Professional Documents
Culture Documents
(http://www.mandrakesoft.com)
Guide dadministration serveurMandrakelinux 10.0 Publi Mars 2004 Copyright 2004 Mandrakesoft SA par Camille Bgnis, Fabian Mandelbaum, Christian Roy, Fred Lepied, Nicolas Planel, Daouda Lo, Franois Pons, John Rye, Pascal Rigaux, Damien Chaumette, Till Kamppeter, Florent Villard, Luca Berra, Florin Grad, Frdric Crozat, Stew Benedict, Guillaume Cottenceau, Thierry Vignaud, et Jean-Michel Dault.
Notice lgale
Ce manuel (sauf les parties listes dans le tableau ci-dessous) est la proprit exclusive de Mandrakesoft S.A. et est protg au titre des droits de proprit intellectuelle. Ce manuel (sauf les parties listes dans le tableau ci-dessous) peut tre librement reproduit et/ou distribu, seul ou accompagn dun ou plusieurs autres produits, sur format papier ou lectronique. Les conditions suivantes devront toutefois tre respectes :
Cette licence dutilisation doit apparatre en intgralit, et de faon claire et explicite sur tous les exemplaires reproduits et/ou distribus. Les textes de couverture ci-bas et Au sujet de Mandrakelinux, page 1, de mme que les noms des diffrents auteurs et contributeurs, doivent tre joints la version reproduite, duplique ou distribue et ne peuvent tre modis. Dans sa version papier, ce manuel ne peut tre reproduit et/ou redistribu dans un but non commercial.
Laccord de Mandrakesoft S.A. devra tre obtenu pralablement toute autre utilisation qui sera faite de ce manuel ou dune partie de ce manuel. Mandrake , Mandrakesoft , DrakX et Linux-Mandrake , ainsi que le Logo toile associ sont dposs par Mandrakesoft S.A. en France et/ou dans dautres pays du monde. Tous les autres noms, titres, dessins, et logos sont la proprit exclusive de leurs auteurs respectifs et sont protgs au titre des droits de proprit intellectuelle.
Textes de couverture Mandrakesoft mars 2004 http://www.mandrakesoft.com/ Copyright 1999-2004 Mandrakesoft S.A. et Mandrakesoft inc.
Les chapitres cit es dans le tableau ci-dessous sont prot eg es par une autre licence. Consultez le tableau et les r ef erences associ ees pour plus dinformation ` a propos de ces licences.
Licence
par Joshua D. {POET} Drake - Licence Publique Gnrale The Linux Review (https: GNU GPL (http://www.gnu. //secure.linuxports.com/) org/copyleft/gpl.html)
et
4.1. Versions dApache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 4.2. Modules Apache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 4.3. Installer et utiliser PHP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 4.4. Installer et utiliser SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 4.5. Congurer Apache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 4.6. Alias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 4.7. Authentication des utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . 72 4.8. Permettre les index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 4.9. Informations supplmentaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 5. Le serveur de courrier Postx . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 5.1. Fonctions dun serveur SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 5.2. Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 5.3. Exemple de conguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 5.4. Conguration avance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 5.5. Pour en savoir plus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 6. Serveurs de remise de courrier : POP et IMAP . . . . . . . . . . . . . . . . . . . . 83 6.1. Avant-propos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 6.2. Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 6.3. Exemple de conguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 6.4. Conguration avance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 7. Partage de ressources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 7.1. Samba : intgrer Linux dans un rseau Windows . . . . . . . . . . 87 7.2. Partage de ressources : FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 7.3. NFS: Partage de dossiers pour les htes UNIX/Linux . . . . . 98 8. Le serveur Kolab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 8.1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 8.2. Aperu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 8.3. Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 8.4. Linterface dadministration de Kolab . . . . . . . . . . . . . . . . . . . . 105 9. Serveur de bases de donnes MySQL . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 9.1. Pour commencer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 9.2. Crer un utilisateur pour la base de donnes . . . . . . . . . . . . . 120 9.3. Crer une base de donnes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 9.4. Crer une table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 9.5. Gestion de donnes dans une table . . . . . . . . . . . . . . . . . . . . . . . 124 9.6. Pour en savoir plus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 10. Client et serveur NIS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .127 10.1. Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 10.2. Conguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 10.3. Conguration avance pour les clients . . . . . . . . . . . . . . . . . . 129 III. Thorie applique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .133 vi
11. A propos de la scurit sous GNU/Linux . . . . . . . . . . . . . . . . . . . . . . 133 11.1. Prambule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 11.2. Aperu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 11.3. Scurit physique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 11.4. Scurit locale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 11.5. Scurit des chiers et des systmes de chiers . . . . . . . . . 149 11.6. Scurit des mots de passe et cryptage . . . . . . . . . . . . . . . . . . 158 11.7. Scurit du noyau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 11.8. Scurit rseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 11.9. Prparation de scurit (avant de vous connecter) . . . . . . . 187 11.10. Que faire, avant et pendant une effraction . . . . . . . . . . . . . 190 11.11. Documents de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 11.12. Foire aux questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 11.13. Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 Vocabulaire relatif la scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 12. Le rseau sous GNU/Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 12.1. Copyright . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 12.2. Comment utiliser ce document ? . . . . . . . . . . . . . . . . . . . . . . . . 203 12.3. Informations gnrales concernant le rseau sous Linux. 205 12.4. Informations gnrales sur la conguration du rseau. . .207 12.5. Informations sur IP et Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . 215 12.6. Informations relative IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 12.7. Utilisation du matriel courant pour PC . . . . . . . . . . . . . . . . 221 12.8. Autres technologies de rseau . . . . . . . . . . . . . . . . . . . . . . . . . . 223 12.9. Cbles et cblages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238 13. Faire face aux problmes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 13.1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 13.2. Disquette de dmarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 13.3. Sauvegarde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244 13.4. Restauration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 13.5. Problmes au dmarrage du systme . . . . . . . . . . . . . . . . . . . 249 13.6. Problmes de chargeur de dmarrage . . . . . . . . . . . . . . . . . . . 252 13.7. Problmes sur les systmes de chiers . . . . . . . . . . . . . . . . . . 254 13.8. Lorsque le systme se gle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256 13.9. Arrter les applications qui fonctionnent mal . . . . . . . . . . . 258 13.10. Considrations diverses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 13.11. Outils Mandrake pour faire face aux problmes . . . . . . . . 260 13.12. Derniers mots . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260 A. Glossaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 vii
viii
3-5. Faire des modications la conguration de BIND . . . . . . . . . . . . . . . . . . 58 3-6. Conguration des postes client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 3-7. Le guide BIND 9 Administrator Reference Manual par Webmin . . . . . . 61 5-1. cran de dmarrage du module Postx . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 5-2. Lcran principal de conguration de Postx . . . . . . . . . . . . . . . . . . . . . . . . . 77 5-3. Dnir un nouvel alias de courrier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 5-4. Congurer des domaines virtuels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 6-1. cran de dmarrage du module xinetd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 6-2. Conguration du module POP3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 7-1. La fentre principale du module de Samba . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 7-2. Congurer les options communes de rseau . . . . . . . . . . . . . . . . . . . . . . . . . 89 7-3. Congurer la mthode dauthentication pour les clients Windows 9589 7-4. Synchronisation des utilisateurs Samba et Unix . . . . . . . . . . . . . . . . . . . . . . 90 7-5. Congurer un partage public . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 7-6. Limiter les utilisateurs ayant accs un partage . . . . . . . . . . . . . . . . . . . . . . 91 7-7. Options par dfaut pour limprimante partage . . . . . . . . . . . . . . . . . . . . . . 92 7-8. Page de dmarrage du module ProFTPD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 7-9. Congurer un accs FTP anonyme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 7-10. Contrle daccs pour les commandes rpertoire . . . . . . . . . . . . . . . . . . . . 96 7-11. Crer un nouveau partage NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 7-12. Outils NFS de DiskDrake . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 7-13. Changer le point de montage NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 8-1. Linterface utilisateur du serveur Kolab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 8-2. Modier les donnes utilisateur existantes . . . . . . . . . . . . . . . . . . . . . . . . . . 107 8-3. Linterface Maintainer du serveur Kolab . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 8-4. Le formulaire de cration de carnet dadresses . . . . . . . . . . . . . . . . . . . . . . 111 8-5. La table de gestion des utilisateurs de carnet dadresses . . . . . . . . . . . . . 112 8-6. Le formulaire de cration de nouveaux dossiers partags . . . . . . . . . . . 113 8-7. La table de gestion des Maintainers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 8-8. Le formulaire de cration de nouveaux administrateurs . . . . . . . . . . . . . 115 8-9. Le formulaire de paramtrage du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 8-10. Le formulaire des Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 9-1. Modier le mot de passe de ladministrateur . . . . . . . . . . . . . . . . . . . . . . . . 119 9-2. Crer un utilisateur MySQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 9-3. Crer une base de donnes MySQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 9-4. Crer une nouvelle table MySQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 9-5. Modier une table MySQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 9-6. Grer des donnes avec Webmin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 10-1. Serveur NIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 10-2. Client NIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 12-1. Un exemple de routage dynamique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 x
12-2. Le cblage NULL-modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 12-3. Cablage PLIP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .239 12-4. Cblage Ethernet 10base2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241 12-5. Cablage paires torsades NULL-modem . . . . . . . . . . . . . . . . . . . . . . 242
xi
xii
Pr eface
1. Au sujet de Mandrakelinux
Mandrakelinux est une distribution GNU/Linux dveloppe par Mandrakesoft S.A. La socit Mandrakesoft est ne sur Internet en 1998 ; son ambition premire demeure de fournir un systme GNU/Linux convivial et facile utiliser. Les deux piliers de Mandrakesoft sont le logiciel libre et le travail coopratif.
Prface
tlcharger des logiciels commerciaux, qui ne sont normalement disponibles que dans les packs de dtail, tels que des pilotes logiciel, des applications commerciales, des gratuiciels (freeware) et des versions dmo ; voter et proposer de nouveaux logiciels travers un systme de vote RPM que des bnvoles maintiennent ; accder plus de 50 000 paquetages RPM pour toutes les distributions Mandrakelinux ; obtenir des remises pour des produits et services sur le Mandrakestore (http://www.mandrakestore.com) ; accder une meilleure liste de miroirs, exclusive pour les membres du Club ; lire des forums et articles multilingues.
En nanant Mandrakesoft par lentremise du Club des utilisateurs de Mandrakelinux, vous amliorerez directement la distribution Mandrakelinux et vous nous permettrez de proposer le meilleur poste de travail GNU/Linux possible nos utilisateurs.
Paquetages. Un systme GNU/Linux est principalement constitu de programmes rassembls depuis Internet. Ils doivent tre mis en forme de faon ce quils puissent fonctionner ensemble, si tout se passe bien ;
Prface
Programmation. Une foule de projets est directement dveloppe par Mandrakesoft : trouvez celui qui vous intresse le plus et proposez votre aide au dveloppeur principal ; Internationalisation. vous pouvez nous aider traduire des pages de nos sites Web, des programmes et leur documentation respective. Documentation. Enn, nous ne comptons plus le temps et les efforts investis pour que le manuel que vous tes en train de lire demeure jour.
Consultez la page des projets de dveloppement (http://www.mandrakesoft. com/labs/) pour en savoir plus sur les diffrentes faons de contribuer lvolution de Mandrakelinux.
` propos de ce manuel 2. A
Ce Guide dadministration serveur a t crit an de donner ceux et celles, qui dsirent utiliser leur systme Mandrakelinux en tant que serveur, des connaissances gnrales au sujet de la conguration des services les plus utiliss. travers des outils graphiques, nous vous montrerons comment rgler vos serveurs, activer les services ncessaires et scuriser votre environnement rseau. Ce qui suit se veut un survol des trois parties quabrite ce manuel. La premire partie (Assitants de conguration pour services usuels) abordera les diffrents services que vous pouvez congurer avec le Centre de contr ole Mandrakelinux (Les assistants de conguration, page 11). Aprs avoir lu ce chapitre, vous devriez tre en mesure de congurer des services tels que DHCP, DNS ou Postx. Ensuite, Congurer des clients de passerelle, page 29, couvre la conguration de clients en mascarade travers votre systme Mandrakelinux, ce qui permet de travailler dans un rseau comprenant plusieurs plates-formes telles que Microsoft DOS, Windows 9x, Windows XP et Windows NT, Novell Netware, SCO OpenServer et Solaris. Pour que ce chapitre vous soit utile, votre LAN doit tre bien congur puisque nous nous concentrons sur la passerelle, et non sur le DNS ou sur des problmes de connexion. La deuxime partie (Conguration approfondie des services usuels) explore les diffrents modules de Webmin, qui vous aidera congurer les services disponibles. Toutefois, nous avons document les chiers de conguration du serveur Web Apache puisque Webmin ne peut pas grer des chiers de conguration multiples (voir Serveur Web Internet/intranet, page 63). Voici un rsum des services que nous couvrirons. 3
Prface
Les points forts du DNS BIND utilis en tant que serveur de noms de domaine sont exposs dans BIND : serveur DNS, page 55. Serveur Web Internet/intranet, page 63 discute du serveur Apache ; Nous expliquons comment congurer un serveur Postx pour envoyer du courrier lectronique travers le protocole SMTP dans Le serveur de courrier Postx, page 75. Les protocoles POP et IMAP utiliss pour rcuprer le courrier sont prsents dans le Serveurs de remise de courrier : POP et IMAP, page 83. Nous nous concentrons sur les protocoles Samba pour partager des chiers dans un environnement plates-formes multiples, et NFS en ce qui a trait aux rseaux ddis uniquement GNU/Linux dans Partage de ressources, page 87. Lutilisation du client ProFTPD est aussi dtaille. Ensuite nous discuterons de la conguration dun serveur collaboratif (groupware) travers le serveur Kolab dans Le serveur Kolab, page 103. Il fait partie de la solution collecticiel Kroupware et vous permet de synchroniser linformation utilisateur lintrieur de votre entreprise. Notez que ce service sera congur manuellement et non travers Webmin. Le prochain chapitre explore exclusivement la conguration dun serveur de bases de donnes MySQL : il expose la cration, la modication et la gestion de tables (Serveur de bases de donnes MySQL, page 119). Nous discutons de la gestion dutilisateurs distants et expliquons la conguration client et serveur de NIS dans Client et serveur NIS, page 127.
Dans Thorie applique, nous discutons de deux sujets : la scurit et la rseautique. Le A propos de la scurit sous GNU/Linux, page 133, sappuyant sur un HOWTO des auteurs Kevin Fenzi et Dave Wreski, donne plusieurs trucs pour les administrateurs systme sur comment mieux scuriser leurs rseaux. Comme la scurit est devenue ncessaire dans notre monde hautement ax vers Internet, ce chapitre constitue une lecture obligatoire. Enn, notre chapitre sur la rseautique (Le rseau sous GNU/Linux, page 203) sappuie sur un HOWTO crit par Joshua D. Drake (aussi connu sous le nom de POET) et donne plusieurs ressources pour rpondre vos besoins en rseautique. Il prcise le matriel compatible avec GNU/Linux et explique les bases des services de rseautique tels que le DHCP, le DNS, etc.
Prface
Signication Signale un terme technique. Types utiliss pour une commande et ses arguments, les options et les noms de chier (voir la section Synopsis dune commande, page 7). Rfrence vers une page de manuel (aussi appele page de man). Pour consulter la page correspondante dans un shell (ou ligne de commande), excutez la commande man 1 ls. Ce style est utilis pour une copie dcran texte de ce que vous tes cens voir lcran comme une interaction utilisateur-ordinateur ou le code source dun programme, etc.
ls(1)
$ ls *.pid
Prface Exemple format e localhost Signication Donnes littrales qui ne correspondent gnralement pas une des catgories prcdemment dnies : un mot cl tir dun chier de conguration, par exemple. Dsigne le nom des applications. Notre exemple ( Apache ) nest pas un nom de commande. Toutefois, dans des contextes particuliers, lapplication et le nom de la commande peuvent tre les mmes, mais formats de faon diffrente. Entre de menu ou label des interfaces graphiques, en gnral. La lettre souligne indique le raccourci clavier ventuel. Partie dun ordinateur ou ordinateur lui-mme. Citation en langue trangre. Types rservs pour les mots que nous voulons accentuer. Lisez-les voix haute :-)
Apache
C ongurer
Cette ic one introduit une note. Il sagit g en eralement dune remarque dans le contexte courant, pour donner une information additionnelle.
Cette ic one introduit une astuce. Il peut sagir dun conseil dordre g en eral sur la meilleure fa con darriver ` a un but sp ecique, ou une fonctionnalit e int eressante qui peut vous rendre la vie plus facile.
Soyez tr` es attentif lorsque vous rencontrez cette ic one. Il sagit toujours dinformations tr` es importantes sur le sujet en cours de discussion.
Prface
Ces conventions tant standardises, vous les retrouverez en bien dautres occasions (dans les pages de man, par exemple). Les signes < (infrieur) et > (suprieur) indiquent un argument obligatoire qui ne doit pas tre recopi tel quel mais remplac par votre texte spcique. Par exemple : <fichier> dsigne le nom dun chier ; si ce chier est toto.txt, vous devrez taper toto.txt, et non <toto.txt> ou <fichier>. Les crochets [ ] indiquent des arguments optionnels que vous dciderez ou non dinclure dans la ligne de commande. Les points de suspension ( ... ) signient quun nombre illimit doptions peut tre insr cet endroit. Les accolades ( { } ) contiennent les arguments autoriss cet endroit. Il faudra obligatoirement en insrer un cet endroit prcis.
Prface
10
Figure 1-1. Un exemple de rseau interne Les assistants peuvent vous aider congurer ce qui suit :
Conguration du serveur DHCP, page 13 : votre serveur peut attribuer dynamiquement des adresses IP de nouvelles machines sur le rseau ; Conguration du serveur DNS, page 14 : conguration de la rsolution des noms de domaines extrieurs au rseau priv ; Conguration du serveur FTP, page 22 : Congure un serveur FTP, et les rseaux do il pourra tre joignable ; 11
Conguration du serveur de forums, page 24 : vous pouvez faire agir votre serveur en tant que miroir local dun serveur de forums externe ; Conguration du serveur mail : serveur Postx, page 15 : conguration de votre domaine de mail pour envoyer et recevoir du courrier de et vers lextrieur ; Conguration du serveur mandataire (Proxy), page 24 : permet de congurer votre serveur en tant que proxy, ce qui acclre la navigation Web et rduit lutilisation de bande passante ; Conguration de Samba, page 16 : si le serveur doit agir en tant que serveur de chiers ou dimpression pour des machines windows, cet assistant vous aidera congurer les chiers et imprimantes partages, et le nom du serveur dans le rseau windows ; Conguration du serveur de temps, page 26 : votre machine peut aussi donner lheure aux autres machines en utilisant le protocole NTP (Network Time Protocol) ; cet assistant vous aidera congurer ce service. Conguration du serveur Web, page 21 : Congure un serveur Web, et les rseaux do il pourra tre joignable ;
Note aux utilisateurs exp eriment es : les assistants sont limit es ` a la conguration dun r eseau de classe C, et pour chaque service, seule la conguration de base est g er ee. Cela devrait sure dans la plupart des cas, mais si vous voulez une conguration plus personnalis ee, vous devrez editer les chiers de conguration ` a la main, ou utiliser un autre outil dadministration tel que Webmin.
12
Figure 1-2. Accs aux assistants partir du Centre de Contrle Les assistants de conguration serveur sont accessibles depuis Control Center. Lorsque le paquetage drakwizard est install, une nouvelle entre de menu apparat dans le menu en arbre du Control Center (gure 1-2). Vous pouvez galement accder aux assistants individuellement en cliquant sur lentre de menu correspondante. Dans ce chapitre, les assistants seront dcrits sans ordre prtabli. Notez que les paquetages ncessaires seront automatiquement installs au lancement des assistants.
Chapitre 1. Les assistants de conguration tion Dynamique des Htes). Ce protocole permet aux nouvelles machines se connectant votre rseau local de se voir attribuer automatiquement une adresse IP, de rcuprer les adresses des serveurs de noms et ladresse de la passerelle quand elle existe.
Figure 1-3. Choisir la plage dadresses disponible depuis votre serveur DHCP Vous navez qu spcier la plage dadresses que vous voulez rendre disponible par lentremise du DHCP, comme le montre la gure 1-3. Si vous souhaitez que les machines clientes puissent accder lInternet, vous pouvez spcier ici ladresse de la passerelle.
Chapitre 1. Les assistants de conguration adresse IP. Cet assistant permet de congurer unserveur DNS de base, matre ou esclave. Vous avez alors la possibilit de lancer lun de ces quatre assistants : Serveur DNS Ma tre Cet assistant congurera votre machine comme serveur DNS principal. La premire tape permet de fournir ladresse dun serveur DNS externe auquel seront transmises les requtes auxquelles le serveur local ne pourra pas rpondre directement. Il sagit gnralement de ladresse du serveur DNS de votre fournisseur daccs. La deuxime tape permet de spcier le nom de domaine pour les recherches. Par exemple si vous demandez ladresse IP de la machine kenobi, le serveur effectuera la recherche en sufxant ce nom le nom de domaine spci ici.
Serveur DNS secondaire Cet assistant va congurer votre machine en tant que serveur esclave dun autre serveur DNS matre. Il suft de spcier ladresse IP du serveur matre pour que lesclave en fasse un miroir. Les clients pourront alors tre congurs pour interroger les deux serveurs : si le matre est dfaillant, lesclave prendra le relais. Ajouter un h ote au DNS Si votre machine est un serveur DNS matre, vous pouvez dclarer ici toutes les machines adresse xe (non DHCP) de votre rseau an que le serveur DNS puisse rpondre aux requtes les concernant. Enlever un h ote du DNS Cela est utilis pour enlever une entre DNS prcdemment ajoute avec Ajouter un h ote au DNS.
Chapitre 1. Les assistants de conguration si votre serveur est rfrenc sur Internet en tant que serveur MX pour votre propre domaine, alors il pourra aussi recevoir et grer le courrier reu depuis lInternet et adress vos utilisateurs locaux. Dans ce dernier cas, assurezvous douvrir les ports correspondants de votre pare-feu.
Votre serveur ne doit pas etre en conguration DHCP an que Postx fonctionne correctement.
La premire tape consiste choisir si vous utiliserez un relais SMTP externe ou non. Si vous pouvez utiliser un relais fourni par votre fournisseur daccs, alors choisissez External mail server dans la liste droulante. Sinon, choisissez Internal mail server. Si vous avez choisi External mail server, les tapes suivantes seront afches : 1. Outgoing mail address Le masquage dadresse est une technique qui consiste cacher tous les htes qui se trouvent dans un domaine, derrire leur passerelle de courrier, et faire en sorte que les messages semblent tous provenir de la passerelle elle-mme, au lieu de machines individuelles. Spciez ici le nom de domaine depuis lequel les messages sortant apparatront. Par exemple, si lutilisateur reine envoie un message de la machine lune.pingus.org quelquun dautre sur Internet, et que vous avez choisi pingus.org comme Masquage du nom de domaine, alors le message apparatre venir de reine@pingus.org 2. Internet mail gateway Cest ici que lon dsigne le serveur de courrier du fournisseur daccs qui sera responsable de relayer vos messages sortant. 3. myorigin Rentrez ici le nom de domaine depuis lequel les messages locaux sembleront venir. Par exemple, si vous choisissez pingus.org en tant que paramtre myorigin, les messages davertissement provenant du serveur de courrier apparatront venir de postfix@pingus.org Si vous avez choisi Internal mail server la premire tape, vous ne devrez spcier que le paramtre myorigin. 16
Figure 1-4. Choisir le groupe de travail pour vos partages Vous devez ensuite entrer le nom du groupe de travail pour lequel ces partages seront disponibles (gure 1-4). Vous pouvez soit crer un nouveau groupe de travail, soit en choisir un dj existant : si vous ne savez que faire, demandez votre administrateur systme.
17
Figure 1-5. Quel sera le nom de votre serveur Samba ? Enn, vous devez spcier le nom par lequel votre serveur Mandrakelinux sera connu des machines Windows, tel quillustr dans la gure 1-5. Vous pouvez choisir le nom que vous voulez. Aprs cela, vous pouvez restreindre laccs aux partages Samba servis par votre serveur. Choisissez Tous si vous ne souhaitez pas restreindre laccs, ou Mes r` egles si vous souhaitez dnir les machines autorises accder aux partages. Vous devrez alors ensuite dnir ces rgles daccs.
18
Figure 1-6. Dnir les rgles daccs Samba Remplissez les champs en vous inspirant des exemples fournis.
19
Figure 1-7. Autoriser le partage des chiers et imprimantes La conguration de Samba se fait en trois tapes. La premire sera de dcider si vous voulez autoriser le partage des chiers et imprimantes, tel quillustr dans la gure 1-7. Voici les trois fonctionnalits proposes :
Activer lespace public d echange : tous les chiers qui se trouvent dans un rpertoire public seront disponibles publiquement pour les clients SMB(Windows ou autre) du rseau local . Si vous activez cette option, un dialogue demandera de spcier le chemin vers le rpertoire public. Activer le partage dimprimantes : toutes les imprimantes gres par ce serveur seront accessibles aux clients SMB du rseau local ; Permettre lacc` es aux r epertoires personnels ` a leurs propri etaires : chaque utilisateur ayant un compte sur le serveur pourra accder ses propres chiers depuis tout client SMB du rseau local.
20
Tous les utilisateurs souhaitant acc eder ` a leur r epertoire personnel sur le serveur ` a partir dautres machines devront d enir leur mot de passe gr ace ` a la commande smbpasswd.
Figure 1-8. Do votre serveur Web doit-il tre visible ? Cet assistant vous laissera simplement dcider do votre serveur Web sera visible. Vous avez le choix de ne pas lactiver, de le rendre visible depuis le rseau interne et/ou externe. Cochez la case approprie comme le montre la gure 1-8. La seconde tape permet dactiver la fonctionnalit permettant aux utilisateurs de publier leur propre site Web. Tous les chiers quils enregistreront dans /home/utilisateur/public_html/ seront accessibles 21
Chapitre 1. Les assistants de conguration ladresse http://nom.du.serveur/~utilisateur/. Le rpertoire /home/ utilisateur/public_html/ pourra tre modi ltape suivante. La dernire tape permet de personnaliser le chemin daccs au rpertoire contenant les chiers qui seront servis. Pour commencer garnir votre site Web, placez simplement vos chiers dans le rpertoire choisi. Aussitt que lassistant a termin son travail, vous pouvez vous connecter directement sur votre site Web travers ladresse http://localhost
Figure 1-9. Do voulez-vous rendre visible votre serveur FTP ? Cet assistant ressemble celui utilis pour la conguration du serveur Web : il vous laissera dcider si le serveur FTP doit tre dsactiv, visible depuis le rseau local seulement, ou bien la fois sur les rseaux internet et externe.
22
Figure 1-10. Options du serveur FTP Vous pouvez alors congurer quelques options : Adresse electronique de ladministrateur Entrez ici ladresse laquelle les messages relatifs au serveur FTP seront envoys. Autoriser root ` a se connecter Cochez cette case si vous souhaitez que lutilisateur root puisse se connecter au serveur FTP. Si lauthentication FTP est effectue en clair, cette option est viter. Utilisateur Chroot Home En cochant cette option, les utilisateurs locaux qui se connectent sur le serveur FTP nauront accs qu leur rpertoire personnel. 23
Chapitre 1. Les assistants de conguration Autoriser la reprise des transferts FTP Si votre serveur est susceptible de proposer de gros chiers en tlchargement, il pourrait tre judicieux de permettre aux clients de reprendre un tlchargement interrompu. Autorise FXP Cochez cette option si vous souhaitez que le serveur soit capable dchanger des chiers avec un autre serveur FTP.
