s l option dport pour donner iptables l instruction comparer tous les paquets qui n utilisent pas ce service de r seau ou port e sport indique le port d origine du paquet en utilisant les m mes options que dport L option de concordance source port est identique l option sport syn s applique tous les paquets TCP appel s commun ment paquets SYN con us pour initier la communication Aucun paquet transportant des donn es de charge utile n est touch En pla ant un point d exclamation comme indicateur apr s l option syn tous les paquets non SYN seront compar s tcp flags permet la comparaison avec une r gle de paquets TCP ayant une taille en octets ou des indicateurs sp cifiques L option de concordance tcp flags accepte deux param tres Le premier param tre est le masque qui d finit l indicateur examiner pour le paquet Le second se rapporte aux indicateurs qui doivent tre d finis afin que la concordance puisse avoir lieu Les indicateurs disponibles sont les suivants AC FI PSH RST SY URG ALL NONE Par exemple une r gle iptables contenant p tcp tcp flags ACK FIN SYN SYN ne comparera que les paquets TCP ayant l indicateur SYN d fini et les indicateurs ACK et FIN non d finis L utilisation d un point d exclamation apr s tcp flags inverse l effet de l option de concor dance tc
402. nces de plus de 150 Dans la plupart des cas cette valeur est correctement configur e pour vous Pour avoir plus de rensei gnements sur les MTRR et la configuration manuelle de ce fichier reportez vous l adresse suivante http web1 linuxhq com kernel v2 3 doc ntrr txt html 5 2 24 proc partitions La plupart des informations pr sent es ici ne sont pas importantes pour l utilisateur l exception des colonnes suivantes major Le nombre majeur du p riph rique avec cette partition Le nombre majeur de notre exemple 3 correspond au p riph rique bloc ide0 de proc devices minor Le nombre mineur du p riph rique avec cette partition Cela permet de s parer les par titions en diff rents p riph riques physiques et fait r f rence au nombre situ la fin du nom de la partition blocks R pertorie le nombre de blocs de disque physique contenus dans une partition donn e name Nom de la partition 60 Chapitre 5 Le syst me de fichiers proc 5 2 25 proc pci Ce fichier contient une liste compl te des p riph riques PCI de votre syst me Selon le nombre de p riph riques PCI pr sents sur votre syst me proc pci peut tre assez long Ci apr s se trouve un exemple de ce fichier sur un syst me de base Bus 0 device 0 function O Host bridge Intel Corporation 440BX ZX 82443BX ZX Host bridge rev 3 Master Capable Latency 64 Prefetchable 32 bit memory at 0xe4000000 Oxe
403. nclus dans le fichier etc hosts 10 5 22 UseCanonicalName Lorsque la valeur attribu e cette directive est on elle configure le Serveur HTTP Apache de mani re ce qu il se r f rence en utilisant les valeurs pr cis es dans les directives ServerName et Port En revanche lorsque la valeur de UseCanonicalName est off le serveur emploiera la valeur utilis e le client envoyant la requ te lorsqu il fait r f rence lui m me Par d faut la valeur attribu e UseCanonicalName est off 10 5 23 DocumentRoot DocumentRoot est le r pertoire contenant la plupart des fichiers HTML qui seront servis en r ponse aux requ tes La valeur par d faut pour DocumentRoot aussi bien pour le serveur Web s curis que pour se serveur Web non s curis est le r pertoire var www html Par exemple le serveur pourrait recevoir une demande pour le document suivant http example com foo html Le serveur recherche le fichier suivant dans le r pertoire par d faut var www html foo html Pour modifier DocumentRoot afin qu il ne soit pas partag par un serveur Web s curis et un serveur Web non s curis reportez vous la Section 10 8 Chapitre 10 Serveur HTTP Apache 143 10 5 24 Directory Les balises lt Directory path to directory gt et lt Directory gt cr ent ce qu on appelle un conteneur sont utilis es pour entourer un groupe de directives de configuration devant uniquement s appliquer ce r pertoire et ses
404. ndmail et Fetchmail Chapitre 11 Courrier lectronique 163 11 3 1 Sendmail La t che principale de Sendmail est de d placer de fa on s curis e des messages lectroniques entre des h tes utilisant g n ralement le protocole SMTP Toutefois Sendmail est hautement configurable ce qui vous permet de contr ler presque tous les aspects du traitement des messages y compris le protocole utiliser De nombreux administrateurs syst me choisissent d utiliser Sendmail comme ATC en raison de sa puissance et de sa scalabilit 11 3 1 1 Objectif et limites Il est important de bien comprendre ce qu est Sendmail et ce qu il peut faire de m me que ce qu il n est pas En cette p riode d applications monolithiques jouant des r les multiples on pourrait pen ser que Sendmail est la seule application n cessaire pour ex cuter un serveur de messagerie au sein d une organisation Techniquement parlant ceci est vrai car Sendmail peut spouler du courrier sur vos r pertoires utilisateur et accepter de nouveaux messages sortant pour les utilisateurs Cependant la plupart des utilisateurs d sirent bien plus que le simple acheminement du courrier Ils veulent en g n ral interagir avec le courrier lectronique l aide d un AGC qui utilise POP ou IMAP pour t l charger leurs messages sur leur ordinateur local Ou alors ils pourraient pr f rer une interface Web pour avoir acc s leur bo te lettres Ces autres applicati
405. ne dur e en secondes et la p riode quivalente dans un autre format Secondes Autres unit s de temps 1800 3600 10800 21600 43200 86400 259200 604800 31536000 Tableau 12 1 Les secondes compar es d autres unit s de temps L exemple suivant montre ce quoi l enregistrement d une ressource de base SOA peut ressembler lorsqu il est configur avec des valeurs r elles IN SOA dns1 example com hostmaster example com 2001062501 serial 21600 refresh after 6 hours Chapitre 12 Berkeley Internet Name Domain BIND 195 3600 retry after 1 hour 604800 expire after 1 week 86400 minimum TTL of 1 day 12 3 3 Exemples de fichiers de zone Si on les observe individuellement les directives et enregistrements de ressources peuvent tre dif ficiles comprendre Cependant tout devient beaucoup plus simple lorsqu on peut les observer en semble dans un seul fichier commun L exemple suivant illustre un fichier de zone tr s l mentaire SORIGIN example com TTL 86400 IN SOA dns1 example com hostmaster example com 2001062501 serial 21600 refresh after 6 hours 3600 retry after 1 hour 604800 expire after 1 week 86400 minimum TTL of 1 day IN NS dnsl example com IN NS dns2 example com IN MX 10 mail example com IN MX 20 mail2 example com IN A 10 00 15 serveri IN A 10 0 1 5 server2 IN A A a DAR t A E dns1 IN A RUDE PE DE dns2 IN A 10 0 1 3 ftp IN CNAME serverl mail
406. netd Il est pr f rable autant que possible d utiliser des adresses IP 15 2 1 3 Op rateurs l heure actuelle les r gles de contr le d acc s acceptent un op rateur savoir EXCEPT Il peut tre utilis aussi bien dans la liste des d mons d une r gle que dans celle des clients L op rateur EXCEPT permet d introduire des exceptions sp cifiques des correspondances g n rales au sein de la m me r gle Dans l exemple ci dessous tir d un fichier hosts allow tous les h tes example com sont autori s s se connecter aux services sauf cracker example com ALL example com EXCEPT cracker example com Dans l autre exemple ci dessous tir du fichier hosts allow les clients du r seau 192 168 0 x peuvent utiliser tous les services sauf FTP ALL EXCEPT vsftpd 192 168 0 i Remarque D un point de vue organisationnel il est souvent plus facile d utiliser les op rateurs EXCEPT avec parcimonie en choisissant plut t de placer les exceptions la r gle dans l autre fichier de contr le d acc s Ce faisant d autres administrateurs peuvent examiner rapidement le fichier appropri pour voir quels h tes doivent tre autoris s ou refus s pour quels services sans devoir trier les divers op rateurs EXCEPT 15 2 2 Portmap et les enveloppeurs TCP Lors de la cr ation de r gles de contr le d acc s pour portmap n utilisez pas les noms d h tes car son impl mentation des enveloppeurs
407. nier r pertoire conna tre est le r pertoire initrd Il est vide mais est utilis comme point de montage critique pendant le processus de d marrage 7 Ve Ne supprimez le r pertoire initra sous aucun pr texte L enlever emp cherait votre syst me de d marrer avec un message d erreur panique du noyau redhat Chapitre 4 Le r pertoire sysconfig Le r pertoire etc sysconfig est l endroit o sont stock s de nombreux fichiers de configuration de Red Hat Linux Ce chapitre souligne certains des fichiers situ s dans le r pertoire etc sysconfig leur fonction et leur contenu Ces informations ne pr tendent pas tre exhaustives car nombre de ces fichiers sont une s rie d options qui ne sont utilis es que dans de circonstances sp cifiques et plut t rares 4 1 Fichiers contenus dans le r pertoire etc sysconfig Les fichiers suivants se trouvent g n ralement dans le r pertoire etc sysconfig amd apmd e arpwatch e authconfig e cipe e clock desktop dhcpd e firstboot gpm e harddisks hwconf e il8n e identd init e ipchains e iptables e irda keyboard e kudzu mouse e named e netdump network ntpd pcmcia e radvd 32 Chapitre 4 Le r pertoire sysconfig e rawdevices e redhat config securitylevel e redhat config users e redhat logviewer samba e sendmail e soundcard spamassassin squid tux ups e vncservers e xine
408. nne de la m me fa on sauf qu elle utilise un port parall le ifcfg tr0 les topologies Token Ring ne sont pas aussi courantes sur les R seaux locaux ou LAN de l anglais Local Area Networks qu elles ne l taient autrefois elles ont t supplant es par Ethernet 8 2 4 Fichiers alias et clone Il existe deux types de fichiers de configuration d interface moins utilis s et se trouvant dans etc sysconfig network scripts les fichiers alias et clone qui incluent un composant suppl mentaire dans le nom du fichier Le nom des fichiers de configuration d interface alias est attribu selon le format suivant ifc fg lt if nom gt lt alias valeur gt Ces fichiers permettent un alias de d signer une interface Par exemple un fichier ifcfg eth0 0 peut tre configur pour sp cifier DEVICE eth0 0 et une adresse IP statique de 10 0 0 2 servant donc d alias pour une interface Ethernet d j configur e pour recevoir ses informations IP via DHCP dans ifcfg eth0 ce moment le p riph rique eth0 est li une adresse IP dynamique mais il est toujours possible d y faire r f rence sur ce syst me via l adresse IP fixe 10 0 0 2 112 Chapitre 8 Interfaces r seau Le nom d un fichier de configuration d interface clone ressemble ceci ifcfg lt if nom gt lt nom clone gt Alors qu un fichier alias permet de faire r f rence un fichier de configuration d interface existant un fichier
409. nner un niveau d ex cution 5 et devrait afficher une invite de connexion l cran 1 3 Ex cution de programmes suppl mentaires au d marrage Le script etc rc d rc local est ex cut par la commande init au d marrage ou lors de la mo dification des niveaux d ex cution L ajout de commandes ce script est une fa on simple d ex cuter des t ches n cessaires comme le d marrage de services sp ciaux ou l initialisation de p riph riques sans devoir crire des scripts d initialisation compliqu s dans le r pertoire etc rc d init d et cr er des liens symboliques Le script etc rc serial est utilis si des ports s rie doivent tre configur s au d marrage Ce script ex cute les commandes setserial pour la configuration des port s rie du syst me Consultez les pages de manuel relatives setserial pour obtenir de plus amples informations 1 4 Niveaux d ex cution de SysV Init Le syst me de niveaux d ex cution SysV init fournit un processus standard pour contr ler les pro grammes lanc s et arr t s par init lors de l initialisation d un niveau d ex cution SysV init a t choisi parce qu il est non seulement plus facile utiliser et mais galement plus flexible que le pro cessus init BSD traditionnel Les fichiers de configuration de SysV init se trouvent dans le r pertoire etc rc d Dans ce r pertoire se trouvent les scripts rc rc local rc sysinit et de mani re optionnell
410. noyau sp cifi e dans les param tres du chargeur de d marrage Pour obtenir des informations concernant l utilisation du chargeur de d marrage pour transmettre des arguments de la ligne de commande au noyau lisez le Chapitre 2 Pour des informations sur la mani re de changer le niveau d ex cution l invite de GRUB ou LILO lisez la Section 2 10 Ensuite le chargeur de d marrage place l image disque RAM initial appropri e appel e initrd en m moire Cette image initrd est utilis e par le noyau pour charger les pilotes n cessaires au d marrage du syst me Ceci s av re particuli rement important si vous avez des disques durs SCSI ou si vous utilisez le syst me de fichiers ext3 7 COREN Ne supprimez le r pertoire initra du syst me de fichiers sous aucun pr texte Le retirer pro voquerait un chec de votre syst me avec un message d erreur panique du noyau au moment du d marrage Une fois que le noyau et l image initrd sont charg s en m moire le chargeur de d marrage c de le contr le du processus de d marrage au noyau Pour obtenir un aper u d taill des chargeurs de d marrage GRUB et LILO reportez vous au Chapitre 2 1 2 2 1 Chargeurs de d marrage pour d autres architectures Une fois que le noyau se charge et qu il passe les commandes init les m mes v nements se produisent sur toutes les architectures La diff rence essentielle entre le processus de d marrage de chaque arc
411. nsf rer ce param tre vers la version 2 0 du Serveur HTTP Apache utilisez la structure sui vante lt Location private gt AuthType Basic AuthName My Private Files AuthDBMUserFile var www authdb AuthDBMType DB require valid user lt Location gt Notez que la directive AuthDBMUserF ile peut galement tre utilis e dans des fichiers htaccess Dans la version 2 0 du Serveur HTTP Apache le script Perl dbmmanage utilis pour manipuler des bases de donn es avec nom d utilisateur et mot de passe a t remplac par htdbm Le programme ht dbm offre des fonctionnalit s quivalentes et tout comme le module mod_auth_dbm peut exploiter une grande vari t de formats de bases de donn es l option T peut tre utilis e sur la ligne de commande pour sp cifier le format utiliser Tableau 10 1 montre comment migrer d un format de base de donn es DBM vers htdbm un format utilisant dommanage Commande dbmmanage quivalent de la 1 3 commande htdbm 2 0 Ajoute l utilisateur la base de dbmmanage authdb add htdbm b TDB authdb donn es en utilisant le mot de username password username password passe donn Ajoute l utilisateur la base de dbmmanage authdb htdbm TDB authdb donn es invite fournir le mot adduser username username de passe Retire l utilisateur de la base de dbmmanage authdb delete htdbm x TDB authdb donn es username username R pertorie les utilisateur s dans dbm
412. nsiste transf rer le courrier lectronique entre les serveurs de mes sagerie Toutefois il est galement tr s important pour les clients de messagerie Afin d envoyer un email le client envoie le message lectronique un serveur de messagerie sortant qui son tour contacte le serveur de messagerie de destination pour la d livrance du message Dans de telles cir constances il est n cessaire de sp cifier un serveur SMTP lors de la configuraton d un client email Sous Red Hat Linux un utilisateur peut configurer un serveur SMTP sur l ordinateur local afin qu il traite la d livrance du courrier Toutefois il est galement possible de configurer des serveurs SMTP distant pour le courrier sortant Il est important de noter ici que le protocole SMTP n a pas besoin d authentification pour fonctionner Ainsi toute personne utilisant l Internet peut envoyer des emails toute autre personne ou m me de 160 Chapitre 11 Courrier lectronique vastes groupes de personnes C est cette caract ristique de SMTP qui permet l envoi de pourriel junk email ou de spam Les serveurs SMTP modernes essaient n anmoins de minimiser ce comportement en n autorisant que les h tes connus acc der au serveur SMTP Les serveurs n imposant pas ce genre de restriction sont appel s serveurs open relay Red Hat Linux utilise Sendmail usr sbin sendmail comme programme SMTP par d faut N anmoins une application de ser
413. nt chaque option utilisateur utilis e avec ce serveur options utilisateur Contient des informations telles que le nom d utilisateur et le mot de passe n cessaires l authentification et la v rification du courrier l aide d un serveur de messagerie donn Les options globales apparaissent au sommet du fichier de configuration fetchmailrc suivies d une ou plusieurs options serveur pr cisant chacune un serveur de messagerie diff rent sur lequel Fetchmail devrait v rifier le courrier Les options utilisateur vont la suite des options serveur pour chaque compte utilisateur devant tre v rifi sur ce serveur de messagerie Tout comme les options serveur il est possible de sp cifier non seulement de multiples options utilisateur utiliser avec un serveur donn mais galement de v rifier plusieurs comptes de courrier sur un m me serveur Les options serveur sont appel es tre utilis es dans le fichier fetchmailrc par l emploi d un verbe d option sp cial po11 ou skip qui pr c de toute information serveur L action po11 indique Fetchmail d utiliser cette option serveur lorsqu il est ex cut il v rifie en fait le courrier l aide 168 Chapitre 11 Courrier lectronique des diff rentes options utilisateur Toute option serveur apr s une action skip n est pas v rifi e moins que le nom d h te de ce serveur ne soit sp cifi lorsque Fetchmail est invoqu L option skip
414. nterface Les fichiers de configuration d interface contr lent le fonctionnement des interfaces logicielles asso ci es aux p riph rique r seau individuels Lorsque votre syst me Red Hat Linux d marre il utilise ces fichiers pour savoir quelles interfaces il doit afficher automatiquement et comment les configurer Ces fichiers sont en g n ral nomm s ifcfg lt nom gt o lt nom gt se rapporte au nom du p riph rique contr l par le fichier de configuration 8 2 1 Interfaces Ethernet Le fichier ifcfg eth0 constitue l un des fichiers d interface les plus communs il contr le la pre mi re carte d interface r seau Ethernet ou NIC de l anglais Network Interface Card dans le sys t me Dans un syst me comportant plusieurs cartes il y aura plusieurs fichiers ifcfg eth lt x gt o lt X gt correspond un num ro unique associ une interface sp cifique tant donn que chaque p riph rique a son propre fichier de configuration un administrateur peut contr ler sur le fonctionne ment individuel de chaque interface Un fichier ifcfg eth0 pour un syst me utilisant une adresse IP fixe ressemble ce qui suit DEVICE ethO BOOTPROTO none ONBOOT yes NETWORK 10 0 1 0 NETMASK 255 255 255 0 IPADDR 10 0 1 27 USERCTL no Les valeurs requises dans un fichier de configuration d interface peuvent changer en fonction d autres valeurs Par exemple le fichier ifcfg eth0 pour une interface utilisant DHCP est l
415. ntr le situ s dans le r pertoire etc sysconfig network scripts Les scripts d interface i fdown et i fup constituent des liens symboliques vers des scripts du r pertoire sbin Lorsque l un ou l autre de ces scripts est appel la valeur de l interface doit tre sp cifi e comme par exemple ifup eth0 Determining IP information for eth0 done ce moment les fichiers etc sysconfig network scripts network functions et etc rc d init d functions sont approvisionn s et des fonctions de ces fichiers sont utilis es pour diverses t ches Reportez vous la Section 8 4 pour de plus amples informations Apr s avoir v rifi qu une interface a t sp cifi e et que l utilisateur effectuant la requ te est auto ris activer ou d sactiver l interface le script correspondant au type de p riph rique d interface est activ Il s agit du script qui active et d sactive v ritablement l interface La liste ci dessous num re Les scripts de contr le d interface les plus courants e ifup aliases configure des alias IP partir des fichiers de configuration d interface quand plusieurs adresses IP sont associ es une interface ifdown cipcb et ifup cipcb permettent d activer et de d sactiver les connexions Crypto IP Encapsulation CIPE vers le haut et le bas ifdown ipv6 et ifup ipv6 contiennent des fonctions associ es IPv6 utilisant les variables d environnement dans divers fi
416. nts CARDTYPE lt valeur gt O lt valeur gt est r gl e par exemple sur SB16 pour une carte son Soundblaster 16 4 1 34 etc sysconfig spamassassin Le fichier etc sysconfig spamassassin est utilis pour transmettre des arguments au d mon spamd une version d monis e de Spamassassin lors du d marrage Spamassassin est une appli cation de messagerie pour le filtrage de pourriel spam Pour obtenir une liste des options dispo nibles consultez la page de manuel relative spamd Par d faut il configure spama de sorte ce qu il s ex cute en mode d mon cr e des pr f rences utilisateur et cr e automatiquement des listes blanches Pour de plus amples informations sur Spamassassin consultez la Section 11 4 2 6 4 1 35 etc sysconfig squid Le fichier etc sysconfig squid est utilis pour transmettre des arguments au d mon squid au moment du d marrage Le d mon squid est un serveur proxy de cache pour des applications clientes par le Web Pour de plus amples informations sur la configuration d un serveur proxy squid ou vrez le r pertoire usr share doc squid lt version gt l aide de votre navigateur remplacez Chapitre 4 Le r pertoire sysconfig 43 lt version gt par le num ro de la version squid install e sur votre syst me Par d faut ce fichier r gle le d marrage premier de squid en mode d mon et le d lai avant une interruption automatique 4 1 36 etc sysconfig tux Le
417. nts pour l application Tripwire stocke ses fichiers dans un grand nombre d endroits qui d pendent de leur r le Dans le r pertoire usr sbin vous trouverez les programmes suivants e tripwire Chapitre 19 Tripwire 281 twadmin twprint Dans le r pertoire etc tripwire vous trouverez les fichiers suivants twinstall sh Le script d initialisation pour Tripwire twcfg txt L exemple de fichier de configuration fourni par le RPM de Tripwire tw c g Le fichier de configuration sign cr par le twinstall sh script twpol txt L exemple de fichier de politiques fourni par le RPM de Tripwire tw pol Le fichier de politiques sign cr par le script twinstall sh Fichiers de cl s Les cl s locale et site cr es par le script twinstall sh qui fini par l extension de fichier key e Apr s ex cution du script d installation twinstall sh vous trouverez les fichiers suivants dans le r pertoire var lib tripwire La base de donn es Tripwire La base de donn es des fichiers de votre syst me qui a une extension de fichier twd Rapports Tripwire Le r pertoire report est l endroit o sont stock s les rapports Tripwire La section suivante donne davantage de d tails au sujet des r les jou s par ces fichiers dans le syst me Tripwire 19 10 1 Composants de Tripwire Ce qui suit d crit de fa on plus d taill e les r les dont la liste figure dans la section pr c den
418. nu reportez vous la Section 2 10 Interface de ligne de commande L interface de ligne de commande bien qu tant la plus l mentaire des interfaces GRUB est celle qui vous offre le plus de contr le La ligne de commande permet de taper toute commande GRUB pertinente et de l ex cuter en appuyant sur la touche Entr e Cette interface pr sente certaines fonctions avanc es ressemblant aux fonctions du shell comme par exemple la touche Tab pour l ach vement automatique de ligne en fonction du contexte et les combinaisons de touches avec Ctrl lors de la saisie de commande comme par exemple Ctrl a pour retourner au d but de la ligne et Ctrl e pour aller directement la fin de la ligne De plus les touches de direction D but Fin et Suppr fonctionnent de la m me fa on que sous le shell bash Pour obtenir une liste des commandes les plus courantes reportez vous la Section 2 6 2 5 1 Ordre des interfaces Lorsque l environnement GRUB charge le chargeur de d marrage secondaire il part la recherche de son fichier de configuration Une fois que celui ci a t trouv il l utilise pour la construction de la liste de menu et affiche l interface menu Si le fichier de configuration est introuvable ou s il s av re impossible lire GRUB charge l interface de ligne de commande permettant l utilisateur de saisir manuellement les commandes n cessaires pour achever le processus de d ma
419. nuellement e Sur les ordinateurs clients les fichier etc nsswitch conf doit tre dit afin de pouvoir utiliser LDAP Pour ce faire la fa on la plus simple consiste lancer l Outil de configuration d authentification authconfig gtk et s lectionner Activer le support LDAP sous l onglet Informations utilisateur Si vous ditez etc nsswitch conf manuellement ajoutez 1dap aux lignes appropri es Comme par exemple passwd files ldap shadow files ldap group files ldap Chapitre 13 Protocole LDAP Lightweight Directory Access Protocol 211 13 7 1 PAM et LDAP Pour faire en sorte que des applications compatibles avec PAM standard utilisent LDAP pour l authentification ex cutez Outil de configuration d authentification et s lectionnez Activer le support LDAP sous l onglet Authentification Pour de plus amples informations sur la configuration de PAM consultez le Chapitre 14 et les pages de manuel relatives PAM 13 7 2 Migration de vos anciennes informations d authentification vers le format LDAP Le r pertoire usr share openldap migration contient un ensemble de scripts shell et Perl pour la migration de vos anciennes informations d authentification vers le format LDAP Tout d abord modifiez le fichier migrate_common ph de mani re ce qu il refl te votre domaine Le domaine DNS par d faut devrait tre chang pour ressembler ceci SDEFAULT_MAIL_ DOMAIN votre soci t La
420. oir un acc s READ lecture ou WRITE criture au fichier et la cinqui me colonne montre l identifiant du processus qui d tient le verrouillage La sixi me colonne montre l identifiant du fichier verrouill selon le format suivant P RIPH RIQUE PRINCIPAL P RIPH RIQUE MINEUR NUM RO INODE La septi me colonne indique le d but et la fin de la r gion verrouill e du fichier Les autres colonnes pointent vers des structures de donn es internes du noyau utilis es des fins de d bogage sp cialis et peuvent tre ignor es 5 2 18 proc mdstat Ce fichier contient des informations sur les configurations RAID disques multiples Si votre syst me ne dispose pas de ce genre de configuration votre fichier proc mdstat ressemblera l extrait suivant Personalities read_ahead not set unused devices lt none gt Ce fichier garde l tat reproduit ci dessus sauf si vous cr ez un p riph rique logiciel RAID ou md Dans ce cas vous pouvez afficher proc mdstat pour avoir une id e g n rale du status actuel de vos p riph riques RAID max Le fichier proc mdstat ci dessous montre un syst me contenant md0configur comme un p riph rique RAID 1 et effectuant la re synchronisation des disques Personalities linear raid1 Chapitre 5 Le syst me de fichiers proc 57 read_ahead 1024 sectors md0 active raidl sda2 1 sdb2 0 9940 blocks 2 2 UU resync 1 finish 12 3min algorithm 2 3 3 UUU unused
421. oitation GRUB prend en charge les m thodes de chargement direct et en cha ne ce qui permet au syst me de fonctionner sur la quasi totalit des syst mes d exploitation 7 OEE Lors de l installation le programme d installation DOS et Windows de Microsoft crase compl tement le MBR d truisant par l m me tout chargeur de d marrage existant Si vous cr ez un syst me de d marrage double nous vous conseillons d installer en premier le syst me d exploitation Microsoft Pour obtenir des instructions ce propos reportez vous l appendice intitul e nstallation de Red Hat Linux dans un environnement de d marrage double du Guide d installation de Red Hat Linux 2 2 2 Caract ristiques de GRUB GRUB contient un certain nombre de caract ristiques qui le rendent plus int ressant que d autres chargeurs de d marrage disponibles pour l architecture x86 Vous trouverez ci dessous une liste de certaines des caract ristiques les plus importantes GRUB offre un v ritable environnement pr syst me d exploitation bas sur les commandes util is es sur les ordinateurs x86 Ceci permet l utilisateur de b n ficier d une flexibilit maximale pour le chargement de syst mes d exploitation avec certaines options ou pour obtenir des informa tions sur le syst me De nombreuses architectures autres que l architecture x86 ont utilis pendant des ann es des environnements pr syst me d exploitation permettant de c
422. ommande iptables sont stock es en m moire Si le syst me est red marr apr s la configuration des diff rentes r gles iptables elles seront perdues Pour que des r gles de filtrage r seau soient conserv es lors d un red marrage elles doivent tre enregistr es Pour ce faire connectez vous en tant que super utilisateur ou root et tapez sbin service iptables save Cette commande ex cute le script initial init script iptables qui lancer le programme sbin iptables save et enregistre la configuration actuelle de iptables dans le fichier etc sysconfig iptables Ce fichier ne devrait tre lisible que par le super utilisateur Au prochain d marrage le script initial iptables fera appliquer les r gles enregistr es dans etc sysconfig iptables gr ce la commande sbin iptables restore Alors qu il est toutjours pr f rable de tester une nouvelle r gle iptables avant de l enregistrer dans le fichier etc sysconfig iptables il est possible de copier des r gles iptables dans ce fi chier partir d une version de ce fichier provenant d un autre ordinateur Cette op ration permet de distribuer facilement un ensemble de r gles iptables de multiples ordinateurs Dan Si vous distribuez le fichier etc sysconfig iptables Vers d autres machines il suffit de taper sbin service iptables restart pour que ces nouvelles r gles soient mises en oeuvre 16 5 Sources d informations suppl mentaires Veuillez consu
423. omment e pour permettre l identification des fichiers ayant une extension cgi en tant que scripts CGI Reportez vous la Section 10 5 59 pour obtenir des instructions sur le param trage de AddHandler Pour que cette op ration se d roule parfaitement il est n cessaire de donner la valeur 0755 aux per missions pour les scripts CGI et au chemin d acc s complet aux scripts 10 5 25 options La directive Options contr le les fonctions du serveur disponibles dans un r pertoire particulier Par exemple en vertu des param tres restrictifs sp cifi s pour le r pertoire root Options est d finie uniquement sur FollowSymLinks Aucune fonction n est activ e l exception du fait que le serveur est autoris suivre les liens symboliques dans le r pertoire root Par d faut dans le r pertoire DocumentRoot Options est param tr e pour inclure Indexes et FollowSymLinks Indexes permet au serveur de g n rer le contenu d un r pertoire si aucun Di rectoryIndex par exemple index html n est sp cifi FollowSymLinks permet au serveur de suivre des liens symboliques dans ce r pertoire f Remarque Les d clarations Options de la section de configuration du serveur principal doit tre copi e indi viduellement dans chaque conteneur virtualHost Reportez vous la Section 10 5 69 pour obtenir de plus amples informations sur les conteneurs virtualHost 144 Chapitre 10 Serveur HTTP Apache 10 5 26 AllowOverride
424. on 208 migration des r pertoires 1 x 212 d finition de 203 d mons 205 fichiers de configuration letc Idap conf 207 letc openidap ldap conf 207 letc openldap slapd conf 207 209 r pertoire etc openldap schema 207 207 LDAPv2 203 LDAPv3 203 LDIF format de 204 ressources suppl mentaires 212 documentation install e 212 livres sur le sujet 213 sites Web utiles 212 terminologie 204 utilisation avec NSS 206 utilisation avec PAM 206 utilisation avec PHP4 206 utilisation avec Serveur HTTP Apache 206 le syst me de fichiers proc introduction 47 Lightweight Directory Access Protocol Voir LDAP LILO 2 Voir Aussi chargeurs de d marrage changement des niveaux d ex cution avec 22 d finition de 19 fichier de configuration letc lilo conf 20 processus de d marrage 19 ressources suppl mentaires 22 documentation install e 22 sites Web utiles 23 r le dans le processus de d marrage 2 lilo conf 20 Voir Aussi LILO Listen directive de configuration Apache 140 LoadModule directive de configuration Apache 141 Location directive de configuration Apache 151 log files format courant de fichiers journaux 147 LogFormat directive de configuration Apache 146 LogLevel directive de configuration Apache 146 lspci 60 masqu Voir mot de passe Master Boot Record Voir MBR Voir MBR MaxClients directive de configuration Apache 140 MaxKeepAliveRequests directive de configuration Apach
425. on d h tes virtuels La meilleure fa on de cr er un h te virtuel nomm s consiste utiliser le conteneur d h te virtuel fournit dans httpd conf titre d exemple L exemple d h te virtuel se pr sente de la mani re suivante NameVirtualHost lt VirtualHost gt ServerAdmin Webmaster dummy host example com DocumentRoot www docs dummy host example com ServerName dummy host example com ErrorLog logs dummy host example com error_1log CustomLog logs dummy host example com access_log common lt VirtualHost gt Pour activer la fonction d h te virtuel nomm d commentez la ligne NameVirtualHost en retirant le symbole di se et en le rempla ant par l ast risque avec l adresse IP attribu e l ordinateur Configurez ensuite un h te virtuel en d commentant et personnalisant le conteneur lt VirtualHost gt gt Sur la ligne lt VirtualHost gt remplacez l ast risque par l adresse IP du serveur Remplacez aussi ServerName par to a par le nom d un DNS valide assign l ordinateur et configurez les autres directives selon les besoins tant donn que le conteneur lt VirtualHost gt accepte presque toutes les directives disponibles dans le cadre de la configuration du serveur principal sa capacit tre personnalis est tr s lev e Astuce Si vous configurez un h te virtuel et souhaitez qu il contr le un port non d fini par d faut ce dernier doi
426. on ordre L API du Serveur HTTP Apache 2 0 API permet aux modules de pr ciser leur d activation liminant ainsi la raison d tre de ces deux directives L ordre des lignes LoadModule ne se justifie plus De nombreux modules ont t ajout s supprim s renomm s divis s ou incorpor s les uns aux autres Chapitre 10 Serveur HTTP Apache 129 e Les lignes LoadModule des modules int gr s dans leurs propres RPM mod_ss1 php mod_perl et similaires ne sont plus n cessaires puisque vous pouvez les trouver dans le fichier appropri dans le r pertoire etc httpd conf d e Les diverses d finitions HAVE_XXX ne sont plus d finies Dan Si vous d cidez de modifier votre fichier original notez qu il est essentiel que le fichier httpd conf contienne la directive suivante Include conf d conf L oubli de cette directive entra nerait l chec de tous les modules contenus dans leurs propres RPM tels que mod_ perl php et mod ssl 10 2 1 4 Autres changements de l environnement global Les directives suivantes ont t supprim es de la configuration du Serveur HTTP Apache 2 0 ServerType le Serveur HTTP Apache ne peut tre ex cut qu en tant que ServerType stan dalone rendant ainsi cette directive inutile AccessConfig et ResourceConfig Ces directives ont t supprim es puisqu elles refl taient la fonctionnalit de la directive Include Si les directives AccessConfig et ResourceConfig
427. onnement de r seau inclut des serveurs de noms autres que BIND ou des versions de BIND plus anciennes v rifiez si une propri t avanc e est bien prise en charge avant d essayer de la mettre en oeuvre Toutes les propri t s voqu es ici sont d crites en d tail dans le BIND 9 Administrator Reference Manual Consultez la Section 12 7 1 pour de plus amples informations 12 5 1 Am liorations du protocole DNS BIND supporte les Transferts de zone incr mentaux Incremental Zone Transfers ou IXFR dans lesquels le serveur de noms esclave ne t l chargera que les portions mises jour d une zone modifi e sur un serveur de noms ma tre Le processus de transfert standard n cessite que la zone enti re soit transf r e vers chaque serveur de noms esclave m me pour des changements mineurs Pour des do maines tr s populaires avec des fichiers de zones tr s longs et de nombreux serveurs de noms esclaves IXFR rend la notification et les processus de mise jour bien moins exigeants en ressources Notez que IXFR n est disponible que si vous utilisez une mise jour dynamique pour op rer des changements sur les enregistrements de zone ma tre to make changes to master zone records Si vous ditez manuellement des fichiers de zone pour op rer des changements c est AXFR qui sera utilis Vous trouverez plus d informations sur les mises jour dynamiques dans le BIND 9 Administrator Reference Manual Reportez vous la Sectio
428. ons fonctionnent de concert avec Sendmail et SMTP mais existent en r alit pour diff rentes raisons et peuvent fonctionner ind pendemment les unes des autres L explication de tout ce que Sendmail devrait et pourrait faire en fonction de sa configuration va bien au del de la port e de cette section tant donn le nombre d options diff rentes et de r glages possibles des volumes entiers ont t crits pour expliquer toutes les possibilit s de Sendmail et les fa ons de r gler d ventuels probl mes Reportez vous la Section 11 6 pour obtenir une liste des ressources d di es Sendmail Cette section passe en revue les fichiers install s avec Sendmail par d faut et examine certaines mo dification de configuration l mentaires y compris comment viter de recevoir du pourriel spam et comment augmenter les capacit s de Sendmail avec le protocole Lightweight Directory Access Protocol LDAP 11 3 1 2 Installation de Sendmail par d faut Le fichier ex cutable de Sendmail est usr sbin sendmail Le fichier de configuration de Sendmail long et d taill est etc mail sendmail cf vitez d diter le fichier sendmail cf directement Pour apporter des modification la configuration ditez plut t le fichier etc mail sendmail mc sauvegardez le fichier original etc mail sendmail cf et utilisez ensuite le macroprocesseur m4 qui est inclus pour cr er un nouveau fichier etc mail sendmail cf De plus ample
429. ontr ler le mode de d marrage depuis une ligne de commande Bien que LILO et d autres chargeurs de d marrage x86 offrent certaines fonctionnalit s de commande GRUB est dot d un ventail de fonctions plus large GRUB prend en charge le mode Logical Block Addressing LBA Le mode LBA place les conver sions d adressage utilis es pour localiser des fichiers dans le micrologiciel du disque et est utilis sur de nombreux dispositifs IDE et sur tous les dispositifs SCSI Avant l arriv e du mode LBA les chargeurs de d marrage pouvaient se heurter la limite BIOS de 1024 cylindres cr ant des situations dans lesquelles le BIOS se trouvait dans l incapacit de trouver des fichiers au del de cette t te de cylindre du disque La prise en charge du mode LBA permet GRUB de proc der l amor age de syst mes d exploitation r sidant sur des partitions situ es au del de la limite des 1024 cylindres condition que votre BIOS prenne en charge le mode LBA La plupart des r visions BIOS modernes prennent en charge le mode LBA GRUB peut lire les partitions ext2 Cette fonctionnalit permet GRUB d acc der son fichier de configuration boot grub grub conf chaque fois que le syst me d marre vitant ainsi l utilisateur d crire une nouvelle version du chargeur de d marrage premi re tape sur le MBR lors de toute modification de la configuration L utilisateur ne devra r installer GRUB sur le M
430. opper vos aptitudes en mati re de cr ation de recettes Procmail consiste bien comprendre les expressions r guli res et examiner attentivement de nombreux exemples de recettes cr es par d autres utilisateurs Les quelques exemples simples suivants ont pour but de vous montrer la structure des recettes Procmail et peuvent servir de base pour la construction de structures plus complexes Une recette l mentaire ne contient pas forc ment de conditions comme le montre l exemple ci dessous AiE new mail spool La premi re ligne commence la recette en sp cifiant qu un fichier de verrouillage local doit tre cr mais n indique aucun nom laissant Procmail utiliser le nom de fichier de la destination et LOCKEXT le nommer tant donn qu aucune condition n est sp cifi e tous les messages correspondent cette 176 Chapitre 11 Courrier lectronique recette et sont par cons quent plac s dans le fichier spoule unique appel new mail spool situ dans le r pertoire sp cifi par la variable d environnement MAILDIR Un AGC peut ensuite visualiser les messages dans ce fichier Cette recette de base pourrait tre plac e la fin de tous les fichiers rc afin d acheminer les messages vers un emplacement par d faut Un exemple plus complexe pourrait prendre des messages provenant d une adresse lectronique donn e et les supprimer comme le montre ce exemple 0 fFrom spammer domain com dev null
431. orme PAM 14 7 2 Sites Web utiles _http www kernel org pub linux libs pam le site Web de distribution principal pour le projet Linux PAM contenant des informations sur diff rents modules PAM un Forum Aux Questions FAQ ainsi que de la documentation suppl mentaire sur PAM redhat Chapitre 15 Les enveloppeurs TCP et xinetd Le contr le de l acc s aux services du r seau est l une des t ches de s curit les plus importantes laquelle un administrateur de serveur doit faire face Heureusement sous Red Hat Linux il existe un certain nombre d outils con us pour cette t che Par exemple le pare feu bas sur iptables filtre les paquets r seau ind sirables partir de la pile r seau du noyau Pour les services de r seau qui l utilisent des enveloppeurs TCP ajoutent une couche de protection suppl mentaire en d terminant les h tes autoris s ou non se connecter des services de r seau envelopp s Parmi ces services de r seau envelopp s figure le super serveur xinetd Ce service est baptis super serveur parce qu il contr le les connexions un sous r seau de services et raffine encore plus le contr le de l acc s La Figure 15 1 est une illustration l mentaire de la mani re dont ces outils fonctionnent de concert pour prot ger des services de r seau Incoming Request from the Internet Request Accepted Request Rejected _ Request Request Accepted Acce
432. ortants faire pour passer la version 9 de BIND Le fichier opt ions num re toutes les options impl ment es dans BIND 9 qui sont utilis es dans etc named conf usr share doc bind lt num ro version gt rfc tous les documents RFC concernant BIND sont plac s dans ce r pertoire man named examine les arguments assortis qui peuvent tre utilis s pour contr ler le d mon du serveur de noms BIND e man named conf une liste exhaustive des options disponibles au sein du fichier de configura tion named e man rndc explique les diff rentes options disponibles lors de l utilisation de la commande rnac pour contr ler un serveur de noms BIND e man rndc conf une liste exhaustive des options disponibles au sein du fichier de configuration rndc 12 7 2 Sites Web utiles e http www isc org products BIND La page d accueil du projet BIND o vous pourrez trouver des informations sur les versions actuelles ainsi qu une version PDF de BIND 9 Administrator Reference Manual _http www redhat com mirrors LDP HOWTO DNS HOWTO html Couvre l utilisation de BIND en tant que serveur de noms de r solution en cache ou bien la configuration de divers 202 Chapitre 12 Berkeley Internet Name Domain BIND fichiers de zone n cessaires pour qu il soit utilis comme serveur de noms primaire pour un domaine 12 7 3 Livres sur le sujet DNS and BIND de Paul Albitz et Cricket Liu publi par O
433. osts deny Toute ligne vierge ou commen ant pas un symbole di se n est pas prise en compte de plus chaque r gle doit figurer sur sa propre ligne Chaque r gle utilise le format l mentaire suivant pour contr ler l acc s aux services de r seau lt daemon list gt lt client list gt lt option lt option lt daemon list gt correspond une liste de noms de processus pas des noms de services ou caract re g n rique ou wildcard ALL s par s par des virgules Consultez la Section 15 2 1 1 La liste des d mons accepte aussi les op rateurs num r s dans la Section 15 2 1 3 afin d offrir une plus grande flexibilit lt client list gt correspond une liste de noms d h tes d adresses IP h tes de gabarits sp ciaux voir la Section 15 2 1 2 ou de jokers wildcards voir la Section 15 2 1 1 s par s par des virgules identifiant les h tes auxquels la r gle s applique La liste de clients accepte galement les op rateurs num r s dans la Section 15 2 1 3 afin d offrir une plus grande flexibilit 228 Chapitre 15 Les enveloppeurs TCP et xinetd lt option gt correspond une action facultative ou une liste d actions facultatives s par es par des virgules devant tre ex cut es lorsque la r gle est appliqu e Les champs d options prennent en charge les expansions voir la Section 15 2 3 4 et peuvent tre utilis s pour lancer des co
434. ous la Section 12 4 2 pour obtenir des instructions sur l criture d une d claration key logging permet d utiliser de multiples types de logs ou journaux appel s des channels En utilisant l option channel dans la d claration 1ogging il est possible de construire un type de journal personnalis avec son propre nom de fichier file sa limite de taille size sa version version et son niveau d importance severity Une fois qu un channel personnalis a t d fini une option category est utilis e pour cat goriser le channel et commencer le logging quand named est red marr e Par d faut named envoie des messages de log standards au d mon syslog qui les place dans var log messages Ceci se produit car plusieurs canaux standards sont compris dans BIND avec plusieurs niveaux d importance comme celui qui traite les messages de logging ou journa lisation informationnels default_syslog et celui qui traite sp cifiquement les messages de Chapitre 12 Berkeley Internet Name Domain BIND 191 d bogage default_ debug Une cat gorie par d faut appel e default utilise les canaux com pris dans BIND pour accomplir la journalisation normale sans configuration sp ciale La personnalisation du processus de journalisation logging peut tre un processus tr s d taill qui d passe le cadre du pr sent chapitre Pour obtenir plus d informations sur la cr ation de logs personnalis s dans BIND consu
435. outes les architectures Ce chapitre se concentre sur l architecture x86 1 2 1 Le BIOS Lorsque l on d marre un ordinateur x86 le processeur recherche le programme BIOS de l anglais Basic Input Output System dans la m moire morte ROM de la carte m re et l ex cute Le BIOS est le plus bas niveau d interface pour les p riph riques et contr le la premi re tape du processus de d marrage Pour cette raison le programme du BIOS est crit en lecture seulement dans la m moire morte et peut toujours tre utilis D autres plates formes utilisent diff rents programmes pour r aliser des t ches de bas niveau plus ou moins quivalentes celles effectu es par le BIOS sur un syst me x86 Par exemple les ordinateurs 2 Chapitre 1 Processus de d marrage Init et arr t Itanium utilisent le Shell Extensible Firmware Interface ou EFD tandis que les syst mes Alpha utilisent la console SRM Une fois charg le BIOS teste le syst me recherche et v rifie les p riph riques et trouve ensuite un p riph rique valide qui sera utilis pour amorcer le syst me Normalement il v rifie d abord les lec teurs de disquettes et les lecteurs CD ROM afin de trouver un support amor able s il y en a un puis se tourne vers les disques durs L ordre des unit s recherch es lors du d marrage peut g n rale ment tre contr l par un param tre du BIOS il cherche sur le dispositif IDE ma tre sur le bus IDE
436. ouver l un de ces fichiers et renvoie le premier qu il trouve S il ne trouve aucun de ces fichiers et que Options Indexes est param tr e pour ce r pertoire le serveur g n re et renvoie une liste au format HTML des fichiers et sous r pertoires contenus dans le r pertoire moins que la fonctionnalit de listage des r pertoires ne soit desactiv e 10 5 32 AccessFileName AccessFileName nomme le fichier que le serveur doit utiliser pour les informations de contr le d acc s dans chaque r pertoire La valeur par d faut est htaccess Juste apr s la directive AccessFileName une s rie de balises Files appliquent un contr le d acc s tout fichier commen ant par ht Ces directives refusent l acc s Web tous les fichiers htaccess ou d autres commen ant par ht pour des raisons de s curit 10 5 33 CacheNegotiatedDocs Par d faut votre serveur Web demande aux serveurs proxy de ne pas mettre en cache des documents n goci s sur la base du contenu c est dire qui peuvent changer avec le temps ou suite l entr e du demandeur Si la valeur pour CacheNegotiatedDocs est param tr sur on cette fonction est d sactiv e et les serveurs proxy seront alors autoris s mettre en cache des documents 10 5 34 TypesConfig TypesConfig nomme le fichier qui d finit la liste par d faut des correspondances de type MIME extensions de nom de fichier associ es des types de contenu Le fichier Types
437. ouvez visua liser le rapport en utilisant la commande twprint comme nous l avons d crit dans la Section 19 6 1 Si vous souhaitez recevoir un email lorsque certains types de violations d int grit se produisent vous pouvez le configurer dans le fichier politiques Consultez la Section 19 8 1 pour obtenir des instructions sur la fa on de r gler et de tester cette option 19 6 Examen des rapports Tripwire La commande usr sbin twprint est utilis e pour consulter les rapports et les bases de donn es crypt s de Tripzire 19 6 1 Affichage des rapports de Tripwire La commande twprint m r affichera le contenu d un rapport Tripwire en texte en clair Vous devez toutefois pr ciser twprint quel rapport doit tre affich Une commande twprint pour imprimer des rapports Tripwire ressemble l extrait ci dessous 276 Chapitre 19 Tripwire usr sbin twprint m r twrfile var lib tripwire report lt name gt twr L option m r de cette commande indique twprint de d coder un rapport Tripwire L option twrfile indique twprint d utiliser un fichier rapport Tripwire sp cifique Le nom du rapport Tripwire que vous voulez visualiser contient le nom de l h te que Tripwire a contr l pour g n rer le rapport ainsi que la date et l heure de sa cr ation Vous pouvez tout moment consulter des rapports enregistr s pr c demment Pour cela vous n avez qu taper 1s var lib tripwire report pour faire
438. p option essaie de comparer des options sp cifiques TCP qui peuvent tre d finies dans un paquet donn Cette option de concordance peut aussi tre invers e en utilisant un point d exclamation 16 3 5 2 Protocole UDP Les options de concordance suivantes s appliquent au protocole UDP p udp 248 Chapitre 16 iptables dport indique le port de destination du paquet UDP en utilisant le nom du service le num ro de port ou une plage de num ros de port L option de concordance destination port est identique l option dport Reportez vous l option de concordance dport dans la Section 16 3 5 1 pour obtenir des informations sur les modalit s d utilisation de cette option option e sport indique le port d origine du paquet UDP en utilisant le nom de service le num ro de port ou une plage de num ros de port L option de concordance source port est identique l option sport Reportez vous l option de concordance sport dans la Section 16 3 5 1 pour obtenir des informations sur les modalit s d utilisation de cette option 16 3 5 3 Protocole ICMP Les options de concordance suivantes sont disponibles pour le protocole Internet Control Message Protocol ICMP p icmp icmp type d finit le nom ou le num ro du type d ICMP comparer avec cette r gle Une liste de noms ICMP valides est disponible en tapant la commande iptables p icmp h 16 3 5 4 Modules ave
439. pcinfo p program vers proto port Chapitre 9 Le syst me de fichiers r seau NES 117 00000 2 tcp 111 portmapper 00000 2 udp 111 portmapper 00024 1 udp 024 status 00024 1 tcp 024 status 00011 1 udp 819 rquotad 00011 2 udp 819 rquotad 00005 1 udp 027 mountd 00005 1 tcp 106 mountd 00005 2 udp 027 mountd 00005 2 tcp 106 mountd 00005 3 udp 027 mountd 00005 3 tcp 106 mountd 00003 2 udp 2049 nfs 00003 3 udp 2049 nfs 00021 1 udp 028 nlockmgr 00021 3 udp 028 nlockmgr 00021 4 udp 028 nlockmgr L option p v rifie le mappeur de ports sur l h te sp cifi ou par d faut sur l h te local en l absence de sp cification D autres options sont d crites dans la page de manuel rpcinfo Les r sultats ci dessus montrent des services NFS en activit Si l un des services NFS services ne d marre pas correctement portmap sera incapable d orienter les requ tes RPC de clients pour ce service vers le port ad quat Souvent le red marrage de NFS en tant connect en tant que super utilisateur ou root sbin service nfs restart permettra ces services de s enregistrer cor rectement aupr s de portmap et de commencer fonctionner 9 2 Les fichiers de configuration du serveur NFS La configuration d un syst me pour le partage des fichiers et r pertoires gr ce NFS est tr s simple Chaque fichier export vers les utilisateurs distants via NFS ainsi que les droits d acc s li s ces syst mes de f
440. permet d envoyer des messages un ou plusieurs destina taires en acheminant les messages sur les r seaux n cessaires quels qu ils soient Le fichier d finit les valeurs par d faut pour l ex cution de l application etc sysconfig sendmail En raison de ses valeurs par d faut il s ex cute comme d mon en t che de fond et qu il contr le sa file d attente une fois par heure si quelque chose a t sauvegard Les valeurs suivantes peuvent tre utilis es DAEMON lt valeur gt O lt valeur gt correspond une des valeurs bool ennes suivantes yes Sendmail doit tre configur pour contr ler le port 25 afin de d tecter le courrier entrant La valeur yes implique l utilisation des options bd no Sendmail ne doit pas tre configur pour contr ler le port 25 afin de d tecter le courrier entrant QUEUE 1h qui est donn Sendmail en tant que q QUEUE L option q n est pas donn e Sendmail si le fichier etc sysconfig sendmai 1 existe et que QUEUE est vide ou non d fini 4 1 33 etc sysconfig soundcard Le fichier etc sysconfig soundcard est cr par sndconfig et ne devrait pas tre modifi Le seul r le de ce fichier est de d terminer l entr e de carte du menu afficher par d faut lors de la prochaine ex cution de sndcon ig Les informations de configuration de la carte son se trouvent dans le fichier etc modules conf Ce dernier peut contenir les l ments suiva
441. ph rique e igmp Affiche la liste des adresses IP de multidiffusion auxquelles le syst me s est joint e ip_fwchains Si les ipchains sont en cours d utilisation ce fichier virtuel indique toutes les r gles actuelles e ip_fwnames Si les ipchains sont en cours d utilisation ce fichier virtuel r pertorie tous les noms de cha nes de pare feu e ip_masquerade Fournit une table d informations relatives aux usurpations d identit sous ipchains e ip mr _ cache Liste du cache du routeur de diffusion e ip mr_vif Liste des interfaces virtuelles de diffusion e netstat Contient un ensemble large mais d taill de statistiques r seau telles que les d lais d attente TCP les cookies SYN envoy s et re us etc psched Liste des param tres du programmateur global des paquets e raw Liste des statistiques brutes relatives aux p riph riques route Affiche la table de routage du noyau e rt_cache Contient le cache de routage actuel snmp Liste des donn es du protocole d administration distance de r seaux ou SNMP de l anglais Simple Network Management Protocol pour divers protocoles de gestion de r seau en cours d utilisation e sockstat Fournit des statistiques sur les sockets e tcp Contient des informations d taill es sur les sockets TCP e tr_rif La table de routage RIF du bus annulaire jeton token ring udp Contient
442. plus amples infor mations sur Red Hat Network consultez son site Web l adresse suivante https rhn redhat com Chapitre 4 Le r pertoire sysconfig 45 4 3 Ressources suppl mentaires L intention de ce chapitre est seulement de fournir une introduction aux fichiers contenus dans le r pertoire etc sysconfig Les sources ci dessous contiennent des informations plus d taill es 4 3 1 Documentation install e usr share doc initscripts lt num ro version gt sysconfig txt Ce fichier con tient une liste plus compl te des fichiers se trouvant dans le r pertoire etc sysconfig et des options qu ils acceptent Le lt num ro version gt dans le chemin d acc s vers ce fichier corre spond la version du paquetage initscripts install e 46 Chapitre 4 Le r pertoire sysconfig C redhat Chapitre 5 Le syst me de fichiers proc Le noyau de Linux a deux fonctions principales contr ler l acc s aux p riph riques physiques de l ordinateur d une part et programmer quel moment et de quelle fa on les processus vont interagir avec ces p riph riques d autre part Le r pertoire proc contient une hi rarchie de fichiers sp ciaux qui repr sentent l tat actuel du noyau cela permet aux applications ainsi qu aux utilisateurs de scruter la perception du noyau du syst me Vous pouvez trouver dans le r pertoire proc de nombreuses informations relatives la configura tion mat rielle du syst me
443. plus amples informations sur les utilitaires initscript Pour configurer Procmail afin qu il utilise l application client SpamAssassin au lieu du script Perl placez le ligne suivante vers le haut du fichier procmailrc ou pour une configuration du syst me en g n ral placez la dans etc procmailrc INCLUDERC etc mail spamassassin spamassassin spamc rc 11 5 Agent de gestion de courrier AGC De nombreux progammes de messagerie sont disponibles sous Red Hat Linux Parmi eux figurent des programmes de messagerie client graphique dot s de nombreuses fonctions comme Mozilla Mail ou Ximian Evolution ainsi que des programmes de messagerie base de texte comme mutt ou pine Pour obtenir des informations sur l utilisation de ces applications reportez vous au chapitre intitul Applications de messagerie du Guide de d marrage de Red Hat Linux Le reste de cette section se concentre sur l tablissement d une communication s curis e entre le client et le serveur 178 Chapitre 11 Courrier lectronique 11 5 1 tablissement d une communication s curis e Les AGC tr s utilis s fournis avec Red Hat Linux tels que Mozilla Mail mutt et Pine offrent des sessions de courrier lectronique crypt es avec SSL Comme pour tout autre service voyageant sur un r seau non crypt des informations de messagerie importantes comme les noms d utilisateur mots de passe et des messages entiers peuvent tre inter cept es e