Pour commencer ` a utiliser votre serveur FTP anonyme, ajoutez simplement vos chiers dans le r epertoire /var/ftp/pub/. Aussit ot que lassistant a termin e son travail, vous pouvez vous connecter directement sur votre site FTP ` a travers ladresse Web ftp://localhost. Les r epertoires personnels sont accessibles par d efaut ` a travers une authentication par mot de passe local. Si reine veut acc eder ` a son r epertoire personnel, elle na qu` a utiliser ladresse Web ftp://reine@localhost.
Premirement, vous devez choisir le port sur lequel le mandataire coutera les requtes. Les usagers devront congurer leur navigateur Web an dutiliser ce port en tant que port mandataire, et le nom de votre serveur en tant que serveur mandataire.
Figure 1-11. Choisir la taille du cache Selon lespace mmoire dont vous disposez, vous pouvez en allouer plus ou moins au mandataire. Plus vous utilisez de mmoire cache, moins il y aura daccs au(x) disque(s) de votre serveur. Et selon lespace disque disponible, vous pouvez allouer plus ou moins despace pour les pages en cache. Plus vous avez despace, moins vous aurez accder directement Internet. Trois niveaux daccs sont disponibles pour les clients dsirant utiliser le mandataire :
25
Pas de restriction daccs. Aucune restriction, tous les ordinateurs auront accs au cache ; Rseau local. Seulement les machines sur le rseau local auront accs au mandataire ; localhost. Seulement la machine, soit le serveur, pourra accder son propre mandataire.
Figure 1-12. Restreindre laccs un sous-rseau particulier Si, prcdemment, vous avez choisi la politique daccs R eseau local, vous pouvez restreindre encore plus laccs un sous-rseau ou domaine particulier. Entrez votre choix selon le schma propos. Enn, si votre serveur a accs un autre mandataire de grande taille connect Internet, vous pouvez D enir un mandataire de niveau sup erieur sur lequel les requtes seront transfres. Si tel est le cas, la prochaine tape, il vous sera demand dentrer le nom de ce serveur. 26
Figure 1-13. Choisir vos serveurs de temps Il suft de choisir les serveurs interroger, par ordre de prfrence. Comme il est indiqu, mieux vaut garder le choix initial moins que cela ne fonctionne pas. Choisissez alors un serveur qui soit le plus proche possible de votre situation gographique. Vous pourriez aussi avoir besoin de modier votre fuseau horaire, mais normalement, vous naurez pas le changer : par dfaut, le fuseau horaire slectionn est celui utilis pendant linstallation.
27
28
Apple Macintosh, avec MacTCP ou Open Transport ; Commodore Amiga, avec AmiTCP ou AS225-stack ; Postes de travail Digital VAX 3520 et 3100, avec UCX (pile TCP/IP pour VMS) ; Digital Alpha/AXP, avec Linux ; IBM AIX (sur un RS/6000), OS/2 (incluant Warp 3) et OS400 (sur un OS/400) ; Linux (videmment !) : nimporte quel noyau depuis 1.2.x ; Microsoft DOS, (avec le paquetage NCSA Telnet, prise en charge partielle de DOS Trumpet), Windows 3.1 (avec le paquetage Netmanage Chameleon) et Windows pour Workgroup 3.11 (avec le paquetage TCP/IP) ; Microsoft Windows 95, Windows 95 OSR2, Windows 98, Windows 98se ; Microsoft Windows NT 3.51, 4.0 et 2000 (poste de travail et serveur) ; Serveur Novell Netware 4.01, avec le service TCP/IP ; SCO OpenServer (v3.2.4.2 et 5) ; Sun Solaris 2.51, 2.6 et 7.
Passons travers la conguration de certains dentre eux. Si votre systme nest pas inclus dans la liste susmentionne, une faon simple de procder est de simplement signier au systme dexploitation quelle machine doit tre utilise en tant que passerelle . Notez quici, nous nous concentrerons sur le ct passerelle du rseau : donc, nous naborderons pas les problmes pouvant tre relis au DNS, au partage de chiers ou aux schmas de connexion. Ainsi, pour que ce chapitre vous soit utile, votre rseau local doit tre bien congur. Rfrez-vous la documentation de votre systme pour le rgler de faon adquate, en accordant une attention particulire aux rglages du DNS.
29
Chapitre 2. Congurer des clients de passerelle Pour la suite, nous assumons que vous travaillez avec un rseau de classe C : vos diffrents postes de travail ont tous une adresse IP ressemblant 192.168.0.x, votre masque de rseau (netmask) est rgl 255.255.255.0, et vous utilisez une interface de rseau eth0. Nous prenons galement pour acquis que ladresse IP de votre passerelle est rgle 192.168.0.1 et que tous vos postes de travail peuvent parler la passerelle (vous pouvez tester ceci avec la commande ping ou son quivalent, tout dpendant de lenvironnement que vous utilisez).
Maintenant, relancez votre couche rseau avec la commande suivante en temps que root : service network restart dans un terminal.
Chapitre 2. Congurer des clients de passerelle plus de renseignements. Lorsque vous congurez une connexion Internet lintrieur dun rseau local (G erer les connexions), il vous est propos de congurer le rseau en mode manuel ou automatique (DHCP) :
Figure 2-1. Nouvelle conguration du rseau local avec drakconnect Si votre rseau local abrite un serveur bootp ou DHCP, choisissez lentre DHCP, et votre conguration sera rgle. Si votre machine possde une adresse IP xe, entrez-la dans le premier champ aprs vous tre assur que lentre Statique est bien slectionn. Il faut galement remplir les champs Masque de sous-r eseau et Passerelle en fonction de votre conguration rseau. Une fois que vous avez appliqu les modications, votre rseau est correctement congur et prt tre utilis. La conguration est maintenant permanente.
31
Figure 2-2. Conguration de la passerelle sous Windows XP Voici les tapes suivre pour passer dune fentre lautre :
1. Sur le bureau, faites un clic droit sur licne My network places, et slectionnez Properties dans le menu contextuel ; 2. Dans la fentre Network Connections, faites la mme chose avec la connexion lie au rseau o se trouve la passerelle ; 3. Dans le prochain menu, choisissez le champ Internet Protocol (TCP/IP) et cliquez sur le bouton Properties ; 32
Chapitre 2. Congurer des clients de passerelle 4. Dans ce menu, vous pouvez slectionner Obtain an IP address automatically si votre rseau abrite un serveur DHCP. Ensuite, la passerelle devrait tre congure automatiquement. Sinon, choisissez Utiliser ladresse IP suivante et remplissez les champs appropris.
Premirement, allez dans le panneau de contrle (D emarrer Param` etresPanneau de contr ole) et trouvez licne de rseau ci-haut. Doublecliquez dessus et un dialogue de conguration rseau apparatra.
33
Figure 2-3. Le dialogue de conguration rseau sous Windows 9x Dans la liste afche, vous devriez trouver le protocole TCP/IP. Sinon, vous devrez vous rfrer la documentation de votre systme pour savoir comment linstaller. Sil lest dj, slectionnez-le et cliquez sur Propri et es.
34
Figure 2-4. Le dialogue de conguration TCP/IP sous Windows 9x travers cette fentre, vous pourrez rgler les paramtres TCP/IP. Votre administrateur systme vous dira si vous avez une adresse IP statique ou si vous utilisez un DHCP (adresse IP automatique). Cliquez sur longlet Passerelle (gateway).
35
Figure 2-5. Le dialogue de conguration de la passerelle sous Windows 9x Le reste est un jeu denfants ! Remplissez les champs vides avec ladresse IP de votre passerelle (dans notre exemple, 192.168.0.1). Finalement, cliquez sur les boutons Ajouter et OK. videmment, vous devrez redmarrer votre machine. Une fois fait, vriez que vous pouvez rejoindre le reste du monde Internet.
36
2. Premirement, slectionnez le Protocole TCP/IP dans la liste de protocoles rseau. Ensuite, cliquez sur le bouton Propri et es, et choisissez la carte rseau connecte au rseau local (gure 2-7). Dans cet exemple, nous montrons une conguration faite avec un serveur DHCP : loption 37
Chapitre 2. Congurer des clients de passerelle Obtenir une adresse IP du serveur DHCP (Obtain an IP address from a DHCP server) est coche.
Figure 2-7. La panneau de logiciel rseau sous Windows NT Si tel est votre cas, vous navez qu conrmer tous ces choix et redmarrer votre machine. Sinon, suivez les prochaines tapes. 3. Si vous ne possdez pas de serveur DHCP, vous devez rgler les paramtres manuellement. Premirement, cochez loption Sp eciez une adresse IP (gure 2-8).
38
Figure 2-8. Le dialogue de conguration TCP/IP sous Windows NT Choisissez ladapteur appropri : ladresse IP devrait dj tre la bonne. Sinon, il faut la spcier. 4. Dans le champ Passerelle par d efaut, crivez 192.168.0.1 (soit ladresse de la machine Linux partageant la connexion dans notre exemple). 5. Finalement, vous devez spcier les serveurs DNS que vous utilisez dans longlet DNS, tel que montr dans la gure 2-9.
39
Figure 2-9. Le dialogue de conguration DNS sous Windows NT Vous devez galement fournir le nom dhte et le nom de domaine qui y est associ.
40
Sauf si vous savez exactement ce que vous faites, proc edez de fa con tr` es minutieuse lors des etapes qui suivent :
laissez le champ Conguration automatique du DHCP vide,
IP Forwarding ) sauf si votre machine NT est utilis ee pour le routage et, encore une fois, que vous savez exactement ce que vous faites ;
d esactivez DNS for Windows Name Resolution et Activez
Cliquez sur OK dans les menus contextuels qui apparatront et redmarrez votre ordinateur pour tester la conguration.
Changez le_nom_de_la_machine_linux pour le nom de rel de votre passerelle Linux. Maintenant, sauvegardez le chier, essayez de faire un telnet sur votre machine Linux, puis sur une machine branche Internet.
Chapitre 2. Congurer des clients de passerelle soft TCP/IP-32 3.11b dans la section Pilotes r eseau (Network Drivers), puis cliquez sur R eglage (Setup. Ensuite, la procdure est trs similaire celle dcrite dans la section Machine Windows NT ou Windows 2000, page 36.
Figure 2-10. Le dock de MacOS X Avant tout, vous devez ouvrir la fentre Pr ef erences Syst` eme en cliquant sur son icne dans le dock systme.
42
43
Figure 2-12. Conguration automatique de laccs Internet pour MacOS X Dans la fentre qui apparat, slectionnez Built-In Ethernet ou linterface actuellement connecte la passerelle, puis choisissez Utilisez DHCP dans longlet TCP/IP comme dans gure 2-12. Puis, cliquez sur Appliquez maintenant, et si tout sest bien droul, le champ Routeur devrait afcher ladresse IP votre passerelle.
44
Figure 2-13. Conguration manuelle de laccs Internet pour MacOS X Dans la fentre qui apparat, remplissez les champs comme expliqu ici :
Conguration : Manuelle ; Adresse IP :192.168.100.34 (ladresse IP du client) ; Masque de sous-rseau (Subnet Mask) : 255.255.255.0 (le masque de sousrseau du rseau local) ; Adresse du routeur : 192.168.100.1 (ladresse de la passerelle) ; Serveurs DNS : 192.168.100.11 ; 192.168.100.14 (ladresse IP des serveurs DNS).
Ladresse du serveur de noms peut etre un serveur DNS interne ou celui de votre fournisseur dacc` es.
Une fois que tout est ni, cliquez sur Appliquez maintenant, et si tout sest bien droul, vous pourrez surfer sur Internet. 45
Figure 2-15. Conguration automatique de laccs Internet pour MacOS Dans le menu contextuel qui apparat, remplissez les champs comme ceci :
Connect via: Ethernet ; Congure : Using DHCP server (soit Utiliser un serveur DHCP ; DHCP Client ID (soit Identication du client DHCP) : 192.168.0.1.
47
Figure 2-16. Conguration manuelle de laccs Internet pour MacOS Dans le menu contextuel, remplissez les champs ainsi :
Connect via : Ethernet ; Congure : Manuellement ; Adresse IP : 192.168.0.248 ; Masque de sous-rseau (Subnet Mask) : 255.255.255.0 ; Adresse du routeur : 192.168.0.1 ;
48
Adresses des serveurs de noms de domaine : 192.168.0.10 et 192.168.0.11 ; Nom de domaine de recherche : myco.com.
Les adresses des serveurs de noms de domaine peuvent etre celles des DNS internes ou celles des serveurs de votre fournisseur dacc` es ` a Internet.
2.7.3. MacTCP
1. Dans le Panneau de contr ole MacTCP, choisissez le pilote de rseau Ethernet (attention, ce nest pas EtherTalk) puis cliquez sur le bouton Encore... (More...). 2. Dans le champ Adresse de la passerelle, entrez ladresse de la machine Linux qui partage la connexion (dans notre exemple, 192.168.0.1). 3. Cliquez sur OK pour sauvegarder les rglages. Peut-tre aurez-vous redmarrer votre systme pour tester ces rglages.
49
50
1. Introduction ` a Webmin
Loutil Webmin permet ladministration distante de votre machine en utilisant uniquement un navigateur qui prend en charge le protocole HTTPS (HTTP sur SSL). Webmin facilite ladministration distance, tout en favorisant la scurit des oprations. Webmin est idal pour les administrateurs systme, puisque toutes les platesformes importantes possdent des navigateurs Web qui correspondent ou excdent les pr-requis susmentionns. De plus, Webmin abrite son propre serveur Web ; il na pas besoin de logiciel tiers (comme un serveur Web) pour fonctionner. Tout est inclus. Larchitecture de Webmin est modulaire, ce qui vous permet dcrire vos propres modules de conguration si ncessaire. Les modules desservant les services dcrits dans cette section, ainsi que dautres, sont tous inclus par dfaut dans Webmin. Ce dernier peut congurer presque tous les aspects de votre systme.
An dobtenir linterface en fran cais, cliquez sur le bouton Webmin Conguration puis sur Languages. Depuis la liste d eroulante, choisissez French (FR). Malheureusement, certaines interfaces de module ne sont pas compl` etement traduites. Donc, vous y retrouverez certains champs ou boutons en anglais.
Linterface prsente sept sections ou onglets, chacun dentre eux donnant accs des modules ddis un aspect particulier de la conguration dune machine. titre dexercice, vous devriez cliquer sur loption Contr ole dacc` es par adresses IP du module Conguration de Webmin.
Figure 31. Contrle daccs Veuillez noter que si votre serveur est accessible depuis Internet, cette tape est obligatoire si vous voulez bien scuriser votre systme. Bien entendu, rien 52
ne vous empche dutiliser un pare-feu travers DrakFirewall, ou Webmin (R eseau, Linux Firewall). Choisissez loption Autoriser uniquement depuis les adresses list ees. Puis, dans le champ texte, listez toutes les machines ou rseaux qui auront la permission de se connecter Webmin. Pour une scurit optimise, cochez galement loption Resolve hostnames on every request.
2. Services
Les services couverts dans cette partie sont :
Serveur de noms de domaine (DNS ou Domain Name System). Nous discuterons du serveur de noms de domaine BIND dans le chapitre BIND : serveur DNS, page 55.
53
Hbergement de sites Web Internet/intranet (HTTP). Nous discuterons du serveur Web Apache. Voyez le chapitre Serveur Web Internet/intranet, page 63 ;
Webmin etant incapable de g erer les multiples chiers de conguration de Apache, nous parlerons de la conguration manuelle au lieu de linterface de Webmin.
Nous documenterons la partie serveur de la solution de travail collaboratif Kroupware dans Le serveur Kolab, page 103. Le chapitre (Le serveur de courrier Postx, page 75) traitant de la gestion de courrier (SMTP) se concentre sur lenvoi de courrier lectronique par lentremise du serveur de courrier Postx. Nous parlerons des services de remise de courrier (POP et IMAP) avec le serveur de courrier IMAP-2000 (voir Serveurs de remise de courrier : POP et IMAP, page 83). le partage de chiers et dimprimantes (NFS, SMB et FTP) est le sujet principal du chapitre suivant (Partage de ressources, page 87). Nous discuterons de lutilisation du serveur de bases de donnes MySQL dans Serveur de bases de donnes MySQL, page 119. La gestion dcentralise des utilisateurs et lhbergement de rpertoires personnels est le sujet principal du chapitre Client et serveur NIS, page 127.
Veuillez noter que tous les outils utiliss pour les services susmentionns sont des logiciels libres et sont dj inclus dans votre distribution Mandrakelinux.
54
3.1. Installation
Premirement, vous devez installer le paquetage RPM contenant le serveur DNS. Nous utiliserons BIND. Voici les paquetages installer : bind, bindutils, et caching-nameserver. Pour pouvoir utiliser le module Webmin Serveur de Noms de Domaine Bind, vous devrez slectionner la catgorie Serveurs, puis cliquer sur le bouton Serveur de Noms de Domaine Bind (avec le 8 dans licne et non le 4.)
55
Figure 3-1. Crer une zone primaire Une nouvelle page safchera avec de nombreuses icnes : ne vous inquitez pas trop, la plupart peuvent tre laisses tel quel si vous navez pas de congurations complexes implanter. Vous pourrez y ajouter tous les noms de vos machines locales, malgr le fait que vous devriez crer la partie inverse (reverse) de votre zone matre en premier lieu. En fait, une zone DNS est compose de deux parties ; la premire, dite Normale, pour les conversions nomsvers-adresses (forward) et lautre, dite Inverse, adresses-vers-noms (reverse). Puis, slectionnez Retourner ` a la liste de zones et choisissez Cr eer une nouvelle zone primaire, mais cette fois, choisissez une zone Inverse au lieu de Normale. 56
Chapitre 3. BIND : serveur DNS Plutt que dcrire le nom de domaine, vous spcierez la classe rseau. Par exemple, pour la plage dadresses 192.168.1.0/24, crivez 192.168.1.
Figure 3-2. Crer une zone matre inverse (Reverse Master Zone)
57
Figure 3-4. Dmarrage de BIND Si le bouton nest pas remplac par un autre indiquant Appliquer les changements, le serveur nest pas actif cause dune erreur de conguration. Dans ce cas, nous vous conseillons de lire la prochaine section.
Chapitre 3. BIND : serveur DNS R eseau. Choisissez ensuite Client DNS et tapez ladresse IP de votre serveur DNS si vous tes sur un poste client, ou 127.0.0.1 si vous tes sur le serveur.
Chapitre 3. BIND : serveur DNS rndc communique avec le serveur de noms par une connexion TCP, en envoyant des commandes signes numriquement ; vous devriez changer la cl par dfaut en utilisant /usr/sbin/new_key.pl. Si vous avez install le paquetage caching-nameserver, une conguration par dfaut de rndc est installe et vous pouvez lutiliser. Si non, vous devez ajouter la cl, qui se trouve dans le chier /etc/rndc.conf, au chier /etc/named.conf. La dclaration de contrle tablit les canaux de contrle que les administrateurs systme peuvent utiliser pour affecter le fonctionnement du serveur de noms local. Ces canaux de contrle sont utiliss par rndc pour envoyer des commandes et recevoir les informations non-relies au DNS depuis un serveur de noms. Pour les modier, vous ne devez pas slectionner Control Interface Options. En fait, Webmin enlve les options de cl, qui se trouve dans les dclarations de contrle. Modiez plutt le chier /etc/named.conf avec un diteur de texte. Voici un exemple dun rndc local-only avec une cl :
// secret must be the same as in /etc/rndc.conf key "key" { algorithm hmac-md5; secret "cOb0cEDYZIQKNXDjnRJLmcTuZiXADGfVBahwsAnOd0yJbTmzPeHWO0LTTeCt"; }; controls { inet 127.0.0.1 allow { 127.0.0.1; } keys { "key"; }; };
Pour des raisons de scurit, le serveur BIND de Mandrakelinux tourne sous un nom dutilisateur aux privilges limits. Si vous crez un serveur DNS secondaire sur votre rseau, BIND devra peut-tre crire ses propres chiers partir de la zone DNS matre. Cest pourquoi il est recommand de modier le propritaire des chiers zones crs par Webmin. Voici comme faire : chown named -R /var/named/.
60
3.3.3. Documentation
Si vous voulez en faire plus avec BIND, il est fortement recommand de lire BIND 9 Administrator Reference Manual (en anglais seulement), disponible au format PDF sur le site ofciel de BIND. Vous trouverez galement plus de renseignements au format HTML en cliquant dans le coin suprieur droit des pages Conguration R eseau ou Serveur de Noms de Domaine Bind de Webmin. En bas de ces pages vous trouverez bon nombre de liens Internet intressants. Notez que le Manuel de rfrence est disponible au format HTML en cliquant sur bind-9.2.0/html/Bv9ARM.html.
61
Journalisation et erreurs :vous permet dajouter des paramtres suivre ou des catgories vous permettant davoir les chiers journaux et les messages derreurs quil vous faut ; Liste de contr ole dacc` es : la dclaration ACL assigne un nom symbolique une liste dadresses (les adresse IP sont spares par des espaces ; Redirection et transferts : lapplication de redirection peut tre utilise pour crer une vaste mmoire tampon sur plusieurs serveurs, rduisant les requtes externes et les besoins en bande passante. Cette option peut galement tre utilise pour permettre des requtes de la part de serveurs nayant pas accs Internet. La redirection arrive exclusivement lorsque la requte ne concerne quun domaine pour lequel le serveur nest pas autoritaire (authoritative), ou lorsque la rponse nest pas dans sa mmoire tampon.
62
Il est d econseill e dutiliser Webmin pour congurer votre serveur Web, car ` a cette heure, cet outil dadministration ne sait pas g erer les chiers de conguration multiples.
Apache 2.0 : Cette nouvelle version dApache est la plus puissante, et peut tre tendue grce plus de 100 modules diffrents. Cest la version standard sous Mandrakelinux, et est elle requise si vous souhaitez installer des applications Web telles que PHP Groupware ou le WebMail Horde/IMP. Pour installer ce paquetage, lancer urpmi apache2. Apache 1.3 : cette version est utilise depuis de nombreuses annes, et est la plus teste. Nanmoins, si vous avez besoin dutiliser LDAP, Radius, Ruby, Python ou dautres fonctions volues, vous naurez dautre choix que dutiliser la version 2.0. Sinon, si vos besoins sont basiques, si vous tes conservateur, ou si vous souhaitez simplement mettre jour un serveur Web existant, utilisez la version 1.3. pour installer ce paquetage, lancez urpmi apache.
63
Apache 1.3 + mod_perl : si votre site Web repose essentiellement sur des modules Perl tels que Apache::ASP, HTML::Mason, HTML::embperl, installez cette version. Toutefois, elle requiert plus de ressources systme car linterprteur Perl est intgr. Chaque requte, que ce soit pour des images ou des pages statiques, demandera un peu plus de mmoire. Vous pouvez nanmoins installer la fois mod perl et la version standard. Dans ce cas, mod perl sexcutera en mode mandataire : toutes les pages statiques et les images seront servies avec la version standard dApache, alors que les chiers du rpertoire /perl/ seront servis par mod perl (consulter le site Web de mod_perl (http://perl.apache.org/docs/1.0/guide/ strategy.html#Adding_a_Proxy_Server_in_http_Accelerator_Mode)). Pour installer le paquetage mod perl, lancez urpmi apache-mod_perl.
Si vous souhaitez utiliser la fois Apache 1.3 et Apache 2.0, pour des besoins de dveloppement ou de test, vous pouvez installer les deux et facilement passer de lun lautre. Une fois que les deux versions sont installes, la version 2.0 sera dmarre par dfaut. En utilisant la commande advxrun1.3, la version 1.3 sera lance. Utilisez alors la commande advxrun2.0 pour revenir la version 2.0.
De cette faon, vous pourrez partager le mot de passe webmaster avec un autre membre de votre organisation, qui pourra mettre jour directement les chiers en utilisant le compte webmaster. 64
Chapitre 4. Serveur Web Internet/intranet La racine du serveur se trouve dans /var/www/html/, et tous les sousrpertoire sous celui-ci. Donc, si vous voulez avoir, par exemple, www. masociete.com/apropos, crez un rpertoire /var/www/html/apropos/ et placez-y vos chiers HTML. Lorsque vous naviguez sur un site Web, si vous ne spciez pas un chier HTML ou autre explicitement dans lURL, la page par dfaut est charge. La page par dfaut de tout rpertoire est par ordre de priorit : 1. index.html pour des pages normales (non-dynamiques) ; 2. index.php pour des pages dynamiques PHP ; 3. index.shtml pour les pages semi-dynamiques inclusion ct serveur (server-side includes) ; 4. index.htm, ou Default.htm, pour des raisons de compatibilit avec FrontPage et autres outils de publication non-standard.
pour la srie 1.3, urpmi mod_<module>; pour la srie 2.0, urpmi apache2-mod_<module>. 65
et pointez votre navigateur sur http://localhost/test.php Vous verrez une page prsentant toutes les options PHP et les fonctions intgres telles que ctype, ftp, openssl, posix, session, zlib, etc. Il existe une plthore de modules PHP, tels que ldap, mysql, pgsql, gd, xml, etc. De nombreuses applications Web ncessitent certains de ces modules additionnels. Pour installer ces modules, utilisez la commande urpmi php-<module>. Par exemple, lapplication WebMail Horde/IMP a besoin des fonctions IMAP et LDAP. Donc, vous devriez utiliser urpmi php-imap php-ldap. Lorsque vous installez un module PHP, vous devez redmarrer votre serveur. Vous pourrez ensuite vrier votre page de test PHP pour voir si le module a t correctement install. Pour plus de renseignements au sujet de PHP, visitez le site Web de PHP (http://www.php.net).
Vous pouvez chercher dans le manuel PHP en ligne simplement en ajoutant le nom du module ` a lURL. Par exemple, pour consulter la documentation de la fonction phpinfo, essayez la section phpinfo du site PHP (http://php.net/phpinfo).
Chapitre 4. Serveur Web Internet/intranet problme car il suft de demander aux utilisateurs de ne pas tenir compte du message davertissement et daccepter le certicat. Mais pour un site public de commerce lectronique, vos clients seront sans nul doute drangs par ce message. Quel est lintrt dun certicat SSL ? Pour un site Web de commerce lectronique, vous avez besoin de deux choses : 1. Lassurance que personne ne peut intercepter un numro de carte de crdit. Pour cela, mme un certicat SSL ctif sufra. Aprs que lutilisateur ait accept la cl, toutes les communications entre le serveur et le navigateur seront cryptes. 2. Lassurance que ceux qui grent un site Web en particulier existent vraiment, bref quelles sont rellement celles quelles prtendent tre. Sinon, quelquun pourrait rserver un nom de domaine qui ressemble un autre, comme www.mandrakestore.com, prendre une fausse commande, et senfuir avec largent. Pour surmonter ces problmes, des organisations de conance appeles Autorits de Certication (Certication Authorities, CA) signeront votre certicat SSL aprs avoir vri votre identit. Certains des CA les plus connues sont Thawte, Verisign, Equifax, GeoTrust, RSA Data Security et Visa. Pour que ces socits signent votre certicat, vous devrez leur fournir une preuve de votre identit. Pour un commerce, ils auront besoin de votre certicat de socit, preuve que vous possdez le nom de domaine, etc. Une fois le certicat sign par le CA, installez-le la place de votre certicat ctif, redmarrez le serveur, et tous ceux qui se connecteront en https ne verront plus davertissement et un cadenas , ou une cl safchera dans la barre dtat de leur navigateur, indiquant que le site est sr. propos du choix de lautorit de certication, Thawte reconnat pleinement Apache, et fournit toute linformation ncessaire, ainsi que des livre blancs gratuits. Pour plus dinformation propos de SSL, consultez le site Web de modssl (http://www.modssl.org/docs/2.8/).