444. prim e en Ko SwapFree Quantit totale de m moire swap libre exprim e en Ko 5 2 20 proc misc Ce fichier affiche la liste des pilotes divers enregistr s sur le p riph rique principal divers portant le num ro 10 135 rte 1 psaux 134 apm bios La premi re colonne correspond au nombre mineur de chaque p riph rique et la deuxi me indique le pilote utilis 5 2 21 proc modules Ce fichier affiche une liste de tous les modules qui ont t charg s dans le noyau Son contenu varie en fonction de la configuration et de l utilisation du syst me mais il devrait tre organis de fa on semblable la sortie du fichier exemple proc modules ci dessous ide cd 27008 0 autoclean cdrom 28960 0 autoclean ide cd soundcore 4100 0 autoclean agpgart 31072 0 unused binfmt_misc 5956 1 iscsi 32672 0 unused scsi _ mod 94424 1 iscsi autofs 10628 0 autoclean unused tulip 48608 ext3 60352 2 jbd 39192 2 ext3 La premi re colonne contient le nom du module La deuxi me indique la taille de la m moire du module en octets La troisi me indique si le module est actuellement charg 1 ou non 0 La der ni re colonne indique si le module peut se d charger automatiquement apr s une p riode d inactivit autoclean ou s il pest pas utilis unused Tout module ayant une ligne qui contient un nom entre parenth ses ou signifie que ce module d pend de la pr sence d un autre mo
445. principal Le BIOS charge ensuite en m moire tout programme r sidant dans le premier secteur de ce dispositif appel le Master Boot Record ou MBR Le MBR ne fait que 512 octets et contient des instructions de codes pour d marrer la machine appel e chargeur de d marrage ainsi que la table de partitions Une fois que le BIOS trouve et charge en m moire le programme du chargeur de d marrage il lui c de le contr le du processus de d marrage 1 2 2 Chargeur de d marrage Cette section examine le processus de d marrage pour la plate forme x86 Le processus de d marrage de votre ordinateur peut varier l g rement en fonction de son architecture Reportez vous la Section 1 2 2 1 pour obtenir un bref aper u des chargeurs de d marrage autres que ceux utilis s pour x86 Sous Red Hat Linux deux chargeurs de d marrage aussi appel s chargeurs d amor age sont dispo nibles GRUB ou LILO GRUB est le chargeur de d marrage par d faut mais LILO est disponible pour ceux qui en ont besoin pour leur configuration mat rielle ou qui pr f rent l utiliser Pour de plus amples informations sur la configuration et l utilisation de GRUB ou de LILO reportez vous au Chapitre 2 Les deux chargeurs de d marrage pour la plate forme x86 sont divis s au minimum en deux tapes La premi re est un petit binaire de code machine Son seul r le est de localiser le chargeur de d marrage tape 2 et d en charger la premi re par
446. produite ci dessous au fichier virtuser table example com bob other example com Pour finaliser cette modification le fichier virtusertable db doit tre mis jour l aide de la commande suivante en tant connect en tant que super utilisateur makemap hash etc mail virtusertable lt etc mail virtusertable Ce faisant un nouveau fichier virtusertable db est cr refl tant la nouvelle configuration 11 3 1 3 Modifications courantes de la configuration de Sendmail Lors de la modification du fichier de configuration Sendmail il est recommand de g n rer un tout nouveau un fichier etc mail sendmail c plut t que de modifier un fichier existant Ohscntion Avant de modifier le fichier sendmai 1 cf il est toujours conseill d effectuer une copie de sauvegarde de la version courante du fichier Pour ajouter la fonctionnalit d sir e Sendmail ditez le fichier etc mail sendmail mc Une fois cette op ration termin e utilisez le macroprocesseur m4 pour g n rer un nouveau fichier sendmail cf en ex cutant la commande m4 etc mail sendmail mc gt etc mail sendmail cf Apr s la cr ation d un nouveau fichier etc mail sendmail cf red marrez Sendmail pour qu il refl te les changements apport s Pour ce faire le moyen le plus simple consiste taper la commande sbin service sendmail restart en tant connect en tant que super utilisateur Par d faut le macroprocesseur m4 est install ave
447. pted TCP xinetd Wrapped Controlled Network Network Service Service Figure 15 1 Contr le de l acc s aux services de r seau Ce chapitre examine d une part le r le des enveloppeurs TCP et de xinetd dans le processus de contr le de l acc s aux services du r seau et d autre part analyse la mani re dont ces outils peuvent tre utilis s afin d am liorer aussi bien la gestion des connexions que celle de l utilisation du syst me Pour des informations sur la cr ation de pare feu avec iptables reportez vous au Chapitre 16 226 Chapitre 15 Les enveloppeurs TCP et xinetd 15 1 Les enveloppeurs TCP Le paquetage des enveloppeurs TCP tcp_wrappers est install par d faut sous Red Hat Linux et fournit un contr le de l acc s aux services du r seau bas sur l h te La biblioth que usr lib libwrap a repr sente l l ment le plus important du paquetage D une mani re g n rale un service envelopp avec TCP est un service qui a t compil avec la biblioth que libwrap a Lorsqu une tentative de connexion un service envelopp avec TCP est effectu e le service cherche d abord les fichiers d acc s des h tes hosts access etc hosts allow et etc hosts deny afin de d terminer si l h te client est autoris ou non se connecter Il utilise ensuite le d mon syslog syslogd pour crire le nom de l h te envoyant la requ te et le nom du service demand dans var log secure ou va
448. public vbox voice tmp tux www l yp Les fichiers journaux tels que messages et lastlog vont dans var log Le r pertoire var lib rpm contient aussi les bases de donn es syst me RPM Les fichiers lock vont dans var lock g n ralement dans des r pertoires sp cifiques aux programmes qui utilisent ces fichiers Le r pertoire var spool comprend des sous r pertoires pour divers syst mes ayant besoin de stocker des fichiers de donn es 30 Chapitre 3 Structure d un syst me de fichiers 3 2 2 usr local in Red Hat Linux Dans Red Hat Linux l utilisation pr vue pour usr 1local est l g rement diff rente de celle qui est sp cifi e par FHS FHS indique que usr local devrait se trouver l o vous stockez des logiciels devant rester l abri des mises jour du logiciel syst me Du fait que les mises jour du syst me partir de Red Hat s effectuent en toute s curit l aide du syst me rpm et de Gnome RPM il ne vous est pas n cessaire de prot ger des fichiers en les pla ant dans usr local Il vous est plut t recommand d utiliser usr local pour y placer les logiciels locaux de votre ordinateur Par exemple imaginons que vous ayez mont usr par le biais d un NFS en lecture seule partir d un h te appel jake Si vous d sirez installer un paquetage ou un programme mais que vous n avez pas l autorisation d apporter des modifications dans jake vous devriez alors l
449. q IRQ 8K 83c790 Carte Ethernet EISA SMC smc ultra32 0 Ultra32 32K Cartes Ethernet PCI Digital 21x4x Tulip SMC EtherPower 10 PCI 8432T 8432BT SMC EtherPower 10 100 PCI 9332DST DEC Ether Works 100 10 PCI DE500 XA DEC Ether Works 10 PCI DE450 DEC QSILVER S Znyx 312 etherarray Allied Telesis LA100PCI T Danpex EN 9400 Cogent EM110 Annexe A Param tres g n raux et modules 295 Mat riel Module Param tres Cartes PCI Fast Ethernet via rhine o VIA Rhine PCI avec soit VIA VT86c100A Rhine IT PCI ou 3043 Rhine I D Link DFE 930 TX PCI 10 100 AT amp T GIS nee NCR wavelan o wavelan IRO 0 io port NWID WaveLan ISA Card WD8003 et Cartes i wd io_port IRQ mem mem_end OU wd compatibles Ethernet io io port irq IRQ mem mem WD8013 mem_end end Compex RLIOOATX PCI winbond o Packet Engines Yellowfin yellowfin o Tableau A 5 Param tres de modules Ethernet Ci apr s figurent des exemples de certains modules utilis s Configuration Carte ISA NE2000 l adresse E S 300 et IRQ ne 0x300 11 ether 0x300 11 eth0 Carte Wavelan l E S 390 d tection wavelan 0 0x390 0x4321 automatique d IRQ et utilisation de NWID pour ether 0 0x390 0x4321 eth0 0x4321 Tableau A 6 Exemples de configuration de param tres Ethernet A 4 1 Utilisation de plusieurs cartes Ethernet Vous pouvez utiliser plusieurs cartes Ethernet dans un ordinateur Si chaque carte utilise un pilote diff rent par exemple
450. que ceux dot s de cl s lectroniques ajout es DISCOVERY lt valeur gt O lt valeur gt correspond une des valeurs bool ennes suivantes yes lance irattach en mode d couverte ce qui signifie qu il cherche activement d autres p riph riques infrarouges Cette fonction doit tre activ e pour que l ordinateur puisse chercher de fa on active une connexion infrarouge c est dire que l l ment ne prend pas l initiative de la connexion no ne lance pas irattach en mode d couverte 38 Chapitre 4 Le r pertoire sysconfig 4 1 18 etc sysconfig keyboard Le fichier etc sysconfig keyboard contr le le comportement du clavier Il est possible d utiliser les valeurs suivantes KEYBOARDTYPE sun pc cette valeur n est utilis e que sur les syst mes SPARCSs La valeur sun indique qu un clavier Sun est connect dev kbd et la valeur pc signifie qu un clavier PS 2 est connect un port PS 2 e KEYTABLE lt fichier gt o lt fichier gt repr sente le nom d un fichier de clavier Comme par exemple KEYTABLE us Les fichiers pouvant tre utilis s comme fichiers de cla vier commencent dans 1ib kbd keymaps i386 et se ramifient de l en diff rents types de claviers portant tous l tiquette lt fichier gt kmap gz Le premier fichier qui se trouve sous 1ib kbd keymaps i386 et qui correspond au param tre KEYTABLE est utilis 4 1 19 etc sysconfig kudzu Le fichier etc
451. que ou si certains d entre eux ont t modifi s Reportez vous la Section 19 5 4 Analyse d un fichier rapport de Tripwire Visualisez le fichier rapport Tripwire au moyen de usr sbin twprint afin d identifier les violations d int grit du syst me Pour en savoir plus reportez vous la Section 19 6 1 5 Si des violations d int grit surviennent prenez les mesures de s curit appropri es les fichiers contr l s ont t modifi s de fa on incorrecte vous pouvez remplacer les fichiers originaux par des copies de sauvegarde r installer le programme ou r installer compl tement le syst me d exploitation 6 Si les modifications taient valides v rifiez et mettez jour le fichier de la base de donn es de Tripwire Si les modifications de l int grit du syst me sont intentionnelles vous devez indiquer au fichier de la base de donn es Tripwire de ne plus souligner ces modifications dans les rapports suivants Pour plus de d tails veuillez lire la Section 19 7 7 Si le dossier de politiques chappe la v rification mettez jour le fichier de politiques Tripwire Pour changer la liste des fichiers que Tripwire contr le ou la fa on dont il traite ces viola tions d int grit mettez jour le fichier de politiques fourni etc tripwire twpol txt r g n rez une copie sign e etc tripwire tw pol et mettez jour la base de donn es Tripwire Pour plus de renseignements reportez vous l
452. quel le sous syst me de gestion de la m moire commencera lib rer davantage le cache tampon que les autres types de m moire pour compenser le manque g n ral de m moire libre kswapd d finit diff rentes valeurs relatives au d mon de permutation du noyau kswapd Ce fichier contient trois valeurs savoir 512 32 8 La premi re valeur indique le nombre maximum de pages que kswapd essaiera de lib rer en une seule tentative Plus cette valeur est lev e plus le noyau peut agir rapidement pour lib rer des pages La deuxi me valeur d finit le nombre minimum d essais de lib ration d une page par ks wapd La troisi me valeur indique le nombre de pages que kswapd essaie d crire en une seule tentative Un r glage pr cis de la valeur finale permet d am liorer les performances des syst mes qui utilisent beaucoup d espace swap en indiquant au noyau d crire les pages en blocs de grande taille ce qui minimise le nombre de recherches disque max_map_count configure le nombre maximum de zones de topographie m moire qu un pro cessus peut avoir La valeur par d faut de 65536 est appropri e dans la plupart des cas overcommit_memory lorsque sa valeur par d faut est 0 le noyau estime la quantit de m moire disponible et fait chouer les requ tes qui sont de toute vidence invalides Malheureusement tant donn que la m moire est allou e l aide d un algorithme heuristique plut t que pr
453. r initrd lt nom de fichier gt permet l utilisateur de sp cifier un disque RAM initial utiliser pour l amor age Un initrd est n cessaire au noyau lorsque celui ci a besoin de certains modules pour d marrer correctement comme lorsque la partition root est format e avec le syst me de fichiers ext3 Chapitre 2 Chargeurs de d marrage 17 e install lt tape 1 gt lt installer disque gt lt tape 25 gt p lt fichier config gt installe GRUB dans le bloc de d marrage ma tre MBR du syst me Lors de l utilisation de la commande insta11 il est n cessaire de sp cifier les l ments suivants lt tape 1 gt pr cise un p riph rique ne partition et un fichier o l image du premier chargeur de d marrage peut tre trouv e tel que hd0 0 grub stagel lt installer disque gt sp cifie le disque o le chargeur de d marrage de l tape 1 doit tre install comme par exemple hd0 lt tape 2 gt indique au chargeur de d marrage de l tape 1 l emplacement du chargeur de d marrage de l Etape 2 comme par exemple hd0 0 grub stage2 p lt fichier config gt cette option indique la commande instal1 de rechercher le fichier de configuration du menu sp cifi par lt fichier config gt Un exemple de chemin d acc s valide au fichier de configuration est hd0 0 grub grub conf Ass La commande install crasera toute autre information sur le bloc de d
454. r cent usr sbin tripwire update twrfile var lib tripwire report lt name gt twr Tripwire affichera le rapport au moyen de l diteur de texte par d faut sp cifi dans le fichier de configuration de Tripwire la ligne EDITOR C est ce moment que vous avez la possibilit de d s lectionner les fichiers que vous ne d sirez pas inclure dans la mise jour de la base de donn es Tripwire Important Il est important de ne permettre que les modification des violations autoris es du syst me dans la base de donn es Toutes les mises jour propos es de la base de donn es Tripwire commencent avec un x avant le nom du fichier semblable l exemple suivant Added x usr sbin longrun Modified x usr sbin x usr sbin cpqarrayd Si vous voulez sp cifiquement exclure une violation valide afin qu elle ne fasse pas partie de la mise jour de la base de donn es Tripwire enlevez le x Pour modifier des fichiers dans l diteur de texte par d faut vi tapez i puis appuyez sur la touche Entr e pour entrer en mode insertion et r aliser les changements n cessaires Finalement appuyez sur la touche Echap tapez wa et appuyez sur Entr e Apr s la fermeture de l diteur entrez votre mot de passe local et la base donn es sera reconstruite et sign e Une fois la nouvelle base de donn es Tripwire cr e les violations d int grit venant tout juste d tre autoris e
455. r pertoire dans proc scsi qui contient des fichiers sp cifiques chaque contr leur SCSI qui utilise ce pilote Par cons quent dans le cas de l exemple ci dessus les r pertoires aic7xxx et megaraid sont pr sents car ces deux pilotes sont utilis s Les fichiers situ s dans chacun des r pertoires contiennent g n ralement la plage d adresses ESS les IRQ ainsi que les statistiques relatives au contr leur SCSI qui utilise ce pilote Chaque contr leur peut rapporter diff rents types et quantit s d informations Le fichier du contr leur SCSI Adaptec AIC 7880 Ultra produit dans cet exemple la sortie suivante Adaptec AIC7xxx driver version 5 1 20 3 2 4 Compile Options TCQ Enabled By Default Disabled AIC7XXX_PROC_STATS Enabled AIC7XXX_RESET_DELAY po Adapter Configuration SCSI Adapter Adaptec AIC 7880 Ultra SCSI host adapter Ultra Narrow Controller PCI MMAPed I O Base Oxfcffe000 Adapter SEEPROM Config SEEPROM found and used Adaptec SCSI BIOS Enabled IRO 30 SCBs Active 0 Max Active 1 Allocated 15 HW 16 Page 255 Interrupts 33726 BIOS Control Word 0x18a6 Adapter Control Word 0x1c5f Extended Translation Enabled Disconnect Enable Flags OxO0ff Ultra Enable Flags 0x0020 Tag Queue Enable Flags 0x0000 70 Chapitre 5 Le syst me de fichiers proc Ordered Queue Tag Flags 0x0000 Default Tag Queue Depth 8 Tagged Queue By Device array for aic7xxx host instance 1 255 255 255 255 255 255 255 255 255 255
456. r Aussi xinetd rpcinfo 116 r pertoire dev 26 r pertoire etc sysconfig Voir r pertoire sysconfig r pertoire mnt 26 r pertoire proc 27 r pertoire proc Voir syst me de fichiers proc r pertoire sbin 27 r pertoire usr 27 r pertoire usr local 30 r pertoire initrd 30 r pertoire sysconfig 30 letc sysconfig amd 32 letc sysconfig apmd 32 letc sysconfig arpwatch 32 letc sysconfig authconfig 33 letc sysconfig clock 33 letc sysconfig desktop 34 letc sysconfig dhcpd 34 letc sysconfig firstboot 34 letc sysconfig gpm 34 letc sysconfig harddisks 34 letc sysconfig hwconf 35 letc sysconfig identd 35 letc sysconfig init 36 letc sysconfig ipchains 36 letc sysconfig iptables 37 letc sysconfig irda 37 letc sysconfig keyboard 38 letc sysconfig kudzu 38 letc sysconfig mouse 38 letc sysconfig named 39 letc sysconfig netdump 39 letc sysconfig network 39 letc sysconfig ntpd 40 letc sysconfig pemcia 40 letc sysconfig radvd 41 Jetc sysconfig rawdevices 41 letc sysconfig redhat config securitylevel 41 letc sysconfig redhat config users 41 305 letc sysconfig redhat logviewer 41 letc sysconfig samba 41 letc sysconfig sendmail 42 letc sysconfig soundcard 42 letc sysconfig spamassassin 42 letc sysconfig squid 42 letc sysconfig tux 43 letc sysconfig ups 43 letc sysconfig vneservers 43 letc sysconfig xinetd 44 fichiers contenus dans 31 informations suppl mentaires s
457. r b n ficier des avantages auxquels vous avez droit en tant que client Red Hat Vous aurez droit certains ou tous les avantages suivants selon le produit Red Hat Linux que vous avez achet Support Red Hat L quipe d assistance de Red Hat Inc r pondra vos questions sur l installation Red Hat Network Mettez facilement jour vos paquetages et recevez des nouvelles concernant la s curit personnalis es votre syst me Visitez http rhn redhat com pour obtenir de plus amples informations Under the Brim La E Newsletter Red Hat Recevez chaque mois les derni res nouvelles et informations sur les produits directement de Red Hat Pour vous inscrire rendez vous l adresse http www redhat com apps activate Vous trouverez votre num ro d identification de produit Product ID sur une carte noire rouge et blanche dans votre emballage Red Hat Linux Introduction ix Pour en savoir plus sur l assistance technique Red Hat Linux consultez l annexe Assistance technique dans le Guide d installation de Red Hat Linux Merci d avoir choisi Red Hat Linux et bonne chance L quipe de documentation de Red Hat Introduction l R f rences au syst me Afin de g rer le syst me aussi efficacement que possible il est primordial de disposer de certaines connaissances sur ses composants et leur imbrication Cette partie examine de nombreux aspects importants du syst me Elle couvre le proce
458. r installer un serveur Kerberos suivez les tapes suivantes 1 Avant d installer Kerberos 5 assurez vous que la synchronisation de l horloge et que le DNS fonctionnent sur votre serveur Pr tez une attention toute particuli re la synchronisation de l heure entre le serveur Kerberos et ses diff rents clients Si les horloges du serveur et du client diff rent de plus de cinq minutes cette dur e par d faut est configurable dans Kerberos 5 les clients Kerberos ne pourront pas s authentifier aupr s du serveur Cette synchronisation de l horloge est n cessaire pour emp cher un pirate d utiliser un ancien ticket pour se faire passer pour un utilisateur valide Vous devriez configurer un r seau client serveur compatible NTP protocole de synchronisation de r seau m me si vous utilisez Kerberos Afin de faciliter l installation Red Hat Linux in clut le paquetage ntp Consultez usr share doc ntp lt version number gt index htm pour obtenir des informations d taill es sur la configuration des serveurs Network Time Proto col et rendez vous l adresse suivante http www eecis udel edu ntp pour obtenir des infor mations suppl mentaires sur NTP 2 Installez les paquetages krb5 libs krb5 server et krb5 workstation sur la machine choisie pour l ex cution du KDC Cette machine doit tre absolument s curis e dans la mesure du possible elle ne devrait ex cuter aucun service autre que le KDC Si vous souhait
459. r les valeurs transmises au noyau Toute valeur ajout e etc sysctl conf prendra effet chaque d marrage du syst me 5 5 Ressources suppl mentaires Vous trouverez ci dessous des sources d informations suppl mentaires sur le syst me de fichiers proc 5 5 1 Documentation install e L essentiel de la documentation la plus pertinente sur proc se trouve sur votre syst me e usr src linux 2 4 Documentation filesystems proc txt contient des informa tions vari es mais limit es sur tous les aspects du r pertoire proc e usr src linux 2 4 Documentation sysrq txt offre un aper u des options de la touche d interrogation syst me usr src linux 2 4 Documentation sysctl est un r pertoire contenant un certain nombre d astuces en relation avec sysctl y compris comment modifier des valeurs en rapport avec le noyau kernel txt acc s aux syst mes de fichiers fs txt et utilisation de la m moire virtuelle vm txt e usr src linux 2 4 Documentation networking ip sysctl txt Un examen de certaines option de mise en r seau d IP e usr src linux 2 4 vous trouverez les informations les plus pertinentes sur proc en lisant le code source du noyau Assurez vous que le RPM kernel source est install sur votre syst me et consultez le r pertoire usr src linux 2 4 pour le code source lui m me 5 5 2 Sites Web utiles http www linuxhq com Ce site contient une base de donn es comp
460. r log messages Si un h te client a la permission de se connecter les enveloppeurs TCP c dent le contr le de la connexion au service demand et n interf rent plus entre l h te client et le serveur dans le processus de communication Outre le contr le d acc s et la connexion les enveloppeurs TCP peuvent activer des commandes afin d interagir avec le client avant de de refuser ou de c der le contr le de la connexion au service de r seau demand tant donne que les enveloppeurs TCP repr sentent une pr cieuse adjonction la panoplie des outils de s curit de tout administrateur de serveur la plupart des services de r seau sous Red Hat Linux sont troitement li s la biblioth que 1ibwrap a Parmi ces applications figurent usr sbin sshd usr sbin sendmail et usr sbin xinetd i S Remarque Afin de d terminer si un binaire de service de r seau est li libwrap a tapez la commande suivante en tant connect en tant que super utilisateur ou root strings f lt nom binaire gt grep hosts_access en rempla ant bien lt nom binaire gt par le nom du binaire du service de r seau 15 1 1 Avantages des enveloppeurs TCP Les enveloppeurs TCP offrent deux avantages de base par rapport d autres techniques de contr le de services de r seau e La transparence des op rations aussi bien pour l h te client que pour le service de r seau en velopp Ni le client tablissant la connexion ni le
461. r n cessaire de fournir certains param tres un module lors de son chargement afin qu il puisse fonctionner correctement Ces informations peuvent tre fournies de deux mani res Il est possible de sp cifier un ensemble complet de param tres au moyen d une seule instruction Par exemple le param tre cdu31 0x340 0 pourrait tre utilis avec un CDU Sony 31 ou 33 sur le port 340 sans IRQ Il est galement possible de sp cifier les param tres de fa on individuelle Cette m thode est util is e lorsqu un ou plusieurs param tres du premier ensemble ne sont pas n cessaires Par exemple cdu31_port 0x340 cdu3la_irq 0 peut tre utilis comme param tre pour le m me lecteur de CD ROM On utilise un OR dans les tableaux CD ROM SCSI et Ethernet de cette annexe pour montrer o la premi re m thode de param trage s arr te et o la seconde commence i Remarque N utilisez qu une seule m thode et non pas les deux lorsque vous chargez un module avec des param tres sp cifiques 1 Un pilote est un type de logiciel qui permet au syst me Linux d utiliser un p riph rique mat riel donn Sans ce pilote le noyau ne peut pas communiquer avec les p riph rique qui lui sont attach s 286 Annexe Param tres g n raux et modules Ossrissement Lorsqu un param tre contient une virgule assurez vous de ne pas mettre d espace apr s la virgule A2 Param tres des modules pour CD ROM f Remarque Les le
462. r un syst me partir des toutes premi res tapes Il inclut entre autres un aper u des options de la ligne de commande de GRUB http www tidp org HOWTO mini LILO html Ce mini HOWTO examine diff rentes utilisa tions de LILO y compris le d marrage de syst mes d exploitation autres que Linux 24 Chapitre 2 Chargeurs de d marrage redhat Chapitre 3 Structure d un syst me de fichiers 3 1 Pourquoi partager une structure commune La structure du syst me de fichiers d un syst me d exploitation est son niveau d organisation le plus bas Presque toutes les fa ons dont un syst me d exploitation interagit avec ses utilisateurs ses appli cations et son mod le de s curit d pendent de la fa on dont il stocke ses fichiers dans un p riph rique de stockage de base g n ralement une unit de disque dur Il est imp ratif et ce pour nombre de rai sons que les utilisateurs ainsi que les programmes puissent compter sur une ligne directrice commune afin de savoir o lire et crire des fichiers Les syst mes de fichiers peuvent tre d finis selon deux types diff rents de cat gories logiques de fichiers __ Fichiers partageables fichiers non partageables e Fichiers variables fichiers statiques Les fichiers partageables sont accessibles partir de diff rents h tes alors que les fichiers non partageables ne sont pas disponibles aux autres h tes Les fichiers variables peuvent tre mo
463. r xr xr x 3 root root 0 Feb 13 01 28 1 dr xr xr x 3 root root 0 Feb 13 01 28 1010 dr xr xr x 3 xfs xfs 0 Feb 13 01 28 1087 dr xr xr x 3 daemon daemon 0 Feb 13 01 28 1123 dr xr xr x 3 root root 0 Feb 13 01 28 11307 dr xr xr x 3 apache apache 0 Feb 13 01 28 13660 dr xr xr x 3 rpc rpc 0 Feb 13 01 28 637 Chapitre 5 Le syst me de fichiers proc 63 dr xr xr x 3 rpcuser rpcuser 0 Feb 13 01 28 666 Ces r pertoires sont appel s r pertoires de processus car ils font r f rence un ID de processus et contiennent des informations se rapportant ce processus Le propri taire et le groupe de chaque r pertoire de processus est param tr sur l utilisateur qui ex cute le processus Lorsque le processus est termin son r pertoire de processus proc dispara t Chaque r pertoire de processus contient les lignes suivantes cmdline Ce fichier contient la commande mise au d but du processus cpu Fournit des informations sp cifiques sur l utilisation de chaque unit centrale du syst me Un processus ex cut sur un syst me double unit centrale produit une sortie semblable l extrait ci dessous cpu LE 3 cpu0 0 0 cpul 11 3 cwd Lien symbolique vers le r pertoire de travail courant pour ce processus e environ Fournit la liste des variables d environnement du processus La variable d environnement est indiqu e en majuscules et la valeur en minuscules exe Lien symbolique vers le fichier
464. ration de l interface menu de GRUB est boot grub grub conf Les com mandes servant la d finition des pr f rences g n rales pour l interface menu sont plac es dans le haut du fichier suivies des diff rentes entr es relatives chacun des syst mes d exploitation ou noyaux num r s dans le menu L extrait ci dessous correspond un fichier de configuration du menu de GRUB tr s simple servant au d marrage de Red Hat Linux ou de Microsoft Windows 2000 default 0 timeout 10 splashimage hd0 0 grub splash xpm gz section to load linux title Red Hat Linux 2 4 18 5 47 root hd0 0 kernel vmlinuz 2 4 18 5 47 ro root dev sda2 initrd initrd 2 4 18 5 47 img section to load Windows 2000 title windows rootnoverify hd0 0 chainloader 1 Ce fichier invite GRUB construire un menu avec Red Hat Linux comme syst me d exploitation par d faut r gl pour un d marrage automatique apr s 10 secondes Deux sections sont disponibles une Chapitre 2 Chargeurs de d marrage 19 pour chaque syst me d exploitation avec les commandes sp cifiques de la table de partition de chaque syst me j Remarque Notez bien que le param tre par d faut est sp cifi sous la forme d un chiffre Ceci se rapporte la premi re ligne title que GRUB rencontre Si vous voulez que windows soit le param tre par d faut changez la valeur default 0 en default 1 Le param trage d un fichier de menu de configuration
465. rationnel aux niveaux d ex cution ad quats pour que la communi cation NFS aie lieu De concert avec portmap les processus suivants garantissent qu une connexion NFS est autoris e et peut continuer sans erreurs rpc mountd Le processus actif qui re oit la requ te de montage d un client NFS et v rifie qu elle correspond bien avec un syst me de fichiers actuellement export rpc nfsd Le processus qui impl mente les composants de l espace utilisateur user space du service NFS Il fonctionne avec le noyau Linux pour satisfaire les requ tes dynamiques des clients NES comme par exemple en fournissant des fils de serveur suppl mentaires utiliser par les clients NES rpc lockd Le d mon qui ne se trouve pas n cessairement dans les noyaux modernes Le ver rouillage de fichier NFS est pr sent assur par le noyau Il est inclus dans le paquetage nfs utils pour les utilisateurs d anciens noyaux qui n incluent pas cette fonctionnalit par d faut rpc statd Il impl mente le Moniteur de statut de r seau ou NSM de l anglais Network Status Monitor de protocole RPC Ceci fournit une notification de red marrage lorsqu un serveur NFS est red marr sans avoir t teint correctement rpc rquotad Le serveur RPC qui fournit des informations de quotas d utilisateurs pour les utilisateurs distants Tous ces programmes ne sont pas indispensables pour le service NFS Les seuls service
466. rberos krb5kdc enverra une invite pour que l utilisateur entre le mot de passe du serveur ma tre qui permet de recr er la cl chaque fois qu il sera lanc ditez le fichier var kerberos krb5kdc kadm5 acl Ce fichier est utilis par kadmind afin de d terminer d une part quels l ments principaux ont un acc s administratif la base de donn es de Kerberos et d autre part afin de d finir leur niveau d acc s Une seule ligne suffira la plupart des organisations comme dans l exemple ci dessous admin EXAMPLE COM La plupart des utilisateurs seront repr sent s dans la base de donn es par un seul l ment prin cipal avec une instance NULL ou vide telle que joe EXAMPLE COM Avec cette confi guration les utilisateurs ayant un second l ment principal avec comme instance admin par exemple joe admin EXAMPLE COM pourront exercer un pouvoir total sur la base de don n es Kerberos du realm Une fois que kadmind est lanc sur le serveur tout utilisateur pourra acc der ses services en ex cutant kadmin sur tout client ou serveurs dans le realm Toutefois les utilisateurs non sp cifi s dans le fichier kadm5 acl ne pourront modifier le contenu de la base de donn es d aucune mani re l exception de leurs propres mots de passe qu ils seront m me de changer Remarque Lutilitaire kadmin communique avec le serveur kadmina sur le r seau et utilise Kerberos pour g rer l authen
467. re IP gt fait r f rence au dernier chiffre dans une adresse IP qui doit orien ter vers le FQDN d un syst me particulier Dans l exemple suivant les adresses IP allant de 10 0 1 20 10 0 1 25 orientent vers les FQDN correspondants SORIGIN 1 0 10 in addr arpa TTL 86400 IN SOA dns1 example com hostmaster example com 2001062501 serial 21600 refresh after 6 hours 3600 retry after 1 hour 604800 expire after 1 week 86400 minimum TTL of 1 day IN NS dnsl example com IN NS dns2 example com 20 IN PTR alice example com 21 IN PTR betty example com 22 IN PTR charlie example com 23 IN PTR doug example com 24 IN PTR ernest example com 25 IN PTR fanny example com Ce fichier de zone serait mis en service avec une d claration zone dans le fichier named conf simi laire l extrait qui suit zone 1 0 10 in addr arpa IN type master file example com rr zone allow update none Il existe peu de diff rences entre cet exemple et une d claration zone standard si ce n est dans la mani re de nommer l h te Notez qu une zone de r solution de noms invers e n cessite que les trois premiers blocs de l adresse IP soient invers s puis suivis de l entit in addr arpa Ceci permet d associer correctement cette zone le bloc unique de nombres IP utilis dans le fichier de zone de r solution de nom invers e 12 4 Utilisation de rnac BIND contient un utilitaire appel rndc qui
468. re de secondes entre le moment o un r pertoire a t lib r et le moment o il peut tre r cup r et le quatri me mesure les pages actuellement demand es par le syst me Les deux derniers nombres ne sont pas utilis s et n affichent actuellement que des z ros dquot nr indique le nombre maximum d entr es de quota de disque en cache file max permet de changer le nombre maximum d indicateurs de fichier allou s par le noyau Si vous augmentez la valeur dans ce fichier vous pourrez r soudre des erreurs caus es par le manque d indicateurs de fichier disponibles file nr affiche le nombre d indicateurs de fichier allou s utilis s et maximum overflowgidet overflowuid d finissent respectivement l ID groupe et l ID utilisateur fixes ils sont utilis s avec des syst mes de fichiers qui ne prennent en charge que des ID groupe et utilisateur 16 bits Chapitre 5 Le syst me de fichiers proc 73 super max contr le le nombre maximum de superblocs disponibles super nr affiche le nombre actuel de superblocs utilis s 5 3 9 3 proc sys kernel Ce r pertoire contient divers fichiers de configuration qui affectent directement le fonctionnement du noyau Parmi les fichiers les plus importants figurent e acct contr le la suspension de la comptabilisation du processus sur la base du pourcentage d espace libre disponible sur le syst me de fichiers contenant le journal Par d
469. rent e allow query sp cifie les clients qui sont autoris s requ rir des informations propos de cette zone Par d faut toutes les requ tes d informations sont autoris es allow transfer sp cifie les serveurs esclaves qui sont autoris s requ rir un transfert des informations de la zone Par d faut toutes les requ tes de transfert sont autoris es Chapitre 12 Berkeley Internet Name Domain BIND 189 e allow update sp cifie les h tes qui sont autoris s mettre jour dynamiquement des infor mations dans leur zone Par d faut aucune requ te de mise jour dynamique n est autoris e Soyez tr s prudent lorsque vous autorisez des h tes mettre jour des informations propos de leur zone Ne mettez en oeuvre cette option que si vous accordez une confiance absolue l h te De mani re g n rale il est pr f rable de laisser un administrateur mettre jour manuellement les enregistrements de la zone et recharger le service named service file sp cifie le nom du fichier qui contient les donn es de configuration de la zone dans le r pertoire de travail named masters l option masters tablit une liste des adresses IP partir desquelles demander des informations sur la zone faisant autorit Cette option ne doit tre utilis e que si la zone est d finie comme de type slave notify tablit si named notifie les serveurs esclaves lorsqu une zone est mise jour
470. reportez vous aux pages de manuel relatives ethtool etmii tool Mat riel 3Com 3c501 3c501 i0 port IRQ 3Com 3c503 et 3c503 16 3c503 i0 _port IRO OR 3c503 io io port_1 io port _n irqg IRQ 1 IRQ n 3Com EtherLink Plus 3c505 i0_ port IRQ OR 3c505 3c505 io io port_1l io port _n irq IRQ_1 IRO 2 3Com EtherLink 16 3c507 0 3c507 i0 port IRQ OU 3c507 io io port irq IRQ 3Com EtherLink III 3c509 i0 port IRQ 3Com ISA EtherLink XL 3c515 0 Corkscrew 3Com EtherLink PCI 3c59x 0 full_duplex IN XL Vortex 3c590 0 est actif 3c592 3c595 3c597 1 est inactif Boomerang 3c900 3c905 3c595 RTL8139 SMC EZ Card 8139to00 0 Fast Ethernet Cartes RealTek utilisant 8139to00 0 RTL8129 ou circuits RTL8139 Fast Ethernet Apricot 82596 Ansel Communications ac3200 0 ac3200 i0 port IRQ O ac3200 Mod le 3200 io io port_1 io port_n irg IRQ_1 IRQ_n Alteon AceNIC Gigabit Aironet Arlan 655 Allied Telesis AT1700 at1700 0 at1700 i0_port IRQ OU at1700 io io_ port irq IRQ 292 Annexe A Param tres g n raux et modules Mat riel Module Param tres Adaptateur Ethernet bcm5700 0 Broadcom BCM5700 10 100 1000 Crystal cs89x0 0o SemiconductorCS89 02 0 Cartes Ether WORKS de4x5 0 de4x5 io port OU de4x5 io io port DE425 TP COAX FISA de4x5 args ethX Fax DE434 TP PCI DE435 450 autosense MEDIA STRING TP COAX AUI PCI DE500 10 100 PCI Kingston LinkSys SMC8432 SMC9332 Znyx31 45 and Znyx346 10 1
471. res applications qui ne sont pas compatibles des modifications doivent tre apport es la mani re dont les serveurs et les clients communiquent entre eux L encore il se peut que des modifications importantes au niveau de la programmation soient n cessaires Les applications dont les sources ne sont pas acces sibles et dont le support pour Kerberos n est pas disponible sont celles posant g n ralement le plus de probl mes 254 Chapitre 17 Kerberos Kerberos suppose que vous tes des utilisateurs s curis s utilisant un h te non s curis sur un r seau non s curis Son but primaire est d emp cher que des mots de passe en texte clair ne soient envoy s travers ce r seau Toutefois si quelqu un d autre que l utilisateur normal a physiquement acc s l h te qui met les tickets utilis s pour l authentification nomm centre de distribution de cl s key distribution center KDC tout le syst me d authentification Kerberos est menac d tre compromis e Avec un solution Kerberos c est tout ou rien Si vous d cidez d utiliser Kerberos sur votre r seau rappelez vous bien que tout mot de passe transmis un service qui n utilise pas Kerberos pour l authentification risque d tre intercept par des renifleurs de paquets Dans de telles conditions votre syst me ne tirera aucun avantage de l utilisation de Korberos Afin de s curiser votre r seau avec Korberos vous devez soit ut
472. res sur le sujet Managing NFS and NIS de Hal Stern Mike Eisler et Ricardo Labiaga O Reilly amp Associates Constitue un excellent guide de r f rence pour les nombreuses exportations NFS et options de montage disponibles NFS Illustrated de Brent Callaghan Addison Wesley Publishing Company Fournit des compara isons de NFS avec d autres syst mes de fichiers r seau et montre en d tail comment se d roule une communication NFS redhat Chapitre 10 Serveur HTTP Apache Le Serveur HTTP Apache est un serveur Web Open Source robuste de niveau commercial qui a t d velopp par Apache Software Foundation http www apache org Red Hat Linux comprend le Serveur HTTP Apache version 2 0 ainsi que de nombreux modules de serveur con us pour am liorer sa fonctionnalit Le fichier de configuration par d faut install avec le Serveur HTTP Apache fonctionne dans la plupart des situations sans devoir tre modifi Toutefois ce chapitre d crit bri vement de nombreux fichiers de configuration du Serveur HTTP Apache etc httpd conf httpd conf pour aider les utilisa teurs ayant n cessitant une configuration personnalis e ou devant convertir un fichier de configuration dans l ancien format 1 3 du Serveur HTTP Apache Au Si vous utilisez l outil graphique Outil de configuration HTTP redhat config httpd n ditez pas manuellement fichier de configuration du Serveur HTTP Apache car l Outil de configuration
473. ripwire et personnaliser le fichier des polices 2 Initialiser la base de donn es de Tripwire 3 Ex cuter le contr le d integnit de Tripwire non 6 Mettre jour la base 4 Baminer de donn es le fichier de de Tripwire rapport d tats de Tripwire 5 Prendre les mesures de s curit requises r A Mettre jour le fichier des polices Figure 19 1 Utilisation de Tripwire Les l ments suivants d crivent de fa on d taill e les blocs illustr s dans la Figure 19 1 1 Installation de Tripwire et personnalisation du fichier de politiques Installez le RPM de Tripwire consultez la Section 19 2 Ensuite personnalisez les exemples de fichiers de configuration et de politiques savoir etc tripwire twcfg txt et etc tripwire twpol txt et ex cutez le script de configuration etc tripwire twinstall sh Pour de plus amples informations reportez vous la Section 19 3 Chapitre 19 Tripwire 271 2 Initialisation de la base de donn es de Tripwire Cr ez une base de donn es des fichiers syst me critiques devant tre contr l s en fonction des directives contenues dans le tout nouveau fichier de politiques Tripwire sign etc tripwire tw pol Pour de plus amples informations reportez vous la Section 19 4 3 Ex cution d une v rification d int grit Tripwire Comparez la base de donn es de Tripwire nouvellement cr e avec les fichiers syst me pour v rifier s il en man
474. rlogin Afin d utiliser les versions kerberis es de rsh et rlogin vous devez activer klogin eklogin et kshell e Telnet Afin d utiliser le service kerberis Telnet vous devez activer krb5 telnet FTP Afin de fournir un acc s FTP cr ez puis extrayez une cl pour un l ment principal avec un root de ftp Pour cette op ration l instance doit tre configur e au nom d h te du serveur FTP Activez ensuite gssftp 260 Chapitre 17 Kerberos IMAP Le serveur IMAP inclus dans le paquetage imap utilisera l authentification GSS API l aide de Kerberos 5 s il parvient trouver la cl appropri e dans etc krb5 keytab Le root de l l ment principal devrait tre imap 4 CVS Le gserver kerberis de CVS utilise un l ment principal avec un root de cvs et hormis ce point est identique au pserver de CVS Reportez vous au chapitre intitul Contr le de l acc s aux services dans le Guide de personna lisation de Red Hat Linux pour obtenir de plus amples informations sur l activation des services 17 7 Ressources suppl mentaires Pour plus d informations sur Kerberos reportez vous aux sources d informations suivantes 17 7 1 Documentation install e e usr share doc krb5 server lt version number gt Le Guide d installation Kerberos VS et le Guide de l administrateur syst me Kerberos VS dans des formats PostScript et HTML Le paquetage krb5 server doit tre ins
475. rmat s appliquant si la valeur de la directive CustomLog est combined h adresse IP de l h te distant ou nom d h te R pertorie l adresse IP distante du client demandeur Si la valeur de HostnameLookups est on le nom d h te du client est enregistr moins que le DNS ne puisse le fournir 1 rfc931 Option non utilis e Un tiret appara t sa place dans le fichier journal zu utilisateur authentifi Si l authentification devait tre n cessaire le nom d utilisateur du demandeur serait enregistr De mani re g n rale cette option n est pas utilis e et un tiret figure sa place dans le fichier journal t date Enregistre la date et l heure de la requ te r cha ne de demandes Enregistre la cha ne de demandes telle qu elle est venue du navigateur ou du client Chapitre 10 Serveur HTTP Apache 147 s tat Enregistre le code d tat HTTP renvoy l h te client b octets Enregistre la taille du document S Referer i referrer Enregistre l URL de la page Web qui lie la demande courante de l h te client User Agent i utilisateur agent Enregistre le type de navigateur Web effectuant la requ te 10 5 41 CustomLog CustomLog identifie le fichier journal et le format du fichier journal Par d faut l enregistrement se fait dans le fichier var 1og httpd access_log Le format par d faut pour CustomLog est combined
476. rme d autres fichiers de configuration programmes chemins NIS et autres m thodes de montage moins courantes Le fichier auto master contient des lignes se r f rant chacun de ces points de montage organis es de la mani re suivante Chapitre 9 Le syst me de fichiers r seau NES 121 lt point de montage gt lt map type gt L l ment lt point de montage gt de cette ligne indique l emplacement du montage sur le syst me de fichiers local L option lt map type gt fait r f rence la mani re dont le point de montage sera mont La m thode la plus courante pour monter automatiquement des exportations NFS consiste utiliser un fichier en tant que type de chemin map type pour un point de montage particulier Le fichier de chemin map file g n ralement nomm auto lt point de montage gt o lt point de montage est le point de montage d sign dans auto master contient des lignes similaires celles reproduites ci dessous lt r pertoire gt lt options de montage gt lt h te gt lt syst me de fichiers export gt L l ment lt r pertoire gt r f re au r pertoire dans le point de montage o le syst me de fichiers export devrait tre mont Tout comme une commande mount standard l h te exportant le syst me de fichiers ainsi que le syst me de fichiers export doivent tre sp cifi s dans la section lt h te gt lt syst me de fichiers export gt Pour sp cifier des options part
477. rmi les options disponibles Gr ce la nature s curis e de la couche transport SSH m me les m thodes d authentification qui au premier abord semblent non s curis es telles que l authentification bas e sur l h te et le mot de passe peuvent tre utilis es en toute s curit 18 3 3 Canaux Apr s avoir effectu avec succ s l authentification au moyen de la couche transport SSH des canaux multiples sont ouverts au moyen d une technique appel e multiplexage Chacun de ces canaux peut ainsi s occuper de la communication de sessions de terminal diff rentes d une part et des sessions de retransmission X11 d autre part Le client et le serveur peuvent tous deux cr er un nouveau canal Chaque canal re oit ensuite un num ro diff rent chaque extr mit de la connexion Lorsque le client essaie d ouvrir un nouveau canal il envoie le num ro du canal accompagn de la requ te Cette information est stock e par le serveur et utilis e pour adresser la communication ce canal Cette proc dure est utilis e afin que des types diff rents de session ne cr ent des nuisances mutuelles et afin que la fin d une session donn e son canal puisse tre ferm sans que la connexion SSH primaire ne soit interrompue Les canaux prennent aussi en charge le contr le du flux de donn es ce qui leur permet d envoyer et de recevoir des donn es de fa on ordonn e Ce faisant aucune donn e n est envoy e par le c
478. ro de s rie n est pas incr ment il se peut que votre serveur de noms ma tre poss de les informations nouvelles et correctes mais les serveurs de noms esclaves ne seront jamais notifi s du changement ou ne tenteront pas de rafra chir leurs donn es sur cette zone Faites attention bien utiliser ellipses et points virgules correctement dans le fichier etc named conf L omission d un point virgule ou une ellipse non ferm e emp cheront named e d marrer Rappelez vous de placer des points dans les fichiers de zone apr s tous les FQDN et de les omettre pour les noms d h tes Un point la fin d un nom de domaine indique un nom de domaine pleinement qualifi en d autres termes complet Si le point est omis named attachera le nom de la zone ou la valeur SORIGIN la suite du nom pour le compl ter Si votre pare feu cause des probl mes en bloquant les connexions depuis le programme named vers d autres serveurs de noms vous devrez peut tre diter son fichier de configuration La version 9 de BIND utilise par d faut des ports attribu s au hasard au del de 1024 pour envoyer des requ tes d autres serveurs de noms Toutefois certains pare feu exigent que tous les serveurs de noms utilisent uniquement le port 53 pour communiquer Il est possible de forcer named utiliser Chapitre 12 Berkeley Internet Name Domain BIND 201 le port 53 en ajoutant la ligne suivante la d claration cela en a
479. rrage Si le fichier de configuration n est pas valide GRUB affiche l erreur et attend une commande Ceci aide l utilisateur d terminer exactement l o les probl me est survenu Appuyez sur une touche quelconque pour recharger l interface menu d o il est alors possible d diter l option du menu et d apporter les corrections n cessaires en fonction de l erreur rapport e par GRUB Si la correction apport e ne r sout pas le probl me GRUB rapporte une erreur et charge de nouveau l interface menu 2 6 Les commandes GRUB GRUB permet un certain nombre de commandes utiles dans son interface ligne de commande Cer taines de ces commandes acceptent une option apr s leur nom Pour tre accept es ces options doivent tre s par es de la commande et des autres options pr sentes par un espace Ci apr s figure une liste de commandes utiles boot d marre le syst me d exploitation ou le chargeur de cha ne qui a t s lectionn et charg pr c demment chainloader lt nom de fichier gt charge le fichier indiqu comme chargeur de cha ne Pour s assurer que ce fichier sera pris d s le premier secteur de la premi re partition utilisez 1 comme nom de fichier displaymem affiche l utilisation actuelle de m moire sur la base des informations fournies par le BIOS Cette commande est pratique quand vous ignorez la quantit de m moire vive dont le syst me dispose avant de le d marre
480. rsion 2 0 savoir prefork worker et perchild Le comportement original du Serveur HTTP Apache version 1 3 a t d plac dans le MPM prefork Actuellement seul le MPM prefork est disponible sur Red Hat Linux bien que les autres MPM puissent tre disponibles une date ult rieure tant donn que le MPM prefork accepte les m mes directives que le Serveur HTTP Apache version 1 3 il est possible de transf rer les directives suivantes StartServers MinSpareServers MaxSpareServers MaxClients e MaxRequestsPerChild Pour plus d informations sur le sujet reportez vous la documentation suivante sur le site Web d Apache Software Foundation _http httpd apache org docs 2 0 mpm html 10 2 1 3 Prise en charge de DSO Dynamic Shared Object Un grand nombre de changements tant ici requis il est vivement recommand que quiconque es sayant de modifier une configuration du Serveur HTTP Apache version 1 3 pour l adapter la version 2 0 par opposition la migration de vos changements vers la configuration version 2 0 copie cette section du fichier de configuration Red Hat Linux Serveur HTTP Apache 2 0 Les utilisateurs ne souhaitant pas copier la section de la configuration du Serveur HTTP Apache version 2 0 devraient prendre note des informations suivantes Les directives AddModule et ClearModuleList n existent plus Elles taient utilis es pour as surer l activation des modules dans la b
481. rtuel Character devices 1 mem pty ttyp ttys cua 7 vcs U amp N 10 misc 14 sound 29 fb 36 netlink 128 ptm Chapitre 5 Le syst me de fichiers proc 51 129 ptm 136 pts 137 pts 162 raw 254 iscsictl Block devices 1 ramdisk 2 fd 3 ide0 9 md 22 idel La sortie de proc devices inclut le nombre ainsi que le nom principal du p riph rique elle est r partie en deux sections principales Character devices p riph riques d entr e sortie de carac t res et Block devices p riph riques blocs Les p riph riques d entr e sortie de caract res sont semblables aux p riph riques blocs l exception de deux points essentiels 1 Les p riph riques blocs ont un tampon disponible ce qui leur permet de classer les demandes avant de les traiter Cela est tr s important dans le cas des p riph riques con us pour stocker des informations tels que les disques durs parce que la possibilit de classer les infor mations avant de les crire sur le p riph rique permet de les placer de fa on plus efficace Les p riph riques d entr e sortie de caract res ne n cessitent pas de tamponnement 2 L autre diff rence r side dans le fait que les p riph riques blocs peuvent envoyer et recevoir les informations par blocs de taille sp cifique configur e par p riph rique Les p riph riques d entr e sortie de caract res envoient des donn es sans taille pr configur e Vous trouverez
482. ructure des recettes Procmail Des informations d introduction sp cifiques aux r gles d expressions r guli res de base se trouvent dans la page de manuel relative grep man page Une recette Procmail a la forme suivante 0 lt indicateurs gt lt nom fichier verrouillage gt lt caract re condition sp ciale gt lt condition 1 gt lt caract re condition sp ciale gt lt condition 2 gt lt caract re condition sp ciale gt lt condition N gt lt caract re action sp ciale gt lt action ex cuter gt Les deux premiers caract res d une recette Procmail sont le symbole des deux points et un z ro Divers indicateurs flags peuvent tre plac s apr s le z ro pour contr ler ce que fait Procmail lors du traitement de cette recette Un deux points plac apr s la section lt indicateurs gt sp cifie qu un fichier de verrouillage sera cr pour ce message Si un fichier de verrouillage doit tre cr sp cifiez son nom dans l espace lt nom fichier verrouillage gt Une recette peut contenir plusieurs conditions servant v rifier la concordance d un message S il n y a aucune condition tous les messages auront une concordance positive avec la recette Les expressions r guli res sont plac es dans certaines conditions de fa on faciliter la concordance avec les messages Si l on utilise des conditions multiples elles doivent toutes obtenir la concordance pour qu une action soit ex cut
483. s IN NS dnsl example com IN NS dns2 example com PTR enregistrement PoinTeR con u pour orienter vers une autre partie de l espace de nom Les enregistrements PTR servent essentiellement la r solution inverse des noms puisqu ils r orientent les adresses IP vers un nom particulier Consultez la Section 12 3 4 pour obtenir des exemples suppl mentaires d utilisations d enregistrements PTR SOA enregistrement Start Of Authority proclamant des informations importantes faisant au torit propos d un espace de nom pour le serveur de noms Situ apr s les directives un enregistrement de ressources SOA est le premier enregistrement de ressources dans un fichier de zone 194 Chapitre 12 Berkeley Internet Name Domain BIND L exemple qui suit indique la structure de base d un enregistrement SOA IN SOA lt serveur noms primaire gt lt hostmaster email gt lt num ro s rie gt lt temps actualisation gt lt temps nouvel essai lt temps expiration gt lt TTL minimum gt Le symbole place la directive ORIGIN ou le nom de zone si la directive SORIGIN n est pas install e en tant qu espace de nom d fini par le pr sent enregistrement de ressources SOA Le serveur de noms primaire faisant autorit pour ce domaine est utilis pour le lt serveurs noms primaire et l adresse email de la personne contacter propos de cet espace de nom est remplac e par lt email h te ma tre
484. s l aide de feuilles de style DSSSL personnalis es et de scripts de wrapper jade person nalis s Les fichiers DocBook SGML sont crits avec Emacs avec l aide du mode PSGML Garrett LeSage a cr les graphiques d admonition remarque astuce important attention et avertis sement Ils peuvent tre librement redistribu s avec la documentation Red Hat L quipe de documentation de produits Red Hat Linux est compos e des personnes suivantes Sandra A Moore R daction Conception du Guide d installation de x86 Red Hat Linux Contribu tion la r daction du Guide de d marrage de Red Hat Linux Tammy Fox R daction Conception du Guide de personnalisation de Red Hat Linux Contribution la r daction du Guide de d marrage de Red Hat Linux R daction Conception des feuilles de style et des scripts DocBook personnalis s Edward C Bailey R daction Conception du Guide d administration syst me de Red Hat Linux Contribution la r daction du Guide d installation de x86 Red Hat Linux Johnray Fuller R daction Conception du Guide de r f rence de Red Hat Linux Co r daction Co conception du Guide de s curit de Red Hat Linux Contribution la r daction du Guide d administration syst me de Red Hat Linux John Ha R daction Conception du Guide de d marrage de Red Hat Linux Co r daction Co conception du Guide de s curit de Red Hat Linux Contribution la r daction du Guide d administration
485. s assurer que si l utilisateur essaie de se connecter en tant que super utilisateur ou root le terminal tty sur lequel il se connecte fait bien partie de la liste se trouvant dans le fichier etc securetty si ce fichier existe auth required lib security pam unix so shadow nullok Ce module invite l utilisateur fournir un mot de passe puis le v rifie l aide des informations sto ck es dans etc passwd et v rifie s il existe dans etc shadow Le module pam_unix so d tecte et utilise automatiquement les mots de passe masqu s pour authentifier les utilisateurs Reportez vous la Section 6 5 pour plus d informations sur les mots de passe masqu s L argument nullok donne l instruction au module pam_unix s0 d autoriser un mot de passe vide Chapitre 14 Modules d authentification enfichables PAM 221 auth required lib security pam nologin so Il s agit de la derni re phase du processus d authentification Elle v rifie l existence du fichier etc nologin Si nologin n existe pas et que l utilisateur n est pas un super utilisateur ou root l authentification choue Remarque Dans cet exemple les trois modules auth sont v rifi s m me si le premier module auth choue De cette fa on l utilisateur ne peut pas savoir quel moment l authentification a chou Si des agresseurs venaient conna tre ces informations ils pourrait plus facilement d duire de quelle fa on p n trer