67
le chier de conguration spcique chaque version ; le chier de conguration commun ; les chiers des htes virtuels ; Les types mime ; le mcanisme de dtection des types de chiers ; les chiers spciques aux modules.
pour la srie 1.3, il sappelle httpd.conf ; pour Apache + Mod_perl, il sappelle httpd-perl.conf ; pour la srie 2.0, il sappelle httpd2.conf.
Dans ce chier, une seule directive de conguration est importante : ServerName. Vous devriez supprimer le commentaire et remplacer localhost par le nom dhte rel de votre serveur. Vous ne pouvez pas en inventer un, il doit avoir une entre de DNS valide. Si vous tes sur un lien ADSL ou autre, avec une adresse IP dynamique, vous pourrez utiliser dyndns, noip, ou tout autre service similaire pour fournir un DNS votre serveur. Si vous comptez utiliser votre serveur uniquement sur un rseau priv ou sur un intranet, vous pouvez utiliser une adresse IP au lieu dun nom dhte. Vous ne devriez pas modier quoique ce soit dautre dans la conguration moins que vous n sachiez vraiment ce que vous faites. En particulier, si vous changez la directive DocumentRoot, vous pourriez avoir des problmes 68
Chapitre 4. Serveur Web Internet/intranet lorsque vous installerez des applications Web puisquelles sont congures pour sinstaller dans /var/www/html/. Si vous voulez afner les performances de votre serveur Web, vous pouvez consulter les directives StartServers et MaxClients. Les sites Web chargs peuvent bncier de valeurs plus leves, ce qui demandera plus de mmoire, mais permettra de servir plus de requtes en mme temps.
Si vous lisez de la documentation qui vous demande de modier le chier httpd.conf, vous devriez editer commonhttpd.conf ` a la place.
Lorsque le navigateur demande compta.masociete.com, le serveur se place dans le rpertoire /home/compta/ et sert les pages HTML qui sy trouvent. Lorsque le navigateur demande ventes.masociete.com, le serveur se place dans le rpertoire /home/ventes/. La directive ServerPath est utilise pour des raisons de compatibilit avec les anciens navigateurs, comme Netscape 2.0 ou Internet Explorer 3.0, qui ne fonctionnent pas avec les noms dhtes virtuels. Dans ce cas, les utilisateurs de ces navigateurs pourront utiliser www.masociete.com/ventes et pourront tout de mme accder au site Web. Le chier DynamicVhosts.conf est utile pour hberger des socits ou organisations qui ont de nombreux sites Web, telles que les universits. Dans ce cas, placez chaque site Web sous le mme rpertoire, et Apache activera automatiquement les noms de domaine. Par exemple, vous pourriez avoir /www/hosts/www.company1.com, /www/hosts/www.company2.com, etc. Le chier VirtualHomePages.conf est alors utilis pour crer automatiquement les sites Web user1.company.com, user2.company.com, user3. company.com, etc. Cela requiert que votre nom de domaine soit dni avec un caractre de remplacement (joker ou wildcard) de faon ce que *.company.com aille vers le serveur Web Apache.
4.6. Alias
Si la structure de votre site Web est complexe, inclut de nombreux sousrpertoires imbriqus, et que vous souhaitez faciliter la navigation, vous pouvez crer des alias. Par exemple si vous avez une adresse comme www.masociete.com/ventes/ paulmartin/projets/2003/automne/catalogue, vous pouvez utiliser un alias plus simple comme www.masociete.com/catalogue. Pour ce faire, ajouter la ligne suivante commonhttpd.conf:
Alias /catalogue/ /var/www/html/paulmartin/projets/2003/automne/catalogue/
71
Lorsque les utilisateurs essaieront daccder ce rpertoire, une fentre leur demandera lidentiant et le mot de passe pour y accder. Vous devez crer ce chier de mots de passe. Commencez par crer un rpertoire /var/www/auth , ou nimporte o ailleurs sur votre serveur, mais en dehors de la racine de votre serveur (par exemple pas dans /var/www/html/auth). Vous devez ensuite crer ce chier (touch /var/www/auth/test1.pwd) puis ajouter un utilisateur. Dans cet exemple, nous crerons un utilisateur employe , avec le mot de passe test .
htpasswd /var/www/auth/test1.pwd employe
Le programme vous demandera alors le mot de passe, et comme vous ne voyez pas ce que vous tapez, le mot de passe sera redemand pour plus de sret. Vous pourrez alors accder cette partie du site avec lidentiant et le mot de passe choisis. Pour ajouter dautres utilisateurs, il suft dutiliser la mme commande htpasswd.
htpasswd /var/www/auth/test1.pwd employe2 htpasswd /var/www/auth/test1.pwd employe3
Pour changer un mot de passe existant, utilisez la mme commande (htpasswd). Le mot de passe pour lutilisateur spci sera modi au lieu dtre cr. 72
Chapitre 4. Serveur Web Internet/intranet Pour supprimer un utilisateur, ajouter loption -D la commande htpasswd.
htpasswd -D /var/www/auth/test1.pwd employe3
Notez nalement quil existe de nombreuses autres possibilits. Vous pouvez ranger les utilisateurs en groupe, et utiliser ces derniers pour lauthentication. De nombreux modules sont aussi disponibles de manire pouvoir utiliser LDAP, Radius ou MySQL pour contrler laccs votre site.
73
74
Si le nom de domaine correspond celui desservi localement, le courrier sera stock dans la bote aux lettres correspondante. Ensuite, lutilisateur devra prendre ses messages travers un client de courriel. La livraison des messages aux utilisateurs se fait travers un autre protocole (Serveurs de remise de courrier : POP et IMAP, page 83). Sinon, le serveur cherche sur Internet le serveur responsable de la livraison des courriers adresss ce nom de domaine, puis les lui transfre.
Continuons notre conguration minimale an que ces services fonctionnent sur votre serveur. En clair, ce sont les noms de domaine que votre serveur dessert.
75
5.2. Installation
La premire tape consiste vrier que Postx est bien install sur votre machine. Si ce nest pas le cas, veuillez utiliser rpmdrake ou tapez urpmi postfix pour linstaller. La conguration du serveur seffectue partir de licne Conguration de Postx, que vous trouverez sous longlet Serveurs.
Si le serveur de courrier est destin e ` a recevoir les messages dun domaine sp ecique en provenance dautres serveurs, il devra etre congur e ainsi dans la conguration du DNS, soit sur votre serveur DNS local (BIND : serveur DNS , page 55) ou sur le site de votre registraire de nom de domaine.
Chapitre 5. Le serveur de courrier Postx Les chiers de conguration de Postx sont dans le rpertoire /etc/ postfix/. Les options principales de Postx que vous devez modier se trouvent dans le chier /etc/postfix/main.cf et peuvent tre modies en cliquant sur la premire icne : Options g en erales.
Figure 5-2. Lcran principal de conguration de Postx Dans cette section vous devrez congurer les options suivantes :
La premire option (Quel domaine utiliser pour le courrier sortant) concerne le courrier sortant. Vous devriez y spcier le nom de domaine. Laissez la valeur par dfaut (Utiliser le nom de machine) si le nom de domaine de votre serveur est le mme que votre nom de domaine de courrier lectronique. Domaines pour lesquels on re coit le courrier. Ce paramtre est associ au courrier entrant. Vous devriez spcier les domaines de courrier pour lesquels votre serveur est responsable. Rglez-le Tout le domaine si votre ordinateur possde la mme valeur que le nom de votre domaine de courrier. Sinon, cochez la troisime option et entrez la liste des domaines dont il a la charge, ainsi que tous les noms que le serveur peut avoir, incluant $myhostname et localhost.$mydomain, spars par des virgules. Envoyer le courrier sortant via la machine. Cette option est utile si vous accdez Internet travers un ISP qui vous fournit un serveur de courrier. Si tel est le cas, vous pouvez choisir de lutiliser en tant que relais pour 77
Chapitre 5. Le serveur de courrier Postx rpartir vos propres messages leurs destinataires, ce qui rduira la charge de votre serveur. Toutefois, il est impratif que vous ayez conance en lintgrit de votre ISP. Ensuite, tapez le nom du serveur de courrier de votre ISP : smtp.fournisseur.net par exemple.
Nom de machine (hostname) de ce syst` eme. Ce paramtre spcie le nom dhte Internet de votre serveur de courrier. La valeur par dfaut correspond au FQDN (Fully-Qualied Domain Name), soit au nom de domaine quali. Par exemple, passerelle.exemple.com. Laissez la valeur par D efaut (donn e par le syst` eme) si votre nom dhte est de la forme nom_machine.nom_domaine_mx. Nom de domaine internet local. Cette option spcie le nom de domaine Internet local. La valeur par dfaut est $myhostname auquel on enlve le premier composant. Pour notre exemple, ce serait exemple.com. Laissez la valeur par D efaut (donn e par le syst` eme) si votre nom dhte est de la forme nom_machine.nom_domaine_mx. R eseaux locaux. Ce paramtre est utilis pour identier les machines en lesquelles vous pouvez faire conance pour faire le relais de courrier travers votre serveur de courrier. Les messages provenant de ces machines et se dirigeant vers dautres serveurs sur le Net seront accepts et transfrs sans restriction. Voici des valeurs typiques utiliser : 192.168.1.0/24, 127.0.0.0/8, ce qui signie que vous acceptez que votre machine locale relaie le courrier, tout comme les systmes dont ladresse gure dans ltendue dadresses 192.168.1.1-254. Assurez-vous de spcier uniquement les rseaux voulus de faon viter dtre la cible de spammers indsirables.
La section Alias vous aidera congurer la redirection de courrier vers des botes aux lettres existantes et valides. Comme vous pourrez le voir dans le tableau de cette section, plusieurs alias par dfaut existent et convergent tous, possiblement aprs quelques sauts , vers ladresse postfix. Il est recommand que vous ajoutiez un alias pour que cette adresse pointe vers votre compte personnel an que les messages envoys un des alias dnis (incluant les messages pour root, comme les alertes systme) vous soient vraiment transfrs, au lieu dtre stocks localement dans la bote de courrier de lutilisateur postfix.
78
Figure 5-3. Dnir un nouvel alias de courrier An de conclure la conguration serveur gnrale, il peut tre intressant de jeter un il la page Contr ole des ressources. Deux options sont intressantes : Taille max dun message Congure la taille maximale (en octets) des courriels accepts par Postx. Cette valeur est la taille du message complet, incluant les en-ttes et les pices jointes. Prenez en compte que le logiciel de courrier lectronique encodera les pices jointes non-texte. Donc, la taille totale du message sera plus grande que la taille des pices jointes lorsque tlcharges sur votre disque dur. Taille max des messages rebond (bounced) Lorsque Postx ne peut pas livrer le courrier son destinataire nal, il envoie une note de non-livraison lexpditeur original. Cette note contiendra la cause derreur et une partie du message original (vous pouvez congurer la taille du message original inclure). Ce paramtre indique la grosseur (en octets) du texte inclure.
79
Figure 5-4. Congurer des domaines virtuels De cette faon, vous pouvez rediriger le courrier dutilisateurs isols, de usagers dautres domaines ou serveurs, ou mme, un domaine entier vers un seul utilisateur.
80
Si vous utilisez cette fonctionnalit e, gardez ` a lesprit votre sens de l ethique et nabusez pas de vos droits dadministrateur en lisant les messages de vos utilisteurs...
81
82
6.1. Avant-propos
Si vous avez fait une installation standard de Mandrakelinux, les serveurs daccs au courrier (POP3 ou IMAP) sont dmarrs partir du super-dmon xinetd. Lorsquune connexion est tablie sur le port POP (ou IMAP), xinetd lance le programme appropri pour rpondre la requte. Un usager POP3 rcupre ses courriels sur son poste, do il peut ensuite les lire avec un logiciel comme KMail ou Evolution. Par contre, le protocole IMAP permet aux usagers de laisser leur courrier lectronique sur le serveur pour une gestion distance. IMAP est particulirement adapt aux usagers mobiles. Du ct de ladministrateur systme, il devra vrier rgulirement ltat de son espace disque, puisque les courriers IMAP consument habituellement beaucoup despace sur le serveur. Une politique de quota despace serait galement approprie.
6.2. Installation
Pour congurer un serveur POP/IMAP, les paquetages xinetd et imap doivent tre installs. La conguration du serveur est ralise par le module Services Internet etendus de la section R eseau.
Chapitre 6. Serveurs de remise de courrier : POP et IMAP En cliquant sur Services Internet etendus, vous verrez une liste de services accessibles sur votre poste grs par xinetd. Ces services peuvent tre activs ou non.
Figure 6-1. cran de dmarrage du module xinetd Chacun des protocoles POP et IMAP possde un quivalent scuris, POP3S et IMAPS, qui chiffrent les donnes lors de la transmission. Si les utilisateurs sont amens consulter leur courrier sur Internet (et non pas uniquement depuis le rseau local), il est plus sr dutiliser les protocoles scuriss et de dsactiver les autres. Assurez-vous alors que les clients de courrier lectronique permettent lutilisation de ces protocoles. Le paquetage imap installe les services et dmarre le serveur POP avec les options par dfaut. Cliquez sur un service pour le congurer et contrler sont tat.
84
Figure 6-2. Conguration du module POP3 Pour quun service soit activ, choisissez Oui dans la case Service activ e ?. Ensuite, vous pouvez rserver laccs ce service travers la troisime table : Contr ole dacc` es au service. Ajoutez les adresses IP des postes ayant accs au service dans la case Permettre lacc` es depuis et slectionnez Machines list ees seulement... Puis, Sauvegarder vos changements et, sur la page prcdente, cliquez sur Appliquer les changements pour que xinetd prenne en compte la nouvelle conguration.
Cet ecran de conguration est le m eme pour tous les services g er es par xinetd.
Chapitre 6. Serveurs de remise de courrier : POP et IMAP ` a ladresse et Num ero de port permettent de forcer le service couter sur un couple spcique adresse/port. Si vous avez de nombreuses interfaces rseau et que vous voulez faire circuler le trac de courrier sur une interface spcique, vous pouvez le spcier ici en entrant ladresse IP. Dans la seconde table intitule Options du programme du service, vous pouvez rediriger toutes vos requtes vers un autre systme. Dans le champ Service eectu e par, choisissez Rediriger vers la machine et entrez ladresse IP et le port de la machine. Les options Tourner en tant quutilisateur et Tourner en tant que groupe permettent dexcuter le service sous un nom dusager spcique. Xinetd permet galement de dnir des limites ou des quotas pour chaque service. Loption Serveurs concurrents maxi dtermine le nombre maximum de dmons qui peuvent tre excuts en concurrence. Pour sa part, le champ Nombre maximum de connexions par seconde spcie le nombre de requtes que pourra soutenir le serveur en mme temps. Si le nombre maximum est atteint, alors loption D elai si le maximum est atteint tablit lintervalle en secondes avant que le serveur soit de nouveau accessible. Dans notre exemple avec POP3, vous pourriez dcider que seulement trois serveurs peuvent tre dmarrs pour rpondre 5 connexions par seconde, ce qui peut tre utile pour des serveurs surchargs. La dernire option trs utile est Niveau de nice pour le serveur ( niveau de gentillesse ) qui indique la priorit du programme lchelle du systme. Si plusieurs services sont disponibles sur le mme serveur, et que certains dentre eux sont plus importants que dautres, cette option permet de demander au systme dallouer plus de ressources aux processus critiques. Le Niveau de nice est O par dfaut et peut prendre des valeurs entre -20 (la plus haute priorit) et 19 (la plus basse). Si vous considrez que le service POP3 est de moindre importance par rapport aux autres services hbergs sur cette machine, vous pouvez lui assigner un niveau de nice de 10, par exemple.
86
87
Figure 7-1. La fentre principale du module de Samba Les chiers de conguration de Samba sont enregistrs dans /etc/samba/. Les options Samba principales sont situes dans le chier /etc/samba/smb. conf et sont accessibles par licne R eseau Windows.
Samba recharge sa conguration chaque minute, il nest donc pas n ecessaire de red emarrer le serveur Samba pour chaque changement de conguration.
88
Figure 7-2. Congurer les options communes de rseau Dnissez un Groupe de travail pour votre serveur (RetD dans notre exemple). De plus, vous avez la possibilit de modier le Nom du serveur et la Description du serveur. Vous pouvez aussi demander au serveur Samba de se comporter comme le serveur WINS de votre rseau grce loption Mode WINS1 Ensuite, slectionnez le niveau de scurit Niveau Utilisateur et validez votre choix en cliquant sur Sauvegarder (voir gure 7-2).
89
Chapitre 7. Partage de ressources Si vous voulez utiliser un serveur de chiers avec un client Windows 95, vous devez modier une valeur par dfaut dans la section Authentication : rglez Utiliser des mots de passe chir es ? Non tel quillustr dans la gure 7-3.
Figure 7-4. Synchronisation des utilisateurs Samba et Unix Si votre rseau ne comporte pas de clients Windows 95, cliquez sur licne Congurer la synchronisation automatique dUnix et de Samba, cochez chacune des options comme montr (gure 7-4) et cliquez sur le bouton Appliquer. Pour ajouter les utilisateurs actuels Linux du systme en tant quutilisateur Samba, cliquez sur Convertir les utilisateurs Unix vers des utilisateurs Samba, vriez les options et cliquez sur le bouton Convertir les utilisateurs. Aprs cela, vous devriez cliquer sur Editer les utilisateurs et les mots de passe Samba pour modier ou supprimer les utilisateurs non souhaits.
90
Chapitre 7. Partage de ressources Pour crer un partage public sur lequel tous les utilisateurs locaux pourront lire et crire des chiers, cliquez sur le lien Cr eer un nouveau r epertoire partag e et remplissez les options comme indiqu (gure 7-5). Cliquez ensuite sur le nom du partage (Public dans notre exemple) puis sur le bouton S ecurit e et contr ole dacc` es pour changer les options En ecriture et Acc` es invit e Oui. Sauvegardez vos changements et rptez lopration pour rajouter dautres dossiers partags avec les contrles daccs appropris. Rappelez-vous que les rpertoires partags devront possder des droits daccs Linux appropris an dtre lisibles, accessibles et modiables par les utilisateurs Windows.
Figure 7-6. Limiter les utilisateurs ayant accs un partage Slectionnez un partage modier dans la liste de partages puis cliquez sur le bouton S ecurit e et Contr ole dAcc` es. Utilisez les options Machines autoris ees et Machines refus ees pour spcier une liste dadresses IP (spares par des espaces) des machines autorises se connecter, ou non, ce partage. Si vous placez loption Limiter ` a liste possible Oui, vous pourrez alors remplir les champs Utilisateurs possible et Groups possibles. Voir gure 7-6. 91
Figure 7-7. Options par dfaut pour limprimante partage Toutes les imprimantes du serveur Samba seront disponibles et vous voudrez peut-tre dnir une imprimante par dfaut en cliquant sur R eglages par d efaut des imprimantes partag ees (voir gure 7-7). Utilisez la liste droulante Imprimante Unix pour slectionner limprimante par dfaut et spcier sa disponibilit, ainsi que certaines options de contrle daccs.
7.2.1. Installation
Premirement, vous devez installer le paquetage proftpd sur votre systme. Utilisez rpmdrake ou tapez urpmi proftpd dans un terminal en tant que root. 92
Chapitre 7. Partage de ressources La conguration du serveur se fait travers le module ProFTPD Server de Webmin, dans la catgorie Serveurs.
Le protocole FTP nest pas s ecuris e, car ni lauthentication ni les communications ne sont crypt ees. Les identiants et mots de passe circulant en clair. Utilisez les connexions autres quanonymes seulement ` a lint erieur de r eseaux s ecuris es.
93
Chapitre 7. Partage de ressources Toute la conguration du serveur ProFTPD est enregistre dans le chier /etc/proftpd.conf. La conguration de ProFTPD par dfaut (juste aprs linstallation) ne permet que la connexion des utilisateurs de votre systme ayant un compte local. Dans les sections qui viennent, nous prsenterons quelques exemples de conguration courante de serveurs FTP. Tout comme Apache, ProFTPD peut tre utilis pour servir plusieurs sites FTP sur une mme machine par le biais de serveurs virtuels. Les options de conguration globales sappliqueront tous les serveurs virtuels. Les options de conguration globales se trouvent dans la section Virtual Servers.
Les valeurs par d efaut sont optimis ees pour la plupart des congurations. Inutile de les changer si vous navez pas de besoins sp eciques.
Figure 7-9. Congurer un accs FTP anonyme Cliquez sur Default server puis sur le bouton Anonymous FTP. Crez alors un nouveau serveur anonyme avec les paramtres suivants :
Limit to directory: /var/ftp. Cest le rpertoire racine de lutilisateur ftp ; laccs en dehors de ce rpertoire est virtuellement impossible partir du serveur FTP. Access les as user et Access les as group : ftp. Cet utilisateur et ce groupe ont t crs lors de linstallation de ProFTPD.
Chapitre 7. Partage de ressources Cliquez ensuite sur licne Authentication et assurez-vous que les options suivantes sont correctement positionnes :
Username aliases. Rglez-le anonymous pour Login username et ftp pour le champ Real username puisque nous souhaitons que les clients puissent se connecter avec lidentiant anonymous. Require password for anonymous login? Devrait tre positionn sur Non : lutilisateur anonyme Anonymous na pas de mot de passe. Only allow login by users with valid shell? Devrait tre positionn sur Non. Il nest pas ncessaire davoir un compte pour se connecter en tant que anonymous.
Nous devons dsormais spcier des options pour certaines commandes dans la section Per-directory and Per-command options. Nous voulons autoriser laccs au serveur anonyme. Entrez LOGIN comme FTP commands dans la section Add per-command options for, et cliquez sur le bouton Cr eer. Cliquez alors sur Access Control et slectionnez Allow all clients pour Access control policy. Retournez ensuite aux options du serveur FTP anonyme. tape suivante : nous voulons empcher lcriture partout dans les rpertoires du serveur anonyme. Entrez WRITE comme FTP commands dans la section Add per-command options for, pour crer la commande dcriture Commands WRITE. Cliquez alors sur Access Control et slectionnez Deny all clients pour Access control policy. Sauvegardez les changements, cliquez sur le lien Retourner au menu principal puis Apply Changes pour redmarrer le serveur avec la nouvelle conguration. ce stade, vous pouvez tester votre serveur FTP anonyme. 1. Pointez votre client FTP sur ladresse ou le nom de votre serveur. 2. Entrez le mot anonymous comme identiant et votre adresse lectronique comme mot de passe. 3. Si tout se passe bien, tous les chiers et sous-rpertoires situs dans le rpertoire /var/ftp devraient alors tre disponibles au tlchargement.
95
Allez alors dans la section Anonymous FTP de la conguration Default server et entrez uploads/* dans le champ Directory path type de la section Add perdirectory options for. Nous souhaitons que les utilisateur de notre rseau puissent lire et crire des chiers dans ce rpertoire. Utilisez la section Per-command options. Puis, crez et congurez les deux FTP commands suivantes :
Entrez STOR dans la table Add per-command options for..., puis cliquez sur Create. Ensuite cliquez sur Access Control et remplissez le formulaire tel quillustr (gure 7-10) :
Chapitre 7. Partage de ressources Dans notre exemple, nous autorisons les chargements anonymes de chiers dans ce rpertoire, uniquement pour le rseau 192.168.1., et les bloquons pour tous les autres rseaux. Vous pouvez aussi contrler laccs sur la base dun nom de machine, adresses IP, utilisateurs ou groupes dutilisateurs. Cliquez sur le lien Return to per-directory options, crez la commande READ et rptez les mmes oprations, mais cette fois pour lautorisation en lecture du rpertoire uploads/*.
Retournez au menu principal puis cliquez sur Apply Changes pour redmarrer le serveur FTP avec la nouvelle conguration. Tous les chiers du rpertoire /var/ftp/uploads/ seront disponibles sur le rseau local en lecture et criture anonymes. Vous pouvez dsormais rpter la procdure de test susmentionne, cette fois pour le rpertoire /var/ftp/uploads/.
Dans la section Miscellaneous des serveurs virtuels, vous pouvez changer le Server administrators email address pour spcier ladresse lectronique de ladministrateur systme du serveur ; et le Server name displayed to users pour personnaliser le nom de votre serveur. Par exemple, Serveur principal FTP de ma soci et e. Dans la section Networking Options, vous pouvez changer la valeur Maximum concurrent logins pour que votre serveur ne soit pas surcharg par un trop grand nombre de connexions simultanes2. La valeur initiale est de 10 connexions simultanes. Vous pourrez aussi modier le message derreur de connexion (Login error message), par exemple : D esol e, le nombre maximal dutilisateurs (%m) a et e atteint -- r eessayez plus tard ; o %m reprsente le nombre que nous venons de choisir. Vous pouvez aussi personnaliser le port sur lequel le serveur virtuel va couter les requtes (21 pour le serveur principal).
2. Positionner cette valeur 0 revient empcher toute connexion sur le serveur FTP.
97
Dans la section Files and Directories, vous pouvez spcier les rpertoires initiaux (Initial login directory). Cest le rpertoire racine par dfaut et peut tre utilis pour cantonner les utilisateurs dans un environnement hermtique. Si vous souhaitez mettre tous les utilisateurs dans leur propre environnement cage (Limit users to directories), en limitant leur accs leur propre rpertoire personnel par exemple. New le umask peut tre utilis pour contrler les permissions des chiers qui seront crs (upload) sur le serveur.
Vous pouvez toujours utiliser la section Edit Congs de lcran principal (gure 7-8) si vous souhaitez modier les chiers de conguration du serveur ProFTPD la main.
7.3.1. Installation
Pour congurer les partages NFS avec Webmin, vous devez pralablement installer les paquetages nfs-utils et nfs-utils-clients. Vous pouvez utiliser Rpmdrake ou taper urpmi nfs-utils nfs-utils-clients dans un terminal, en tant que root 98
Ce module est tr` es simple ` a utiliser car il est possible dobtenir des renseignements au sujet de chaque param` etre. Cliquez simplement sur un param` etre que vous ne comprenez pas et un message contextuel sachera, r epondant ` a votre question.
Figure 7-11. Crer un nouveau partage NFS Lcran de cration dun nouveau partage (gure 7-11) est divis en deux parties. Dans D etails du partage, vous devrez spcier le nom du R epertoire partag e que vous voulez exporter vers dautres ordinateurs. Vous pourrez aussi spcier les htes autoriss accder ce rpertoire (Partager ` a). Par dfaut, le partage est accessible Tous. Ceci devrait tre chang pour le sousrseau que vous utilisez (par exemple : 192.168.1.0/255.255.255.0) ou un Groupe de r eseau. Dans S ecurit e de lexport, vous pourrez restreindre un peu plus laccs au rpertoire partag. Par exemple, vous pouvez choisir les ID auxquelles vous voulez faire conance (ou non), ainsi que permettre la lecture ou la lecture et lcriture dans vos rpertoires. Une fois que tout est congur, cliquez sur le bouton Cr eer pour retourner lcran principal de conguration des partages NFS. Vous verrez alors dans la liste le partage que vous venez de crer. Vous pouvez ensuite crer de nou99
Chapitre 7. Partage de ressources veaux partages, ou modier ceux existant en cliquant sur le lien correspondant dans la colonne Partager ` a. Cliquez sur le bouton Appliquer tous changements pour rendre vos partages effectivement accessibles.
Figure 7-12. Outils NFS de DiskDrake Utilisez loutil Points de montage NFS de la section Points de montage. Si votre serveur NFS napparat pas tout de suite, cliquez sur le bouton Rechercher les serveurs. Puis slectionnez dans larborescence gauche le serveur NFS puis le rpertoire monter (gure 7-12).
100
Figure 7-13. Changer le point de montage NFS Cliquez sur le bouton Point de montage pour spcier le rpertoire local dans lequel le partage sera accessible (/mnt/Documents/ dans notre exemple, gure 7-13), puis cliquez sur le bouton Monter pour monter le partage. Le rpertoire partag est dsormais accessible localement dans le rpertoire choisi. Lorsque vous cliquerez sur le bouton Terminer, un dialogue vous proposera de sauvegarder la conguration dans /etc/fstab. Acceptez si vous voulez rendre ce partage accessible dnitivement.
101
102
8.2. Aper cu
Linterface administration de Kolab repose sur le serveur HTTP amlior Apache. Lauthentication au niveau du module dadministration nest possible que via une connexion scurise. Kolab liste trois catgories dutilisateurs:
Utilisateur. Peut changer les informations utilisateurs. Maintainer (utilisateur volu). A les droits Utilisateur plus des droits dadministration sur les utilisateurs, groupes et dossiers partags. Administrateur. A les droits Maintainer plus les droits sur tout larborescence LDAP ainsi que les droits de basculer les services hrits et de consulter les journaux(logs).
Toutes les catgories dutilisateurs accdent au module dadministration Kolab avec la mme interface Web. Aprs lauthentication de laccs grce aux lettres de crances de LDAP, lutilisateur se retrouve face une interface Web
103
Chapitre 8. Le serveur Kolab retant sa catgorie et ses permissions. Les nouveaux utilisateurs sont crs automatiquement en tant quutilisateurs normaux. Le serveur LDAP est hberg physiquement sur la mme machine que Kolab. Toutes les donnes utilises par Kolab, aussi bien les donnes utilisateurs et les donnes de conguration, sont stockes sur le serveur LDAP, qui est congur laide du script damorce de Kolab, kolab bootstrap -b. En sauvegardant rgulirement les donnes LDAP sur une autre machine, il est possible de restaurer un serveur Kolab aprs un crash matriel. Kolab utilise un compte manager spcial, cr linstallation pour permettre aux utilisateurs de type administrateur de manipuler toutes les donnes de Kolab du serveur LDAP. Les Maintainers et les Utilisateurs ont des droits daccs diffrents sur larborescence LDAP. Ce qui signie quune potentielle attaque sur le serveur Apache ne pourrait pas manipuler ou altrer les donnes des comptes utilisateurs sur la machine tant que le mot de passe du manager nest pas fourni.
8.3. Installation
Pour installer le serveur Kolab, utiliser Rpmdrake (voir Rpmdrake: Gestionnaire de paquetages du Guide de dmarrage) de Mandrakelinux Control Center. Vous pouvez aussi installer Kolab en lanant une console en tant que root et en tapant la commande urpmi --auto kolab-server. Aprs linstallation de Kolab, le serveur doit tre congur en excutant la commande /usr/sbin/kolab_bootstrap -b. Le script damorce va congurer le serveur LDAP utilis pour stocker les informations de conguration de Kolab et les donnes utilisateur. Lors de linitialisation du serveur, kolab_bootstrap vous demande de fournir un mot de passe pour le compte manager du serveur LDAP. Vous devez garder cette information puisquelle sert la fois pour le compte Administrateur de Kolab et pour laccs linterface dadministration lors de la premire connexion.
Vous aurez besoin dune entr ee de nom dh ote valide dans le DNS ainsi quun enregistrement MX valide pour votre domaine mail. Si vous nutilisez que /etc/hosts, vous pouvez acc eder ` a la majorit e des fonctionnalit es, mais vous ne pourrez pas recevoir de courriel venant de lext erieur. Une solution serait dutiliser fetchmail ou un outil similaire pour aller chercher les mails sur un serveur POP externe, mais lid eal serait davoir votre propre nom de domaine et une adresse IP xe accessible de lext erieur.
104
Chapitre 8. Le serveur Kolab Quand le script damorce a ni de sexcuter, Dmarrez le serveur Kolab en lanant la commande service kolab-server start. Kolab tourne et est maintenant en attente du premier accs. Pour congurer le client Kontact en conjonction avec Kolab, vous avez besoin dinformations de connexion de LDAP que vous trouverez dans /etc/ openldap/slapd.conf. Par exemple:
# grep suffix /etc/openldap/slapd.conf suffix "dc=kolab,dc=yourdomain,dc=com"
A cause du certicat SSL factice et auto-sign e, votre navigateur vous achera le message certicate failed the authenticity test . Ne vous en souciez pas, ceci est tout ` a fait normal. Cliquez juste sur Continuer, puis Accepter toujours. En fonction de votre conguration DNS, vous pouvez etre amen e` a repasser par cet etape une deuxi` eme fois.
Le premier accs au serveur Kolab doit tre fait en utilisant le compte manager avec le mot de passe que vous aviez choisi lors de lexcution du script kolab_bootstrap. Une fois connect, ladministrateur peut crer un
105
Chapitre 8. Le serveur Kolab compte utilisateur Kolab, des comptes Maintainer et administrateurs. Pour plus dinformations sur ce point, voir Maintainers, page 109.
Si la base de donn ees LDAP est d ej` a pr e-remplie, ladministrateur verra les informations des utilisateurs existants. Ces utilisateurs LDAP ne pourront pas se connecter au module administration de Kolab automatiquement. Les utilisateurs Kolab doivent etre cr e es de fa con explicite ` a laide du module dadministration.
Lorsquun nouveau compte est cr, il est fonctionnel. Lutilisateur Kolab peut accder au module dadministration. Aprs stre connect dans le module administration, la page daccueil de Kolab safche. Une liste de formulaires Web, disponible pour lutilisateur, est accessible sur le cadre de gauche. Les sections suivantes expliquent ces formulaires pour les diffrents types dutilisateurs et les informations ncessaires leur bonne utilisation.
8.4.1. Utilisateurs
Les membres du groupe dutilisateurs rgulier ont le droit de:
modier leurs donnes utilisateur personnels; ajouter une adresse courriel supplmentaire pour leur compte; activer un service de notication dabsence (vacances); activer un service de redirection de courriel.
Les services de notication dabsence (vacances) et de redirection de courriel sont mutuellement exclusifs. Lutilisateur doit explicitement d esactiver un service pour activer lautre.
changer leur nom dutilisateur; changer leur identiant unique utilisateur (UID); changer leur adresse courriel primaire;
Chapitre 8. Le serveur Kolab 1. Connectez vous dans Administration Interface de Kolab. 2. Cliquez sur My User Settings sur le panneau de gauche sur linterface administration de Kolab. 3. Dans le formulaire Modify Existing User changer les informations de lutilisateur. 4. Cliquez sur OK.
Chapitre 8. Le serveur Kolab 3. Cliquez sur Forward E-Mail et la page User Forward Settings safchera. 4. Tapez ladresse o le courriel sera redirig. 5. Si vous voulez conserver une copie des courriels sur le serveur local, cliquez sur la case cocherKeep. 6. Cliquez OK.
8.4.2. Maintainers
Le rle du Maintainer de groupe est dadministrer les utilisateurs et les dossiers partags sur le serveur Kolab. Les droits suivants sont accessibles aux Maintainers en plus des droits de lutilisateur de base :
ajouter, modier et effacer les utilisateurs de Kroupware; ajouter, modier et effacer les contacts du carnet dadresses, pour dsigner les utilisateurs dans le rpertoire LDAP qui ne sont pas enregistrs sur le serveur Kolab; ajouter, modier et effacer les dossiers partags.
Les activit es relatives aux droits utilisateur du Maintainer sont document es ` a Utilisateurs , page 106.
S electionnez la case ` a cocher Addressbook pour rendre ladresse de lutilisateur Kroupware visible dans le carnet dadresses.
8.4.2.1.2. G erer les Utilisateurs existants Si un membre du groupe des Maintainers clique sur le bouton Users situ sur le cadre de gauche de linterface administration de Kolab, une liste alphabtique de tous les utilisateurs courants de Kroupware apparat dans le cadre de droite. Pour chaque utilisateur, un choix de modication ou de suppression est propos.
Pour modier les informations de lutilisateur, cliquez sur le bouton Modify. La page Modify Existing User safchera. Cette page est explique plus en dtails dans Utilisateurs, page 106. Pour effacer un utilisateur, cliquez sur le bouton Delete.
110
Figure 8-4. Le formulaire de cration de carnet dadresses Pour crer un contact de carnet dadresses: 1. Cliquez sur Create new vCard dans la section Users du cadre de gauche. 2. Remplissez les informations requises pour le contact dans le formulaire Create New Address Book Entry. 111
8.4.2.2.2. G erer les utilisateurs existants Quand un membre du groupe de Maintainers clique sur le bouton Addressbook sur le cadre de gauche du module dadministration de Kolab, une liste alphabtique de tous les utilisateurs de carnet dadresses safche dans le cadre de droite. Pour chaque utilisateur, un choix de modication ou de suppression est propos.
Figure 8-5. La table de gestion des utilisateurs de carnet dadresses Les actions suivantes peuvent tre menes sur le formulaire Manage Address Book Users:
Pour modier les informations de lutilisateur: 1. Cliquez sur le bouton Modify. 2. Sur la page Modify Address Book Users, changer les informations dsires. 3. Cliquez sur OK. Pour supprimer un utilisateur, cliquez sur le bouton Delete.
112
Figure 8-6. Le formulaire de cration de nouveaux dossiers partags Pour ajouter un nouveau dossier partag: 1. Cliquez sur Add Folder dans la section Shared Folder sur le cadre de gauche. 2. Remplissez les informations requises dans le formulaire Create New Shared Folder. 3. Cliquez sur OK.
8.4.2.3.2. Congurer les dossiers partag es Quand un membre du groupe de Maintainers clique sur le bouton Shared Folder sur le cadre de gauche du module dadministration de Kolab, une liste alphabtique de tous les dossiers partags courants safche dans le cadre de droite. Pour chaque dossier, un choix de modication ou de suppression est propos.
Pour modier un dossier: 1. Cliquez sur le bouton Modify. 2. Sur la page du dossier Modify Shared, changer les informations dsires. 3. Cliquez sur OK.
113
8.4.3. Administrateurs
Le groupe administrateur a un contrle total sur tous les objets du serveur LDAP et des services hrits non scuriss tels que FTP, HTTP, IMAP et POP3. Les administrateurs peuvent accomplir toutes les fonctions du groupe des Maintainers. En plus de pouvoir ajouter, modier ou supprimer les utilisateurs, les entres du carnet dadresses et les dossiers partags. Les administrateurs ont les droits suivants:
ajouter, modier ou supprimer les comptes des utilisateurs des groupes Maintainer ou administrateur; changer les caractristiques du serveur (Nom dhte et domaine mail); Basculer les services hrits non scuriss (FTP, HTTP, IMAP et POP3).
Les activit es relatives au Maintainer du groupe administrateur et des droits basiques dutilisateur sont document es ` a Utilisateurs , page 106, et Maintainers , page 109.
114
Chapitre 8. Le serveur Kolab 8.4.3.1.2. G erer les Maintainers existants Quand un membre du groupe dadministrateurs clique sur le bouton Maintainers sur le cadre de gauche du module dadministration de Kolab, une liste alphabtique de tous les utilisateurs ou Maintainers courants safche dans le cadre de droite. Pour chaque utilisateurs ou Maintainers, un choix de modication ou de suppression est propos.
Pour modier les informations dun Maintainer: 1. Cliquez sur le bouton Modify du Maintainer dsir. 2. Cet action afchera la page Modify Existing User. 3. Mettez jour les informations dsires. 4. Cliquez sur OK. Pour supprimer un Maintainer, cliquez sur le bouton Delete.
115
Figure 8-8. Le formulaire de cration de nouveaux administrateurs Pour ajouter un nouvel administrateur: 1. Cliquez sur Administrator dans le panneau de gauche du module dadministration. 2. Cliquez sur Add Administrator. 3. Remplissez les cases pour le nouvel administrateur. 4. Cliquez sur OK.
Les changements de ces caract eristiques peuvent aecter directement le syst` eme de transport du courriel et causer des probl` emes sur son acheminement.
Pour changer les paramtres du serveur, cliquez sur Server dans le cadre de gauche du module dadministration, donnez les informations ncessaires comme indique surr la gure ci-dessous puis cliquez sur OK.
116
POP3; service POP3/TLS (TCP port 995); service IMAP/TLS (TCP port 993); service FTP free-busy (publication des disponibilits); service HTTP free-busy (publication des disponibilits).
Pour activer ou dsactiver les services, cliquez sur Services dans le panneau de gauche du module dadministration. Vous verrez alors le formulaire Web suivant.
117
Figure 8-10. Le formulaire des Services Dans ce formulaire vous pouvez voir le statut des diffrents services. Pour les activer ou les dsactiver, cliquez sur lURL requis dans la colonne des actions.
118
119
Figure 9-1. Modier le mot de passe de ladministrateur Aprs avoir cliqu sur un utilisateur, cochez le bouton Set to de la ligne Password. Dans le champ correspondant, entrez le nouveau mot de passe pour ladministrateur. Conrmez vos changements en cliquant sur le bouton Sauvegarder.
120
Figure 9-2. Crer un utilisateur MySQL Pour des raisons de scurit, mieux vaut ne pas laisser la valeur Hosts Any. Spciez plutt les noms des machines depuis lesquelles lutilisateur pourra se connecter la base MySQL.
121
Figure 9-3. Crer une base de donnes MySQL Il est possible de dnir une premire table sur cette nouvelle base de donnes et dy spcier jusqu quatre champs. Pour notre exemple nous avons dcid cependant de faire cela dans ltape suivante. Remarquez que si vous envisagez dutiliser votre base de donnes avec une application tierce comme une interface Web, tout ce dont vous avez besoin est dsormais disponible: un utilisateur et son mot de passe, ainsi quune base de donnes prte accueillir des informations.
Chapitre 9. Serveur de bases de donnes MySQL la table contienne (4 par dfaut). Sur la page Create Table, vous devez crire le nom de la table et des champs et cliquer sur Cr eer.
Figure 9-4. Crer une nouvelle table MySQL Si vous voulez modier les paramtres de table ou ajouter des nouveaux champs, vous pouvez cliquer sur le nom de la table la page Edit Database.
123
Figure 9-5. Modier une table MySQL partir dici, vous pourrez modier ou supprimer un champ existant, ou en crer un nouveau.
124
125
126
10.1. Installation
Dabord, assurez-vous que le serveur ypserv est install correctement sur votre machine. Si ce nest pas le cas, utilisez Rpmdrake ou tapez urpmi ypserv dans un terminal pour linstaller. La conguration du serveur NIS se fait en 2 tapes : la premire est la conguration des Tables NIS1 du serveur ; la deuxime est la conguration de chaque client :
sur le serveur, vous devez installer le paquetage RPM ypserv ; pour chaque poste de travail, vous aurez besoin des paquetages RPM portmap, yp-tools et ypbind.
Pour utiliser le module Client et serveur NIS de Webmin, vous devez slectionner la catgorie R eseau, puis le bouton Client et serveur NIS.
1.
Les tables NIS sont les chiers que vous avez choisis de partager ou dexporter.
127
10.2. Conguration
10.2.1. Serveur NIS
Vous devez congurer votre domaine NIS en utilisant votre nom de domaine (tel que mondomaine.test). Aprs avoir cliqu sur licne Serveur NIS, vous devez choisir les Tables NIS ` a servir. Dans notre exemple, nous avons slectionn les chiers passwd, group et shadow (utilisez la touche Ctrl pour choisir plusieurs chiers de la liste).
Figure 10-1. Serveur NIS Vous navez pas modier la description du chier qui est faite dans la section Fichiers NIS matres. Sur la page principale Client et serveur NIS, licne Tables NIS permet de modier les tables servies. Licne S ecurit e du serveur permet de choisir les clients que vous voulez servir ou non.
129
130
Le chapitre qui traite de scurit (A propos de la scurit sous GNU/Linux, page 133) est une lecture imprative pour tout administrateur systme. Mme si vous pouvez scuriser votre systme Mandrakelinux avec les outils par dfaut, un systme nest vraiment scuris que lorsquil est administr de manire proactive, en prenant soin dentretenir la scurit globale, autant physique que logique de votre systme. Nous esprons que ce chapitre vous aidera choisir une politique de scurit approprie pour vos serveurs ; les bons outils pour scuriser votre infrastructure rseau ; comment dterminer si votre systme a t altr ou compromis, etc. Le but dun serveur est de rendre disponible des services sur un rseau. Ce manuel aurait t incomplet sans un chapitre entirement ddi la rseautique (Le rseau sous GNU/Linux, page 203). La conguration du rseau en lui-mme, et les diffrents protocoles, y sont dnis et explicits. Nous touchons aussi des sujets tels que le routage, traitons de renseignements relatifs Ethernet et au IP (tels que DNS, DHCP et DHCPD), du matriel PC commun, ainsi que dautres technologies comme ARCNet, Appletalk et Frame Relay.
132
Le document original (voir ci-dessous) a et e adapt e pour la distribution Mandrakelinux, des parties ont et e enlev ees ou modi ees.
11.1. Pr eambule
Ce chapitre est bas sur un HOWTO de Kevin Fenzi et Dave Wreski dont loriginal est hberg par le Linux Documentation Project (http://www. tldp.org)
Les documents Linux HOWTO peuvent tre reproduits et distribus en tout ou partie, sur nimporte quel support, physique ou lectronique partir du moment o cette mention de copyright est recopie sur toute copie. Une redistribution commerciale est autorise et encourage ; Cependant, les auteurs aimeraient tre informs de telles redistributions. Toute traduction, oeuvre drive, ou incluant quel que document Linux HOWTO que ce soit doivent correspondre cette mention de copyright. Ce qui veut dire que vous ne pouvez pas produire une oeuvre drive dun HOWTO et en imposer des restrictions additionnelles sur sa distribution. 133
Chapitre 11. A propos de la scurit sous GNU/Linux Ces rgles connaissent des exceptions sous certaines conditions ; Veuillez contacter le coordinateur de Linux HOWTO ladresse prcise dessous.
Si vous avez des questions, contactez Tim Bynum (mailto:tjbynum@ metalab.unc.edu), le coordinateur de Linux HOWTO.
11.1.2. Introduction
Ce chapitre traite certains des principaux problmes affectant la scurit de GNU/Linux. La philosophie gnrale ainsi que les ressources rseau sont aussi abordes. Un certain nombre dautres HOWTOs dbordent sur les questions de scurit et ces documents ont t rfrencs chaque fois quils sy prtaient. Ce chapitre nest pas destin recenser tous les trous de scurit. Un grand nombre de nouvelles techniques sont sans arrt utilises. Ce chapitre vous apprendra o rechercher ce type dinformation mise jour, et donnera des mthodes gnrales pour empcher de telles exactions davoir lieu.
11.2. Aper cu
Ce chapitre tentera dexpliquer certaines procdures et programmes communment employs pour vous aider rendre votre systme plus sr. Il est important de discuter de certains des concepts de base en premier, et crer une base de scurit, avant de commencer.
Chapitre 11. A propos de la scurit sous GNU/Linux accs non autoriss votre systme peuvent tres obtenus par des intrus, aussi appels crackers, qui utilisent alors des techniques avances pour se faire passer pour vous, vous voler de linformation, ou mme vous empcher daccder vos propres ressources. Si vous vous demandez quelle est la diffrence entre un hacker et un cracker , lisez le documentHow to Become a Hacker (http://www.catb.org/~esr/faqs/hacker-howto.html) de Eric Raymond.
Chapitre 11. A propos de la scurit sous GNU/Linux que vous protgez, pourquoi vous le protgez, quelle est sa valeur, et qui est responsable pour vos donnes et autres biens.
Le risque est la possibilit quun intrus puisse russir accder votre ordinateur. Un intrus peut-il lire ou crire des chiers, ou excuter des programmes qui pourraient faire des dgts ? Peut il dtruire des donnes critiques ? Peut-il vous empcher vous ou votre compagnie de raliser un travail important ? Noubliez pas : quelquun ayant accs votre compte ou votre systme peut se faire passer pour vous. Mais aussi, un seul compte non scuris sur votre systme peut conduire compromettre le rseau tout entier. Si vous autorisez un seul utilisateur se connecter en utilisant un chier .rhosts, ou utiliser un service non scuris tel que tftp, vous prenez le risque de voir un intrus mettre un pied dans la porte . Une fois que lintrus a un compte utilisateur sur votre systme, ou le systme de quelquun dautre, il peut tre utilis pour obtenir laccs un autre systme ou un autre compte. Le danger vient gnralement de quelquun ayant des motivations pour obtenir un accs pervers votre rseau ou ordinateur. Vous devez dcider en qui vous avez conance pour leur donner accs votre systme, et quelle menace ils reprsentent. Il y a plusieurs types dintrus, et il est utile davoir lesprit leurs diffrentes caractristiques pendant que vous mettez en place la scurit de votre systme.
Le Curieux - Ce type dintrus est surtout intress par le type de votre systme et les donnes qui sy trouvent. Le Malveillant - Cet intrus est l pour faire crouler votre systme, modier vos pages Web, ou mme vous obliger dpenser du temps et de largent pour vous remettre des dommages causs. Lintrus Clbre - Ce type dintrus essaye dutiliser votre systme pour augmenter sa cte de popularit et dinfamie. Il est susceptible dutiliser la popularit de votre systme pour afcher ses capacits. Le Concurrent - Cet intrus est intress par les donnes qui se trouvent sur votre systme. Il peut dagir de quelquun qui pense que vous possdez des informations dont il pourrait tirer prot, nancirement ou autre.
136
Le Locataire - Ce type dintrus souhaite sinstaller sur votre systme, et utiliser ses ressources pour son propre compte. Il fait gnralement tourner des serveurs chat ou IRC, site darchives pornographiques, ou mme des serveurs DNS. Le Passager - Cet intrus nest intress par votre systme que pour obtenir laccs dautres systmes. Si votre systme est bien connect, ou une passerelle vers certains htes internes, vous tes directement expos ce type dindividu.
La vulnrabilit dcrit le degr de protection de votre ordinateur depuis dautres rseaux, et la possibilit pour quelquun dobtenir un accs non autoris. Quy a-t-il en jeu si quelquun casse votre systme ? Bien sr, les soucis dun particulier en connexion PPP seront diffrents dune socit connectant leurs machines Internet, ou un autre grand rseau. Combien de temps cela prendrait-il de rcuprer/recrer des donnes qui seraient perdues ? Un investissement de temps maintenant peut conomiser dix fois plus de temps plus tard, si vous devez recrer des donnes perdues. Avez vous vri votre stratgie de sauvegarde, et vri vos donns rcemment ?
Chapitre 11. A propos de la scurit sous GNU/Linux de permissions, je vais le faire comme root peut conduire des trous de scurit vidents et dautres nayant pas encore t exploits. RFC 1244 (ftp://www.faqs.org/rfcs/rfc1244.html) est un document dcrivant comment crer votre propre politique de scurit rseau. RFC 1281 (ftp://www.faqs.org/rfcs/rfc1281.html) est un document qui dcrit un exemple de politique de scurit avec des descriptions dtailles de chaque tape. Enn, vous pourrez jeter un coup doeil la bibliothque COAST (ftp: //coast.cs.purdue.edu/pub/doc/policy) pour voir de quoi ont lair de vritables politiques de scurit.
Chapitre 11. A propos de la scurit sous GNU/Linux votre hte local, garder de bons registres de comptes et mettre jour les programmes qui rsolvent des trous de scurit sont parmi les tches dont est responsable ladministrateur scurit local. Bien que cela soit absolument ncessaire, cette tche peut devenir harassante ds que votre rseau dpasse la taille de quelques machines.
Chapitre 11. A propos de la scurit sous GNU/Linux rer votre systme de chiers et les permissions sur les chiers. La suivante, Scurit des mots de passe et cryptage, page 157, traite des moyens de cryptage pour mieux scuriser machines et rseaux. Scurit du noyau, page 169 dbat des options du noyau (kernel) que vous pouvez utiliser pour un systme plus sr. Scurit rseau, page 174, dcrit comment mieux scuriser votre systme GNU/Linux dattaques rseau. Prparation de scurit (avant de vous connecter), page 187, vous informe de la prparation des machines avant leur connexion. Ensuite, Que faire, avant et pendant une effraction, page 190, conseille lattitude avoir lors d une intrusion en cours et comment dtecter une intrusion rcente. Dans Documents de base, page 194, quelques documents de base sur la scurit sont recenss. La section Questions et Rponses Foire aux questions, page 197, rpond quelques questions frquentes, et enn une section Conclusion, page 200. Les deux points principaux raliser lors de la lecture de ce chapitre sont :
Soyez conscient de votre systme. Consultez les logs systmes /var/log/ messages, gardez un oeil sur votre systme, et Gardez votre systme jour en vous assurant que soient installes les dernires versions des programmes mis jour pour les alertes de scurit. Cette simple prcaution rendra votre systme notablement plus sr.
Chapitre 11. A propos de la scurit sous GNU/Linux Des mthodes de scurit physiques comme des serrures sur les portes, cbles, armoires fermes, et vido surveillance sont de bonnes ides, mais en dehors de la porte de ce chapitre.
Chapitre 11. A propos de la scurit sous GNU/Linux (cest dire que cela prendra du temps et laissera des traces deffraction).Cela ralentira les attaquants potentiels. Le mot de passe par dfaut savre un autre risque lorsque vous faites conance au mot de passe du BIOS pour scuriser votre systme. La plupart des fabricants de BIOS ne sattendent pas ce que les utilisateurs ouvrent leur ordinateur et dconnectent les batteries sils oublient leur mot de passe et ont muni leurs BIOS de mots de passe par dfaut qui fonctionnent, nonobstant le mot de passe que vous avez choisi. Voici certains des mots de passe les plus communs :
j262 AWARD_SW AWARD_PW lkwpeter Biostar AMI Award bios BIOS setup cmos AMI!SW1 AMI?SW1 password hewittrand shift + s y x z
Jai test un BIOS Award et AWARD_PW ont fonctionn. Ces mots de passe sont assez faciles obtenir sur les sites Web des fabricants ou sur astalavista (http://astalavista.box.sk) et en tant que tel, un mot de passe de BIOS ne peut pas tre considr comme une protection adquate contre les attaquants informs. Beaucoup de BIOS x86 vous permettent aussi de spcier plusieurs autres bons paramtres de scurit. Consultez le manuel de votre BIOS ou explorez le la prochaine fois que vous redmarrez. Par exemple, certains BIOS dsactivent le dmarrage depuis une disquette et dautres demandent un mot de passe pour pouvoir accder aux caractristiques du BIOS.
Si votre machine est un serveur, et vous congurez un mot de passe de d emarrage, votre machine ne pourra pas red emarrer toute seule. Gardez ` a lesprit que vous aurez besoin de vous d eplacer et fournir le mot de passe en cas de coupure de courant.
142
Une fois encore, si votre machine est un serveur, et vous congurez un mot de passe de d emarrage, votre machine ne pourra pas red emarrer toute seule. Gardez ` a lesprit que vous aurez besoin de vous d eplacer et fournir le mot de passe en cas de coupure de courant.
143
Chapitre 11. A propos de la scurit sous GNU/Linux Donc, dans votre chier /boot/grub/menu.lst, vous devez ajouter une ligne ressemblant :
password tr` es_secret /boot/grub/menu2.lst
et bien entendu, vous devez gnrer un nouveau chier de conguration du nom de /boot/grub/menu2.lst vers lequel vous dplacerez les entres non scurises, prcdemment enleves du chier /boot/grub/menu.lst. Rfrez-vous la page GRUB info pour plus dinformations.
144
Logs contenant des dates tranges. Logs avec des permissions ou propritaire incorrects. traces de redmarrage de la machine ou de services. Logs manquants. Entres su ou connections depuis des origines inhabituelles.
Nous parlerons des donnes logs systme dans le chapitre Gardez trace des donnes de journalisation du systme, page 188.