486. s Pour de plus amples informations sur les param tres pouvant tre utilis s dans ce fichier consultez la page de manuel relative gpm Par d faut il r gle le p riph rique souris sur dev mouse 4 1 10 etc sysconfig harddisks Le fichier etc sysconfig harddisks vous permet de r gler votre ou vos disque s dur s L administrateur peut galement utiliser etc sysconfig hardiskhd a h pour configurer les param tres de disques durs sp cifiques Chapitre 4 Le r pertoire sysconfig 35 7 VO R fl chissez bien avant d apporter toute modification ce fichier Si vous changez les valeurs par d faut contenues dans ce fichier vous risquez de corrompre toutes les donn es de votre ou vos disque s dur s Le fichier etc sysconfig harddisks peut contenir les l ments suivants USE_DMA 1 o la valeur 1 active DMA N anmoins avec certaines combinaisons jeux de puces disque dur cette DMA peut entra ner une corruption des donn es Avant de l activer v rifiez bien la documentation de votre disque dur ou demandez conseil au fabricant e Multiple_I10 16 o la valeur 16 autorise plusieurs secteurs par interruption d entr e sortie Lorsqu elle est activ e cette fonction r duit le temps de gestion du syst me de 30 50 Utilisez cette fonction avec prudence EIDE_32B1IT 3 active le support E S E IDE 32 bit par une carte d interface LOOKAHEAD 1 active l anticipation en lecture du disque EXTRA_PARA
487. s e ce stade le noyau est charg en m moire et est d sormais op rationnel Toutefois en l absence de toute application offrant l utilisateur la possibilit de donner des informations utiles au syst me on ne peut pas faire grand chose Afin de configurer l environnement utilisateur le noyau ex cute de progamme sbin init 1 2 4 Le programme sbin init Le programme sbin init aussi appel init coordonne le reste du processus de d marrage et configure l environnement de l utilisateur Lorsque la commande init est lanc e elle devient l l ment parent ou grand parent de tous les pro cessus qui sont lanc s automatiquement sur votre syst me Red Hat Linux Tout d abord elle ex cute le script etc rc d rc sysinit qui tablit votre chemin d acc s d environnement d marre swap v rifie les syst mes de fichiers etc et s occupe de tout ce qui doit tre fait sur le syst me au moment de son initialisation Par exemple la plupart de syst mes utilisent une horloge donc rc sysinit lit le fichier de configuration etc sysconfig clock sur ceux ci pour initialiser l horloge Autre exemple si vous avez des processus de port s rie sp ciaux qui doivent tre initialis s rc sysinit ex cutera le fichier etc rc serial La commande init ex cute ensuite le script etc inittab qui d crit comment le syst me doit tre configur dans chaque niveau d ex cution SysV init Entre autres choses le fichi
488. s avanc es pour servir et acc der aux emails Ce chapitre examine d une part les protocoles de courrier lectronique utilis s l heure actuelle et d autre part certains des programmes de messagerie lectroniques con us pour envoyer et recevoir des emails 11 1 Protocoles de courrier lectronique De nos jours le courrier lectronique d livr l aide d une architecture client serveur Un message lectronique est cr au moyen d un programme client de messagerie lectronique Ce programme envoie ensuite le message un serveur Ce dernier transmet alors son tour le message au serveur email du destinataire o il est fournit au client email du destinataire final Afin de rendre ce processus possible une vaste gamme de protocoles r seau standard permettent diff rents ordinateurs ex cutant souvent diff rents syst mes d exploitation et utilisant des programmes de messagerie lectroniques diff rents d envoyer et de recevoir des emails Les protocoles suivants trait s dans ce chapitre sont sont ceux le plus fr quemment utilis s pour le transfert de courrier lectronique entre syst mes 11 1 1 Protocoles de transfert de courrier lectronique La d livrance de courrier d une application cliente au serveur et d un serveur d origine un serveur de destination est trait e par le protocole nomm Simple Mail Transfer Protocol ou SMTP 11 1 1 1 SMTP L objectif primaire de SMTP co
489. s comme argument et peut tre utilis aussi bien dans xinetd conf que dans les fichiers de configuration sp cifiques au service du r pertoire xinetda d max_load D finit le seuil d utilisation d un processeur CPU pour un service Cette directive accepte un argument avec une valeur flottante Chapitre 15 Les enveloppeurs TCP et xinetd 239 Il existe encore d autres options de gestion de ressources utilisables avec xinetd Reportez vous au chapitre intitul S curit du serveur Server Security du Guide de s curit de Red Hat Linux pour obtenir de plus amples informations Consultez galement la page de manuel relative xinetd conf 15 5 Ressources suppl mentaires Des informations suppl mentaires sur les enveloppeurs TCP et xinetd sont disponibles aussi bien sur le syst me lui m me que sur le Web 15 5 1 Documentation install e La documentation install e sur votre syst me est un bon endroit pour commencer des recherches sur les enveloppeurs TCP sur xinetd et sur les options de configuration de contr le d acc s e usr share doc tcp_wrappers lt version gt Contient un fichier README d crivant le fonctionnement des enveloppeurs TCP et les divers risques potentiels d usurpation d adresse et de nom d h te e usr share doc xinetd lt version gt Comprend un fichier README qui examine les dif f rents aspects du contr le d acc s ainsi qu un fichier sample conf avec des id es sur
490. s conditionnel des s ries de r gles d un fichier politiques Au cours de l installation 1l exemple de fichier politiques texte etc tripwire twpol txt est utilis pour cr er un fichier politiques Tripwire actif 282 Chapitre 19 Tripwire Apr s l ex cution du script d installation l administrateur syst me peut mettre jour le fichier politiques Tripwire en modifiant etc tripwire twpol txt et en recr ant une copie sign e du fichier tw po1 l aide de la commande twadmin Pour obtenir davantage d informations sur la fa on de proc der reportez vous la Section 19 8 var lib tripwire host_name twd Lorsqu il est initialis pour la premi re fois Tripwire utilise les r gles du fichier de politiques sign pour cr er ce fichier de la base de donn es La base de donn es Tripwire est un instantan de r f rence du syst me un tat s r connu Tripwire compare ce fichier r f rentiel avec le syst me en cours pour d terminer si des changements ont eu lieu Cette comparaison est appel e v rification d int grit var lib tripwire report host_name date of _report time of _ report twr Lorsque vous effectuez une v rification d int grit Tripwire produit des fichiers rapport plac s dans le r pertoire var l1ib tripwire report Ces fichiers rapport indiquent toutes les modifications apport es aux fichiers violant les r gles du fichier de politiques lors de la v ri fication d int grit
491. s des commandes du shell consultez la page de manuel relative hosts_options 15 2 3 4 Expansions Les expansions lorsqu elles sont utilis es de concert avec les directives spawn et twist permettent d obtenir des informations sur le client le serveur et les processus impliqu s Ci apr s figure une liste des expansions prises en charge a L adresse IP du client A L adresse IP du serveur e c Fournit diverses informations sur le client comme les noms d utilisateur et d h te ou le nom d utilisateur et l adresse IP d Le nom du processus du d mon h Le nom d h te du client ou adresse IP si le nom d h te n est pas disponible H Le nom d h te du serveur ou adresse IP si le nom n est pas disponible n Le nom d h te du client S il n est pas disponible c est unknown qui est imprim Si les noms d h te et d adresse du client ne correspondent pas c est paranoid qui est imprim SN Le nom d h te du serveur Si celui ci n est pas disponible c est unknown qui est imprim Si les noms d h te et d adresse du client ne correspondent pas c est paranoid qui est imprim p L ID du processus de d mon s Diverses types d informations sur le serveur comme le processus de d mon ou l h te ou l adresse IP du serveur u Le nom d utilisateur du client Si celui ci n est pas disponible c est
492. s devant vrai ment tre activ s sont rpc mountd rpc nfsd et portmap Les autres d mons fournissent des fonc tionnalit s suppl mentaires et ne devraient tre utilis s que l environnement de serveur l exige La version 2 de NFS utilise le Protocole Datagram d utilisateur ou UDP de l anglais User Datagram Protocol pour fournir une connexion sans d claration de r seau entre le client et le serveur La version 3 de NFS peut utiliser UDP ou TCP sur une IP La connexion sans d claration UDP r duit le trafic de r seau puisque le serveur NFS envoie au client un cookie qui l autorise acc der au volume 116 Chapitre 9 Le syst me de fichiers r seau NFS partag Ce cookie est une valeur al atoire stock e du c t serveur et transmis en m me temps que les requ tes RPC du client Non seulement le serveur NFS peut tre red marr sans affecter le client mais le cookie restera intact NFS n effectue d authentification que lorsqu un syst me client tente de monter un syst me de fichier distant Pour limiter l acc s le serveur NFS commence par employer les enveloppeurs TCP Ceux ci lisent les fichiers etc hosts allowet etc hosts deny pour d terminer si un client particulier doit se voir refuser ou accorder l acc s au serveur NFS Pour plus d informations sur la configuration des contr les d acc s avec les enveloppeurs TCP consultez le Chapitre 15 Apr s autorisation d acc s du client permise p
493. s et les premi res lignes que vous verrez res sembleront l extrait ci dessous Tripwire R 2 3 0 Database Chapitre 19 Tripwire 277 Database generated by root Database generated on Tue Jan 9 13 56 42 2001 Database last updated on Tue Jan 9 16 19 34 2001 Summary Host name some host com Host IP address 10 50 04 Host ID None Policy file used etc tripwire tw pol Configuration file used etc tripwire tw cfg Database file used var lib tripwire some host com twd Command line used usr sbin tripwire init Section Unix File System Mode UID Size Modify Time drwxr xr x root 0 XXX XXXXXXXXXXXXXXXXX bin drwxr xr x root 0 4096 Mon Jan 8 08 20 45 2001 bin arch rwxr xr x root 0 2844 Tue Dec 12 05 51 35 2000 bin ash rwxr xr x root 0 64860 Thu Dec 7 22 35 05 2000 bin ash static rwxr xr x root 0 405576 Thu Dec 7 22 35 05 2000 Pour avoir des renseignements sur un fichier en particulier contr l par Tripwire tel que etc hosts tapez la commande suivante usr sbin twprint m d print dbfile etc hosts Le r sultat obtenu ressemblera l extrait ci dessous Object name etc hosts Property Value Object Type Regular File Device Number 118 Inode Number 216991 Mode on 0 co Num Links 1 UID root 0 GID root 0 Consultez la page de manuel relative twprint pour obtenir des informations sur des options sup pl mentaires 278 Chapitre 19 Tripwire 19 7 M
494. s ne seront plus indiqu es comme des avertissements Chapitre 19 Tripwire 279 19 8 Mise jour du fichier de politiques Si vous d sirez changer les fichiers que Tripwire enregistre dans sa base de donn es changer la confi guration de votre courrier lectronique ou modifier la s v rit avec laquelle les violations sont rappor t es vous devez modifier le fichier de politiques de Tripwire Premi rement apportez tous les changements n cessaires l exemple de fichier de politiques etc tripwire twpol txt Si vous avez effac ce fichier comme c est le cas lorsque vous avez termin de configurer Tripwire vous pouvez le recr er en ex cutant la commande suivante twadmin print polfile gt etc tripwire twpol txt L un des changements couramment apport s ce fichier est marquer tous les fichiers qui n existent pas sur le syst me afin qu ils ne n engendre pas un message d erreur du type file not found dans les rapports de tripwire Si par exemple votre syst me ne poss de pas le fichier etc smb conf vous pouvez sp cifier Tripwire de ne pas essayer de le trouver en mettant le signe sur sa ligne contenue dans le fichier twpo1 txt comme le montre l exemple suivant etc smb conf gt SEC_ CONFIG Ensuite vous devez indiquer Tripwire de g n rer d une part un nouveau fichier etc tripwire tw pol sign et d autre part une mise jour du fichier de la base de donn es en fonction
495. s peuvent avoir besoin et qui sous Red Hat Linux sont appel s modules du noyau Dans la plupart des cas les param tres par d faut permettrons un bon fonctionnement N anmoins dans certaines situations des param tres de module suppl mentaires sont n cessaires afin qu un p riph rique puisse fonctionner correctement ou s il est n cessaire d outrepasser les param tres par d faut du module pour ce p riph rique Durant l installation Red Hat Linux utilise un jeu limit de pilotes de p riph riques afin de cr er un environnement d installation stable Bien que le programme d installation permette une installation sur des types de mat riel tr s vari s certains pilotes y compris ceux avec pour des adaptateurs SC SL r seau et de nombreux lecteurs de CD ROM ne sont pas inclus dans le noyau d installation Ils doivent donc tre charg s par l utilisateur comme des modules lors du d marrage Pour des informa tions sur l endroit o trouver les modules du noyau suppl mentaires lors du processus d installations reportez vous la section relative aux m thodes de d marrages suppl mentaires pr sente dans le cha pitre intitul tapes pour d marrer du Guide d installation de Red Hat Linux Une fois l installation termin e la prise en charge de nombreux p riph riques est assur e gr ce des modules du noyau A 1 Sp cification des param tres d un module Dans certaines situations il peut s av re
496. s sans devoir comprendre le m canisme de fonctionnement sous jacent Si un service de r seau comme IMPAP utilise GSS API il peut se servir de Kerberos pour des besoins d authentification cl Bloc de donn es utilis pour le cryptage et le d cryptage de donn es Il est impossible de d crypter des donn es crypt es sans disposer de la cl appropri e moins d tre un g nie en devinettes Key Distribution Center KDC Service mettant des tickets Kerberos g n ralement ex cut sur le m me h te que le Serveur d mission de tickets Chapitre 17 Kerberos 255 table cl ou keytab Fichier contenant une liste crypt e des principaux et de leurs cl s respectives Les serveurs extraient les cl s dont ils ont besoin des fichiers keytab au lieu d utiliser kinit Le fichier keytab par d faut est etc krb5 keytab Le serveur d administration de KDC usr kerberos sbin kadmind est le seul service utilisant tout autre fichier il utilise var kerberos krb5kdc kadm5 keytab kinit La commande kinit permet un principal qui est d j connect d obtenir et de mettre en cache le Ticket d mission de tickets TGT initial Pour de plus amples informations sur l utilisation de la commande kinit consultez sa page de manuel principal Le principal est le nom unique de l utilisateur ou du service pouvant effectuer une authentifica tion l aide de Kerberos Un nom de principal a la forme root instance
497. s suivantes PCMCIA lt valeur gt O lt valeur gt correspond un des l ments suivants yes le support PCMCIA doit tre activ no le support PCMCIA ne doit pas tre activ PCIC lt valeur gt o lt valeur gt correspond un des l ments suivants 182365 l ordinateur a un jeu de puces de socket PCMCIA de type 182365 tcic l ordinateur a un jeu de puces de socket PCMCIA de type tcic PCIC_OPTS lt valeur gt O lt valeur gt correspond aux param tres de synchronisation du pilote de support 182365 ou tcic CORE_OPTS lt valeur gt o lt valeur gt correspond la liste d options pemcia_core CARDMGR OPTS lt valeur gt o lt valeur gt correspond la liste d options pour le cardmgr PCMCIA comme par exemple q pour le mode silencieux m pour chercher des modules de noyau chargeables dans le r pertoire sp cifi etc Lisez la page de manuel relative cardmgr pour de plus amples informations Chapitre 4 Le r pertoire sysconfig 41 4 1 26 etc sysconfig radvd Le fichier etc sysconfig radva est utilis pour transmettre des arguments au d mon radvd au moment du d marrage Le d mon radva surveille les requ tes du routeur et envoie des messages pour le protocole IP version 6 Ce service permet aux h tes sur un r seau de modifier de fa on dynamique leurs routeurs par d faut sur la base de ces messages routeurs Pour obtenir de plus amples informa tions s
498. s utilisent un serveur LDAP commun Consultez usr share doc sendmail README cf pour avoir des informations de configuration de routage LDAP d taill es et des exemples Chapitre 11 Courrier lectronique 167 Ensuite recr ez le fichier etc mail sendmail cf en ex cutant m4 et red marrant Sendmail Reportez vous la Section 11 3 1 3 pour obtenir des instructions sur la mani re de proc der Pour plus d informations sur LDAP reportez vous au Chapitre 13 11 3 2 Fetchmail Fetchmail est un ATC r cup rant du courrier lectronique depuis des serveurs distants et le transf re P ATC local De nombreux utilisateurs appr cient le fait de pouvoir s parer le processus de t l char gement de leurs messages stock s sur un serveur distant du processus de lecture et d organisation de leur courrier dans un AGC Con u tout sp cialement pour les utilisateurs qui se connectent par mo dem Fetchmail se connecte et t l charge rapidement tous les messages lectroniques dans le fichier spoule de messagerie l aide de nombreux protocoles diff rents tels que POP3 et IMAP Il permet m me de r acheminer vos messages vers un serveur SMTP si n cessaire Fetchmail est configru pour chaque utilisateur gr ce un fichier fetchmailrc du r pertoire per sonnel de l utilisateur Sur la base des pr f rences sp cifi s dans le fichier fetchmailrc Fetchmail recherche les messages lectroniques sur un serveur distant et l
499. sant les r gles d une seule cha ne plut t que celles de cha nes multiples Par exemple un paquet identifi comme FORWARD p n trant dans un syst me l aide de ipchains devrait passer travers les cha nes INPUT FORWARD et OUTPUT afin de pouvoir poursuivre sa progression vers sa destination Toutefois iptables envoie les paquets uniquement la cha ne INPUT s ils sont destin s au syst me local et vers la cha ne OUTPUT s ils ont t cr s par le syst me local Pour cette raison il tr s important de bien placer la r gle destin e au contr le d un paquet sp cifique dans la bonne r gle qui d tectera vraiment le paquet La cible DENY a t remplac e par la cible DROP Dans ipchains les paquets qui satisfaisaient les crit res d une r gle dans une cha ne pouvaient tre dirig s vers la cible DENY Cette cible doit tre substitu e par une cible DROP iptables e Lorsque des options sont plac es dans une r gle l ordre de placement est primordial Auparavant avec ipchains cet ordre d criture importait peu La commande iptables elle utilise une syn taxe plus stricte Par exemple dans les commandes iptables le type de protocole ICMP TCP ou UDP doit tre pr cis avant de sp cifier les ports d origine ou de destination ports Lorsque le type d interface r seau utiliser dans une r gle doit tre pr cis seules des interfaces d entr e option i peuvent tre employ es avec les c
500. se de serveur placer dans etc resolv conf si la directive PEERDNS est r gl e sur yes e IPADDR lt adresse gt O lt adresse gt correspond l adresse IP NETMASK lt masque gt O lt masque gt correspond la valeur de masque de r seau NETWORK lt adresse gt o lt adresse gt correspond l adresse du r seau Cette directive est d conseill e ONBOOT lt r ponse gt o lt r ponse gt correspond l une des valeurs suivantes yes sp cifie que ce p riph rique devrait tre activ au d marrage no sp cifie que ce p riph rique ne devrait pas tre activ au d marrage PEERDNS lt r ponse gt O lt r ponse gt correspondant l une des valeurs suivantes yes Modifiez etc resolv conf si la directive DNS est r gl e Si vous utilisez DCHP yes est la valeur par d faut no Ne modifiez pas etc resolv conf SRCADDR lt adresse gt o lt adresse gt correspond l adresse IP source sp cifi e pour les paquets sortants USERCTL lt r ponse gt o lt r ponse gt correspondant l une des valeurs suivantes yes Les utilisateurs autres que le super utilisateur sont autoris s contr ler ce p riph rique no Les utilisateurs autres que le super utilisateur ne sont pas autoris s contr ler ce p riph rique 8 2 2 Interfaces de num rotation Si vous vous connectez un r seau comme l Internet par l interm diaire
501. sera la place dans l ordre de d marrage Les liens symboliques disposant du m me num ro sont d marr s par ordre alphab tique Chapitre 1 Processus de d marrage Init et arr t 7 Remarque Une des derni res choses que le programme init ex cute est le fichier etc rc d rc local Ce dernier est utilise pour la personnalisation du syst me Reportez vous la Section 1 3 pour de plus amples informations sur l utilisation du fichier rc local Une fois que la commande init a progress dans le r pertoire rc appropri pour le niveau d ex cution le script etc inittab tablit un processus sbin mingetty pour chaque console virtuelle invites de login assign e ce niveau d ex cution Les niveaux d ex cution 2 5 obtiennent tous six consoles virtuelles tandis que le niveau d ex cution 1 mode mono utilisateur n obtient qu une console et que les niveaux d ex cution 0 et 6 n en obtiennent aucune Le processus sbin mingetty ouvre des lignes de communication vers les dispositifs tty r gle leurs modes imprime l invite de login prend le nom d utilisateur puis commence le processus de login pour l utilisateur concern Au niveau d ex cution 5 etc inittab ex cute un script appel etc X11 prefdm Le script prefdm ex cute le gestionnaire d affichage X pr f r gdm kdm ou xdm en fonction de ce qui est contenu dans le fichier etc sysconfig desktop ce stade le syst me devrait fonctio
502. sions de fichiers 123 niveaux d ex cution Voir commande init changement au d marrage 22 configuration of 9 Voir Aussi services modification avec GRUB 15 noyau r le dans le processus de d marrage 4 ntsysv 9 Voir Aussi services 304 0 objets partag s dynamiques Voir DSO OpenLDAP Voir LDAP OpenSSH 261 Voir Aussi SSH fichiers de configuration de 264 Options directive de configuration Apache 143 Order directive de configuration Apache 144 Outil de configuration d authentification et LDAP 210 211 Outil de configuration des services 9 Voir Aussi services P PAM autres ressources documentation install e 224 sites Web utiles 224 avantages de 217 d finition de 217 exemples de fichiers de configuration 220 fichiers de configuration 217 fichiers de services 217 indicateurs de contr le 219 Kerberos et 257 modules 218 arguments 220 composants 218 cr ation 222 empilage 218 220 emplacement de 219 interfaces 218 mots de passe masqu s 220 pam_console d finition de 223 ressources suppl mentaires 224 pam_console Voir PAM param tres d un module Voir modules du noyau PidFile directive de configuration Apache 139 pilotes Voir modules du noyau portmap 116 rpcinfo 116 prefdm Voir XFree86 proc syst me de fichiers proc fb 52 fichiers dans niveau sup rieur 48 processus de d marrage 1 1 Voir Aussi chargeurs de d marrage chargement direct
503. smet un paquet SYN lorsqu il essaie d effectuer une connexion tcp_retries1 d finit le nombre de retransmissions permises essayant de r pondre une con nexion entrante 3 est la valeur par d faut e tcp_retries2 d finit le nombre de retransmissions permises de paquets TCP 15 est la valeur par d faut Le usr src linux 2 4 Documentation networking ip sysctl txt contient une liste ex haustive des fichiers ainsi que des options disponibles dans le r pertoire proc sys net ipva De nombreux autres r pertoires existent dans le r pertoire proc sys net ipv4 et couvrent des sujets sp cifiques Le r pertoire proc sys net ipv4 conf permet de configurer chaque interface du syst me de fa on diff rente et d utiliser des param tres par d faut pour des p riph riques non configur s dans le sous r pertoire proc sys net ipv4 conf default ainsi que des param tres qui annulent toutes les configurations sp ciales dans le sous r pertoire proc sys net ipv4 conf all Le r pertoire proc sys net ipv4 neigh contient non seulement des param tres n cessaires pour la communication avec un h te connect directement au syst me que l on appelle voisin r seau mais galement des param tres relatifs aux syst mes qui se trouvent plusieurs sauts de distance Le routage via IPV4 dispose galement de son propre r pertoire appel proc sys net ipv4 route Contrairement conf et neigh le r pertoire pro
504. so Le module 1ibnss_1dap lt glibc version gt so permet aux applications de rechercher les utili sateurs les groupes les h tes et d autres informations en utilisant un r pertoire LDAP via l interface glibc Nameservice Switch NSS NSS permet l authentification d applications en utilisant LDAP avec le service de noms Network Information Service NIS et les fichiers simples pour l authentification Le module pam_1dap permet aux applications fonctionnant avec PAM d authentifier les utilisateurs en utilisant les informations stock es dans un r pertoire LDAP Les applications fonctionnant avec PAM comprennent le login de console les serveurs de mail POP et IMAP et Samba En d ployant un serveur LDAP sur votre r seau toutes ces applications peuvent pour leur authentification utiliser la m me combinaisons nom d utilisateur mot de passe ce qui simplifie grandement l administration 13 3 2 PHP4 Serveur HTTP Apache et LDAP Red Hat Linux comprend aussi des paquetages avec des modules LDAP pour le Serveur HTTP Apache et le langage de scripte PHP c t serveur Le paquetage php 1dap ajoute le support LDAP au langage de script PHP4 HTML int gr gr ce au module usr l1ib php4 1dap so Ce module permet aux scripts PHP4 d acc der aux informations stock es dans une r pertoire LDAP CG Red Hat Linux n inclut plus le paquetage auth_1dap Ce dernier fournissait le support du Serveur HTTP Apache version 1 3 et vers
505. sous r pertoires Toute directive applicable un r pertoire peut tre utilis e l int rieur des balises lt Directory gt Par d faut des param tres tr s restrictifs sont appliqu s au r pertoire root l aide des directives Options voir la Section 10 5 25 et AllowOverride voir la Section 10 5 26 Dans cette configura tion tout r pertoire du syst me ayant besoin de param tres plus permissifs doit contenir explicitement ces param tres Dans la configuration par d faut un autre conteneur Directory est galement configur pour Docu mentRoot ce faisant des param tres moins rigides sont assign s l arbre de r pertoire de mani re ce que le Serveur HTTP Apache puisse avoir acc s des fichiers plac s dans ce dernier Le conteneur Directory peut galement tre utilis pour configurer des r pertoires cgi bin suppl mentaires pour des applications c t serveur en dehors du r pertoire sp cifi dans la directive Scrip tAlias reportez vous la Section 10 5 44 pour obtenir de plus amples informations sur la directive ScriptAlias Pour ce faire le conteneur Directory doit d terminer l option ExecCGI pour ce r pertoire Par exemple si les scripts CGI se trouvent dans home my_cgi_directory ajoutez le conteneur Directory suivant au fichier httpd conf lt Directory home my_cgi_ directory gt Options ExecCGI lt Directory gt Ensuite la directive AddHandler doit tre d c
506. ssources suppl mentaires 179 FHS 26 25 Voir Aussi syst me de fichiers fichiers d acc s des h tes Voir enveloppeurs TCP fichiers virtuels Voir proc syst me de fichiers fichiers inclure c t serveur 143 150 fichiers syst me de fichiers proc affichage 78 modification 48 78 fichiers syst me de fichiers procm affichage 47 filtrage de paquets Voir iptables fonctions r seau 108 113 114 sbin ifdown 112 sbin ifup 112 sbin service network 112 alias 111 clone 111 Ethernet 108 r seau 109 scripts 107 format courant de fichiers journaux 147 FrontPage 136 G gestionnaires d affichage Voir XFree86 gestionnaires de fen tre Voir XFree86 glisser et poser vii GNOME 90 Voir Aussi XFree86 Group directive de configuration Apache 141 groupes GID 81 outils pour la gestion de Gestionnaire d utilisateurs 81 groupadd 81 85 redhat config users 85 propres l utilisateur 85 pr sentation 81 r pertoires partag s 85 standard 83 groupes d emplacement m moire de type bloc Voir proc slabinfo groupes propres l utilisateur Voir groups et r pertoires partag s 85 GRUB 2 Voir Aussi chargeurs de d marrage caract ristiques 12 changement des niveaux d ex cution avec 22 commandes 16 d finition de 11 fichier de configuration boot grub grub conf 18 structure 18 fichier de configuration du menu 17 commandes 17 installation 13 interfaces 15 lign
507. ssus de d marrage l organisation de base d un syst me de fichier l emplacement de fichiers syst me et de syst mes de fichiers essentiels et les concepts de base derri re les notions d utilisateurs et de groupes De plus le syst me X Window fait l objet d un examen d taill Table des mati res 1 Processus de d marrage Init et arr t nn 1 2 Chargeurs de d marrage 3 Structure d un syst me de fichiers 4 Le r pertoire sysconfig 5 Le syst me de fichiers process 6 Utilisateurs et groupes 7 Le syst me X Window redhat Chapitre 1 Processus de d marrage Init et arr t Une des caract ristiques importantes de Red Hat Linux concerne la m thode flexible et configurable par l utilisateur employ e pour le d marrage de son syst me Les utilisateurs peuvent configurer librement de nombreux aspects du processus de d marrage y compris la possibilit de sp cifier les programmes lanc s au d marrage De m me l arr t du syst me met fin nettement aux processus et ce de mani re organis e et configurable bien que la personnalisation de ce processus ne soit que rarement n cessaire La compr hension des processus de d marrage et d arr t vous permettra non seulement de person naliser facilement Red Hat Linux mais galement de r soudre plus rapidement les probl mes li s au d marrage ou l arr t de votre syst me 1 1 Processus de d marrage Vous trouverez ci desso