146
Leur donner la plus exacte quantit de privilges dont ils ont besoin. Sassurer de quand/o ils se connectent, ou devraient se connecter. Sassurer de supprimer les comptes inutiliss, que vous trouverez aisment en utilisant la commande last ou en vriant les chiers journaux pour dterminer si ces utilisateurs sont encore actifs. Pour faciliter la maintenance des comptes et lanalyse des donnes de logs, il est conseill dutiliser le mme numro dusager (userid) sur tous les ordinateurs et rseaux. La cration de groupes de userids devrait tre strictement interdite. Les comptes dutilisateurs permettent aussi la responsabilisation, ce qui est rendu impossible par les comptes groups.
Beaucoup de comptes dutilisateurs locaux qui sont utiliss dans des effractions de scurit nont pas t utiliss pendant des mois ou des annes. Comme personne ne les utilise, ils sont des vecteurs dattaque idaux.
Lorsque vous effectuez des commandes complexes, essayer de les faire tourner dabord de manire non destructive... tout particulirement les commandes qui utilisent lenglobement. Cest--dire, si vous voulez faire rm -f foo*.bak, lancez dabord ls foo*.bak et assurez vous que vous allez effectivement effacer les chiers que vous pensiez. Utiliser echo la place dune commande destructive marche aussi parfois. Ne devenez root que pour lancer des tches spciques. Si vous vous retrouvez en train de vous demandez comment faire pour rsoudre un pro147
Chapitre 11. A propos de la scurit sous GNU/Linux blme, revenez sous votre compte normal, jusqu ce que vous soyez sr de ce que vous avez besoin de faire en tant que root.
Le chemin de commandes pour lutilisateur root est trs important. Ce chemin de commandes (cest a dire, la variable d environnement PATH) dsigne les rpertoires dans lesquels le shell cherche les programmes. Essayez de limiter le chemin de commandes pour lutilisateur root le plus possible, et ny incluez jamais . (qui signie le rpertoire courant ) dans votre PATH. De plus, nayez jamais de rpertoires en criture dans votre chemin de recherche, car cela pourrait permettre aux attaquants de modier ou placer de nouveaux binaires dans votre chemin de recherche, leur permettant de se lancer comme root la prochaine fois que vous utilisez la commande. Nutilisez jamais la suite doutils rlogin/rsh/rexec (appels les rutilitaire ) en tant que root. Ils sont sujets de plusieurs attaques, et sont cruellement dangereux utiliss comme root. Ne crez jamais un chier .rhosts pour root. le chier /etc/securetty contient la liste des terminaux depuis lesquels root peut se connecter. Par dfaut, cela est arrt aux consoles virtuelles locales (ttys). Soyez trs prudent lors de lajout de nouvelles choses ce chier. Vous devriez tre capable de vous connecter distance avec votre compte normal, puis utiliser su si ncessaire (de prfrence sous couvert de ssh ou un autre tube crypt), il ny a donc pas de besoin de se connecter directement sous root. Soyez toujours lent et rchi sous root. Vos actions peuvent modier beaucoup de choses, faites sept fois le tour du clavier avant de taper!
Si vous avez absolument besoin dautoriser quelquun (de prfrence de toute conance) avoir un accs root sur votre machine, il y a un certain nombre doutils qui peuvent vous y aider. sudo autorise les utilisateurs accder un certain nombre de commandes comme root avec leur propre mot de passe. Cela devrait vous permettre ainsi de laisser un utilisateur jecter et monter un support amovible, sans aucun autre privilge root. sudo garde aussi une trace de toutes les tentatives russies ou non dutilisation, vous permettant de savoir qui a utilis quelle commande pour faire quoi. Pour cette raison sudo marche bien mme des endroits o certaines personnes ont des accs root, car il vous aide suivre les changements apports. Bien que sudo puisse tre utilis pour donner certains utilisateurs des privilges pour effectuer certaines tches, il prsente quelques inconvnients. 148
Chapitre 11. A propos de la scurit sous GNU/Linux Il devrait tre utilis uniquement pour un ensemble de tches limites, comme redmarrer un serveur ou ajouter de nouveaux utilisateurs. Tout programme offrant une fuite vers un shell donnera laccs root un utilisateur linvoquant depuis sudo. Cela inclut la plupart des diteurs, par exemple. De mme, un programme aussi inoffensif que /bin/cat peut tre utilis pour craser des chiers, ce qui pourrait tre utilis pour exploiter root. Envisagez sudo comme un moyen de responsabilisation, mais nesprez pas quil remplace lutilisateur root tout en tant sr.
Il ne devrait y avoir aucune raison pour que le rpertoire maison dun utilisateur y autorise lexcution de programmes SUID/SGID. Utiliser loption nosuid dans /etc/fstab pour les partitions en criture par dautres que root. vous pourrez aussi souhaiter utiliser nodev et noexec sur la partition des rpertoires des utilisateurs, ainsi que sur /var, interdisant ainsi lexcution de programmes, et la cration de priphriques caractre ou bloc, qui ne devraient jamais tre ncessaires de toute faon. Si vous exportez des systmes de chier via NFS, assurez vous de congurer /etc/exports avec le plus de restrictions daccs possibles. Cela signie ne pas utiliser de caractres denglobement (* ?) ni autoriser un accs pour root en criture, et exporter en lecture seule chaque fois que cest possible. Congurez le umask de cration de chier des utilisateurs le plus restrictif possible, voir Paramtres umask , page 151. Si vous montez des systmes de chier en utilisant un systme de chier rseau comme NFS, assurez vous de congurer /etc/exports avec des restrictions appropries. Gnralement, utiliser nodev, nosuid, et mme noexec, est souhaitable. Fixer les limites du systme de chier, au lieu de le laisser illimit comme il est par dfaut. Vous pouvez contrler des limites par utilisateurs en utilisant le module de limites de ressources PAM et le chier /etc/pam.d/ 149
Chapitre 11. A propos de la scurit sous GNU/Linux limits.conf. Par exemple, les limites pour le groupe users pourraient ressembler cela :
@users @users @users hard hard hard core nproc rss 0 50 5000
Cela interdit la cration de chiers core , limite le nombre de processus 50, et limite lutilisation de la mmoire par utilisateur 5Mo. Vous pouvez aussi utiliser le chier de conguration /etc/login.defs pour rgler les mmes limites. Les chiers /var/log/wtmp et /var/run/utmp contiennent les registres de connexion pour tous les utilisateurs de votre systme. Leur intgrit doit tre assure, car ils peuvent tre utiliss pour dterminer quand et do un utilisateur (ou un possible intrus) est entr sur le systme. Ces chiers devraient aussi avoir des permissions en 644, sans affecter la marche normale du systme. Le bit inaltrable peut tre utilis pour empcher leffacement ou lcrasement accidentel dun chier qui doit tre protg. Cela empche aussi quelquun de crer un lien dur vers le chier. Voir la page chattr(1) pour plus dinformation sur le bit inaltrable . Les chiers SUID et SGID sur votre systme prsentent un risque potentiel de scurit, et devraient tre surveills de prs. Du fait que ces programmes donnent des privilges particuliers aux utilisateurs qui les excutent, il est ncessaire de sassurer que des programmes non srs ne sont pas installs. Un coup favori des crackers est dexploiter les programmes SUID-root, puis laisser un programme SUID comme porte drobe (backdoor) pour rentrer nouveau plus tard, mme si le trou original a t bouch. Cherchez tous les programmes SUID/SGID sur votre systme, et gardez une trace de ce quils sont, de sorte que vous puissiez vous rendre compte de tout changement, ce qui pourrait indiquer un intrus potentiel. Utilisez les commandes suivantes pour trouver tous les programmes SUID/SGID de votre systme :
root# find / -type f \( -perm -04000 -o -perm -02000 \)
150
Chapitre 11. A propos de la scurit sous GNU/Linux Vous pouvez supprimer la permission SUID ou SGID sur un programme suspect avec la commande chmod, puis changez-la nouveau si vous vous rendez compte que cest absolument ncessaire. Les chiers en criture non restreinte (world-writable), plus particulirement les chiers systmes, peuvent tre un trou de scurit si un cracker obtient laccs votre systme, et les modie. De plus, les rpertoires en criture non restreinte sont dangereux, car ils autorisent un cracker de crer ou effacer des chiers volont. pour localiser de tels chiers sur votre systme, utilisez la commande suivante :
root# find / -perm -2 ! -type l -ls
et assurez-vous de la cause de lexistence de tels chiers. En utilisation normale, plusieurs chiers seront en criture non restreinte, mme certains chiers de /dev, et les liens symboliques, do le ! -type l qui exclut ces derniers de la commande find.
Les chiers sans propritaire peuvent aussi tre un signe quun intrus est pass par l. Vous pouvez localiser les chiers qui nont pas de propritaire ou de groupe propritaire grce la commande :
root# find / \( -nouser -o -nogroup \) -print
Trouver les chiers .rhosts devrait faire partie de vos devoirs dadministrateur systme, car ils devraient tre bannis de votre systme. Rappelez-vous quun cracker na besoin que dun compte ouvert pour avoir lopportunit daccder au rseau entier. Vous pouvez localiser les chiers .rhosts avec la commande :
root# find /home -name .rhosts -print
Enn, avant de changer les permissions dun chier systme, assurez-vous que vous comprenez ce que vous faites, ne changez jamais les permissions dun chier parce que cela semble tre une manire facile pour que tout marche bien. Cherchez toujours savoir pourquoi ce chier a ces permissions avant de les modier.
151
Assurez-vous dutiliser un umask pour roots de 077, qui interdira lecture, criture, et excution pour les autres utilisateurs a moins que vous ne changiez cela explicitement avec la commande chmod. Dans ce cas, les rpertoires nouvellement crs devraient avoir des permissions de 744, obtenues en soustrayant 033 de 777. Les chiers nouvellement crs avec un umask de 033 devraient avoir des permissions de 644.
Pour Mandrakelinux, il est juste n ecessaire dutiliser un umask de 002. Cela est d u au fait que la conguration de base utilise un groupe par utilisateur.
Chapitre 11. A propos de la scurit sous GNU/Linux Proprit Quels utilisateurs et groupes ont le contrle des paramtres de permission du noeud et du parent du noeud Permissions Bits susceptibles dtre mis ou enlevs pour permettre un certain type daccs. Les permissions pour les rpertoires peuvent avoir une signication diffrente des mmes paramtres de permissions sur un chier. Lecture :
tre capable de lire le contenu dun chier tre capable de lire un rpertoire
criture:
tre capable dajouter ou modier un chier tre capable de supprimer ou de dplacer des chiers dun rpertoire
Excution:
tre capable de lancer un programme binaire ou un script shell tre capable de chercher dans un rpertoire, en accord avec la permission de lecture
Attribut de sauvegarde du texte : (Pour les rpertoires) Le sticky bit (bit de conservation) a aussi un comportement diffrent lorsquil est appliqu aux rpertoires. Si le bit de conservation est mis sur un rpertoire, alors un utilisateur pourra seulement supprimer les chiers quil y possde, ou pour lesquels il a des droits explicites en criture, mme sil a les droits en criture sur ce rpertoire. Cela est conu pour des rpertoires tels que /tmp, qui sont world-writable (criture par tout le monde), mais o il ne vaut mieux pas que les utilisateurs puissent effacer des chiers lenvie. Le sticky bit est vu comme un t dans un listing de rpertoire dtaill.
153
Chapitre 11. A propos de la scurit sous GNU/Linux Attribut SUID : (Pour les chiers) Il sagit de la permission set-user-id (utiliser ID utilisateur) sur le chier. Quand le mode dutilisation de lID utilisateur est mis dans les permissions du propritaire, et si le chier est excutable, les processus qui lutilisent obtiennent les ressources systmes de lutilisateur qui possde le chier, et non plus de lutilisateur qui a lanc le processus. Cela est la cause de beaucoup de violations de type buffer overow (dpassement de mmoire tampon). Attribut SGID : (Pour chiers) Sil est utilis dans les permissions du groupe, ce bit contrle le statut set group id dun chier. Il se comporte comme pour suid, part que cest le groupe qui en est bnciaire. Le chier doit tre excutable pour faire effet.
Attribut SGID : (Pour rpertoires) Si vous activez le bitSGID sur un rpertoire (avec chmod g+s directory), les chiers qui y seront crs auront leur groupe mis au groupe du rpertoire. Vous Le propritaire du chier Groupe Le groupe auquel vous appartenez Tous Quiconque sur le systme qui nest ni propritaire, ni membre du groupe Exemple de chier :
-rw-r--r-- 1 kevin users 114 Aug 28 1997 .zlogin 1st bit - r epertoire? (non) 2nd bit - lecture propri etaire? (oui, par kevin) 3rd bit - ecriture par propri etaire? (oui, par kevin) 4th bit - ex ecution propri etaire? (non) 5th bit - lecture groupe? (oui, par users) 6th bit - ecriture groupe? (non) 7th bit - ex ecution groupe? (non) 8th bit - lecture tous? (oui, par tous) 9th bit - lecture tous? (non) 10th bit - ex ecution tous? (non)
154
Les lignes suivantes sont des exemples densembles de permissions qui sont ncessaires pour avoir laccs dcrit. Vous voudrez sans doute donner plus de permissions que celles donnes ici, mais on ne dcrit ici que leffet de ces permissions minimales :
-r---------w------Autoriser lacc` es en lecture au fichier par le propri etaire Autoriser le propri etaire ` a modifier ou effacer le fichier (Notez que quiconque ayant les droits d ecriture sur le r epertoire dans lequel se trouve le fichier peut l ecraser/effacer) ---x------ Le propri etaire peut ex ecuter ce programme, mais pas de script shell, qui de plus n ecessite un droit en lecture ---s------ Sera ex ecut e avec lUID du propri etaire ------s--- Sera ex ecut e avec le GID du groupe -rw------T Pas de mise ` a jour du "last modified time" (Heure de derni` ere modification). G en eralement utilis e pour le fichiers d echange (swap) ---------t Aucun effet. (anciennement bit de conservation)
Exemple de rpertoires :
drwxr-xr-x 3 kevin users 512 Sep 19 13:47 .public_html/ 1e bit - r epertoire? (oui, il contient de nombreux fichiers) 2e bit - lecture propri etaire? (oui, par kevin) 3e bit - ecriture propri etaire? (oui, par kevin) 4e bit - ex ecution propri etaire? (oui, par kevin) 5e bit - lecture groupe? (oui, par users) 6e bit - ecriture groupe? (non) 7e bit - ex ecution groupe? (oui, par users) 8e bit - lecture par tous? (oui, par tous) 9e bit - ecriture par tous? (non) 10e bit - ex ecution par tous? (oui, par tous)
Les lignes qui suivent sont des exemples des ensembles de permissions minimum requis pour autoriser laccs dcrit. Vous voudrez sans doute donner plus de permissions que celles donnes ici, mais on ne dcrit ici que leffet de ces permissions minimales :
dr-------d--x-----dr-x-----d-wx-----d-----x--t d--s--s--Le contenu peut ^ etre list e, mais lattribut des fichiers ne peut ^ etre lu Le r epertoire est accessible, et utilis e comme chemin en ex ecution compl` ete Les attributs de fichiers peuvent ^ etre lus par le propri etaire Les fichiers peuvent ^ etre cr e es/effac es, m^ eme si le r epertoire nest pas le r epertoire courant Emp^ eche leffacement de fichiers par "tous" ceux ayant un droit d ecriture. Utilis e pour /tmp Aucun effet
155
Chapitre 11. A propos de la scurit sous GNU/Linux Les chiers de conguration systme (gnralement dans /etc) ont souvent un mode de 640 (-rw-r-----), et sont possds par root. Selon les besoins en scurit de votre site, vous pouvez les ajuster. Ne laissez jamais un chier systme en criture pour un groupe ou pour tous. Certains chiers de conguration, dont /etc/shadow, devraient ntre en lecture que par root, et les rpertoires de /etc ne devraient pas tre accessibles par tous, au moins. Scripts Shell SUID les scripts shell suid reprsentent un srieux risque de scurit, et pour cette raison, le noyau nen tiendra pas compte. Quel que soit le degr de scurit que vous supposez pour ces scripts, ils peuvent tre exploits par le cracker pour lui fournir un shell root.
Chapitre 11. A propos de la scurit sous GNU/Linux Les contrleurs dintgrit peuvent tre une aubaine pour dtecter des intrusions avant mme que vous ne puissiez les remarquer. Comme beaucoup de chiers changent sur un systme moyen, vous devrez faire le discernement entre des activits de cracker et vos propres agissements. Vous pouvez trouver une version libre et non prise en charge de Tripwire sur le site tripwire.org (http://www.tripwire.org), gratuitement. Des manuels et de lassistance technique peuvent tre achets. Aide peut tre trouv sur Sourceforge (http://sourceforge.net/projects/ aide). Osiris peut tre trouv OSIRIS Host Integrity Management (http:// osiris.shmoo.com/).
157
Une des caractristiques de scurit les plus importantes utilise aujourdhui est le mot de passe. Il est important que vous et vos utilisateurs ayez des mots de passe srs et impossibles deviner. Votre distribution Mandrakelinux fournit le programme passwd qui interdit lutilisation dun mot de passe trop simple. Assurez vous que votre version de passwd est jour. Une discussion en profondeur du thme du cryptage est au del de la porte de ce document, mais une introduction est de rigueur. Le cryptage est trs utile, parfois mme ncessaire notre poque. Il y a toutes sortes de mthodes de cryptage des donnes, chacune avec ses propres caractristiques. La plupart des UNIXs (et GNU/Linux ny fait pas exception) utilisent principalement un algorithme de chiffrement sens unique appel DES (Data Encryption Standard, soit Standard de cryptage de donnes) pour crypter vos mots de passe. Ce mot de passe crypt est alors gard dans le chier /etc/shadow. Quand vous essayez de vous connecter, le mot de passe que vous tapez est crypt nouveau et compar avec lentre contenue dans le chier qui contient les mots de passe. Sils concident, cela doit tre le mme mot de passe, et laccs est alors autoris. Bien que DES soit un algorithme de cryptage double sens (vous pouvez coder puis dcoder un message, la bonne cl tant fournie), les variantes utilises par la plupart des UNIXs sont sens unique. Cela signie quil ne devrait pas tre possible de renverser le chiffrement pour rcuprer le mot de passe daprs le contenu du chier /etc/shadow. Des attaques en force, du type Crack ou John the Ripper (voir la section Crack et John the Ripper, page 166) peuvent souvent deviner vos mots de passe, moins quils ne soient sufsamment alatoires. Les modules PAM (voir ci-dessous) vous permettent dutiliser diffrentes routines de cryptage pour vos mots de passe (MD5 ou similaire). Vous pouvez aussi utiliser Crack votre avantage. Envisagez de le lancer priodiquement sur votre propre base de mots de passe, pour trouver les mots de passe non srs. Contactez alors lutilisateur en infraction, et demandez lui de changer son mot de passe. Vous pouvez vous rendre sur le site du CERN (http://consult.cern.ch/ writeup/security/security_3.html) pour des conseils sur le choix dun bon mot de passe. 158
159
Chapitre 11. A propos de la scurit sous GNU/Linux Vous trouverez plus de renseignements au sujet de la cryptographie dans la FAQ du site de la cryptographie RSA (http://www.rsasecurity.com/ rsalabs/faq/). Vous trouverez ici toute linformation sur des sujets tels que Dife-Hellman , cryptographie cl publique , certicats lectroniques , etc.
SSL : - SSL (Secure Sockets Layer) est une mthode de cryptage dveloppe par Netscape pour fournir de la scurit sur Internet. Il prend en charge plusieurs protocoles de cryptage et fournit lauthentication du client et du serveur. SSL agit sur la couche transport, cre un canal crypt de donnes et peut ainsi encoder des donnes de diverses natures. Vous constaterez cela lorsque vous visiterez un site scuris pour consulter un document en ligne avec Communicator. Cest galement la base des communications scuritaires avec Communicator, ainsi quavec plusieurs composantes de chiffrement de donnes de Netscape Communications. Vous trouverez plus de renseignements sur le site Openssl.org (http://www.openssl.org). Des informations sur les autres implmentations de scurit de Netscape et un bon point de dpart pour ces protocoles sont disponibles sur le site de Netscape (http://wp.netscape.com/ security/index.html). Mentionnons aussi que le protocole SSL peut tre utilis pour passer nombre de protocoles communs, en les enveloppant par scurit. Voir le site de Quiltaholic (http://www.quiltaholic.com/ rickk/sslwrap/). S-HTTP : - S-HTTP est un autre protocole qui fournit des services de scurit par Internet. Il a t conu pour pourvoir, aux deux parties impliques dans les transactions, condentialit, authentication, intgrit, et non rpudiation [ne pas pouvoir tre pris pour un autre] tout en grant des mcanismes cls multiples et des algorithmes de cryptographie ngociation doptions. S-HTTP est limit au logiciel spcique qui limplmente et crypte chaque message individuellement. [ extrait de RSA Cryptography FAQ , page 138]
160
S/MIME : - S/MIME (Secure Multipurpose Internet Mail Extension, soit extension de courrier lectronique scuris porte multiple) est un standard de cryptage utilis pour crypter le courrier lectronique et autres types de messages sur Internet. Cest un standard ouvert dvelopp par la RSA, de sorte quil est probable quil apparaisse sous GNU/Linux un jour ou lautre. plus de renseignements sur S/MIME peuvent tre trouvs sur RFC2311 (http://www.ietf.org/rfc/rfc2311.txt).
161
Chapitre 11. A propos de la scurit sous GNU/Linux De mme que dautres formes de cryptographie, elle nest pas distribue dans le noyau par dfaut, cause des restrictions lexportation.
Chapitre 11. A propos de la scurit sous GNU/Linux Vous pourrez trouver Secure telnet et Secure FTP en commenant par la FAQ SSLeay et SSLapps (http://www.psy.uq.oz.au/~ftp/Crypto/) (en anglais).
Le projet OpenSSL bas e sur SSLeay a pour but de d evelopper une boite ` a outils robuste, de qualit e commerciale, enti` erement fonctionnelle, et Open Source qui impl emente les protocoles Secure Sockets Layer (SSL v2/v3) et Transport Layer Security (TLS v1) ainsi quune librairie de cryptographie forte dusage g en eral. Pour plus dinformations sur ce projet, consultez les Pages OpenSSL (www.openssl.org). Il y a aussi une liste cons equente dapplications bas ees sur OpenSSL sur Applications en relation avec OpenSSL (http://www.openssl.org/related/apps.html).
SRP est une autre implmentation scurise de telnet/ftp. Extrait de leur page Web : Le projet SRP dveloppe des logiciels Internet srs pour une utilisation mondiale gratuite. partir dune distribution de Telnet et FTP totalement scuriss, nous esprons supplanter les systmes dauthentication rseau vulnrables par des substituts solides qui ne sacrient en rien la facilit dutilisation pour la scurit. La scurit devrait tre de fait et non pas une option ! Pour plus de renseignements, visiter stanford.edu (http://srp.stanford. edu/srp).
Utilisez un cryptage autre que DES pour vos mots de passe. (Les rendant plus rsistants aux dcodages par la force) 163
Fixez des limites de ressources pour tous vos utilisateurs, de sorte quils ne puissent mener des attaques de type dnis de service (denial of service) (nombre de processus, quantit de mmoire, etc.) Activez les mots de passe fantme (shadow) (voir ci-dessous) la vole Autorisez certains utilisateurs se connecter uniquement certaines heures depuis des sites spciques
En quelques heures dinstallation et de conguration de votre systme, vous pouvez empcher plusieurs attaques avant quelles ne surviennent. Par exemple, utilisez PAM pour dsactiver lutilisation sur tout le systme des chiers .rhosts dans les rpertoires des utilisateurs en ajoutant ces lignes dans /etc/pam.d/rlogin :
# # D esactiver rsh/rlogin/rexec pour les utilisateurs # login auth required pam_rhosts_auth.so no_rhosts
Chapitre 11. A propos de la scurit sous GNU/Linux Le standard IPSEC dnit un ensemble de protocoles qui peuvent tre utiliss (entre autre) pour monter des VPNs crypts. Cependant, IPSEC est un protocole plutt lourd et compliqu possdant un grand nombre doptions, les implmentations de lensemble complet du protocole sont encore rarement utiliss et plusieurs problmes (tel que la gestion des cls) ne sont toujours pas compltement rsolus. CIPE utilise une approche simple, dans laquelle beaucoup de choses modiables (comme le choix de lalgorithme de cryptage effectivement utilis) sont xes linstallation. Cela limite la exibilit, mais permet une implmentation simple (et par l mme efcace, facile dboguer...). Plus dinformations peuvent tre trouves chez CIPE Project (http://sites. inka.de/sites/bigred/devel/cipe.html) De mme que dautres formes de cryptographie, il nest pas distribu avec le noyau par dfaut du fait de restrictions lexportation.
11.6.7. Kerberos
Kerberos est un systme dauthentication dvelopp par The Athena Project au MIT. Quand un utilisateur se connecte, Kerberos authentie cet utilisateur (en utilisant un mot de passe), et fournit cet utilisateur un moyen de prouver son identit aux autres serveurs et htes dissmins sur le rseau. Cette authentication est alors utilise par des programmes tels que rlogin pour autoriser lutilisateur se connecter dautres htes sans mot de passe (au lieu du chier .rhosts). Cette mthode dauthentication peut aussi tre utilise par le systme de courrier lectronique pour garantir que les messages seront dlivrs la bonne personne, ainsi que pour garantir lauthenticit de lexpditeur. Kerberos et les programmes qui laccompagnent, empchent les utilisateurs de tromper le systme en lui faisant croire quils sont quelquun dautre ( spoong ). Malheureusement, installer Kerberos est trs intrusif, et demande le remplacement ou la modication de nombreux programmes standards. Vous pourrez trouver plus dinformations propos de Kerberos en visitant la FAQ Kerberos (http://www.faqs.org/faqs/kerberos-faq/general/), et le code peut tre obtenu depuis le site mit.edu (http://web.mit.edu/ kerberos/www/).
165
Chapitre 11. A propos de la scurit sous GNU/Linux [Stein, Jennifer G., Clifford Neuman, and Jeffrey L. Schiller. "Kerberos : An Authentication Service for Open Network Systems." USENIX Conference Proceedings, Dallas, Texas, Winter 1998.] Kerberos ne devrait pas tre votre premier pas pour amliorer la scurit de votre hte. Il est plutt compliqu, et pas aussi rpandu que, disons SSH.
Chapitre 11. A propos de la scurit sous GNU/Linux pouvoir lire votre chier /etc/shadow, mais de tels trous sont plus courants que vous ne le pensez. Parce que la scurit nest aussi forte que si le plus faible des htes est protg, il est bon de mentionner que si vous avez des machines Windows sur votre rseau, vous devriez jeter un coup dil L0phtCrack, une implantation de Crack sous windows. Il est disponible depuis le site atstake.com (http://www.atstake.com/research/lc3/).
11.6.10. CFS - Syst` eme de Fichiers Crypt e et TCFS Syst` eme de Fichiers Crypt e Transparent
CFS (Cryptographic File System) permet de chiffrer une arborescence complte ; pour leur part, les utilisateurs peuvent y enregistrer des chiers crypts. Il utilise un serveur NFS tournant sur la machine locale. Pour obtenir plus de renseignements ainsi que les sources visitez le site de att.com (ftp://ftp.research.att.com/dist/mab/). TCFS (Transparent Cryptographic File System) amliore CFS en lui ajoutant une meilleure intgration dans le systme de chiers, de sorte quil devient transparent aux utilisateurs quand le systme de chier est crypt. Plus dinformations sur le site de tcfs.it (http://www.tcfs.it/). Il na pas non plus besoin dtre utilis sur des systmes de chiers complets. Il fonctionne aussi bien sur de simples arborescences.
Chapitre 11. A propos de la scurit sous GNU/Linux et rentrer aisment. Ainsi, si vous devez autoriser laccs une machine peu sre, quiconque l bas peut violer votre afchage. Si vous utilisez xdm (X Display Manager), ou son quivalent pour KDE KDM, pour vous connecter, vous disposez dune bien meilleure mthode daccs : MIT-MAGIC-COOKIE-1. Un cookie de 128 bits est gnr et plac dans votre chier .Xauthority. Si vous avez besoin dautoriser un accs distant votre afchage, vous pouvez alors utiliser la commande xauth et linformation qui se trouve dans votre chier .Xauthority pour fournir laccs cette seule connexion. Voyez le Remote-X-Apps mini-howto : The Linux Documentation Project (http://www.tldp.org/HOWTO/Remote-X-Apps. html). Vous pouvez aussi utiliser ssh (voir ssh (shell scuris) et stelnet, page 162, ci-dessus) pour permettre des connexions X scurises. Cela possde aussi lavantage dtre totalement transparent pour lutilisateur, et signie quaucune donne en clair ne circule sur le rseau. Vous pouvez aussi dsactiver toute connexion distante votre serveur X en utilisant loption -nolisten tcp vers votre serveur X. Ainsi, vous prviendrez toutes les connexions rseau vers votre serveur sur des interfaces de connexion (sockets) TCP. Jetez un coup dil Xsecurity(7x) pour plus de renseignements concernant la scurit sous X. La bonne manire est dutiliser xdm pour vous connecter la console, puis dutiliser ssh pour aller sur un site distant sur lequel vous lancez votre application X.
11.6.11.2. SVGA
Les programmes SVGAlib sont gnralement suid-root de faon pouvoir accder tous vos priphriques vido. Cela les rend trs dangereux. Sils plantent, Vous devez gnralement redmarrer la machine pour rcuprer une console utilisable. Assurez-vous que chaque programme SVGA que vous utilisez est authentique, et que vous pouvez leur faire conance. Ou mieux, ne les utilisez pas du tout.
Chapitre 11. A propos de la scurit sous GNU/Linux Ce qui signie que GGI sera capable de rcuprer votre console tout instant vers un tat stable connu. Cela permet aussi dutiliser une cl de scurit qui empche lutilisation de programmes login de type cheval de Troie (Trojan) sur votre console. Projet GGI (http://www.ggi-project.org)
Chapitre 11. A propos de la scurit sous GNU/Linux mise en place de nouveaux noyaux du Manuel de Rfrence pour obtenir une description du processus de compilation dun nouveau noyau.
Pare-feu rseau (CONFIG_FIREWALL) Cette option devrait tre active si vous envisagez dutiliser un parefeu (rewalling) ou le masquage dIP (masquerading) sur votre machine GNU/Linux. Si vous ne congurez quune simple machine cliente, il est plus sr de rpondre non. IP : reroutage/passerelle (CONFIG_IP_FORWARD) Si vous activez le reroutage IP (IP forwarding) ; votre machine devient essentiellement un routeur. Si votre machine est sur un rseau, vous pourriez rexpdier des donnes dun rseau un autre, et mme subvertir un parefeu qui tait la justement pour empcher cela. Les utilisateurs normaux en connexion par modem devraient dsactiver cette option, et les autres se focaliser sur les implications au niveau de la scurit dune telle dcision. Les machines pare-feu devront activer cela, en conjonction avec un logiciel de pare-feu. Vous pouvez activer le reroutage IP en utilisant la commande :
root# echo 1 > /proc/sys/net/ipv4/ip_forward
IP : cookies syn (CONFIG_SYN_COOKIES) Une attaque SYN est une attaque du type dnis de service (DoS) qui consomme toutes les ressources de votre machine, vous forant au redmarrage. Nous ne voyons pas de raisons pour ne pas activer cela. Dans la srie de noyaux 2.1, cette option de conguration accepte simplement les cookies syn , mais ne les active pas. Pour les activer, vous devez faire :
root# echo 1 > /proc/sys/net/ipv4/tcp_syncookies <P>
170
IP : Pare-feu (CONFIG_IP_FIREWALL) Cette option est ncessaire si vous envisagez de congurer votre machine comme pare-feu, faire du reroutage IP, ou souhaitez protger votre station en connexion par modem de quelquun qui souhaiterait y pntrer. IP : noter les paquets pare-feu (CONFIG_IP_FIREWALL_VERBOSE) Cette option vous donne des informations sur les paquets que votre parefeu a reu comme lexpditeur, le destinataire, le port, etc. IP : Refuser les structures routes la source (CONFIG_IP_NOSR) Ceci devrait tre activ. Les structures routes la source contiennent le chemin complet vers leur destination lintrieur du paquet. Cela signie que les routeurs nont pas besoin de les vrier et ne font que les rexpdier. Cela pourrait conduire laisser entrer des donnes sur votre systme qui pourraient reprsenter une possible violation. IP : masquage (CONFIG_IP_MASQUERADE) Si lun des ordinateurs de votre rseau local, pour lequel votre machine GNU/Linux agit comme pare-feu, veut envoyer quelque chose lextrieur, votre machine peut masquer cet hte, cest dire quelle rexpdie le trac vers la destination mais le fait comme sil venait de lui-mme. Consultez indyramp.com (http://www.indyramp.com/masq) et le chapitre Congurer des clients de passerelle, page 29 pour plus dinformations. IP : masquage ICMP (CONFIG_IP_MASQUERADE_ICMP) Cette option ajoute le masquage ICMP loption prcdente qui ne masque que le trac TCP ou UDP. IP : support de mandataire (proxy) transparent
(CONFIG_IP_TRANSPARENT_PROXY)
Cela autorise votre pare-feu GNU/Linux rediriger de manire transparente tout le trac rseau provenant du rseau local destin un hte distant depuis un serveur local, appel serveur proxy transparent . Cela fait croire aux ordinateurs locaux quils communiquent avec lhte distant, 171
Chapitre 11. A propos de la scurit sous GNU/Linux alors quils sont connects au proxy local. Consultez le document IP Masquerade HOWTO (http://www.tldp.org/HOWTO/IP-Masquerade-HOWTO/ index.html) pour plus de renseignements. IP : dfragmenter toujours (CONFIG_IP_ALWAYS_DEFRAG) Cette option est normalement dsactive, mais si vous construisez un parefeu, ou un hte de masquage, vous devrez lactiver. Lorsque des donnes sont envoyes dun hte un autre, elles ne sont pas toujours envoyes comme un seul paquet de donnes, mais plutt fragmentes en plusieurs morceaux. Le problme de cela est que les numros de ports ne sont connus que du seul premier fragment. Cela signie que quelquun pourrait insrer dans les paquets suivants, des informations errones. Cela est aussi susceptible dempcher une attaque de type teardrop contre un serveur interne qui ne serait lui mme pas immunis contre cela. Signatures de paquets (CONFIG_NCPFS_PACKET_SIGNING) Cela est une option qui va signer les paquets NCP pour une scurit accrue. Vous pouvez normalement la laisser dsactive, mais elle est l si vous en avez besoin. IP : Priphrique pare-feu de paquets netlink
(CONFIG_IP_FIREWALL_NETLINK)
Voil une option bien pense qui vous permet danalyser les 128 premiers octets des paquets dans un programme utilisateur, pour dterminer si vous souhaitez accepter ou refuser le paquet, selon sa validit. Filtrage de Socket (CONFIG_FILTER) Pour le plus grand nombre, il est bon de rpondre non cette option. Celleci vous permet de connecter un ltre utilisateur nimporte quel Socket et choisir les paquets accepter ou refuser. moins que vous nayez un besoin trs spcique et que vous soyez capable de programmer un tel ltre, vous devriez dire non. Notez aussi que lheure dcrire cette section, tous les protocoles sont supports, sauf TCP. Redirection de port 172
Chapitre 11. A propos de la scurit sous GNU/Linux La redirection de port (Port Forwarding) est une extension du masquage IP qui autorise la redirection de paquets depuis lintrieur dun pare-feu sur des ports spciques. Cela peut tre utile si, par exemple, vous voulez utiliser un serveur Web derrire le pare-feu ou hte de masquage et ce serveur Web doit tre accessible du monde externe. Un client externe envoie une requte au port 80 du pare-feu, le pare-feu fait suivre la requte au serveur Web, le serveur Web traite la requte et les rsultats sont envoys par le rseau au client original. Le client croit que cest le pare-feu lui-mme qui est le serveur Web. Cela peut aussi tre utilis pour rpartir la charge si vous avez une ferme de serveurs identiques en de du pare-feu. Toute linformation propos de cette caractristique est disponible sur monmouth (http://www.monmouth.demon.co.uk/ipsubs/ portforwarding.html). Filtrage de ports Socket (CONFIG_FILTER) En utilisant cette option, un programme utilisateur peut affecter un ltre chaque socket, et indiquer par l au noyau sil peut accepter ou refuser certains types de donnes de passer travers le socket. Le ltrage de socket GNU/Linux marche sur tous les types de socket sauf les TCP pour linstant. Consultez le chier texte ./linux/Documentation/networking/ filter.txt pour plus dinformation. IP : Masquage Le masquage pour les noyaux 2.2 a t amlior. Il propose des supports additionnels pour masquer des protocoles particuliers, etc. Assurez-vous de lire le HOWTO ipchains pour plus dinformations.
173
Chapitre 11. A propos de la scurit sous GNU/Linux Aussi bien /dev/random que /dev/urandom devraient tre assez srs pour gnrer des cls PGP, des challenges ssh, et autres applications o des nombres alatoires sont requis. Les attaquants devraient tre incapables de prdire le nombre suivant, connaissant une squence initiale de nombres provenant de ces sources. Beaucoup defforts ont ts consentis pour sassurer que les nombres fournis par ces sources sont alatoires, dans tous les sens du terme. La seule diffrence entre ces deux priphriques, est que /dev/random spuise en octets alatoires, et vous fait attendre jusqu ce que dautres ce soient accumuls. Notez que sur certains systmes, il peut se bloquer pendant un long moment, attendant que de la nouvelle entropie, gnre par lutilisateur entre dans le systme. Vous devez donc faire attention avant dutiliser /dev/ random. (La meilleure chose faire est sans doute de lutiliser lorsque vous gnrez des informations de cls sensibles, et vous demandez lutilisateur dutiliser le clavier intensment jusqu ce que vous estimiez que cela suft.) /dev/random est de haute qualit entropique, gnr en mesurant les temps inter-interruptions, etc. Il se bloquera jusqu ce que sufsamment de bits alatoires aient t gnrs. /dev/urandom est semblable, mais lorsque la rserve dentropie baisse, il retournera un mlange dun niveau cryptographique lev de ce quil reste. Ce nest pas aussi sr, mais cela suft pour la plupart des applications. Vous pouvez lire depuis ces priphriques en utilisant quelque chose comme :
root# head -c 6 /dev/urandom | mimencode
Cela imprimera six caractres alatoires la console, convenables pour un mot de passe. Vous pourrez trouver mimencode dans le paquetage metamail. Consultez /usr/src/linux/drivers/char/random.c pour une description de lalgorithme.
Chapitre 11. A propos de la scurit sous GNU/Linux Il y a plusieurs bons outils pour vous assister dans la scurit du rseau, et ils sont de plus en plus fournis avec les distributions GNU/Linux.
Chapitre 11. A propos de la scurit sous GNU/Linux par inetd. Dsactivez tous ceux dont vous navez pas besoin en les commentant (# au dbut de la ligne), et redmarrez alors votre service inetd. Vous pouvez aussi supprimer (ou commenter) des services dans votre chier /etc/services. Cela signiera que les clients locaux seront aussi incapables de trouver ces services (i.e., si vous supprimez ftp, et essayez de faire une connexion FTP vers un site distant depuis cette machine, cela chouera avec un message service inconnu). Cela ne vaut gnralement pas la peine de supprimer les services partir de /etc/services, vu que cela ne fournit pas de scurit supplmentaire. Si un utilisateur veut utiliser ftp mme si vous lavez comment, il pourrait faire son propre client qui utilise le port FTP standard, et cela fonctionnerait. Certains des services que vous pourriez souhaiter activer sont :
ftp telnet (ou ssh) courrier lectronique, comme pop-3 ou imap identd
Si vous savez que vous nallez pas utiliser un paquetage en particulier, vous pouvez aussi le supprimer compltement. rpm -e nom_du_paquetageou urpme nom_du_paquetage effacera un paquetage entier. De plus, vous devriez vraiment dsactiver les utilitaires rsh/rlogin/rcp, y compris login (utilis par rlogin), shell (utilis par rcp),et exec (utilis par rsh) depuis /etc/inetd.conf. Ces protocoles sont extrmement vulnrables et ont t la cause de violations dans le pass. Vous devriez vrier les rpertoires /etc/rc.d/rc[0-9].d, et regarder si des serveurs prsents ne sont pas superus. Les chiers de ces rpertoires sont en fait des liens symboliques vers des chiers de /etc/rc.d/init.d. Renommez ces chiers dans init.d dsactive tous les liens symboliques qui pointent vers ce chier. Si vous ne souhaitez dsactiver un service que pour un niveau dexcution (runlevel) particulier, renommez le lien symbolique appropri en remplaant le S avec un K, comme cela :
root# root# cd /etc/rc6.d mv S45dhcpd K45dhcpd
176
Vous pouvez aussi utiliser un petit utilitaire pour faire cela : chkconfig ou linterface graphique sous KDE : ksysv.
Votre distribution de Mandrakelinux est fournie avec un encapsuleur (wrapper) TCP encapsulant tous vos services TCP. Lencapsuleur TCP (tcpd) est appel depuis inetd au lieu du service rel. tcpd vrie alors lhte demandant le service, et soit excute le vrai serveur, soit refuse laccs cet hte. tcpd vous permet de restreindre laccs aux services TCP. Vous devriez diter /etc/hosts.allow et y ajouter uniquement les htes qui ont besoin davoir accs aux services de votre machine. Si vous possdez une connexion par simple modem, nous vous suggrons de refuser tous (ALL). tcpd enregistre aussi les tentatives choues pour accder aux services, de sorte que cela peut vous alerter si on est en train de vous attaquer. Si vous ajoutez de nouveaux services, vous devriez vous assurer de les congurer pour utiliser lencapsuleur TCP sils sont bass sur TCP. Par exemple, une machine connecte par modem peut tre protge de lextrieur, tout en pouvant charger son courrier lectronique, et faire des connexions rseau Internet. Pour faire cela, vous devez ajouter ce qui suit votre /etc/hosts.allow : ALL: 127. Et bien sr, /etc/hosts.deny contiendra : ALL: ALL Ce qui empchera des connexions extrieures votre machine, vous permettant nanmoins de vous connecter depuis lintrieur aux services Internet. Gardez lesprit que les encapsuleurs TCP ne protgent que les services excuts depuis inetd, et quelques rares autres. Il y a srement dautres serveurs tournant sur votre machine. Vous pouvez utiliser netstat -ta pour afcher la liste de tous les services que votre machine offre.
11.8.4. identd
identd est un petit programme qui est lanc typiquement depuis votre serveur inetd. Il garde la trace de qui utilise quel service TCPet le rapporte alors qui en fait la demande. Beaucoup de gens ne comprennent pas lutilit de identd, et le dsactivent ou bloquent toutes le requtes de lextrieur qui lui sont destines. identd nest pas l pour aider les sites distants. Il ny a pas moyen de savoir si linformation que vous obtenez de lidentd distant est correcte ou non. Il ny a pas dauthentication dans les requtes identd. Pourquoi voudriez-vous lutiliser alors ? Parce quil vous aide, et est une autre source pour le suivi. Si votre identd nest pas corrompu, alors, vous savez quil informe les sites distants des noms dutilisateur ou UID des personnes utilisant les services TCP. Si ladministrateur du site distant revient et vous dit que lutilisateur untel essayait de pntrer dans leur site, vous pouvez facilement prendre des mesures contre cet utilisateur. Si vous nutilisez pas identd, vous devrez chercher dans un grand nombre de logs , deviner qui tait connect ce moment, et en gnral prendre beaucoup de temps pour rechercher lutilisateur. L identd fourni est plus facile congurer que beaucoup de gens ne le pensent. Vous pouvez le dsactiver pour certains utilisateurs (Ils peuvent crer un chier .noident le), vous pouvez garder trace de toutes les requtes identd (recommand), vous pouvez mme faire en sorte que identd retourne un UID au lieu du nom de lutilisateur, ou mme NO-USER.
178
Chapitre 11. A propos de la scurit sous GNU/Linux Il y a aussi des scanners de ports furtifs . Un paquet avec le bit TCP ACK activ (comme pour les connexions actives) passera vraisemblablement travers un pare-feu de ltrage de paquets. Le paquet RST de retour dun port _had no established session_ (na pas de session tablie) peut tre la preuve dactivit sur ce port. Je ne pense pas que les encapsuleurs TCP puissent dtecter cela. Vous pourriez galement essayer SNORTtm (http://www.snort.org), soit un IDS (Intrusion Detection System) libre, dont la fonction est de dtecter les intrusions rseau.
Un des services les plus importants que vous puissiez fournir est un serveur de courrier lectronique. Malheureusement, cest aussi un des plus vulnrables aux attaques, simplement cause du grand nombre de tches quil doit effectuer et des privilges dont il a besoin. Si vous utilisez sendmail il est trs important de garder votre version jour. sendmail a une trs longue tradition dattaques. Assurez vous de toujours utiliser la version la plus rcente de sendmail, disponible sur le sitesendmail (http://www.sendmail.org/). Gardez lesprit que vous navez pas forcment besoin de sendmail pour envoyer du courrier. Si vous tes un particulier, vous pouvez dsactiver compltement sendmail, et utiliser simplement votre client de courrier pour envoyer vos messages. Vous pouvez aussi choisir denlever loption -bd du chier de dmarrage de sendmail, dsactivant ainsi les requtes pour le courrier rentrant. En dautres termes, vous pouvez excuter sendmail depuis vos chiers de dmarrage en utilisant plutt :
# /usr/lib/sendmail -q15m
De la sorte, sendmail videra la le de courrier toutes les quinze minutes pour tous les messages nayant pu tre dlivrs la premire tentative. Beaucoup dadministrateurs choisissent de ne pas utiliser sendmail, et choisissent la place un des autres agents de transport de courrier. qmail par exemple a t conu dans un but de scurit, depuis le nant. Il est plus rapide, stable, et sr. Qmail peut tre trouv qmail.org (http://www.qmail. org)
1. Agents de transport de courrier
180
Chapitre 11. A propos de la scurit sous GNU/Linux En comptition directe avec Qmail, on trouve Postx, crit par Wietse Venema, lauteur des encapsuleurs TCP et dautres outils de scurit. Anciennement nomm vmailer, et soutenu par IBM, il est aussi un agent de transport de courrier compltement rcrit avec la scurit lesprit. Vous pouvez trouver plus dinformations propos de Postx sur postx.org (http: /www.postfix.org)
Postx est lagent de transport de courrier install e par d efaut avec votre distribution de Mandrakelinux. Consultez ` a ce sujet le chapitre Le serveur de courrier Postx , page 75 de ce manuel.
SYN Flooding - Inondation SYN est une attaque de dnis de service rseau. Il exploite une ouverture dans la faon dont sont cres les connexions TCP. Les derniers noyaux GNU/Linux (2.0.30 et au del) proposent plusieurs options de conguration pour empcher ce type dattaque en refusant aux gens laccs votre machine ou services. Consultez Scurit du noyau, page 169 pour les options de noyaux en question. Ping Flooding - Inondation de Ping est une attaque simple en force brute de dnis de service. Lattaquant envoie une vague de paquets ICMP votre machine. Sils font cela depuis un hte qui possde plus de largeur de bande que le votre, votre machine sera incapable denvoyer quoi que ce soit vers le rseau. Une variation de cette attaque, appele smurng , envoie les paquets ICMP un hte avec lIP de retour de votre machine, leur permettant de vous inonder de manire moins dtectable. vous pouvez trouver plus dinformations sur lattaque smurf sur le site de
Denial of Service
2.
181
Chapitre 11. A propos de la scurit sous GNU/Linux linuxsecurity.com (http://www.linuxsecurity.com/articles/network_ security_article-4258.html). Si vous tes en train de subir une attaque en inondation de ping, utilisez un outil comme tcpdump pour dterminer lorigine des paquets (ou lorigine apparente), puis contactez votre fournisseur daccs avec cette information. Les inondations ping peuvent tre le plus facilement stoppes au niveau du routeur ou en utilisant un pare-feu. Ping o Death - Lattaque en ping mortel envoie des paquets ICMP ECHO REQUEST qui sont trop grands pour tre contenus dans les structures de donnes du noyau prvues pour les accueillir. Parce que envoyer un seul, gros (65.510 octets) paquet ping plusieurs systme les fera sarrter ou mme planter, ce problme a rapidement t surnomm Ping o Death (ping mortel). Celui-ci a t contourn depuis longtemps, et il ny a plus sen proccuper.
Vous pouvez trouver le code pour la plupart de ces attaques, et une description plus dtaille de leur fonctionnement sur le site Insecure (http: //www.insecure.org/sploits.html) en utilisant leur moteur de recherche.
Chapitre 11. A propos de la scurit sous GNU/Linux Si vous devez utiliser NFS, assurez-vous de nexporter que vers des machines qui en ont vraiment besoin. Nexportez jamais votre rpertoire racine entier; mais seulement les rpertoires qui ont besoin dtre exports. Consultez NFS HOWTO (http://www.tldp.org/HOWTO/NFS-HOWTO/) pour plus de renseignements sur NFS.
11.8.11. Pare-feu
Les pare-feu sont un moyen de contrler les informations autorises sortir et rentrer dans votre rseau local. Gnralement, lhte pare-feu est connect Internet et votre rseau local, et le seul accs depuis votre rseau vers Internet est travers le pare-feu. De cette faon, le pare-feu peut contrler ce qui rentre et sort dInternet et de votre rseau local. Plusieurs types de pare-feu et de mthodes pour les mettre en place existent. Les machines GNU/Linux constituent de bons pare-feux. Le code pare-feu peut tre insr directement dans les noyaux 2.0 et suprieurs. Les outils utilisateur ipchains pour les noyaux 2.2, et iptables pour noyau 2.4 vous per183
Chapitre 11. A propos de la scurit sous GNU/Linux mettent de changer, la vole, les types de tracs rseau que vous autorisez. Vous pouvez aussi garder trace de certains tracs rseau. Les pare-feux sont une technique utile et importante pour scuriser votre rseau. Nanmoins, ne pensez jamais que, parce que vous avec un parefeu, vous navez pas besoin de scuriser les machines derrire lui. Cest une erreur fatale. Consultez le trs bon Firewall-HOWTO (http://www. ibiblio.org/mdw/HOWTO/Firewall-HOWTO.html) pour plus dinformations sur les pare-feux et GNU/Linux. Si vous navez aucune exprience avec les pare-feux, et envisagez den mettre un en place pour plus quune simple politique de scurit, le livre Firewalls de chez OReilly and Associates ou tout autre document en ligne sur les pare-feux est indispensable. Consultez OReilly (http://www.ora.com) pour plus dinformations. Le NIST (National Institute of Standards and Technology) a rassembl un excellent document sur les pare-feux. Bien que dat de 1995, il est toujours trs bon. Vous pouvez le trouver sur nist.gov (http: //cs-www.ncsl.nist.gov/publications/nistpubs/800-10/main.html). Il y a aussi :
Le projet Freefire une liste doutils de pare-feux libres, disponible sur le site de freere (http://sites.inka.de/sites/lina/freefire-l/ index_en.html) Mason the automated rewall builder for Linux (Mason, le btisseur de pare-feux automatiques pour GNU/Linux). Cest un script de pare-feu qui apprend quand vous faites les choses dont vous avez besoin sur votre rseau ! Plus de renseignements sur le site de Mason (http://www.stearns. org/mason/).
Manipulation des paquets plus exible Gestion des comptes plus complexe
184
Changements de politique simple possible automatiquement Les fragments peuvent tre explicitement bloqus, refuss, etc. Enregistre les paquets suspects Peut grer des protocoles autres que ICMP/TCP/UDP.
Chapitre 11. A propos de la scurit sous GNU/Linux dans lespace utilisateur rduit le niveau de complexit y tant associ prcdemment : les changements nont plus tre faits directement au niveau du noyau. Voici dautres rfrences en matire de tables IP :
Oskar Andreasson IP Tables Tutorial (http://www.linuxsecurity.com/ feature_stories/feature_story-94.html) Oskar Andreasson, de pair avec LinuxSecurity.com, discute de son tutoriel sur les tables IP et de lutilit de ce document pour construire un pare-feu robuste pour votre entreprise ; Hal Burgiss Introduces Linux Security Quick-Start Guides (http://www. linuxsecurity.com/feature_stories/feature_story-93.html) Hal Burgiss a crit deux guides ofciels sur la scurit sous Linux, y compris la gestion de pare-feu ; Page daccueil de Netlter (http://www.netfilter.org) la page daccueil concernant netlter et iptables ; Linux Kernel 2.4 Firewalling Matures: netlter (http://www.linuxsecurity. com/feature_stories/kernel-netfilter.html) cet article de LinuxSecurity.com dcrit les bases du ltrage de paquets, comment commencer utiliser les tables IP, ainsi quune liste des nouvelles fonctionnalits disponibles dans les plus rcentes gnrations de pare-feux pour Linux.
vpnd. Voir VPN Daemon (http://sunsite.auc.dk/vpnd/). Free S/Wan, disponible sur freeswan.org/ (http://www.freeswan.org/)
186
ssh peut tre utilis pour construire un VPN. Voir VPN PPP-SSH miniHOWTO (http://www.tldp.org/HOWTO/ppp-ssh/index.html) pour plus dinformations. vps (serveur priv virtuel) sur http://www.strongcrypto.com (http:// www.strongcrypto.com). vtun (tunnel virtuel) sur le site Web sourceforge (http://vtun.sourceforge. net/). yavipin (http://yavipin.sourceforge.net).
Consultez aussi la section sur IPSEC pour des rfrences vers plus dinformations.
187
pour vrier tous les chiers du systme. Consultez la page de man de rpm, car il y a quelques autres options qui peuvent tre incluses pour le rendre moins verbeux. Gardez lesprit que vous devez aussi tre sr que votre binaire RPM na pas lui aussi t corrompu. Cela signie que chaque fois quun nouveau RPM est ajout au systme, la base de donnes RPM devra tre archive nouveau. Vous devrez peser les avantages et les inconvnients. 188
Chapitre 11. A propos de la scurit sous GNU/Linux Enn, les chiers de logs sont encore plus inutiles lorsque personne ne les lit. Prenez un peu de temps rgulirement pour parcourir vos chiers de logs, et imprgnez vous de ce quoi ils ressemblent les jours normaux. Cela peut vous aider reprer les choses anormales.
Chapitre 11. A propos de la scurit sous GNU/Linux vez leur demander dexpliquer ce quils taient en train de faire ou leur intimer darrter. Sils ne sont pas connects, et nont aucune ide de ce dont vous parlez, lincident demandera sans doute plus dinvestigations. Examinez bien chaque incident, et rcoltez le plus dinformations possibles avant de faire une quelconque accusation. Si vous avez dtect une violation rseau, la premire chose faire (si vous le pouvez) est de dconnecter votre rseau. Sils sont connects par modem, dbranchez le cble du modem; sils sont connects par Ethernet, dconnectez le cble Ethernet. Cela les empchera de faire plus de dommages, et ils interprteront cela comme un problme rseau plutt quune dtection. Si vous ne pouvez pas dconnecter le rseau (si vous avez un site occup, ou navez pas le contrle physique des machines), la meilleure tape suivante est dutiliser quelque chose comme les encapsuleurs TCP ou ipfwadm pour refuser laccs au site de lintrus. Si vous ne pouvez pas refuser tous les utilisateurs du mme hte que celui de lintrus, bloquer le compte de cet utilisateur devrait fonctionner. Notez que bloquer un compte nest pas chose aise. Vous devez prendre en compte les chiers .rhosts, accs FTP, et une foule de portes drobes possibles. Aprs que vous ayez fait lune des choses prcdentes (dconnect le rseau, refus laccs depuis leur site, et/ou dsactiv leur compte), vous devez tuer tous leurs processus utilisateurs et les dconnecter. Vous devriez soigneusement surveiller votre site dans les minutes qui suivent, car lattaquant pourra essayer de revenir. Peut-tre en utilisant un autre compte, et/ou en utilisant une autre adresse rseau.