508. st que ind pendamment de la fr quence d utilisation de ce syst me de fichiers mont votre syst me doit allouer des ressources pour conserver ce montage en place Ceci n est pas un probl me pour un ou deux montages mais si votre syst me maintient le montage de douzaines de syst mes la fois les performances g n rales du syst me peuvent en p tir Une alternative etc fstab consiste utiliser l utilitaire bas sur le noyau nomm automount qui lui montera et d montera les syst mes de fichiers NFS automatiquement conomisant ainsi des ressources Le script autofs situ dans le r pertoire etc rc d init d sert contr ler automount par le biais du fichier de configuration primaire etc auto master Alors qu automount peut tre sp ci fi dans une ligne de commande il est plus commode de sp cifier les points de montage nom d h te r pertoire export et options dans un ensemble de fichiers plut t que de les taper tous la main En ex cutant autofs en tant qu un service d marrant et arr tant les niveaux d ex cution sp cifi s les configurations de montage des divers fichiers peuvent tre automatiquement impl ment es Les fichiers de configuration autofs sont organis s selon une relation parent enfant Un fichier de configuration principal etc auto master se r f re des points de montage sur votre syst me qui sont li s un type de correspondance map type particulier qui prend la fo
509. sur les param tres pouvant tre utilis s dans ce fichier consultez la page de manuel relative identd Par d faut ce fichier ne contient aucun param tre 36 Chapitre 4 Le r pertoire sysconfig 4 1 14 etc sysconfig init Le fichier etc sysconfig init contr le l aspect et le fonctionnement du syst me pendant le processus de d marrage Les valeurs suivantes peuvent tre utilis es BOOTUP lt valeur gt o lt valeur gt correspond un des l ments suivants BOOTUP color indique un affichage couleur standard au d marrage la r ussite ou l chec du d marrage des p riph riques et des services est repr sent par des couleurs diff rentes BOOTUP verbose indique un affichage dans l ancien style prolixe qui fournit des informations plus d taill es qu un simple message de r ussite ou d chec Tout autre valeur indique un nouvel affichage mais sans formatage ANSI RES_COL lt valeur gt o lt valeur gt correspond au num ro de la colonne de l cran o com mencer les tiquettes d tat La valeur par d faut est 60 MOVE_TO_COL lt valeur gt o lt valeur gt d place le curseur sur la valeur indiqu e dans la ligne RES_ COL via la commande echo en SETCOLOR_SUCCESS lt valeur gt O lt valeur gt configure la couleur indiquant la r ussite via la commande echo en Vert est la couleur par d faut SETCOLOR_ FAILURE lt valeur gt o lt valeur gt configure la
510. sysconfig kuzdu vous permet de sp cifier la d tection s curitaire du mat riel de votre ordinateur par kudzu au moment du d marrage Une d tection s curitaire d sactive la d tection de ports s rie SAFE lt valeur gt o lt valeur gt correspond une des valeurs suivantes yes kuzdu ex cute une d tection s curitaire no kuzdu ex cute une d tection normale 4 1 20 etc sysconfig mouse Le fichier etc sysconfig mouse est utilis pour sp cifier des informations sur la souris dispo nible Les valeurs suivantes peuvent tre utilis es FULLNAME lt valeur gt O lt valeur gt fait r f rence au nom complet du type de souris utilis e MOUSETYPE lt valeur gt o lt valeur gt correspond un des l ments suivants imps2 une souris g n rique USB roue microsoft une souris MicrosoftrM mouseman une souris MouseManTM mousesystems une souris Mouse SystemsTM ps 2 une souris PS 2 msbm une souris bus MicrosoftTM logibm une souris bus LogitechTM atibm une souris bus ATITM logitech une souris LogitechTM mmseries un ancien mod le de souris MouseManTM mmhittab une souris mmhittab e XEMU3 lt valeur gt o lt valeur gt correspond une des valeurs bool ennes suivantes Chapitre 4 Le r pertoire sysconfig 39 yes la souris n a que deux boutons mais trois boutons de souris devraient tre simul s
511. sysrq Voir touche d interrogation syst me r pertoire proc sys fs 72 r pertoire proc sys kernel 73 r pertoire proc sys net 75 r pertoire proc sysvipc 78 r pertoire proc tty 78 r pertoires de processus 62 sous r pertoires dans 62 307 syst me de fichiers r seau Voir NFS syst me de fichiers virtuel Voir syst me de fichiers proc syst me X Window Voir XFree86 SysV init Voir commande init s curit configuration 153 ex cution d Apache sans 155 T Timeout directive de configuration Apache 139 touche d interrogation syst me activation 70 d finition de 70 Tripwire applications 280 tripwire 280 tripwire check 275 twadmin 279 280 280 twinstall sh 280 twprint 275 276 280 base de donn es d finition de 281 initialisation de 275 mise jour 278 configuration files tw pol 280 fichier de politiques mise jour 279 fichier politiques modification 273 fichiers de configuration 280 fichier base de donn es 281 fichier de base de donn es 280 fichiers cl s 280 fichiers rapport 280 fichiers rapports 281 mise jour 280 modification 272 signature de 280 tw cfg 280 281 tw pol 281 twcfg txt 280 twpol txt 280 fonctions email 279 test 280 installation de Configuration de personnalisation 272 cr ation de mots de passe 274 installation du RPM 271 308 script twinstall sh 274 installation of commande tripwire init 275 initialisation
512. syst me de Red Hat Linux Jean Paul Aubry Traduction du Guide d installation de x86 Red Hat Linux Traduction du Guide de d marrage de Red Hat Linux Traduction du Guide de personnalisation de Red Hat Linux Traduction du Guide de r f rence de Red Hat Linux 312
513. t galement effectuer des t ches suppl mentaires requises pour autoriser l acc s comme par exemple pour mon ter le r pertoire personnel d un utilisateur ou activer sa bo te aux lettres f Remarque Un module individuel peut fournir une interface de module particuli re ou toutes les interfaces de modules Par exemple pam_unix so fournit les quatre interfaces Dans un fichier de configuration PAM l interface de module est le premier aspect a tre d fini Par exemple une ligne typique d une configuration pourrait ressembler l extrait suivant auth required lib security pam unix so Cette ligne donne l instruction aux PAM d utiliser l interface auth du module pam_unix so 14 3 1 1 Modules d empilage Les directives des interfaces de modules peuvent tre empil es ou plac es les une sur les autres afin que de multiples modules puissent tre utilis s ensemble dans un but particulier Dans de telles cir constances l ordre dans lequel les modules sont r pertori s est tr s important au niveau du processus d authentification Gr ce l empilage un administrateur peut facilement exiger la pr sence de diff rentes conditions avant d autoriser un utilisateur s authentifier Par exemple rlogin utilise normalement cinq mo dules auth empil s comme le montre son fichier de configuration PAM auth required lib security pam_nologin so auth required 1ib security pam_ securetty so auth required
514. t tre ajout la directive Listen dans la partie des param tres globaux du fichier etc httpd conf http conf Afin de pouvoir activer l h te virtuel venant d tre cr le Serveur HTTP Apache doit tre recharg ou red marr Reportez vous la Section 10 4 pour obtenir des instructions sur ces op rations Des informations compl tes sur la cr ation et la configuration d h tes virtuels sur la base du nom ou de l adresse IP sont fournies en ligne l adresse suivante http httpd apache org docs 2 0 vhosts 10 8 2 H te virtuel du serveur Web s curis Par d faut le Serveur HTTP Apache est configur aussi bien comme un serveur Web non s curis que comme un serveur s curis Les deux serveurs non s curis et s curis utilisent la m me adresse IP et le m me nom d h te mais contr lent des ports diff rents savoir 80 et 443 respectivement Ce faisant des communications aussi bien non s curis es que s curis es peuvent tre tablies simultan ment Il est important de savoir que les transmissions HTTP am lior es gr ce SSL monopolisent cepen dant plus de ressources que le protocole HTTP standard et que par cons quent un serveur s curis sert moins de pages par seconde Dans de telles conditions il est recommand de minimiser les infor mations disponibles partir du serveur s curis tout particuli rement sur un site Web tr s solicit Chapitre 10 Serveur HTTP Apache 157
515. t me de num rotation de GRUB pour les p riph riques commence par 0 et non pas 1 Le non respect de cette distinction est la source des erreurs les plus courantes commises par les nouveaux utilisateurs GRUB L l ment lt num ro partition gt se rapporte au num ro d une partition sp cifique sur un p riph rique disque Comme pour l l ment lt num ro de p riph rique bios gt la num rotation des 14 Chapitre 2 Chargeurs de d marrage partitions commence par 0 M me si la plupart des partitions sont d sign es par des num ros si votre syst me utilise des partitions BSD celles ci seront d sign es par des lettres comme a ou c GRUB fait appel aux r gles suivantes pour d signer des p riph riques et partitions Peu importe si votre disque dur est IDE ou SCSI Le nom de tous les disques durs commence par hd Les lecteurs de disquette quant eux commencent par fd Pour indiquer un p riph rique en entier sans sp cifier ses partitions il suffit de retirer la virgule et le num ro de la partition Ceci est important lorsque l on souhaite que GRUB configure le bloc de d marrage ma tre pour un disque donn Par exemple hd0 indique le MBR sur le premier p riph rique et hd3 indique le MBR sur le quatri me e Si vous poss dez plusieurs disques durs il est tr s important de conna tre l ordre de d marrage d fini dans le BIOS Cela reste assez simple faire si vous ne poss dez que des disques durs I
516. t Xclients s il ne peut pas le trouver Le r le du fichier Xclients est de d marrer l environnement de bureau ou le cas ch ant un simple gestionnaire de fen tre l mentaire Le script Xclients dans le r pertoire personnel de l utilisateur lance l environnement de bureau sp cifi par l utilisateur dans le fichier Xclients default Si le fichier Xclients n existe pas dans le r pertoire personnel de l utilisateur le script standard etc X11 init Xclients tente de lancer un autre environnement de bureau en premier GNOME et en second KDE suivi de twm L utilisateur revient une session utilisateur en mode texte apr s s tre d connect de X au niveau d ex cution 3 7 5 2 Niveau d ex cution 5 Lorsque le syst me d marre au niveau d ex cution 5 une application client X sp ciale appel e gestionnaire d affichage est lanc e Un utilisateur doit s authentifier en utilisant le gestionnaire d affichage avant que tout environnement de bureau ou gestionnaire de fen tre ne puisse tre lanc Selon les environnements de bureaux install s sur le syst me trois gestionnaires d affichage diff rents sont disponibles pour assurer l authentification de l utilisateur gdm Le gestionnaire d affichage par d faut pour Red Hat Linux gdm permet la configuration des param tres de langage le d marrage l arr t et la connexion au syst me par l utilisateur kdm Le gestionnaire d afficha
517. t depuis la version 8 9 de Sendmail Auparavant Sendmail aurait dirig l h te de messagerie x org de fa on ce qu il accepte des messages d un individu y com et les envoie un autre individu z net D sormais Sendmail doit tre configur de fa on autoriser un domaine retransmettre du courrier par le biais du serveur Pour configurer les domaines de retransmission ditez simplement le fichier etc mail relay domains et relancez Sendmail Ceci tant les utilisateurs sont tr s souvent bombard s de pourriel provenant d autres serveurs via l Internet Dans ce cas les fonctions de contr le d acc s de Sendmail disponibles par l entremise du fichier etc mail access peuvent servir emp cher les connexions en provenance d h tes ind sirables L exemple suivant illustre comment utiliser ce fichier pour non seulement bloquer mais galement autoriser l acc s au serveur Sendmail badspammer com ERROR 550 Go away and do not spam us anymore tux badspammer com OK 10 0 RELAY 166 Chapitre 11 Courrier lectronique Cet exemple stipule que tout message lectronique envoy par badspammer com doit tre bloqu l aide d un code d erreur 550 conforme RFC 821 et qu un message doit tre renvoy l exp diteur de pourriel Le courrier envoy par le sous domaine tux badspammer com en revanche peut tre ac cept La derni re ligne montre que tout message envoy depuis le r seau 10 0
518. t est 5 comme l indique le chiffre qui suit le premier signes des deux points Si vous d sirez le changer modifiez etc inittab en tant connect en tant que super utilisateur Aide Faites tr s attention lorsque vous ditez etc inittab De simples fautes de frappe peuvent emp cher votre syst me de d marrer Si cela se produit vous devrez utiliser une disquette d amor age pour votre syst me ou passer en mode mono utilisateur ou en mode de secours pour red marrer l ordinateur et r parer le fichier Chapitre 1 Processus de d marrage Init et arr t 9 Pour plus d informations sur le mode mono utilisateur ou le mode de secours reportez vous au chapitre intitul Mode de secours du Guide de personnalisation de Red Hat Linux Il est possible de changer le niveau d ex cution par d faut au moment du d marrage en modifiant les arguments transmis par le chargeur de d marrage au noyau Pour toute information sur la modification du niveau d ex cution au d marrage reportez vous la Section 2 10 1 4 2 Utilitaires de niveaux d ex cution Une des meilleures fa ons de configurer les niveaux d ex cution consiste utiliser un des utilitaires initscript Ces outils sont con us pour simplifier le maintien des fichiers dans la hi rarchie du r per toire SysV init et pour viter aux administrateurs syst me de manipuler directement les nombreux liens symboliques des sous r pertoires etc rc d Red Hat Linux of
519. t graphique de Red Hat Linux est fourni par XFree86TM une impl mentation Open Source de X XFree86 est un projet de grande envergure se d veloppant rapidement gr ce des centaines de d veloppeurs dans le monde entier Il offre non seulement une prise en charge tendue pour un grand nombre de p riph riques et d architectures mais a galement la capacit de tourner sur diff rents syst mes d exploitation et plates formes Le syst me X Window utilise une architecture client serveur Le serveur X re oit les connexions d applications client X client par le biais d un r seau ou d une interface de boucle locale Le serveur communique avec le mat riel comme la carte vid o le moniteur le clavier et la souris Le client X se situe lui dans l espace utilisateur cr ant une interface utilisateur graphique ou GUI de l anglais Graphical User Interface pour cet utilisateur et transmettant ses requ tes au le serveur 7 1 XFree86 Red Hat Linux 9 utilise la version 4 x de XFree86 comme le syst me X Window de base incluant de nombreux d veloppements de pointe de la technologie XFree86 comme la prise en charge de l acc l ration mat rielle 3D l extension XRender pour de polices liss es une conception bas e sur des pilotes modulaire et une prise en charge du mat riel vid o moderne et des p riph riques d entr e Dan Red Hat Linux ne fournit plus de paquetages serveur XFree86 version 3 Avant d effectuer une
520. t lues par des utilisateurs du r seau En outre tant donn que les protocoles POP et IMAP standard transf rent les informations d authentification en texte clair un pirate peut obtenir l acc s aux comptes utilisateur en collectionnant les noms d utilisateur et mots de passe alors qu ils sont transf r s sur le r seau 11 5 1 1 Clients de messagerie s curis s Heureusement la plupart des AGC Linux con us pour v rifier le courrier sur des serveurs distants prennent en charge le cryptage SSL Afin de pouvoir utiliser SSL lors de la r cup ration du courrier il doit tre activ aussi bien sur le client de messagerie que sur le serveur de messagerie SSL est g n ralement tr s simple activer du c t client il suffit m me parfois de cliquer sur un bouton dans la fen tre de configuration de 1 AGC ou de l activer au moyen d une option dans le fichier de configuration de l AGC Les IMAP et POP s curis s ont des num ros de port connus 993 et 995 respectivement que l AGC utilise pour authentifier et t l charger les messages 11 5 1 2 tablissement de communications s curis es pour les clients de messagerie L utilisation du syst me de cryptage SSL pour les utilisateur d IMAP et POP sur le serveur de messa gerie est une op ration relativement simple Cr ez tout d abord un certificat SSL Pour ce faire il existe deux possibilit s vous pouvez faire la demande aupr s d une Autorit de cer
521. table gt permet l utilisateur de s lectionner une autre table que la table par d faut filter utiliser avec cette commande L option lt commande gt stipule une ac tion sp cifique accomplir telle que l ajout ou l limination d une r gle sp cifi e par lt nom de cha ne apr s l option lt nom de cha ne gt se trouve une paire de param tres et d options servant d finir l action entreprendre lorsqu un paquet correspond au crit res de la r gle En examinant la structure d une commande iptables il est important de se rappeler que contrai rement aux autres commandes la longueur et la complexit d une commande iptables varie en fonction de son objectif Une simple commande servant liminer une r gle d une cha ne peut tre tr s courte alors qu une commande servant filtrer les paquets d un sous r seau faisant appel un certain nombre de param tres et d options sera plut t longue Lors de la cr ation de commandes ip tables il est important de se rappeler que certains param tres et options peuvent n cessiter la cr a tion de param tres et options suppl mentaires pour mieux d finir la requ te de l option pr c dente Pour crire une r gle valide cette cha ne d actions doit continuer jusqu ce que chaque param tre et option n cessitant une autre s rie d options soit satisfait Entrez la commande iptables h pour obtenir une liste exhaustive de structures de comm
522. tact d autres utilisateurs Mais le proto cole LDAP est beaucoup plus utile qu un annuaire papier En effet de par sa conception il est destin prendre en charge la propagation vers des serveurs LDAP sur tout l Internet fournissant ainsi un ac c s mondial aux informations Actuellement le protocole LDAP est plus g n ralement utilis au sein de grandes organisations comme des universit s des d partements gouvernementaux et entreprises du secteur priv Le protocole LDAP est un syst me client serveur Le serveur peut utiliser diverses bases de donn es pour stocker un r pertoire chacune d elles tant optimis e de fa on permettre des op rations de consultation rapides et nombreuses Lorsqu un client LDAP se connecte un serveur LDAP il peut soit consulter un r pertoire soit y apporter des modifications Dans le cas d une requ te le serveur y r pond ou s il ne peut pas le faire localement la renvoie un serveur LDAP de niveau sup rieur qui aura lui la r ponse Si l application cliente tente de changer des informations dans un r pertoire LDAP le serveur v rifie d abord que l utilisateur est bien autoris effectuer des changement et ensuite ajoute ou met jour les informations Ce chapitre d crit la configuration et l utilisation de OpenLDAP 2 0 une impl mentation Open Source des protocoles LDAPv2 et LDAPv3 13 1 Pourquoi utiliser LDAP Le principal avantage du protocole LDAP r side
523. tage httpd devel car il contient les fichiers inclure les fichiers d en t te ainsi que l application Apache eXtenSion usr sbin apxs qui utilise les fichiers inclure et les fichiers d en t te pour compiler les DSO Apr s l criture d un module utilisez la commande usr sbin apxs pour compiler les sources de votre module en dehors de l arbre source Apache Pour obtenir de plus amples informations sur l utilisation de la commande usr sbin apxs reportez vous la documentation Apache fournie en ligne l adresse suivante http httpd apache org docs 2 0 dso html ou consultez la page de manuel relative apxs Une fois le module compil placez le dans le r pertoire usr 1ib httpd Ajoutez ensuite une ligne LoadModule dans le fichier httpd conf en suivant la structure suivante LoadModule lt nom module gt lt chemin au module so gt Dans l exemple ci dessus remplacez lt nom module gt par le mon du module et lt chemin au module so gt par le chemin d acc s au DSO 10 8 H tes virtuels La fonction des h tes virtuels int gr e du Serveur HTTP Apache permet au serveur de servir des informations diff rentes en fonction de l adresses IP du nom d h te ou du port faisant l objet de la requ te Un guide complet sur l utilisation des h tes virtuels est disponible en ligne l adresse suivante http httpd apache org docs 2 0 vhosts 156 Chapitre 10 Serveur HTTP Apache 10 8 1 Configurati
524. tall e usr share doc krb5 workstation lt version number gt Le Guide de l utilisateur Kerberos V5 UNIX dans des formats PostScript et HTML Le paquetage krb5 workstation doit tre install 17 7 2 Sites Web utiles e http web mit edu kerberos www La page Kerberos The Network Authentication Protocol Kerberos le protocole d authentification r seau sur le site Web du MIT http www nrl navy mil CCS people kenh kerberos faq html Le Forum Aux Questions FAQ de Kerberos _ftp athena dist mit edu pub kerberos doc usenix PS Lien vers la version PostScript de Kerberos An Authentication Service for Open Network Systems Kerberos un service d authentification pour des syst mes de r seau ouvert par Jennifer G Steiner Clifford Neuman et Jeffrey I Schiller Il s agit du document original d crivant Kerberos http web mit edu kerberos www dialogue html Designing an Authentication System a Dia logue in Four Scenes Conception d un syst me d authentification un dialogue en quatre parties crit par Bill Bryant en 1988 puis modifi par Theodore Ts o en 1997 Ce document relate une conversation entre deux d veloppeurs r fl chissant la cr ation d un syst me d authentification de type Kerberos La pr sentation sous forme de dialogue en font un bon point de d part pour les n ophytes _http www omnl gov jar HowToKerb html How to Kerberize your site Comment kerb b riser
525. tc_ time 01 38 43 rtc_date 1998 02 13 rtc_epoch 1900 alarm 00 00 00 DST_enable no BCD yes 24hr yes square_wave no alarm IR no update _IRQ no periodic_IRQ no periodic_freq 1024 batt_status okay 66 Chapitre 5 Le syst me de fichiers proc Pour plus d informations sur l horloge temps r el RTC consultez usr src linux 2 4 Documentation rtc txt 5 3 4 proc fs Ce r pertoire montre quels fichiers syst me sont export s Si vous ex cutez un serveur NFS vous pouvez taper cat proc fs nfs exports afin d afficher les syst mes de fichiers qui sont partag s ainsi que les autorisations accord es pour ces derniers Pour plus d informations sur le partage des fichiers syst me avec NFS consultez le Chapitre 9 5 3 5 proc ide Ce r pertoire contient des informations sur les p riph riques IDE du syst me Chaque canal IDE est repr sent par un r pertoire s par tel que proc ide ide0 et proc ide ide1 De plus un fichier drivers est aussi disponible il fournit le num ro de version des divers pilotes utilis s sur les canaux IDE ide cdrom version 4 59 ide floppy version 0 97 ide disk version 1 10 Plusieurs jeux de puces ou chipsets fournissent galement dans ce r pertoire un fichier d informations qui donne des renseignements suppl mentaires sur lecteurs connect s via les canaux Par exemple un chipset g n rique Ultra 33 PIIX4 d Intel produit un fichier proc ide piix qui
526. td Remarque Si certains des fichiers num r s ci dessus ne sont pas pr sents dans le r pertoire etc sysconfig le programme auquel ils associ s ne pourra pas tre install 4 1 1 etc sysconfig amd Le fichier etc sysconfig amd contient diff rents param tres utilis s par amd pour permettre le montage et le d montage automatique de syst mes de fichiers 4 1 2 etc sysconfig apmd Le fichier etc sysconfig apmd est utilis par apma en tant que configuration pour indiquer ce qu il faut d marrer arr ter modifier en cas de suspension ou de reprise des op rations Il est configur pour activer ou d sactiver apmd pendant le d marrage en fonction de la prise en charge ou non de la technologie Advanced Power Management ou APM par votre mat riel d une part ou de votre d cision de ne pas l utiliser d autre part Le d mon de contr le apm fonctionne avec le code de gestion d nergie au sein du noyau Linux Il permet notamment d avertir les utilisateurs d ordinateurs portables lorsque le niveau de la batterie est bas ou lorsqu il a un probl me avec des param tres ayant un lien avec une source lectrique 4 1 3 etc sysconfig arpwatch Le fichier etc sysconfig arpwatch est utilis pour transmettre des arguments au d mon arp watch lors du d marrage Le d mon arpwatch maintient une table d adresses Ethernet MAC et leurs parit s d adresses IP Pour de plus amples informations sur les param
527. te jou s par les fichiers dans le syst me Tripwire etc tripwire tw cfg Il s agit du fichier de configuration Tripwire crypt qui stocke les informations sp cifiques au sys t me telles que l emplacement des fichiers de donn es Tripwire Le script d installation twin stall sh et la commande twadmin cr e ce fichier en utilisant les informations de la version texte du fichier de configuration etc tripwire twcfg txt Apr s avoir ex cut le script d installation l administrateur syst me peut changer les param tres en modifiant etc tripwire twcfg txt et en recr ant une copie sign e du fichier tw cfgen utilisant la commande twadmin Pour obtenir davantage d informations sur la fa on de proc der reportez vous la Section 19 0 etc tripwire tw pol Le fichier de politiques actif Tripwire est un fichier crypt contenant des commentaires des r gles des directives et des variables Ce fichier commande la fa on dont Tripwire v rifie votre sys t me Chaque r gle du fichier politiques sp cifie un objet syst me v rifier Les r gles d crivent galement les changements d objet rapporter et ceux qui sont ignorer Les objets syst me sont les fichiers et les r pertoires que vous souhaitez contr ler Chaque objet est identifi par un nom d objet Une propri t se r f re une caract ristique unique d un objet que le logiciel Tripwire peut contr ler Les directives contr lent le processu
528. te il vous faudra entrer la commande text l invite boot De plus nous utilisons diff rentes strat gies pour attirer votre attention sur certaines informations Suivant l importance de l information pour votre syst me ces l ments seront pr sent s sous forme de remarques astuces avertissements messages importants ou attention Par exemple Introduction vii i Remarque N oubliez pas que Linux diff rencie les majuscules et les minuscules Autrement dit rose n est ni ROSE ni rOsE Astuce Le r pertoire usr share doc contient de la documentation suppl mentaire pour les paquetages install s sur votre syst me Je Si vous modifiez le fichier de configuration DHCP les changements ne prendront pas effet tant que vous n aurez pas red marrer le d mon DHCP O rentin N effectuez pas de t ches quotidiennes en tant que root utilisez un compte utilisateur normal moins que vous n ayez besoin d utiliser le compte super utilisateur pour des t ches d administration syst me A avertissement Si vous choisissez de ne pas partitionner manuellement une installation serveur effacera toutes les partitions existantes sur tous les disques durs install s N utilisez cette classe d installation que si vous tes certain de ne pas avoir de donn es sauvegarder 4 Utilisation de la souris Red Hat Linux utilise habituellement une souris trois boutons Si vous avez une souris deux boutons vous devrie
529. te notamment ces informations pour monter le p riph rique et proc der au chargement des fichiers Avec Red Hat Linux une fois que GRUB a charg sa propre partition root qui est l quivalent de la partition bootet contient le noyau Linux la commande kernel peut tre ex cut e avec l emplacement du fichier de noyau en option Lorsque le noyau Linux d marre il tablit le syst me de fichiers Linux auquel les utilisateurs sont habitu Le syst me de fichiers root de GRUB et ses montages sont oubli s ils ne servaient qu au d marrage du fichier du noyau Pour de plus amples informations lisez les notes relatives aux commandes root et kernel contenues dans la Section 2 6 2 5 Interfaces GRUB GRUB pr sente trois interfaces qui fournissent diff rents niveaux de fonctionnalit s Chacune de ces interfaces permet aux utilisateurs de d marrer le noyau Linux ou d autres syst mes d exploitation Les interfaces sont les suivantes Interface Menu Si la configuration de GRUB a t r alis e automatiquement par le programme d installation de Red Hat Linux ce sera l interface affich e par d faut Un menu des diff rents syst mes d exploitation et noyaux pr configur s avec leurs propres commandes de d marrage est pr sent sous la forme de liste organis e de fa on nominale Utilisez les fl ches du clavier pour choisir une option diff rente de celle qui est pr sent e par d faut puis appuyez sur la touche
530. ter manuellement le syst me de fichiers export Le fichier etc fstab est lu par le script etc rc d init d netfs au d marrage du syst me et tout partage sp cifi dans ce dernier sera mont Une ligne etc fstab courante pour monter une exportation NFS ressemblera ceci lt serveur gt lt path of dir gt lt local mnt point gt nfs lt options gt 0 0 L option lt serveur h te gt correspond au nom d h te l adresse IP ou le nom de domaine pleine ment qualifi du serveur exportant le syst me de fichiers L option lt path of directory gt correspond au chemin vers le r pertoire export L option lt 1ocal mount point gt sp cifie l endroit dans le syst me de fichier local o monter le r pertoire export Ce point de montage doit tre d termin avant que etc fstab ne soit lu sinon le montage chouera L option nfs sp cifie le type de syst me de fichiers en cours de montage La zone lt options gt sp cifie les options de montage pour le syst me de fichiers Par exemple si la zone d options stipule rw suid le syst me de fichier export sera mont en lecture criture read write les ID d utilisateur et de groupe fix es par le serveur seront utilis es Notez que les parenth ses ne doivent pas tre utilis es ici Pour obtenir des informations sur des options de montage suppl men taires consultez la Section 9 3 3 9 3 2 autofs Un inconv nient lors de l utilisation de etc fstab e
531. tie en m moire GRUB est le chargeur de d marrage le plus r cent qui a l avantage de pouvoir lire les partitions ext2 et ext3 let de charger son fichier de configuration boot grub grub conf au moment du d marrage Pour de plus amples informations sur la fa on de modifier ce fichier reportez vous la Section 2 7 Avec LILO le chargeur de d marrage tape 2 utilise des informations sur le MBR pour d terminer les options de d marrage dont dispose l utilisateur Cela signifie que chaque fois qu un changement de configuration est r alis ou que vous mettez manuellement jour votre noyau vous devez ex cuter la commande sbin lilo v v pour crire les informations appropri es sur le MBR Pour plus de d tails ce propos consultez la Section 2 8 Astuce Si vous mettez niveau le noyau en utilisant l application Agent de mise jour Red Hat le fichier de configuration du chargeur d amor age sera mis jour automatiquement Pour plus d informations sur Red Hat Network rendez vous l adresse suivante https rhn redhat com Une fois que le chargeur de d marrage tape 2 en m moire il affiche l cran graphique initial Red Hat Linux indiquant l utilisateur les diff rents syst mes d exploitation ou noyaux qu il doit charger en fonction de sa configuration Sur cet cran l utilisateur peut l aide des touches fl ch es choisir le syst me d exploitation ou le noyau qu il souhaite charger
532. tification AC pour un certificat SSL ou vous pouvez cr er vous m me un certificat auto sign Ossrissement Les certificats auto sign s ne devraient tre utilis qu a des fins de test Tout serveur utilis dans un environnement de production devrait avoir recours un certificat obtenu aupr s d une AC Pour cr er un certificat SSL auto sign pour IMAP passez au r pertoire usr share ssl certs et tapez la commande suivante en tant connect en tant que super utilisateur make imapd pem Pour accomplir tout le processus r pondez toutes les questions Afin de cr er un certificat SSL auto sign pour for POP passez au r pertoire usr share ssl certs et tapez la commande suivante en tant connect en tant que super utilisateur make ipop3d pem Ici encore r pondez toutes les questions pour accomplir tout le processus Une fois ces op rations termin es utilisez la commande sbin service pour lancer le d mon ap propri imaps ou pop3s Configurez ensuite le service imaps ou le service pop3s afin leur d marrage s effectue au niveau d ex cution appropri l aide d un utilitaire initscript comme l Outil Chapitre 11 Courrier lectronique 179 de configuration des services redhat config services Reportez vous la Section 1 4 2 pour obtenir de plus amples informations sur les utilitaires initscript Il est galement possible d utiliser la commande stunnel en tant qu enveloppeur
533. tification Bien s r vous devez cr er le premier l ment principal avant de pouvoir vous connecter au serveur sur le r seau afin qu il puisse le g rer Pour cr er le premier l ment principal utilisez kadmin 1ocal une commande con ue sp cifiquement pour tre utilis e sur le m me h te que le KDC et qui n emploie pas Kerberos pour l authentification Tapez la commande kadmin local suivante sur terminal KDC afin de cr er le premier l ment principal usr kerberos sbin kadmin local q addprinc username admin Lancez Kerberos l aide des commandes suivantes sbin service krb5kdc start sbin service kadmin start sbin service krb524 start Ajoutez des l ments principaux pour vos utilisateurs l aide de la commande addprinc avec kadmin Les commandes kadmin et kadmin 1ocal sont des interfaces de ligne de commande vers le KDC En tant que telles de nombreuses commandes sont disponibles apr s le lancement du programme kadmin Veuillez vous r f rez la page de manuel relative kadmin pour plus d informations V rifiez que votre serveur mettra bien des tickets Tout d abord ex cutez kinit afin d obtenir un ticket et de le stocker dans un fichier de cache de certificats d identit Utilisez ensuite k1ist pour visualiser la liste des certificats d identit dans votre cache et utilisez kdestroy pour d truire le cache et les certificats qu il contient Chapitre 17 Kerberos 259 j
534. tion Apache 147 serveur de noms Voir BIND serveur de noms root Voir BIND Serveur HTTP Apache arr t 136 configuration 138 d marrage 136 ex cution Apache sans 155 fichiers journaux 138 introduction 125 rapports sur l tat du serveur 151 rechargement 136 red marrage 136 ressources suppl mentaires 157 livres sur le sujet 157 sites Web utiles 157 r solution de probl mes 138 version 1 3 migration vers 2 0 127 version 2 0 changements de paquetage 126 changements du syst me de fichiers 126 fonctions 125 migration d 1 3 127 serveur proxy 152 152 serveur Web non s curis d sactivation 157 serveurs de noms de retransmission Voir BIND serveurs de noms esclave Voir BIND serveurs de noms ma tre Voir BIND services configuration avec chkconfig 9 configuration avecntsysv 9 configuration l aide de Outil de configuration des services 9 SetEnvIf directive de configuration Apache 153 shell EFI d finition 1 Voir Aussi bootprocess Shell Extensible Firmware Interface Voir shell EFI souris comment l utiliser vii SpamAssassin utilisation avec Procmail 176 StartServers directive de configuration Apache 140 startx Voir XFree86 structure commune 25 stunnel 178 sysctl configuration avec etc sysctl conf 78 contr le de proc sys 78 SysReq Voir touche d interrogation syst me SysRq Voir touche d interrogation syst me Syst me d Entr e Sortie de bas
535. tml shtml AddOutputFilter INCLUDES shtml Notez que comme auparavant la directive Options Includes est toujours n cessaire pour la section lt Directory gt r pertoire conteneur ou dans un fichier htaccess Pour plus d informations sur le sujet reportez vous la documentation suivante sur le site Web d Apache Software Foundation _http httpd apache org docs 2 0 mod mod_include html 10 2 4 4 Modules mod_auth_dbm t mod_auth_db Le Serveur HTTP Apache 1 3 prenait en charge deux modules d authentification savoir mod_auth_db et mod_auth_dbm qui utilisaient respectivement les bases de donn es Berkeley et DBM Ces modules ont t rassembl s dans un seul module nomm mod_auth_dbm dans la version 2 0 du Serveur HTTP Apache pouvant acc der plusieurs formats de base de donn es diff rents Pour migrer partir du fichier mod_auth_db fichiers de configuration devront tre adapt s en rempla ant AuthDBUserFile et AuthDBGroupFile par les quivalents de mod_auth_dbm AuthDBMUserFile et AuthDBMGroupFile La directive AuthDBMType DB doit galement tre ajout e pour pr ciser le type de de fichier de base de donn es utilis Ci dessous figure un exemple de la configuration mod_auth_ db pour le Serveur HTTP Apache 1 3 134 Chapitre 10 Serveur HTTP Apache lt Location private gt AuthType Basic AuthName My Private Files AuthDBUserFile var www authdb require valid user lt Location gt Pour tra
536. tocole SSH 262 18 3 S quence des v nements d une connexion SSH 18 4 Fichiers de configuration d OpenSSH 18 5 Beaucoup plus qu un shell s curis 18 6 Exiger SSH pour les connexions distance 19 THPWITE nt A DS R es rm des re de nn ee mn need 19 1 Comment utiliser Tripwire 19 2 Installation du RPM de Tripwire 19 3 Personnalisation de Tripwire 19 4 Initialisation de la base de donn es de Tripwire 19 5 Ex cution d une v rification d int grit 19 6 Examen des rapports Tripwire s s 5101 2 19 7 Mise jour de la base de donn es de Tripwire eseeeseeesreesreeeesreesrsreeerssee 19 8 Mise jour du fichier de politiques 19 9 Mise jour du fichier de configuration Tripwire ss 19 10 R f rence d emplacement de fichier Tripwire 19 11 Ressources suppl mentaires IV Annexes A Param tres g n raux et modules A 1 Sp cification des param tres d un module A 2 Param tres des modules pour CD ROM A 3 Param tres SCSI A 4 Param tres Ethernet redhat Introduction Bienvenue dans le Guide de r f rence de Red Hat Linux Le Guide de r f rence de Red Hat Linux contient des informations utiles sur le syst me Red Hat Linux Depuis les concepts fondamentaux tels que la structure des syst mes de fichiers de Red Hat Linux jus qu certains points plus d licats con
537. tre disponible avant le d marrage de chacun de ces services Si pour une raison ou pour une autre le service portmap quitte de fa on inattendue red marrez portmap et tous les services actifs au moment de son d marrage Le service portmap peut s employer avec les fichiers d acc s d h tes des enveloppeurs TCP etc hosts allowet etc hosts deny pour contr ler les syst mes distants qui sont autoris s utiliser les services bas s sur RPC sur le serveur Reportez vous au Chapitre 15 pour plus d informations Les r gles de contr le d acc s pour portmap affecteront tous les services bas s sur RPC Il est galement possible de sp cifier chacun des d mons RPC NFS devant tre affect s par une r gle de contr le d acc s particuli re Les pages de manuel relatives rpc mountd et rpc statd contiennent des informations sur la syntaxe pr cise de ces r gles 9 1 1 1 R solution de probl mes li s NFS avec portmap Puisque portmap fournit la coordination entre les services RPC et les num ros des ports utilis s pour communiquer avec eux il est utile de pouvoir visualiser les services RPC en cours l aide de portmap lors de la r solution de probl mes La commande rpcinfo montre chaque service bas sur RPC avec son num ro de port num ro de programme RPC version et type de protocole IP TCP ou UDP Pour s assurer que les bons services NFS bas s sur RPC sont activ s pour portmap utilisez la com mande r
538. tre install s Toutefois si le moniteur ou la carte vid o changent XFree86 devra tre reconfigur Pour ce faire la meilleure fa on consiste utiliser l Outil de configuration X redhat config xfree86 Pour lancer l Outil de configuration X pendant une session active de X allez au bouton Menu principal sur le panneau gt Param tres de syst me gt Affichage Apr s une utilisation de l Outil de configuration X pendant une session X il faudra fermer la session X en cours puis red marrer X pour que les changements prennent effet Pour obtenir de plus amples informations sur l utilisation de L Outil de configuration X reportez vous au chapitre intitul Audio Vid o et divertissement en g n ral du Guide de d marrage de Red Hat Linux Dans certaines situations il sera peut tre n cessaire de reconfigurer manuellement le serveur XFree86 en ditant son fichier de configuration etc X11 XF86Config Pour obtenir de plus amples informations sur la structure de ce fichier reportez vous la Section 7 3 7 2 Environnements de bureau et gestionnaires de fen tre Une fois qu un serveur XFree86 est en cours d ex cution les application client X peuvent s y connec ter et cr er une GUI pour l utilisateur Avec Red Hat Linux une certaine vari t de GUI est disponible de l interface rudimentaire du gestionnaire de fen tre Tab Window Manager celle hautement sophis tiqu e et interactive de l environnement
539. tre mot de passe du syst me e Utilisez des mots de passe uniques pour la cl site et la cl locale Le mot de passe cl du site prot ge les fichiers de configuration et de politiques Tripwire Le mot de passe cl local prot ge les fichiers de base de donn es et de rapports Tripwire Mic Il n existe aucun moyen de d crypter un fichier sign si vous oubliez votre mot de passe Si vous oubliez les mots de passe les fichiers sont inutilisables et vous devrez ex cuter le script de configu ration une nouvelle fois En cryptant ses fichiers de configuration politiques base de donn es et rapports Tripwire les emp che d tre visualis s par quiconque ne conna t pas le site et les mots de passe locaux Cela signifie que m me si un intrus obtiens l acc s root votre syst me il ne pourra pas modifier les fichiers Tripwire pour masquer la trace Chapitre 19 Tripwire 275 Une fois crypt s et sign s les fichiers configuration et politiques cr s en ex cutant le script twins tall shne doivent tre ni renomm s ni d plac s 19 4 Initialisation de la base de donn es de Tripwire Lorsque la base de donn e est initialis e Tripwire cr e un ensemble d objets du syst me de fichiers en se basant sur les r gles contenues dans le fichier de politiques Cette base de donn es est utilis e comme r f rence lors des v rifications d int grit Pour initialiser la base de donn es de Tripwire utilisez la comm
540. tre structur en sections qui sont ensuite organis es hi rarchi quement comme un arbre avec un tronc principal des branches primaires des branches secondaires etc Prenons par exemple le FQDN suivant bob sales example com Lorsque vous regardez un FQDN pour trouver l adresse IP qui renvoie un syst me particulier lisez le nom de droite gauche et chaque niveau de la hi rarchie divis par des points Dans notre exemple le com d finit le domaine de niveau sup rieur pour ce FQDN Le nom example est un sous domaine de com alors que sales est un sous domaine de example Le nom le plus gauche bob identifie une machine particuli re machine l exception du nom de domaine chaque section s appelle une zone et d finit un espace de nom particulier Un espace de nom contr le l attribution des noms des sous domaines sa gauche Alors que cet exemple ne contient que deux sous domaines un FQDN doit contenir au moins un sous domaine mais peut en inclure beaucoup plus selon l organisation de l espace de nom choisie Les zones sont d finies sur des serveurs de noms qui font autorit par l interm diaire fichiers de zone d crivant entre autres l espace de nom de cette zone les serveurs de courrier qui doivent tre utilis s pour un domaine ou sous domaine particulier Les fichiers de zone sont stock s sur des serveurs de noms primaires aussi appel s serveurs de noms ma tres qui font vraiment autorit
541. trer des paquets en choisissant de laisser p n trer certains d entre eux dans le syst me et de bloquer les autres La version 2 4 du noyau contient les trois tables ou listes de r gles suivantes e filter table par d faut pour le traitement des paquets r seau nat table utilis e pour modifier les paquets qui cr ent une nouvelle connexion mangle table utilis e pour la modification de types sp cifiques de paquets Chacune de ces tables comporte son tour un groupe de cha nes qui correspondent aux actions effec tu es par netfilter sur le paquet 242 Chapitre 16 iptables Les cha nes de la table filter sont les suivantes INPUT cette cha ne s applique aux paquets re us via une interface r seau OUTPUT cette cha ne s applique aux paquets exp di s par la m me interface r seau qui a re u les paquets FORWARD cette cha ne s applique aux paquets re us par une interface r seau et exp di s par une autre interface Les cha nes pour la table nat sont les suivantes e PREROUTING cette cha ne modifie les paquets re us via une interface r seau lorsqu ils arrivent OUTPUT cette cha ne modifie les paquets g n r s localement avant qu ils ne soient rout s par une interface r seau e POSTROUTING cette cha ne modifie les paquets avant qu ils ne soient exp di s par une inter face de r seau Les cha nes pour la table mangle sont les suivantes e P
542. tres que vous pouvez utiliser dans ce fichier tapez man arpwatch Par d faut ce fichier r gle le propri taire du processus arp watch sur l utilisateur pcap Chapitre 4 Le r pertoire sysconfig 33 4 1 4 etc sysconfig authconfig Le fichier etc sysconfig authconfig d termine le type d autorisation utiliser sur l ordinateur h te Il contient une ou plusieurs des lignes suivantes e USEMD5 lt valeur gt O lt valeur gt correspond un des l ments ci dessous yes MDS est utilis pour l authentification no MDS n est pas utilis pour l authentification USEKERBEROS lt valeur gt o lt valeur gt correspond un des l ments ci dessous yes Kerberos est utilis pour l authentification no Kerberos n est pas utilis pour l authentification USELDAPAUTH lt valeur gt O lt valeur gt correspond un des l ments ci dessous yes LDAP est utilis pour l authentification no LDAP n est pas utilis pour l authentification 4 1 5 etc sysconfig clock Le fichier etc sysconfig clock contr le l interpr tation des valeurs lues partir de l horloge mat rielle du syst me Les valeurs correctes sont les suivantes UTC lt valeur gt o lt valeur gt correspond l une des valeurs bool ennes suivantes true o yes indique que l horloge mat rielle est r gl e sur l heure universelle celle du m ridien de Greenwich
543. tructur pour permettre une meilleure compr hension Mise jour du chapitre Interfaces r seau Le chapitre Interfaces r seau a t mis jour et r organis Mise jour du chapitre Serveur HTTP Apache Le guide de migration de la version 1 3 vers la version 2 0 de Serveur HTTP Apache a t r vis La liste des options de configuration de serveur a galement t mise jour et r organis e Nous remercions tout sp cialement Gary Benson et Joe Orton pour leur contribution ce guide traitant de la migration du Serveur HTTP Apache Avant d entamer la lecture de ce guide vous devriez conna tre les aspects concernant l installation qui sont report s dans le Guide d installation de Red Hat Linux les concepts de base de Linux qui sont ii Introduction contenus dans le Guide de d marrage de Red Hat Linux et et les instructions g n rales de personna lisation qui sont d crites dans le Guide de personnalisation de Red Hat Linux Le Guide de r f rence de Red Hat Linux contient des informations plus complexes pour les utilisateurs exp riment s Les versions HTML et PDF de tous les manuels de Red Hat Linux sont disponibles en ligne l adresse suivante http www redhat com docs Remarque Bien que le pr sent manuel contienne les informations les plus actuelles possibles il est recom mand de lire les Notes de mises jour de Red Hat Linux au cas o de nouvelles informations auraient t ajout es apr
544. ts de passe masqu s 7 Le syst me X Window 7 1 XFree86 7 2 Environnements de bureau et gestionnaires de fen tre 7 3 Fichiers de configuration du serveur XFree86 91 TA PROCESS PR Re A ns MU dt sd na ere dd 98 7 5 Niveaux d ex cution et XFre 86 ann nn nd AAR 101 7 6 Ressources suppl mentaires IL R f rences aux services du r seau 8 Interfaces r seau 8 1 Fichiers de configuration r r seau 8 2 Fichiers de configuration d interface 108 8 3 Scripts de contr le d interface 112 8 4 Fichiers de fonctions r seau 113 8 5 Ressources suppl mentaires 113 9 Le syst me de fichiers r seau NFS 0 1 M thodologie EEEE EEEE aire tennis tee eut Sterne nee 9 2 Les fichiers de configuration du serveur NES 117 9 3 Les fichiers de configuration de clients NFS 119 9 4 S curiser NFS sesesesssseseresrerresereeserreriseeseress 9 5 Ressources suppl mentaires 10 Serveur HTTP Apache 10 1 Serveur HTTP Apache 2 0 A 10 2 Migration de fichiers de configuration du Serveur HTTP Apache version 1 3 127 10 3 Apr s l installation 522 10 4 D marrage et arr t de httpd 10 5 Directives de configuration dans httpd Conf s sssesssssesssessserereerisrereererenees 137 10 6 Modules par d faut slris ori nea nn nettement see 154 10 7 Ajout de modules 10 8 H tes virtuels 10 9
545. u client Par d faut le serveur Web renvoie un simple message d erreur habituellement obs cur lorsqu une d erreur se produit Au lieu de ce param trage par d faut il est possible d utiliser la directive ErrorDocument pour forcer le serveur Web renvoyer la place un message personnalis ou rediriger le client vers une URL locale ou externe Important Pour que le message soit valide il doit se trouver entre guillemets 10 5 62 BrowserMatch La directive BrowserMat ch permet au serveur de d finir des variables d environnement ou de prendre des mesures appropri es en fonction du champ d en t te Utilisateur Agent HTTP qui identifie le type de navigateur du client Par d faut le serveur Web utilise BrowserMatch pour refuser des connexions certains navigateurs pr sentant des probl mes connus de m me que pour d sactiver les keepalives et vidages d en t te HTTP pour les navigateurs ayant des probl mes avec ces actions 10 5 63 Location Les balises lt Location gt et lt Location gt permettent de cr er un conteneur dans lequel un contr le d acc s bas sur URL peut tre sp cifi Par exemple pour permettre aux personnes se connectant depuis le domaine du serveur de consulter des rapports sur l tat du serveur utilisez les directives suivantes lt Location server status gt SetHandler server status Order deny allow Deny from all Allow from lt example com gt lt Location
546. ue des paquets tra versent une cha ne enti re sans satisfaire une r gle ils seront envoy s une cible donn e telle que ACCEPT ou DROP R remplace une r gle dans une cha ne donn e Il est imp ratif d utiliser un num ro de r gle apr s le nom de cha ne La premi re r gle dans une cha ne correspond la r gle num ro un X supprime une cha ne sp cifi e par un utilisateur L limination d une cha ne int gr e de toute table n est pas permise Z remet z ro les compteurs d octets et de paquets pour toutes les cha nes pour une table sp cifique 16 3 4 Param tres Une fois que certaines commandes iptables ont t sp cifi es y compris celles utilis es pour l ajout l limination l insertion ou le remplacement de r gles l int rieur d une cha ne donn e il est n cessaire d ajouter d autres param tres pour la construction d une r gle de filtrage de paquets e c effectue une remise z ro des compteurs pour une r gle donn e Ce param tre accepte les options PKTS paquets et BYTES octets pour indiquer le compteur remettre z ro d d finit le nom d h te du destinataire l adresse IP ou le r seau du paquetage qui correspondra la r gle Lors de la v rification de concordance r seau les formats adresses IP masque r seau suivants sont pris en charge 246 Chapitre 16 iptables N N N N M M M M O N N N N correspond
547. ue ou si elle n est pas autoris e cps Configure xinetd de mani re n autoriser que 25 connexions par seconde un service donn Si cette limite est atteinte le service est retir pendant 30 secondes e includedir etc xinetd d Inclut des options stipul es dans les fichiers de configuration sp cifiques aux services qui se trouvent dans le r pertoire etc xinetd d Reportez vous la Section 15 4 2 pour plus d informations sur ce r pertoire Remarque Les param tres de log_on_success et log_on_failure dans etc xinetd conf sont souvent en core modifi s dans les fichiers de journalisation sp cifique chaque service Pour cette raison plus d informations sont pafois enregistr es pour un service donn que ce qui est en fait sp cifi dans le fichier m me Reportez vous la Section 15 4 3 1 pour de plus amples informations sur les options de journalisation 15 4 2 Le r pertoire etc xinetd d Le r pertoire etc xinetd d contient les fichiers de configuration relatifs chaque service g r par xinetd ces derniers portent un nom faisant r f rence au service De m me que pour xinetd conf ce fichier est lu seulement lorsque le service xinetd est lanc Ainsi afin que tout changement puisse prendre effet l administrateur doit relancer le service xinetd Le format des fichiers dans le r pertoire etc xinetd d se base sur les m me conventions que etc xinetd conf La raison essentiel
548. ule typique Section Module Load dbe Load extmod Load fbdevhw Load glx Load record Load freetype Load typel Load dri EndSection 7 3 1 6 InputDevice Chaque section InputDevice configure un p riph rique d entr e pour le serveur XFree86 La plupart des syst mes poss dent en g n ral au moins deux sections InputDevice clavier et souris L exemple suivant illustre une section InputDevice typique Section InputDevice Identifier Mouse0 Driver mouse Option Protocol IMPS 2 Option Device dev input mice Option Emulate3Buttons no EndSection Parmi les entr es les plus commun ment utilis es dans la section InputDevice figurent Identifier sp cifie un nom unique pour cette section InputDevice Cette entr e est n ces saire Driver sp cifie le nom du pilote de p riph rique devant tre charg par XFree86 pour le p riph rique Option sp cifie des options n cessaires concernant le p riph rique Pour une souris ces options sont g n ralement Protocol sp cifie le protocole utilis par la souris comme par exemple IMPS 2 Device sp cifie l emplacement du p riph rique physique Emulate3Buttons sp cifie si une souris deux boutons doit se comporter comme une souris trois boutons lorsque les deux boutons sont press s simultan ment Chapitre 7 Le syst me X Window 95 Consultez la page de manuel relative XF86Config po
549. ult rc contient une simple r gle Procmail permettant d activer SpamAssassin pour tout courrier lectronique re u Si un message est reconnu comme tant un pourriel il est tiquet en tant que tel dans l en t te et le titre se voit inclure la mention suivante AK XX GPAMX XX XX Le corps du message de l email est pr c d d un compte rendu des l ments ayant justifi le diagnostic de spam Pour classer les emails tiquet s en tant que pourriel il est possible d utiliser une r gle semblable celle reproduite ci dessous 0 Hw fX Spam Status Yes spam Selon cette r gle tous les messages tiquet s en tant que spam dans l en t te sont rang s dans une bo te lettres nomm e spam tant donne que SpamAssassin est un script Perl il faudra peut tre n cessaire d utiliser le d mon binaire SpamAssassin spamd et l application client spamc sur les serveur tr s sollicit s Pour configurer SpamAssassin de la sorte l acc s super utilisateur l h te est n cessaire Pour lancer le d mon spamd tapez la commande suivante en tant connect en tant que super utilisateur ou root sbin service spamassassin start Pour que le d mon SpamAssassin puisse tre lanc lors du d marrage du syst me utilisez un utili taire initscript comme l Outil de configuration des services redhat config services pour activer le service spamassassin Reportez vous la Section 1 4 2 pour de
550. unknown qui est im prim L exemple de r gle suivant utilise une expansion en m me temps que la commande spawn pour iden tifier l h te client dans un fichier de journalisation personnalis Elle indique aux enveloppeurs TCP que lors de toute tentative de connexion au d mon SSH sshd partir d un h te du domaine example com ils doivent ex cuter la commande echo afin de journaliser non seulement la tentative mais galement le nom d h te du client l aide de l expansion sh dans un fichier sp cial sshd example com spawn bin echo bin date access denied to h gt gt var log sshd log deny Chapitre 15 Les enveloppeurs TCP et xinetd 233 De m me des expansions peuvent tre utilis es pour personnaliser les messages renvoy s au client Dans l exemple suivant les clients essayant de se connecter aux services FTP partir du domaine example com sont inform s qu ils ont t bannis du serveur vsftpd example com twist bin echo 421 h has been banned from this server Pour une explication compl tes des expansions disponibles et des options suppl mentaires de contr le d acc s reportez vous la section 5 de la page de manuel relative hosts_access man 5 hosts_access et la page de manuel relative hosts_options Pour des ressources suppl mentaires sur les enveloppeurs TCP reportez vous la Section 15 5 15 3 xinetd Le d mon xinetd est un super service env
551. up pwck grpck outils permettant de v rifier le mot de passe le groupe et les fichiers masqu s associ s pwconv pwunconv outils permettant la conversion de mots de passe standard en mots de passe masqu s et vice versa Pour un aper u de la gestion d utilisateurs et de groupes reportez vous au Guide d administration syst me de Red Hat Linux Pour des informations plus d taill es sur les outils de la ligne de commande permettant de g rer les utilisateurs et groupes reportez vous au chapitre intitul Configuration des utilisateurs et des groupes du Guide de personnalisation de Red Hat Linux 82 6 2 Utilisateurs standard Chapitre 6 Utilisateurs et groupes Dans le Tableau 6 1 sont num r s les utilisateurs standard configur s dans le fichier etc passwd par une installation de type Complet Everything L identificateur groupe ID groupe ou GID figu rant dans ce tableau correspond au groupe primaire pour l utilisateur Reportez vous la Section 6 3 pour une liste des groupes standard root d mon sync P ft Tp b a f ni np bin i dmon e adm o s ER EEE sm in dm Lip personne oo J f em ar 37 vaine vins vwa eo j tp C EME ael GID _ R pertoire personnel _ shen o root finm Di in 7 smimmotegin 2 sin sbinvnorogin 7 var spoonsipa sbinznorogin o sen f misyne o 2 a sbin hatt var spool mail sbin no