Chapitre 11. A propos de la scurit sous GNU/Linux Consultez tous vos chiers de logs, et faites une visite vos listes de scurit et sites Web pour voir sil ny a pas un nouveau trou que vous pourriez boucher. Vous pouvez trouver les mises jour de scurit de Mandrakelinux en lanant MandrakeUpdate rgulirement. Il y a maintenant un projet daudit de scurit GNU/Linux. ils explorent mthodiquement tous les utilitaires utilisateurs la recherche de possibles exploitations dtournes et dbordements. Extrait de leur annonce : Nous tentons un audit systmatique des sources GNU/Linux avec le but de devenir aussi sr que OpenBSD. Nous avons dj dcouvert (et rsolu) quelques problmes, mais plus daide serait la bienvenue. La liste nest pas modre et est aussi une source utile pour des discussions gnrales de scurit. La liste de ladresse est : security-audit@ferret.lmh.ox.ac.uk. Pour vous inscrire, envoyez un message : security-audit-subscribe@ferret. lmh.ox.ac.uk Si vous ne gardez pas lintrus hors de porte, il reviendra sans doute. Pas seulement sur votre machine, mais quelque part sur votre rseau. Sil utilisait un renieur de paquets, il y a de bonnes chances quil ait accs dautres machines locales.
192
Chapitre 11. A propos de la scurit sous GNU/Linux Vous devez alors vous proccuper de la date de lintrusion, et si la sauvegarde contient alors du travail endommag.
Chapitre 11. A propos de la scurit sous GNU/Linux cile. Rester poli avec les administrateurs auxquels vous parlez peut tre utile pour obtenir de laide de leur part. Vous devriez aussi avertir toutes les organisations de scurit dont vous faites partie, (CERT (http://www.cert.org/) ou autre), ainsi que Mandrakesoft: mandrakelinux.com (http://www.mandrakesecure.net/)
Linux Advisory Watch (http://www.linuxsecurity.com/vuln-newsletter. html) un bulletin dinformation comprhensible qui souligne les vulnrabilits de scurit qui ont t annonces dans la semaine. Il inclut des astuces pour actualiser les paquetages, ainsi quune description de chacune des vulnrabilits ; Linux Security Week (http://www.linuxsecurity.com/newsletter.html) le but de ce document est de fournir ses lecteurs un rsum des annonces de scurit les plus pertinentes du monde Linux au cours de la semaine ; Linux Security Discussion List (http://www.linuxsecurity.com/general/ mailinglists.html) cette liste de discussion sadresse ceux et celles qui voudraient poser des questions ou mettre des commentaires gnraux relatifs la scurit ; Linux Security Newsletters (http://www.linuxsecurity.com/general/ mailinglists.html) information dabonnement pour tous les bulletins de nouvelles ;
194
comp.os.linux.security FAQ (http://www.linuxsecurity.com/docs/colsfaq. html) Foire aux questions dote de rponses provenant du groupe de nouvelles comp.os.linux.security. Linux Security Documentation (http://www.linuxsecurity.com/docs/) un excellent point de dpart pour obtenir de linformation relative la scurit dans les environnements Linux et Open Source.
La FAQ des hackers : plethora.net (http://www.plethora.net/~seebs/ faqs/hacker.html) ; Larchive COAST possde un grand nombre de programmes de scurit pour UNIX et des informations : CERIAS (http://www.cerias.purdue. edu/coast/) ; Page scurit de SuSE : SuSE (http://www.suse.de/de/security/) ; BUGTRAQ publie des conseils sur des problmes de scurit : securityfocus.com (http://www.securityfocus.com/archive/1) ; Le CERT (Computer Emergency Response Team), la clbre quipe met des avis sur des attaques courantes sur les plates-formes UNIX: CERT (http: //www.cert.org/) ; 195
Dan Farmer est lauteur de SATAN et beaucoup dautres outils de scurit. Sa page personnelle prsente plusieurs tudes informatives de scurit, ainsi que des outils de scurit :trouble.org (http://www.trouble.org/ security/) ; Le CIAC envoie des bulletins priodiques de scurit sur les attaques courantes : CIAC (http://ciac.llnl.gov/cgi-bin/index/bulletins) ; Un bon point de dpart pour les modules dauthentication additionnels GNU/Linux (PAM) peut tre trouv kernel.org (http://www.kernel.org/ pub/linux/libs/pam/). la FAQ WWW Security , crite par Lincoln Stein, est une bonne rfrence Web sur la scurit. Elle peut tre trouve sur le site w3.org (http: //www.w3.org/Security/Faq/www-security-faq.html) MandrakeSecure (http://www.mandrakesecure.net) est un site de scurit en rapport avec Mandrakelinux qui propose de nombreux articles, alertes, etc. Visitez souvent ce site.
196
R ef erences
D. Brent Chapman, Elizabeth D. Zwicky, Building Internet Firewalls, 1e dition Septembre 1995, ISBN 1-56592-124-0. Simson Garnkel, Gene Spafford, Practical UNIX & Internet Security, 2e dition Avril 1996, ISBN 1-56592-148-8. Deborah Russell, G.T. Gangemi, Sr., Computer Security Basics, 1e dition Juillet 1991, ISBN 0-937175-71-4. Olaf Kirch, Linux Network Administrators Guide, 1e dition Janvier 1995, ISBN 1-56592-087-2. Simson Garnkel, PGP: Pretty Good Privacy, 1e dition Dcembre 1994, ISBN 1-56592-098-8. David Icove, Karl Seger, William VonStorch, Computer Crime A Crimeghters Handbook, 1re dition aot 1995, ISBN 1-56592-086-4. John S. Flowers, Linux Security, New Riders, Mars 1999, ISBN 0735700354. Anonymous, Maximum Linux Security : A Hackers Guide to Protecting Your Linux Server and Network, Juillet 1999, ISBN 0672313413. Terry Escamilla, Intrusion Detection, John Wiley and Sons, Septembre 1998, ISBN 0471290009. Donn Parker, Fighting Computer Crime, John Wiley and Sons, Septembre 1998, ISBN 0471163783.
197
Q : Pourquoi se connecter comme root dune machine distante choue ? R : Lisez Scurit pour root , page 147. Cela est fait dessein pour empcher des utilisateurs distants de se connecter via telnet votre machine comme root, ce qui est une vulnrabilit srieuse de scurit, car alors le mot de passe de root serait transmis, en clair, travers le rseau. Noubliez pas : Les intrus potentiels ont du temps devant eux et peuvent lancer des programmes automatiques pour trouver votre mot de passe. Q : Comment puis-je activer les extensions SSL dApache ? R : Installez le paquetage mod_ssl et consultez la documentation sur le site Web de mod_ssl (www.modssl.org).
198
Vous pouvez aussi installer le module mod sxnet, qui est un greffon pour mod ssl et permet dactiver le Thawte Secure Extranet . mod ssl chire les communications, mais mod sxnet permet en plus dauthentier de mani` ere s ure les utilisateurs dune page Web gr ace ` a un certicat personnel. Vous pouvez consulter le site Web de Thawte (http://www.thawte.com/certs/strongextranet/) ou installer le paquetage du module mod_xnet ` a partir de votre distribution Mandrakelinux et lire la documentation incluse.
Vous devriez aussi essayer ZEDZ net (http://www.zedz.net) qui a plusieurs paquetages pr-compils, et est situ en dehors des tats-Unis.
Q : Comment puis-je manipuler les comptes des utilisateurs tout en assurant la scurit ? R : Votre distribution Mandrakelinux propose un grand nombre doutils pour changer les proprits des comptes utilisateurs.
Les commandes pwconv et unpwconv peuvent tre utilises pour passer entre des mots de passe fantmes (shadow) ou non. Les commandes pwck et grpck peuvent tre utilises pour vrier la cohrence des chiers passwd et group. Les commandes useradd, usermod, et userdel peuvent tre utilises pour ajouter, supprimer, et modier des comptes utilisateurs. Les commandes groupadd, groupmod, et groupdel feront de mme pour les groupes. Des mots de passe de groupes peuvent tre crs en utilisant gpasswd.
Tous ces programmes sont compatibles shadow -- cest dire, si vous activez les procdures shadow, ils utiliseront /etc/shadow pour linformation de mots de passes, sinon non.
Q : Comment puis-je protger des documents HTML particuliers en utilisant Apache ? R : Je parie que vous ne connaissiez pas Apache Week (http://www. apacheweek.com) ?
199
Vous pouvez trouver des informations sur lauthentication des utilisateurs sur le site Web de apacheweek (http://www.apacheweek.com/features/ userauth) ainsi que dautres conseils de scurit pour serveurs Web sur le site de Apache (http://www.apache.org/docs/misc/security_tips. html).
11.13. Conclusion
En vous abonnant aux listes de diffusion dalertes de scurit, et en vous tenant au courant, vous pouvez faire beaucoup pour la scurit de votre machine. Si vous gardez un il sur vos chiers de logs et lancez rgulirement quelque chose comme tripwire, Vous pouvez faire encore plus. Un niveau raisonnable de scurit informatique nest pas difcile maintenir sur une machine personnelle. Plus defforts sont ncessaires sur des machines de travail, mais GNU/Linux peut en fait tre une plate-forme sre. Du fait de la nature du dveloppement de GNU/Linux, des correctifs de scurit sortent souvent beaucoup plus rapidement quils ne le font sur des systmes dexploitation commerciaux, faisant de GNU/Linux une plate-forme idale lorsque la scurit est une ncessit.
Vocabulaire relatif la scurit seaux internes. Il tire son nom des fortications extrieures des chteaux mdivaux. Les bastions supervisent les rgions critiques de dfense, possdant gnralement des murs plus pais, de la place pour plus de gens darmes, et lutile chaudron dhuile bouillante pour dcourager les attaquants. Une dnition raisonnable pour ce qui nous concerne. buffer overow (dpassement de tampon) Un style de programmation rpandu est de ne jamais allouer des tampons sufsamment grands, et ne pas en vrier les dpassements. Quand de tels tampons dbordent, le programme lexcutant (dmon ou programme suid) peut tre exploit pour faire autre chose. Cela fonctionne gnralement en crasant une adresse de retour de fonction sur la pile, de sorte quelle pointe vers un autre endroit. denial of service (dnis de service) Une attaque qui consomme les ressources de votre ordinateur pour des tches quil ntait pas suppos effectuer, empchant de la sorte lusage des ressources rseau ou autre pour des buts lgitimes. dual-homed Host (hte double patrie) Un ordinateur usage gnral possdant au moins deux interfaces rseau. rewall (pare-feu) Un composant ou ensemble de composants qui limite les transferts entre un rseau protg et Internet, ou entre deux ensembles de rseaux. host (hte) Un systme informatique reli un rseau. IP spoong (Usurpation dIP) lIP Spoong est une technique dattaque complexe compose de plusieurs composants. Cest une violation de scurit qui trompe des ordinateurs sur des relations de conance en leur faisant croire quils sont quelquun quils ne sont pas en fait. Il y a un article complet crit par dmon9, route, et innity dans le volume Sept, numro 48 du magazine Phrack. non-rpudiation La caractristique dun destinataire capable de prouver que lexpditeur de donnes est bien lexpditeur rel, mme sil dment plus tard en tre lorigine. 201
Vocabulaire relatif la scurit packet (paquet) Lunit de communication fondamentale sur Internet. packet ltering (ltrage de paquets) Laction quun priphrique ralise pour faire du contrle slectif sur le ot de donnes entrant et sortant dun rseau. Le ltrage de paquets autorise ou bloque des paquets, gnralement en les routant dun rseau vers un autre (plus gnralement dInternet vers un rseau interne, et vice-versa). Pour accomplir le ltrage de paquets, vous dnissez des rgles qui spcient quels types de paquets (ceux de ou vers une adresse IP particulire ou un port) doivent tre autoriss, et quels autres doivent tre bloqus. perimeter network (rseau primtre) Un rseau ajout entre un rseau protg et un rseau externe , pour permettre un niveau de scurit supplmentaire. Un rseau primtre est parfois appel un DMZ. proxy server (serveur mandataire) Un programme qui traite avec les serveurs externes au nom des clients internes. Les clients Proxy parlent au serveur Proxy, qui relaie les requtes autorises du client au serveur rel et relaie la rponse en retour au client. superuser (super-utilisateur) Un nom ofcieux de root.
202
Chapitre 12. Le rseau sous GNU/Linux Lisez la section Informations sur IP et Ethernet, page 215 si vous tes connect en direct sur un rseau local ou Internet : Cette section traite de la conguration de base dEthernet et des diffrentes possibilits quoffre Linux, concernant le rseau IP, telles que le pare-feu, le routage avanc, etc. Lisez la suite si les rseaux locaux bas cot ou les connexions par tlphone vous intressent Dans cette section, il sagira de PLIP, PPP, SLIP, et RNIS : les technologies utilises habituellement sur les stations de travail personnelles. Lisez les sections relatives vos besoins technologiques spciques : Si ceux-ci diffrent de IP et/ou de matriel standard, la section nale couvre des dtails spciques aux protocoles non IP et au matriel de communication particulier. Congurez votre rseau. Si vous avez la ferme intention de vous lancer dans la conguration de votre rseau, il serait prudent de prvenir tout problme ventuel en lisant attentivement cette partie. Cherchez de laide si ncessaire. Si certains problmes, non traits par notre documentation, apparaissent lors de votre installation, reportez-vous notre section consacre la recherche de documentation ou celle des rapports de bogues. Amusez-vous ! On peut vraiment prendre son pied sur le rseau. Foncez ! Nhsitez pas !
Chapitre 12. Le rseau sous GNU/Linux prfrable dutiliser root# la place du classique # pour viter toute confusion avec les extraits de scripts shell, o le signe # (dise) est utilis pour dnir les lignes de commentaires. Lorsquil sera mentionn Options de Compilation du noyau , il faudra savoir quelles le sont avec le format utilis par menucong. Elles devraient donc tre comprhensibles mme dans le cas o on ne serait que peu familiaris avec menucong. Sil existe un doute quant la dclaration des options, il sufra dexcuter le programme une fois pour voir la question se simplier delle-mme.
Lorsque vous faites part dun problme, nomettez aucun dtail. Plus spciquement, indiquez de quelles versions de logiciels vous vous servez - en particulier celle du noyau, des outils tels que pppd ou dip, et dcrivez prcisment la nature des problmes rencontrs. Il faudra donc noter la syntaxe exacte des messages derreurs reus, et les commandes que vous avez excutes. 205
Chapitre 12. Le rseau sous GNU/Linux Une source possible de RFC est :la base de donnes RFC de Nexor (http: //pubweb.nexor.co.uk/public/rfc/index/rfc.html).
Votre distribution Mandrakelinux est livr ee avec loption r eseau activ ee, de sorte que vous navez pas besoin de recompiler le noyau. Si vous utilisez du mat eriel bien connu, tout ira bien. Par exemple : cartes 3COM, cartes NE2000 ou cartes Intel. Cependant si vous devez recompiler le noyau, voyez les informations qui suivent.
Si le noyau que vous utilisez actuellement ne reconnat pas les types de rseau ou les cartes dont vous avez besoin, il vous faudra les sources du noyau pour pouvoir le recompiler avec les options adquates. Mais tant que vous conservez un matriel de grande diffusion, il nest pas ncessaire de recompiler le noyau, moins que vous nayez un besoin bien particulier Vous pouvez toujours obtenir les sources du dernier noyau sur : sunsite.unc.edu (ftp://sunsite.unc.edu/pub/linux/kernel.org/pub/linux/ kernel/). Ce nest pas le site ofciel mais ils ont beaucoup de bande passante et beaucoup dutilisateurs peuvent se connecter en mme temps. Le site ofciel est kernel.org (ftp://ftp.kernel.org), mais dans la mesure du possible, il est recommand dutiliser le premier lien. Il faut en effet se rappeler que ftp.kernel.org est particulirement surcharg. Utilisez un mi207
Chapitre 12. Le rseau sous GNU/Linux roir. (NdT :et bien sr ftp.lip6.fr (ftp://ftp.lip6.fr/pub/linux/kernel/ sources/)). Les sources du noyau doivent tre dcompactes dans le rpertoire /usr/ src/linux/. Pour savoir comment appliquer les correctifs et compiler le noyau, lisez le Kernel-HOWTO (http://www.tldp.org/HOWTO/Kernel-HOWTO. html). Pour savoir comment congurer les modules du noyau, lisez le Modules-mini-HOWTO. Enn, le chier README qui se trouve dans les sources du noyau ainsi que le rpertoire Documentation fournissent damples renseignements au lecteur courageux. Sauf indication contraire, il est recommand de sen tenir une version stable du noyau (celle qui comporte un chiffre pair en seconde place dans le numro de version). Il est possible que les versions de dveloppement (chiffre impair en seconde place du numro de version) posent certains problmes avec les logiciels de votre systme (problmes de structure ou autre). Si vous ne pensez pouvoir rsoudre ce type de problmes particulier ou ceux qui risqueraient galement de se prsenter sur dautres logiciels, il vaut mieux ne pas les utiliser.
1.
208
Chapitre 12. Le rseau sous GNU/Linux Adresse h ote (host address) Masque de rseau (network mask) Partie rseau (network portion) Partie hte (host portion) Adresse rseau (network address) Adresse de diffusion (broadcast address) 192.168.110.23 255.255.255.0 192.168.110. .23 192.168.110.0 192.168.110.255
Si on effectue un ET logique sur une adresse avec son masque de rseau, on obtient ladresse du rseau auquel elle appartient. Ladresse du rseau, par consquent, sera ladresse de plus petit nombre dans lensemble des adresses de la plage du rseau et aura toujours la partie hte code avec des zros. Ladresse de diffusion est une adresse spciale que chaque hte du rseau coute en mme temps que son adresse personnelle. Cette adresse est celle laquelle les datagrammes sont envoys si tous les htes du rseau sont en mesure de les recevoir. Certains types de donnes telles que les informations de routage et les messages dalerte sont transmis vers ladresse de diffusion de telle sorte que tous les htes du rseau peuvent les recevoir en mme temps. Il y a deux standards utiliss de manire courante pour dnir ce que doit tre ladresse de diffusion. Ce qui est le plus courant est de prendre ladresse la plus haute possible du rseau comme adresse de diffusion. Dans lexemple ci-dessus ce serait 192.168.110.255. Pour dautres raisons, certains sites ont adopt la convention suivante: utiliser ladresse de rseau comme adresse de diffusion. En pratique cela na gure dimportance. Cependant, il faudra sassurer que tous les htes du rseau possdent la mme adresse de diffusion dans leur conguration. Pour faciliter la gestion, il a t dcid, il y a quelque temps, lors du dveloppement du protocole IP, que les ensembles dadresses seraient organiss en rseaux et ces rseaux regroups en "classes" qui fournissent un certain nombre de rseaux de tailles standards auxquels on peut assigner des adresses. Ces classes sont les suivantes : Classe de r eseau A Masque de r eseau 255.0.0.0 Adresses de r eseau 0.0.0.0 127.255.255.255
209
Chapitre 12. Le rseau sous GNU/Linux Classe de r eseau B C Multicast Masque de r eseau 255.255.0.0 255.255.255.0 240.0.0.0 Adresses de r eseau 128.0.0.0 191.255.255.255 192.0.0.0 223.255.255.255 224.0.0.0 239.255.255.255
Le type dadresse que vous devez utiliser dpend de ce que vous voulez faire exactement. On pourra combiner les actions suivantes pour obtenir lensemble des adresses dont on aura besoin : Installer une machine Linux sur un rseau IP existant. Il faudra alors contacter un des administrateurs du rseau pour lui demander les informations suivantes :
Adresse hte ; Adresse rseau ; Adresse de diffusion ; Masque de rseau ; Adresse de routage ; Adresse du serveur de noms de domaine (DNS).
Il vous faudra alors congurer votre rseau Linux laide de ces donnes, quil est donc impossible dinventer soi-mme en esprant que la conguration fonctionnera.
Construire un rseau tout neuf non connect Internet. Par contre, lors de la construction dun rseau priv qui ne sera pas connect Internet, il est tout fait possible de choisir son adresse. Cependant, pour des raisons de scurit et de abilit, il existe quelques adresses de rseau IP rserves cet usage. Elles sont spcies dans la RFC 1597 et sont les suivantes :
210
Chapitre 12. Le rseau sous GNU/Linux Classe r eseau A B C Masque de r eseau 255.0.0.0 255.255.0.0 255.255.255.0 Adresses de r eseau 10.0.0.0 10.255.255.255 172.16.0.0 172.31.255.255 192.168.0.0 192.168.255.255
Tableau 12-1. Allocations pour rseaux privs Il faudra dans un premier temps dcider de la dimension du rseau requis avant de choisir les adresses ncessaires.
12.4.2. Routage
La question du routage pourrait faire couler beaucoup dencre. Mais il est fort probable que la plupart des lecteurs ne ncessitera quun routage simple, et les autres aucun ! Il ne sera donc question ici que des principes mme du routage. Pour plus amples informations, il est suggr de se rfrer au dbut du prsent document. Commenons par proposer une dnition du routage. Par exemple : Le routage IP est le processus par lequel un hte, ayant des connexions rseau multiples, dcide du chemin par lequel dlivrer les datagrammes IP quil a reus. Donnons une petite illustration. Imaginons un routeur dans un bureau :il peut avoir un lien PPP sur Internet, un certain nombre de segments Ethernet alimentant les stations de travail et un second lien PPP vers un autre bureau. Lors de la rception par le routeur dun datagramme de lune de ses connexions, le routage est le mcanisme utilis pour dterminer vers quelle interface, ce datagramme devra tre renvoy. De simples htes ont besoin aussi de routage, tous les htes Internet ayant deux priphriques rseau, lun tant linterface loopback, et lautre celui qui est utilis pour parler avec le reste du monde, soit un lien Ethernet, soit une interface srie PPP ou SLIP. 211
Chapitre 12. Le rseau sous GNU/Linux Comment fonctionne le routage ? Chaque hte possde une liste spciale de rgles de routage, appele une table de routage. Cette table est compose de colonnes qui contiennent au moins trois champs : le premier tant une adresse de destination, le deuxime le nom de linterface vers lequel le datagramme doit tre rout et le troisime, qui est optionnel, ladresse IP dune autre machine qui transportera le datagramme vers sa prochaine destination sur le rseau passerelle. Sur Linux, cette table apparat la commande suivante :
user% cat /proc/net/route
Le processus de routage est plutt simple : un datagramme entrant est reu, ladresse de destination est examine et compare avec chaque entre de la table. Lentre qui correspond le mieux cette adresse est choisie, et le datagramme est renvoy vers linterface spcie. Si le champ passerelle est rempli, alors le datagramme est renvoy vers cet hte via linterface spcie, sinon ladresse de destination est prsuppose comme tant sur le rseau support par linterface. Une commande spciale est utilise an de congurer cette table. Cette commande prend les arguments de la ligne de commande et les convertit en requtes systme (appels systme), qui permettent ensuite au noyau dajouter, de supprimer ou de modier des entres dans la table de routage. Cette commande sappelle route. Pour en savoir plus, rfrez-vous la page man de route(8).
Chapitre 12. Le rseau sous GNU/Linux une lourdeur et une lenteur certaine. Dans le cas dincidents sur un rseau o plusieurs routes coexistent, diverses techniques ont t mises au point pour que se rglent automatiquement les tables de routage ces techniques tant regroupes sous le nom de protocoles de routage dynamique . Les plus courants sont peut-tre dj connus du lecteur : RIP (Routing Information Protocol) etOSPF(Open Shortest Path First Protocol).RIP est trs souvent utilis sur rseaux dentreprise petits et moyens. LOSPF est plus moderne, plus apte grer de grands rseaux et mieux adapt lorsquun grand nombre de chemins sont possibles travers le rseau. Les implantations usuelles de ces protocoles sont : routed - RIP, et gated - RIP, OSPF et autres. Le programme rout est normalement fourni avec la distribution Linux ou se trouve inclus dans le paquetage NetKit . Un exemple dutilisation dun protocole de routage dynamique ressemblerait la gure 12-1.
eth0
C
Figure 12-1. Un exemple de routage dynamique
192.168.3.0 255.255.255.0
Nous avons trois routeurs : A, B et C. Chacun supporte un segment Ethernet avec un rseau IP de classe C (masque de rseau 255.255.255.0). Chaque routeur a galement une liaison PPP vers chacun des autres routeurs. Ce rseau forme un triangle. 213
Chapitre 12. Le rseau sous GNU/Linux La table de routage sur le routeur A ressemblera videmment ceci :
root# route add -net 192.168.1.0 netmask 255.255.255.0 eth0 root# route add -net 192.168.2.0 netmask 255.255.255.0 ppp0 root# route add -net 192.168.3.0 netmask 255.255.255.0 ppp1
Tout fonctionnera merveille jusqu ce que le lien entre A et B tombe en panne. Si cette liaison dfaille, alors lentre de routage montre que, sur le segment A, les htes ne peuvent en atteindre dautres sur le segment B car leurs datagrammes seront dirigs sur le lien ppp0 du routeur A qui est rompu. Ils pourront continuer communiquer avec les htes du segment C, et ces derniers avec ceux du segment B car la liaison restera intacte. Mais, si A peut parler C et si C peut toujours parler B, pourquoi A ne routerait-il pas ses datagrammes pour B via C, et laisserait ensuite C les envoyer B ? Cest exactement le type de problmes que les protocoles de routage dynamique comme RIP sont en mesure de rsoudre. Si chacun des routeurs A, B et C utilisent un Dmon de routage, alors leurs tables de routage seront automatiquement rgles pour reter le nouvel tat du rseau mme si lune des liaisons est dfectueuse. Congurer un tel rseau est simple, il sagira daccomplir deux choses sur chaque routeur. Pour le routeur A :
root# route add -net 192.168.1.0 netmask 255.255.255.0 eth0 root# /usr/sbin/routed
Le dmon de routage routed trouve automatiquement tous les ports actifs vers le rseau quand il dmarre et coute tous les messages sur chacun des priphriques rseau. Ceci lui permet de dterminer et de mettre jour sa table de routage. Ce qui prcde explique brivement ce quest le routage dynamique et la faon de sen servir. Pour de plus amples explications, on se reportera la liste de rfrences du dbut du prsent document. Rcapitulons les points importants relatifs au routage dynamique : 1. Un dmon de routage dynamique nest ncessaire que lorsque votre machine Linux est capable, de choisir entre plusieurs routes, pour une destination donne, par exemple lorsque vous envisagez dutiliser le masquage dadresse IP. 2. Le dmon de routage dynamique modiera automatiquement votre table de routage pour tenir compte des changements survenus dans votre rseau. 214
Chapitre 12. Le rseau sous GNU/Linux 3. RIP est adapt aux rseaux de petite et moyenne taille.
La plupart des pilotes Ethernet ont t mis au point par Donald Becker (mailto:becker@CESDIS.gsfc.nasa.gov).