552. uppl mentaires pour chaque h te virtuel 10 5 69 virtualHost Des balises lt VirtualHost gt et lt VirtualHost gt permettent de cr er un conteneur soulignant les caract ristiques d un h te virtuel Le conteneur lt VirtualHost gt accepte la plupart des directives de configuration Un ensemble de conteneurs VirtualHost comment s est fourni dans httpd conf et illustre l ensemble minimum de directives de configuration n cessaire pour chaque h te virtuel Reportez vous la Section 10 8 pour obtenir de plus amples informations sur les h tes virtuels Remarque Tous les contextes des h tes virtuels SSL ont t transf r s dans le fichier etc httpd conf d ssl conf 10 5 70 Directives de configuration SSL Les directives SSL figurant dans le fichier etc httpd conf d ssl conf de votre serveur sont incluses pour permettre des communications Web s curis es l aide de SSL et TLS 10 5 70 1 SetEnvIf La directive SetEnvlf permet de r gler des variables d environnement en fonction des en t tes des connexions s curis es entrantes dans les demandes Dans le fichier etc httpd conf d ssl conf fourni elle sert d sactiver la fonction keep alive HTTP et autoriser SSL fermer la connexion sans g n rer d alerte de notification de fermeture de la part du navigateur client Ce param tre est n cessaire pour certains navigateurs qui n interrompent pas la connexion SSL avec une grande fiabilit Pour o
553. ur 31 ressources suppl mentaires 45 installed documentation 45 r pertoire etc sysconfig apm scripts 44 r pertoire etc sysconfig cbq 44 r pertoire etc sysconfig network scripts 107 r pertoire etc sysconfig rhn 44 r pertoires contenus dans 44 r pertoire sysconfig r pertoire etc sysconfig network scripts 44 Voir Aussi network r pertoire etc sysconfig networking 44 r pertoire var lib rpm 30 r pertoire var spool up2date 30 r pertoire etc 26 r pertoire lib 26 r pertoire opt 26 r pertoire usr local 28 r pertoire var 28 r pertoires dev 26 letc 26 lib 26 mnt 26 Jopt 26 Iproc 27 sbin 27 Jusr 27 usr local 28 30 var 28 r pertoires public_html 144 r pertoiresysconfig letc sysconfig iptables 251 r solution de probl mes journal des erreurs 146 306 S sawfish 91 Voir Aussi XFree86 ScoreBoardFile directive de configuration Apache 138 ScriptAlias directive de configuration Apache 147 scripts CGI hors du r pertoire ScriptAlias 150 Sendmail 163 alias 165 avec UUCP 164 installation par d faut 163 LDAP et 166 limites 163 masquarade 165 modifications courantes de la configuration de Sendmail 164 objectif 163 ressources suppl mentaires 179 spams 165 ServerAdmin directive de configuration Apache 142 ServerName directive de configuration Apache 142 ServerRoot directive de configuration Apache 138 ServerSignature directive de configura
554. ur de noms qui permet d associer des noms d h te d un r seau des adresses num riques et vice versa Le pr sent chapitre examine le serveur de noms inclus dans Red Hat Linux Berkeley Internet Name Domain BIND serveur DNS et met l accent tout particuli rement sur la structure de ses fichiers de configuration et sur la mani re de l administrer aussi bien localement qu distance Pour obtenir des instructions sur la configuration de BIND l aide de l application graphique Outil de configuration Bind redhat config bind reportez vous au chapitre intitul Configuration de BIND du Guide de personnalisation de Red Hat Linux D VO Si vous utilisez l Outil de configuration Bind ne modifiez manuellement aucun des fichiers de configuration BIND car tout changement sera cras lors d une utilisation post rieure de l application Outil de configuration Bind 12 1 Introduction au DNS Lorsque les h tes d un r seau se connectent entre eux au moyen d un nom d h te auquel on se r f re galement sous le terme nom de domaine pleinement qualifi ou fully qualified domain name FQDN le DNS est utilis pour associer les noms des diff rents ordinateurs l adresse IP de l h te L utilisation du DNS et du FQDN offre aux administrateurs syst me de nombreux avantages et leur permet en outre de changer facilement l adresse IP d un h te sans avoir d impact sur les requ tes bas es sur le no
555. ur les param tres que vous pouvez utiliser dans ce fichier consultez la page de manuel relative radvd Par d faut ce fichier r gle le propri taire du processus radva sur l utilisateur radvd 4 1 27 etc sysconfig rawdevices Le fichier etc sysconfig rawdevices est utilis pour configurer les liaisons des p riph riques bruts raw devices comme par exemple dev raw rawl dev sdal dev raw raw2 8 5 4 1 28 etc sysconfig redhat config securitylevel Le fichier etc sysconfig redhat config securitylevel contient toutes les options choi sies par l utilisateur lors de la derni re ex cution de l Outil de configuration du niveau de s cu rit redhat config securitylevel Il est fortement d conseill aux utilisateurs de modifier ce fichier manuellement Pour obtenir de plus amples informations sur l Outil de configuration du niveau de s curit consultez le chapitre intitul Configuration l mentaire du pare feu du Guide de personnalisation de Red Hat Linux 4 1 29 etc sysconfig redhat config users Le fichier etc sysconfig redhat config users est le fichier de configuration pour l application graphique Gestionnaire d utilisateurs Sous Red Hat Linux 9 ce fichier est utilis pour filtrer les utilisateurs du syst me tels que root d mon ou lp Ce fichier peut tre dit depuis le menu d roulant Pr f rences gt Filtrer les utilisateurs du syst me et groupes dans l application Gestionnaire d ut
556. ur obtenir des informations plus d taill es sur ce sujet reportez vous la Section 17 7 Remarque Le bon fonctionnement de Kerberos d pend de certains services r seau Il a tout d abord besoin d une synchronisation approximative de l horloge entre les diff rents ordinateurs du r seau Par cons quent un programme de synchronisation de l horloge devrait tre install pour le r seau comme par exemple ntpa Pour de plus amples informations sur la configuration de ntpa consul tez usr share doc ntp lt version number gt index htm et examinez les renseignements con cernant la configuration des serveur Network Time Protocol En outre tant donn que certains aspects de Kerberos reposent sur le DNS Domain Name Service assurez vous que les entr es DNS et les h tes sur le r seau soient tous correctement configur s Pour plus d informations reportez vous au Guide de l administrateur syst me Kerberos V5 disponible en formats PostScript et HTML dans usr share doc krb5 server lt version number gt Chapitre 17 Kerberos 257 17 4 Kerberos et PAM modules d authentification enfichables Actuellement les services kerberis s n utilisent pas du tout les PAM Pluggable Authentication Mo dules les serveurs kerberis s ignorent compl tement les PAM Toutefois les applications utili sant des PAM peuvent se servir de Kerberos pour l authentification si le module pam_krb5 contenu dans le paquetage pam
557. ur obtenir une liste des options valides pour cette section Par d faut la section InputDevice comporte des commentaires pour permettre aux utilisateurs de configurer des options suppl mentaires 7 3 1 7 section Monitor La section Monitor permet de configurer le type de moniteur utilis par le syst me Alors qu une section Monitor est le minimum requis il tout fait possible d en avoir d autres pour chaque type de moniteur utilis par l ordinateur La meilleure fa on de configurer un moniteur consiste configurer X lors du processus d installation ou utiliser l Outil de configuration X Pour obtenir de plus amples informations sur l utilisation de l Outil de configuration X reportez vous au chapitre intitul Audio Vid o et divertissement en g n ral du Guide de d marrage de Red Hat Linux L exemple suivant illustre une section Monitor typique pour un moniteur Section Monitor Identifier Monitor0 VendorName Monitor Vendor ModelName DDC Probed Monitor ViewSonic G773 2 DisplaySize 320 240 HorizSync 30 0 70 0 VertRefresh 50 0 180 0 EndSection Ar Faites tr s attention lorsque vous ditez manuellement les valeurs de la section Monitor de etc X11 XF86Config En effet l utilisation de valeurs inappropri es dans cette section peuvent endommager o m me d truire votre moniteur Consultez la documentation accompagnant votre moniteur pour conna tre les param tres acceptables d
558. uris s tels que Telnet et FTP Autrement le mot de passe d un utilisateur sera certes peut tre prot g au moyen de SSH pour une session mais il pourra tre capt lors d une connexion ult rieure au moyen de Telnet Ci dessous figurent certains services que vous devez d sactiver telnet rsh e rlogin e vsftpd Pour d sactiver des m thodes de connexion non s curis es au syst me utilisez le programme ligne de commande chkconfig le programme bas sur ncurses ntsysv ou l application graphique Outil de configuration des services redhat config services Tous ces outils n cessitent un acc s super utilisateur ou root Pour plus d informations sur les niveaux d ex cution et la configuration des services l aide de chk config ntsysv et serviceconf consultez le chapitre intitul Contr le de l acc s aux services du Guide de personnalisation de Red Hat Linux 268 Chapitre 18 Protocole SSH redhat Chapitre 19 Tripwire Le logiciel Tripwire aide assurer l int grit de r pertoires et de syst mes de fichiers importants en identifiant tout changement apport ceux ci Pour ce faire il effectue des v rifications automatiques intervalle r gulier Si Tripwire d tecte qu un fichier sous surveillance a t modifi il en informe l administrateur syst me par courrier lectronique Parce que Tripwire peut identifier de fa on positive les fichiers qui ont t ajout s modifi s ou
559. us Ce fichier ne peut tre lu par l utilisateur root Lien vers le r pertoire root du processus stat tat du processus statm tat de la m moire utilis e par le processus Ci dessous figure un exemple de fichier proc statm 263 210 270 50 205 0 Les sept colonnes font r f rence diff rentes statistiques de m moire pour le processus De gauche droite elles indiquent les aspects suivants de la m moire utilis e 64 1 Taille totale du programme exprim e en Ko Chapitre 5 Le syst me de fichiers proc 2 Taille des portions de m moire exprim e en Ko 3 Nombre de pages partag es 4 Nombre de pages de code 5 Nombre de pages de donn es pile 6 Nombre de pages de biblioth que 7 Nombre de pages incorrectes status tat du processus sous une forme plus lisible que stat ou statm Un exemple de sortie de sshd ressemble l extrait ci dessous sshd Name State Tgid PPid sleeping 797 Pid 797 1 TracerPid 0 Uid 0 0 0 0 Gid 0 0 0 0 FDSize Groups VmSize VmLck VmRSS VmData VmStk VmExe VmLib SigPnd SigBlk Siglgn SigCqt Capinh CapPrm CapEff 32 3072 kB 0 kB 840 KB 104 kB 12 kB 300 KB 2528 KB 0000000000000000 0000000000000000 8000000000001000 0000000000014005 0000000000000000 00000000fffffeff 00000000fffffeff Les informations contenues dans cette sortie incluent le nom et l ID du processus
560. us les tapes de base du processus de d marrage d un syst me x86 1 Le BIOS du syst me v rifie le syst me et lance le chargeur de d marrage de premi re tape sur le bloc de d marrage ma tre MBR du disque dur principal 2 Le chargeur de d marrage de l tape 1 se charge en m moire et lance le chargeur de d marrage de l tape 2 partir de la partition boot 3 Le chargeur de d marrage de l tape 2 charge le noyau en m moire qui son tour charge tout module n cessaire et monte la partition root en lecture seule 4 Le noyau passe le contr le du processus de d marrage au programme sbin init 5 Le programme sbin init charge tous les services et les outils de l espace utilisateur et monte toutes les partitions r pertori es dans etc fstab 6 L utilisateur voit alors une invite de connexion pour le syst me Linux venant d tre d marr tant donn que la configuration du processus de d marrage est plus commune que la personnalisation du processus d arr t le reste de ce chapitre examinera en d tail le fonctionnement du processus de d marrage et vous expliquera comment l adapter vos besoins sp cifiques 1 2 Examen d taill du processus de d marrage Le d but du processus de d marrage varie en fonction de la plate forme mat rielle utilis e Toutefois une fois le noyau trouv et charg par le chargeur de d marrage le processus de d marrage par d faut est identique pour t
561. us sur le fonctionnement du filtrage Prise en charge IPv6 L adressage IP de nouvelle g n ration est d sormais pris en charge Directives simplifi es Bon nombre de directives complexes ont t supprim es et d autres ont t simplifi es Reportez vous la Section 10 5 pour plus d informations sur les directives sp cifiques 126 Chapitre 10 Serveur HTTP Apache R ponses multilingues aux erreurs Lors de l utilisation de documents Server Side Include SSI des pages de r ponse en cas d erreur personnalis es peuvent tre propos es dans plusieurs langues Prise en charge multi protocoles De nombreux protocoles sont pris en charge Vous trouverez une liste plus compl te des changements l adresse http httpd apache org docs 2 0 10 1 2 Changements de paquetage dans le Serveur HTTP Apache 2 0 Depuis la version 8 0 de Red Hat Linux les paquetages du Serveur HTTP Apache a t renomm Certains paquetages associ s ont galement t renomm s retir s ou incorpor s dans d autres paque tages Vous trouverez ci dessous une liste des changements de paquetage Les paquetages apache apache devil et apache manual ont t renomm s respectivement httpd httpd devel et httpd manual Le paquetage mod_dav a t incorpor dans le paquetage httpd Les paquetages mod_put etmod_roaming ont t supprim s car leur fonctionnalit correspond en fait un sous ensemble
562. valeur de 0 La valeur de chaque t te suppl mentaire augmente d une unit Option lt nom de l option gt correspond une entr e facultative qui pr cise des param tres suppl mentaires pour cette section Remplacez lt nom de 1 option gt par une des options valides pour cette section num r es dans la page de manuel relative XF86Config dpms est une des options tr s courantes permettant d activer la conformit en alimentation Service Star pour le moniteur 7 3 1 9 Screen Chaque section Screen lie une carte vid o ou t te de carte vid o un moniteur en r f ren ant la section Device et la section Monitor pour chaque Bien qu une section Screen soit le minimum requis il est possible d avoir d autres instances pour chaque combinaison vid o et moniteur existant sur l ordinateur L exemple suivant illustre une section Screen typique Section Screen Identifier Screen0 Device Videocard0 Monitor Monitor DefaultDepth 16 SubSection Display Depth 24 Modes 1280x1024 1280x960 1152x864 1024x768 800x600 640x480 EndSubSection SubSection Display Depth 16 Modes 1152x864 1024x768 800x600 640x480 EndSubSection EndSection Parmi les entr es les plus commun ment utilis es dans la section Screen figurent Identifier sp cifie un nom unique utilis pour cette section Screen Cette entr e est n ces saire Device sp cifie le nom unique d
563. vant Ou alors personne disposant d une exp rience quivalente avec d autres syst mes d exploitation de type Linux Est ce votre cas Si oui reportez vous la documentation de la la Section 2 2 Chevronn Personne ayant d j install et utilis Red Hat Linux avec succ s pr c demment Est ce votre cas Si oui reportez vous la la Section 2 3 2 1 Documentation pour les d butants Pour un nouveau venu au monde Linux la quantit d informations disponibles sur des sujets de base tels que l impression le d marrage du syst me ou le partitionnement du disque dur est impression nante Ces informations permettent d acqu rir de solides bases sur le fonctionnement de Linux avant d approfondir des sujets plus avanc s Introduction iii Commencez par vous procurer la documentation ad quate On ne soulignera jamais assez l importance de cette tape En effet sans documentation vous ne pourrez qu tre frustr en raison de votre incapacit faire fonctionner le syst me Red Hat Linux comme vous le souhaiteriez Ci apr s figure une liste du type de documentation Linux que vous devriez avoir sous la main Bref historique de Linux De nombreux aspects de Linux sont le fruit d une volution Il ex iste galement une culture Linux qui une fois encore puise largement dans son pass Quelques connaissances concernant l histoire de Linux vous seront utiles en particulier pour apprendre r soudre
564. ve aux applications de message rie 11 6 1 Documentation install e e Les paquetages sendmail and sendmail cf contiennent des informations sur la mani re de con figurer Sendmail usr share doc sendmail README cf Informations sur m4 emplacements de fichier pour Sendmail bo tes d envoi prises en charge fa ons d acc der des fonctions avanc es etc usr share doc sendmail1 README Informations sur la structure de r pertoires de Send mail prise en charge de protocoles IDENT d tails sur les autorisations de r pertoire et les prob l mes communs que ces autorisations peuvent causer si elles ne sont pas configur es correcte ment En outre les pages de manuel relatives sendmail et aliases contiennent des informations utiles sur les diff rentes options de Sendmail et la configuration ad quate du fichier Sendmail etc mail aliases 180 Chapitre 11 Courrier lectronique usr share doc fetchmail lt num ro de version gt Liste compl te de fonctions Fetch mail dans le fichier FEATURES et document FAQ d introduction usr share doc procmail lt num ro de version gt Fichier README qui offre un aper u de Procmail fichier FEATURES qui explore toutes les fonctions du programme et fichier FAQ qui offre les r ponses de nombreuses questions fr quentes Lorsque vous apprenez comment fonctionne Procmail et comment cr er de nouvelles recettes les pages de manuel suivantes sont pr cieuses
565. veur d origine sans date d expiration d finie La valeur par d faut pour CacheLastModifiedFactor est tablie 0 1 ce qui signifie que la date d expiration de tout document de ce type est gale un dixi me de la dur e coul e depuis la derni re modification du document CacheDefaultExpire d termine la dur e en heures de l expiration d un document qui a t re u l aide d un protocole ne prenant pas en charge les d lais d expiration La valeur par d faut est tablie 1 heure NoCache tablit une liste d h tes dont le contenu n est pas mis en cache Chapitre 10 Serveur HTTP Apache 153 10 5 68 NameVirtualHost La directive NameVirtualHost associe une adresse IP un num ro de port si n cessaire pour tout h te virtuel portant un nom La configuration d h tes virtuels nomm s permet un Serveur HTTP Apache de servir diff rents domaines sans devoir pour ce faire utiliser de multiples adresses IP i Remarque utilisation de tout h te virtuel nomm fonctionne seulement avec des connexions HTTP non s curis es Si vous devez employer des h tes virtuels avec un serveur s curis utilisez plut t des h tes virtuels bas s sur l adresse IP Afin d activer des h tes virtuels bas s sur le nom supprimez le caract re de commentaire de la direc tive de configuration NameVirtualHost et ajoutez l adresse IP correcte Ajoutez ensuite des conte neurs VirtualHost s
566. veur de messagerie plus simple appel e Postfix usr sbin postfix est galement disponible 11 1 2 Protocoles d acc s au courrier Pour obtenir le courrier lectronique stock sur les serveurs de messagerie les applications client de messagerie utilisent deux protocoles primaires Post Office Protocol ou POP et Internet Message Access Protocol ou IMAP Contrairement SMTP ces deux protocoles exigent que les clients se connectant s authentifie au moyen d un nom d utilisateur et d un mot de passe Par d faut les mots de passe pour les deux protocoles sont transmis travers le r seau de mani re non crypt e 11 1 2 1 POP Sous Red Hat Linux usr sbin ipop3a est le serveur POP par d faut et est inclus dans le pa quetage imap Lors de l utilisation d un serveur POP le courrier lectronique est t l charg par des applications client de messagerie Par d faut la plupart des clients de messagerie POP sont configur s automatiquement pour supprimer les messages sur le serveur une fois le transfert effectu n anmoins cette configuration peut souvent tre modifi e Le protocole POP est compatible 100 avec d importantes normes de messagerie Internet comme par exemple Multipurpose Internet Mail Extensions ou MIME qui permet l envoi de fichiers joints Le protocole POP est le plus appropri pour les utilisateurs disposant d un syst me sur lequel ils peuvent lire leurs courrier
567. vous indiquera si DMA ou UDMA est activ pour les p riph riques situ s sur les canaux IDE Intel PIIX4 Ultra 33 Chipset peer ne Primary Channel Secondary Channel enabled enabled RES drive0 drivel drive0 drivel DMA enabled yes no yes no UDMA enabled yes no no no UDMA enabled 2 X X X UDMA DMA PIO En examinant le r pertoire d un canal IDE tel que ide0 vous pouvez obtenir des informations sup pl mentaires Le fichier channe1 indique le num ro de canal alors que mode1 vous indique le type de bus tel que pci 5 3 5 1 Le r pertoire de p riph rique l int rieur de chaque r pertoire de canal IDE se trouve un r pertoire de p riph rique Le nom du r pertoire de p riph rique correspond la lettre du p riph rique dans le r pertoire dev Par exemple le premier p riph rique IDE sur ide0 serait hda Chapitre 5 Le syst me de fichiers proc 67 i Remarque Il existe un lien symbolique pour chacun de ces r pertoires de p riph riques dans le r pertoire proc ide Chaque r pertoire de p riph rique contient un recueil d informations et de statistiques Le contenu de ces r pertoires varient selon le type de p riph rique connect Parmi les fichiers les plus utiles communs beaucoup de p riph riques se trouvent cache le cache du p riph rique capacity la capacit du p riph rique en blocs de 512 octets
568. x et qu une copie sauvegard e de l original est disponible le plus simple serait d appeler la commande diff comme dans l exemple suivant diff u httpd conf orig httpd conf less Cette commande soulignera toutes les modifications apport es Si une copie du fichier original n est pas disponible vous devez l extraire du paquetage RPM en utilisant les commandes rpm2cpio et cpio comme dans l exemple suivant rpm2cpio apache lt version number gt i386 rpm cpio i make Dans la commande ci dessous remplacez lt num ro version gt par le num ro de version du pa quetage apache Enfin il est utile de savoir que le Serveur HTTP Apache dispose d un mode test qui permet de trouver les erreurs de configuration Pour y acc der entrez la commande suivante apachectl configtest 10 2 1 Configuration de l environnement global La section Environnement global du fichier de configuration contient des directives qui modifient tout le fonctionnement du Serveur HTTP Apache comme par exemple le nombre de requ tes simul tan es qu il peut traiter et les emplacements des divers fichiers qu il utilise tant donn que cette section n cessite un grand nombre de changements compar aux autres il est vivement recomman d de baser cette section sur le fichier de configuration du Serveur HTTP Apache version 2 0 et d y incorporer ensuite les anciens param tres 10 2 1 1 S lection des interfaces et ports relier
569. xaminons par exemple le cas d un syst me utilis comme pare feu avec cette configuration pour son service Telnet service telnet socket_type stream wait no server usr sbin in telnetd log_on_success DURATION USERID log_on_failure USERID bind 123 123 123 123 redirect L0 0 1L 13 21 23 Les options bind et redirect dans ce fichier garantissent que le service Telnet sur cette machine est li l adresse IP externe 123 123 123 123 celle qui prend en charge l Internet De plus toute requ te de service Telnet envoy e vers 123 123 123 123 est redirig e via un second adaptateur de r seau vers une adresse IP interne 10 0 1 13 laquelle seuls le pare feu et les syst mes internes peuvent acc der Le pare feu envoie alors la communication entre les deux syst mes et le syst me se connectant pense qu il est connect 123 123 123 123 alors qu en fait il est connect une machine diff rente Cette fonction est particuli rement utile pour les utilisateurs avec connexion large bande et avec seulement une adresse IP fixe Lors de l utilisation de la traduction d adresse de r seau ou NAT de l anglais Network Address Translation les syst mes situ s derri re la machine passerelle qui uti lisent des adresses IP exclusivement internes ne sont pas disponibles depuis l ext rieur du syst me de passerelle Toutefois avec certains services contr l s par xinetd et configur s avec
570. ysv ou le programme Outil de configuration des services Reportez vous au chapitre intitul Contr le d acc s aux services du Guide de personnalisation de Red Hat Linux pour obtenir plus d informations sur ces outils f Remarque Si vous ex cutez le Serveur HTTP Apache en tant que serveur s curis il faudra saisir le mot de passe de ce dernier apr s le d marrage de l ordinateur moins que vous n ayez cr un type sp cifique de fichier de cl s pour le serveur Pour vous informer sur l installation d un serveur s curis HTTP Apache reportez vous au chapitre intitul Configuration du serveur s curis HTTP Apache du Guide de personnalisation de Red Hat Linux 138 Chapitre 10 Serveur HTTP Apache 10 5 Directives de configuration dans httpd conf Le fichier de configuration du Serveur HTTP Apache est etc httpd conf httpd conf Le fi chier httpd conf est bien comment et parle de lui m me Sa configuration par d faut fonctionne dans la plupart des situations cependant il est important de vous familiariser avec certaines des op tions de configuration les plus importantes y Vo Avec la sortie du Serveur HTTP Apache 2 0 de nombreuses options de configuration ont chang Si vous devez migrer un fichier de configuration version 1 3 vers le nouveau format reportez vous la Section 10 2 10 5 1 Astuces de configuration g n rales Si vous devez configurer le Serveur HTTP Apache modifiez etc httpd conf httpd conf
571. z avoir s lectionn l mulation durant le processus d installation Si vous utilisez l mulation de souris trois boutons cliquer simultan ment sur les deux boutons revient cliquer sur le bouton central que vous n avez pas Si le syst me vous demande de cliquer un endroit il est entendu qu il s agit du bouton gauche Si vous devez utiliser le bouton central ou celui de droite cela vous sera pr cis Si vous avez configur votre souris pour un gaucher inversez ces instructions L expression glisser et poser ou d placement par glissement vous est peut tre famili re Si vous devez glisser et poser un l ment sur votre bureau d interface graphique cliquez sur cet l ment et maintenez le bouton de la souris appuy Glissez ensuite l l ment tout en maintenant la touche appuy e vers son nouvel emplacement Rel chez ensuite le bouton et posez l l ment viii Introduction 5 Fonction Copier coller avec X Il est facile de copier et coller du texte l aide de votre souris et du syst me X Window Pour copier du texte il vous suffit de cliquer et glisser votre souris sur le texte pour le mettre en surbrillance Pour coller du texte il suffit de cliquer avec le bouton central de la souris l endroit o vous voulez le placer 6 Prochainement Le Guide de r f rence de Red Hat Linux fait partie de l engagement pris par Red Hat de fournir une assistance utile et ponctuell
572. zone telles que example com zone 192 Chapitre 12 Berkeley Internet Name Domain BIND Chaque fichier de zone peut contenir des directives et enregistrements de ressources Les directives donnent au serveur de noms l instruction d effectuer une certaine t che ou d appliquer des param tres sp ciaux la zone Les enregistrements de ressources d finissent les param tres de la zone assignant des identit s aux h tes individuels Les directives sont facultatives mais les enregistrements de res sources sont requis pour fournir un service de noms une zone Toutes les directives et enregistrements de ressources doivent se situer sur leur propre ligne Des commentaires peuvent tre plac s dans les fichiers de zone apr s les caract res points virgules G 12 3 1 Directives de fichiers de zone Les directives sont identifi es par le symbole dollar suivit du nom de la directive Elles apparaissent g n ralement en haut du fichier de zone Les directives les plus couramment utilis es sont les suivantes INCLUDE configure named de fa on ce qu il inclue un autre fichier de zone dans ce fichier de zone l endroit o la directive appara t Cela permet de stocker des configurations de zone suppl mentaires l cart du fichier de zone principal SORIGIN attache le nom de domaine tout enregistrement non qualifi comme ceux qui sp ci fient seulement l h te et rien de plus Un fichier
Download Pdf Manuals
Related Search