215
Le programme modprobe est appel rechercher trois cartes du type NE aux adresses en question. Les priphriques auxquels elles devraient tre assignes sont galement indiqus. La plupart des modules ISA peuvent prendre de multiples arguments I/O spars par des virgules. Par exemple :
alias eth0 3c501 alias eth1 3c501 options eth0 -o 3c501-0 io = 0x280 irq = 5 options eth1 -o 3c501-1 io = 0x300 irq = 7
Loption -o permet un nom unique dtre assign chaque module. La simple raison est quil est impossible de charger deux copies dun mme module. Loption irq= est utilise pour indiquer lIRQ matriel et le io= pour les diffrents ports io. Par dfaut, le noyau GNU/Linux ne teste quun seul priphrique Ethernet. Il faudra donc passer des arguments au noyau pour le forcer dtecter les autres cartes. Pour apprendre faire fonctionner votre carte rseau sous Linux rfrez vous au Ethernet-HOWTO (http://www.tldp.org/HOWTO/Ethernet-HOWTO.html).
216
12.6.1. DNS
DNS signie Domain Name System, systme responsable de la production du nom dune machine, tel que www.mandrakesoft.com avec ladresse IP de cet ordinateur, cest--dire ici : 216.71.116.162 ( lheure o nous mettons sous presse). Avec DNS, la production est disponible dans les deux sens, du nom vers le IP et vice-versa. ( Le DNS est constitu dun grand nombre dordinateurs dans tout le rseau Internet ayant la charge dun certain nombre de noms. A chaque machine correspond un serveur DNS auquel il peut se rfrer pour produire un nom en particulier avec son adresse. Si ce serveur ne possde pas la rponse, il en fait la demande un autre, et ainsi de suite. Il est possible galement davoir un DNS local qui aurait la charge de produire les adresses sur votre LAN. Il est possible de diviser les DNS en deux grandes catgories: DNS antmmoire (caching DNS) et le serveur DNS matre (master server). Le premier se contente de se souvenir de requtes prcdentes auxquelles il pourra rpondre sans reposer la question au serveur DNS matre. Ce dernier est un serveur utiliser en dernier recours pour produire une adresse avec un nom ou pour vrier quun nom produit bien telle ou telle adresse.
217
218
1 - Les routes par dfaut vont dans la classe DEFAULT. Ce mode convient trs bien aux petites structures IPs en crant une politique de rgles de routage. 2 - Modle conforme RFC1812. Les routes locales se trouvent dans la classe MAIN. Les routes de passerelle vont dans la classe DEFAULT.
12.6.5. Pare-feu IP
Les problmes de Pare-feu IP et de conguration de pare-feu sont expliqus plus en dtails dans le Firewall-HOWTO (http://fr.tldp.org/HOWTO/ lecture/Firewall-HOWTO.html). La conguration de pare-feu IP vous permet de scuriser votre machine contre les accs rseau non-dsirs en ltrant ou en acceptant des datagrammes venants ou destination dadresses IP que vous avez dsignes. Il existe trois catgories diffrentes de rgles ; ltrage des paquets entrants, ltrage des paquets sortants, et ltrage des paquets en transit. Les rgles de ltrage des paquets entrants sappliquent aux datagrammes reus par une interface rseau. Les rgles de ltrage de paquets sortants sappliquent aux datagrammes qui sont transmis par une interface rseau. Quant aux rgles de ltrage des paquets en transit, elle sappliquent aux datagrammes qui sont reus mais qui ne sont pas destins cette machine (cest--dire les paquets qui seront routs).
Chapitre 12. Le rseau sous GNU/Linux ralement sufsant dallouer une seule adresse dhte au rseau. La translation dadresses IP est une fonctionnalit qui vous permet dutiliser une seule adresse IP pour plusieurs machines. Elle oblige les autres machines se prsenter comme la machine qui est rellement connecte. Et cest pour cela quon applique les termes de masquage ou de translation dadresses IP. Cependant, sachez que cette fonction de masquage IP ne fonctionne habituellement qu sens unique. Les htes masqus peuvent faire des requtes vers lextrieur, mais ils ne peuvent accepter de connections de lextrieur. Cela signie que certains services rseau ne fonctionnent pas (comme talk), et que dautres (comme FTP) doivent tre congur en mode passif (PASV) an de fonctionner. Heureusement, les services rseau les plus courants comme telnet, le Web et lIRC fonctionnent normalement.
12.6.7. IPv6
Alors que vous commenciez comprendre comment fonctionne un rseau IP, le protocole IPv6 chang les rgles ! IPv6 est la dnomination du Protocole Internet version 6. Il a t dvelopp an de rpondre aux proccupations de la communaut Internet : les utilisateurs sinquitaient dune pnurie potentielle dadresses IP allouer. Les adresses IPv6 sont composes de 16 octets (128 bits). Le protocole IPv6 inclut de nombreuses autres modications, des simplications pour la plupart, qui rendront les rseaux IPv6 plus faciles administrer que les rseaux IPv4. Visiter la page Linux IPv6 HOWTO (http://www.tldp.org/HOWTO/Linux+ IPv6-HOWTO/) pour plus de renseignements.
220
Limplmentation Linux de RNIS reconnat diffrents types de cartes internes RNIS, quelles soient passives ou actives. Nous nen ferons pas la liste ici. Certaines de ces cartes exigent certains logiciels tlchargeables pour tre oprationnelles. Il existe pour cela diffrents utilitaires indpendants. Tous les dtails ncessaires la conguration du support RNIS Linux se trouvent dans le rpertoire /usr/src/linux/Documentation/isdn/ et une FAQ consacre isdn4linux est disponible sur le site ISDN4Linux (http: //www.isdn4linux.de/faq/).
Au sujet de PPP. Lensemble des protocoles PPP fonctionne sur des lignes s erie synchrone ou asynchrone. Le d emon PPP pppd couramment distribu e pour Linux ne reconna t que le mode asynchrone. Si vous d esirez utiliser les protocoles PPP avec votre service RNIS, il vous faudra une version sp eciale. Les d etails pour la trouver se trouvent dans la documentation mentionn ee ci-dessus.
12.7.2. PLIP
Lors de la mise au point des versions 2.1 du noyau, le support des ports parallles sest amlior. Options de compilation du noyau :
Network device support ---> [*] Network device support <M> PLIP (parallel port) support
222
Chapitre 12. Le rseau sous GNU/Linux Le nouveau code pour PLIP fonctionne de la mme faon (on utilise les mmes commandes ifcong et route comme dans le paragraphe prcdent), mais linitialisation du systme est diffrente en raison de lamlioration du support du port parallle. Le premier priphrique PLIP est toujours appel plip0 (premier signiant ici qui est dtect en premier par le systme comme pour les priphriques Ethernet). Le port parallle utilis de fait est lun de ceux qui sont disponibles, comme indiqu dans /proc/parport. Par exemple, si vous navez quun seul port parallle, vous naurez quun seul rpertoire appel /proc/parport/0. Si votre noyau ne dtecte pas lIRQ utilise par votre port parallle, insmod plip chouera. Dans ce cas, il vous suft dcrire le chiffre qui convient dans /proc/parport/0/irq, ce qui invoque de nouveau insmod. Une information complte sur la gestion des ports parallles est disponible dans le chier /usr/src/linux/Documentation/parport.txt, qui se trouve dans les sources du noyau. Vous pouvez aussi lire PLIP mini-HOWTO (http://www.tldp.org/HOWTO/PLIP.html) pour obtenir plus de renseignements sur le sujet.
12.7.3. PPP
De par la nature, la taille, la complexit et la exibilit de PPP, il possde maintenant son propre HOWTO. Le PPP-HOWTO est toujours un document du Linux Documentation Project (http://tldp.org/HOWTO/PPP-HOWTO/), dont la page ofcielle se situe sur le site Web The Linux Review (http://www. thelinuxreview.com), dans la section PPP (http://www.thelinuxreview. com/howto/ppp).
223
12.8.1. ARCNet
Les noms du systme ARCNet sont arc0e, arc1e, arc2e etc., ou arc0s, arc1s, arc2s, etc. la premire carte dtecte par le noyau, est assign arc0e ou arc0s, le reste sera assign de faon squentielle selon leur ordre de dtection. La lettre nale indique votre choix :le format de paquet par encapsulation Ethernet ou le format de paquet RFC1051. Options de compilation du noyau. :
Network device support ---> [*] Network device support ARCnet devices ---> <M> ARCnet support <M> Enable standard ARCNet packet format (RFC 1201) <M> Enable old ARCNet packet format (RFC 1051) <M> Enable raw mode packet interface <M> ARCnet COM90xx (normal) chipset driver <M> ARCnet COM90xx (IO mapped) chipset driver <M> ARCnet COM90xx (RIM I) chipset driver <M> ARCnet COM20020 chipset driver <M> Support for COM20020 on ISA <M> Support for COM20020 on PCI
Une fois votre noyau construit pour reconnatre votre carte ARCnet, la conguration de celle-ci est trs aise. On utilisera quelque chose comme ceci :
root# ifconfig arc0e 192.168.0.1 netmask 255.255.255.0 up root# route add -net 192.168.0.0 netmask 255.255.255.0 arc0e
Se rfrer la documentation /usr/src/linux/Documentation/networking/ arcnet.txt et /usr/src/linux/Documentation/networking/arcnet-hardware. txt pour plus ample information. Le support pour ARCNet a t mis au point par Avery Pennarun, apenwarr@foxnet.net.
224
Le support Appletalk permet votre machine Linux dinteragir avec les rseaux Apple. Il sera dune grande utilit pour partager imprimantes ou disques durs entre les deux systmes. Un logiciel supplmentaire appel netatalk sera ncessaire. Wesley Craig est le reprsentant dune quipe (mailto:netatalk@umich.edu), appele le Research Systems Unix Group bas lUniversit du Michigan, qui a produit le paquetage netatalk qui permet dimplmenter le protocole Appletalk ainsi que dautres utilitaires... utiles. Le paquetage netatalk vous aura t fourni avec votre distribution Linux. Sinon vous pourrez la tlcharger partir de University of Michigan (ftp://terminator.rs.itd.umich.edu/unix/netatalk/) Pour construire et installer le paquetage, on accomplira ceci :
Le terme VERSION correspond la version du paquetage de netatalk que vous avez tlcharg. Il est sans doute recommand dditer Makefile avant dappeler make pour enclencher la compilation du matriel. En particulier, on pourra changer
225
Chapitre 12. Le rseau sous GNU/Linux la variable DESTDIR qui dnit le lieu dinstallation ultrieure des chiers. Lassignation par dfaut, /usr/local/atalk, est assez sre.
La prochaine tape est de crer des dossiers de conguration Appletalk dans le rpertoire /usr/local/atalk/etc (ou lendroit o vous avez install le paquetage). Le premier chier quil faudra crer est le /usr/local/atalk/etc/atalkd. conf. Pour commencer, ce chier ne ncessite quune seule ligne pour indiquer le nom du systme rseau qui reconnat le rseau o sont installes vos machines Apple :
eth0
Le programme dmon Appletalk ajoutera des dtails supplmentaires aprs son lancement.
Chapitre 12. Le rseau sous GNU/Linux De plus amples dtails sur les modes de conguration de ces chiers et leurs options sont disponibles la page principale page de man afpd: afpd. Donnons ici un exemple simple :
/tmp Scratch /home/ftp/pub "Zone publique"
Ceci exportera votre systme de chiers /tmp comme volume AppleShare Scratch et votre rpertoire public ftp en tant que volume AppleShare Zone publique . Les noms de volume ne sont nullement obligatoires, le dmon en choisira pour vous. Mais cela ne cote rien dessayer de le faire soi-mme.
Ce qui rendrait disponible pour votre rseau Appletalk une imprimante appele TricWriter . Toutes les tches acceptes seraient alors imprimes par limprimante Linux lp (telles que dnies par le chier /etc/printcap) en utilisant CUPS. La commande op=cg indique que lutilisateur cg est loprateur de limprimante. 227
et le reste dmarrera et fonctionnera sans problme. Il ne devrait pas y avoir de message derreur et le logiciel enverra des messages vers la console indiquant le droulement de chaque tape.
Chapitre 12. Le rseau sous GNU/Linux le dmon sur votre machine connecte Internet. Vous serez le seul responsable en cas dune manoeuvre malveillante de la part dun mchant! 4. Les outils de diagnostic existants, tels que netstat et ifcong ne reconnaissent pas Appletalk. En cas de besoin, linformation brute est disponible dans le rpertoire /proc/net/.
12.8.3. ATM
Werner Almesberger (<werner.almesberger@lrc.di.epfl.ch>) gre un projet de support dun mode de transfert asynchrone pour Linux. Des informations mises jour sur ltat du projet peuvent tre obtenues sur le site ATM on Linux (http://linux-atm.sourceforge.net/).
12.8.4. DECNet
Le support pour DECNet est maintenant inclus dans un noyau stable mis jour. Mandrakelinux (2.4) la galement rendu disponible dans ses noyaux 2.2.
12.8.5. FDDI
Les noms du systme FDDI sont fddi0, fddi1, fddi2, etc. la premire carte dtecte par le noyau sera assigne fddi0 et le reste, selon lordre squentiel de leur dtection. Larry Stefani, lstefani@ultranet.com, a mis au point un gestionnaire de priphriques pour la Digital Equipment Corporation FDDI EISA et les cartes PCI. Options de compilation du noyau : 229
La conguration de linterface FDDI tant quasiment identique celle de linterface Ethernet, dans un noyau construit et install pour reconnatre un gestionnaire de priphriques FDDI, il vous sufra de prciser le nom de linterface FDDI approprie dans les commandes ifcong et route.
Mike McLagan, mike.mclagan@linux.org, a mis au point le support de Frame Relay et des outils de conguration. En ce moment, et notre connaissance, le seul FRAD tre support est Sangoma Technologies (http://www.sangoma.com/) S502A, S502E et S508 et les Technologies mergeantes (Emerging Technologies). Leur site Web est ici (http://www.etinc.com/). Pour congurer les systmes FRAD et DLCI aprs avoir recompil votre noyau, il vous faudra les outils de conguration Frame Relay. Ils sont disponibles sur ftp.invlogic.com (ftp://ftp.invlogic.com/pub/linux/fr/). 230
Chapitre 12. Le rseau sous GNU/Linux La compilation et linstallation des outils sont assez simples et directes, mais elles restent des oprations assez manuelles cause du manque dun chier Makefile de haut niveau :
user% user% user% root# root# root# rppt# tar xvfz .../frad-0.15.tgz cd frad-0.15 for i in common dlci frad; make -C $i clean; make -C $i; done mkdir /etc/frad install -m 644 -o root -g root bin/*.sfm /etc/frad install -m 700 -o root -g root frad/fradcfg /sbin install -m 700 -o root -g root dlci/dlcicfg /sbin
Notez que les commandes prcdentes utilisent la syntaxe sh, lorsquon utilise un soupon de csh la place (comme tcsh), la boucle for aura une toute autre allure. Aprs linstallation des outils, il faudra crer un chier /etc/frad/router. conf, on pourra utiliser ce modle, qui est une version modie dun des chiers exemple :
# # # # # # # # # /etc/frad/router.conf Configuration template pour Frame Relay. Tous les tags sont inclus. Les valeurs par d efaut sont bas ees sur le code. fourni avec les gestionnaires de p eriph eriques DOS de la carte Sangoma S502A. Un # nimporte o` u dans une ligne constitue un commentaire. Les blancs ne sont pas pris en compte (on peut aussi espacer avec des tabulations). Entr ees [] et touches inconnues ne sont pas prises en compte.
[Devices] Count = 1 # nombre de syst` emes (devices) ` a configurer. Dev_1 = sdla0 # nom du syst` eme. #Dev_2 = sdla1 # nom du syst` eme. # Tels que sp ecifi es ici, ces param` etres sont applicables ` a tous les p eriph eriques # et peuvent ^ etre ecras es pour chaque carte. # Access = CPE Clock = Internal Kbaud = 64 Flags = TX # # MTU = 1500 # Maximum transmit IFrame length, 4096 = valeur par d efaut # T391 = 10 # T391 valeur 5 - 30, 10 = valeur par d efaut # T392 = 15 # T392 valeur 5 - 30, 15 = valeur par d efaut
231
# # # configuration sp ecifique au syst` eme # # # # Le premier syst` eme est un Sangoma S502E # [sdla0] Type = Sangoma # Type de syst` eme ` a configurer, ` a ce jour seul # SANGOMA est reconnu # # Ces touches sont particuli` eres au type Sangoma # # Le type de la carte Sangoma - S502A, S502E, S508 Board = S502E # # Le nom du mat eriel exp erimental pour la carte Sangoma # Testware = /usr/src/frad-0.10/bin/sdla_tst.502 # # Le nom du mat eriel dusine FR # Firmware = /usr/src/frad-0.10/bin/frm_rel.502 # Port = 360 # Port pour cette carte pr ecise Mem = C8 # Adresse de la fen^ etre de m emoire, A0-EE, selon la carte IRQ = 5 # chiffre IRQ, indisponible pour S502A DLCIs = 1 # Nombre des DLCI attribu e ` a ce p eriph erique DLCI_1 = 16 # DLCI #1s number, 16 - 991 # DLCI_2 = 17 # DLCI_3 = 18 # DLCI_4 = 19 # DLCI_5 = 20 # # Tels que sp ecifi es ici, sapplique exclusivement ` a ce p eriph erique, # et annule les valeurs par d efaut ci-dessus # # Access = CPE # CPE or NODE, d efaut is CPE # Flags = TXIgnore,RXIgnore,BufferFrames,DropAborted,Stats,MCI,AutoDLCI
232
Le deuxi` eme syst` eme provient dune autre carte [sdla1] Type = FancyCard # Type de syst` eme a ` configurer. Board = # Type de carte Sangoma Key = Valeur # valeurs sp ecifiques ` a ce type de syst` eme
# # DLCI Param` etres par d efaut de cette configuration # Peuvent ^ etre ecras es dans les configurations sp ecifiques dans le DLCI # CIRfwd = 64 # CIR forward 1 - 64 # Bc_fwd = 16 # Bc forward 1 - 512 # Be_fwd = 0 # Be forward 0 - 511 # CIRbak = 16 # CIR backward 1 - 64 # Bc_bak = 16 # Bc backward 1 - 512 # Be_bak = 0 # Be backward 0 - 511 # # DLCI Configuration # Tous sont en option. La convention de nommage est # [DLCI_D<devicenum>_<DLCI_Num>] # [DLCI_D1_16] # IP = # Net = # Mask = # Flags defined by Sangoma: TXIgnore,RXIgnore,BufferFrames # DLCIFlags = TXIgnore,RXIgnore,BufferFrames # CIRfwd = 64 # Bc_fwd = 512 # Be_fwd = 0 # CIRbak = 64 # Bc_bak = 512 # Be_bak = 0 [DLCI_D2_16] # IP = # Net = # Mask =
233
Une fois construit votre chier /etc/frad/router.conf, il reste une seule tape :la conguration des priphriques eux-mmes. Le processus ncessite lgrement plus de doigt quune conguration de systme rseau normal. Il faudra se rappeler douvrir le systme FRAD avant les systmes dencapsulation DLCI. A cause de leur nombre, ces commandes doivent tre crites dans un script shell :
#!/bin/sh # Configure le hardware FRAD et les param` etres DLCI /sbin/fradcfg /etc/frad/router.conf || exit 1 /sbin/dlcicfg file /etc/frad/router.conf # # Ouvre le syst` eme FRAD ifconfig sdla0 up # # Configure les interfaces dencapsulation et le routage ifconfig dlci00 192.168.10.1 pointopoint 192.168.10.2 up route add -net 192.168.10.0 netmask 255.255.255.0 dlci00 # ifconfig dlci01 192.168.11.1 pointopoint 192.168.11.2 up route add -net 192.168.11.0 netmask 255.255.255.0 dlci00 # route add default dev dlci00 #
234
Le protocole IPX et le NCPFS sont explicits en profondeur sur Linux IPXHOWTO (http://www.tldp.org/HOWTO/IPX-HOWTO.html).
Les protocoles AX25, Netrom et Rose sont couverts par AX25-HOWTO (http://www.tldp.org/HOWTO/AX25-HOWTO/). Ces protocoles sont utiliss par les oprateurs radio amateurs (Amateur Radio Operators) du monde entier dans des paquetages dexprimentation radio. La plus grande partie du travail dimplantation de ces protocoles a t accomplie par Jonathon Naylor, jsn@cs.nott.ac.uk.
235
STRIP est un protocole construit spciquement pour une srie de modems radio Metricom dans le cadre dun projet de recherche de lUniversit Stanford appel ; MosquitoNet Project (http://mosquitonet.Stanford.edu). La lecture en est trs intressante mme si on nest pas directement impliqu par le projet. Les radios Metricom se connectent un port srie, sappuient sur la technologie Spread Spectrum et ont en gnral une capacit denviron 100kbps. De linformation sur les radios Metricom est disponible sur le site Metricom.com (http://www.metricom.com/).
Metricom a fait faillite, mais une autre soci et e pourrait acheter la technologie et r eactiver le site Web.
Actuellement, les outils et utilitaires rseau standard ne reconnaissent pas le gestionnaire STRIP. Quelques outils taills sur mesure devront donc tre tlchargs partir du serveur Web MosquitoNet. Des dtails prcis sur les logiciels ncessaires sont disponibles sur :: MosquitoNet Software Page (http://mosquitonet.Stanford.EDU/software.html). Pour rsumer la conguration, disons que lon utilise un programme slattach modi pour tablir le type de ligne dun priphrique tty srie STRIP, 236
Chapitre 12. Le rseau sous GNU/Linux puis on congure le systme qui en rsulte, st[0-9], comme on le ferait pour Ethernet mais avec une exception de taille :pour des raisons techniques, STRIP ne reconnat pas le protocole ARP, il faudra donc congurer manuellement les entres ARP pour chacun des htes de votre sous-rseau. Ce qui nest pas, de prime abord, trs coteux.
La conguration de Token Ring est semblable celle dEthernet lexception du nom du systme rseau qui est congurer.
237
12.8.12. X.25
X.25 est un protocole matriel dchange de paquetages dni par le ITU-T (un ensemble de standards reconnus par les compagnies de tlcommunications en vigueur dans la majeure partie du monde). Une implantation de X.25 et de LAPB est en train dtre mise jour et les rcents noyaux ( partir de 2.1.*) incluent ces travaux en cours. Jonathon Naylor jsn@cs.nott.ac.uk est le chef de ce projet et il existe une liste mail de discussion sur Linux X.25. Pour vous enregistrer, envoyez un message : majordomo@vger.rutgers.edu avec le texte subscribe linuxx25 dans le corps du message.
La carte WaveLAN est une carte rseau sans-l large spectre. Pour ce qui est de son utilisation et de sa conguration, la carte ressemble beaucoup une carte Ethernet. Des informations sont disponibles sur la carte Wavelan sur le site Web dORINOCO (http://www.orinocowireless.com/).
238
Pin Name Pin Tx Data 2 Rx Data 3 RTS 4 CTS 5 Ground 7 DTR 20 DSR 6 RLSD/CDC 8
Figure 12-2. Le cblage NULL-modem
Pin 3 2 5 4 7 8 20 6
239
(*).
Les masses suppl ementaires sont 18, 19 ,20, 21 ,22 ,23 and
24;
Si le c able que vous utilisez poss` ede un blindage, il doit
un c able PLIP mal branch e peut d etruire votre port parall` ele. Faites attention et v eriez chaque connexion deux fois plut ot quune pour eviter un travail inutile ou de gros ennuis.
Bien que lon puisse utiliser des cbles PLIP sur des longues distances, vitez de le faire si possible. Les spcications du cble permettent davoir une longueur denviron 1 mtre. Faites attention si vous utilisez de grandes longueurs, car les sources de champs magntiques leves comme la foudre, les 240
Chapitre 12. Le rseau sous GNU/Linux lignes haute tension et les metteurs radio peuvent interfrer et parfois endommager votre carte contrleur. Si vous voulez vraiment connecter deux de vos ordinateurs sur une grande distance, utilisez plutt des cartes Ethernet et un cble coaxial.
Figure 12-4. Cblage Ethernet 10base2 Les | chaque extrmit reprsentent une terminaison, les = = = = = = reprsentent une longueur de cble coaxial avec des prises BNC chaque extrmit et les machines intermdiaires utilisent un connecteur en T . Gardez la longueur de cble entre les connecteurs en T et les cartes Ethernet aussi courte que possible, lidal tant que ces connecteurs soient branchs directement sur la carte Ethernet.
Chapitre 12. Le rseau sous GNU/Linux cbler les deux cartes directement ensemble en vous rfrant au schma de cblage qui se trouve gure 12-5.
242
13.1. Introduction
Faire des copies de sauvegarde, rgler de petits problmes, recompiler son noyau, installer de nouvelles applications ou bricoler ses chiers de conguration sont des tches que lon est amen effectuer un jour ou lautre sous GNU/Linux. Toutes ces actions peuvent tre matrises sans histoire, si vous utilisez un peu de bon sens et que vous suivez quelques rgles et techniques que nous allons vous prsenter.
Presque tous les exemples et les outils pr esent es dans ce chapitre sont reli es ` a la ligne de commande. Bien souvent, la restauration dun syst` eme endommag e ne peut se faire quavec elle. Donc, nous supposerons que vous ma trisez la ligne de commande.
Vous pouvez aussi utiliser le mode Rescue ` a partir du CD-ROM dinstallation de Mandrakelinux pour d emarrer votre machine et eectuer les t aches dentretien, mais une disquette de d emarrage sera toujours utile (par exemple, si votre machine ne permet pas de d emarrer ` a partir du lecteur de CD-ROM).
243
et pressez la touche Entre. Suivez alors les instructions lcran. Un paramtre ncessaire mkbootdisk est loption --device [p eriph erique], qui indique le priphrique contenant la disquette. Dans notre exemple, nous avons choisi /dev/fd0, qui est le premier lecteur de disquette du systme. Dans 99.9% des cas, cela devrait correspondre. Sinon, choisissez le bon priphrique. Lautre paramtre ncessaire, [version-noyau], indique mkbootdisk quel noyau utiliser pour la disquette. Dans notre exemple, nous utilisons uname -r qui renvoie le nom du noyau courant. Ainsi, nous crerons une disquette de dmarrage qui contiendra le noyau courant sur le premier lecteur de disquette. Notez bien que la disquette de dmarrage qui sera cre sappuiera sur votre noyau actuel, avec tous les modules et les autres lments que ce noyau possde. Si vous souhaitez spcier les modules qui doivent tre inclus (comme ajouter un module pour un lecteur de bandes), utilisez plutt drakoppy .
13.3. Sauvegarde
13.3.1. Pourquoi sauvegarder ?
Sauvegarder votre systme est le seul moyen de pouvoir le rparer sil subit des dommages srieux, si vous effacez accidentellement certains chiers systme importants, ou si quelquun inltre votre ordinateur et efface cer244
Chapitre 13. Faire face aux problmes tains chiers intentionnellement. Vous devriez galement sauvegarder votre travail quotidien (son, images, documents bureautiques, courriers lectroniques, carnet dadresses, etc.) pour tre en scurit. Vous devriez raliser vos sauvegardes en utilisant un support appropri et les conserver dans un endroit sr. Un tel endroit devrait, si possible, tre en dehors du lieu o vous travaillez dhabitude. Vous pouvez mme avoir deux sauvegardes, une sur place et une ailleurs. Dune manire gnrale, vous devriez vous assurer que vous serez capable de restaurer ces sauvegardes si vous voulez que tout cela soit rellement utile.
Chapitre 13. Faire face aux problmes sier /home/votre_nom_de_login/). Gardez lesprit que cela peut prendre beaucoup de temps avant de se terminer, mais cest le moyen le plus sr. Un schma plus sophistiqu serait de ne sauvegarder que les chiers de conguration qui ont chang, laissant de ct ceux qui nont pas chang. Cela exigera plus de prparation, mais les sauvegardes et les restaurations seront ensuite plus rapides effectuer. De plus, ces sauvegardes sont plus faciles transfrer dune machine ou dun systme dexploitation un autre. Pour rsumer, sauvegardez tous les chiers de conguration des programmes que vous utilisez et tous les chiers de conguration que vous avez modis. Sauvegardez aussi vos donnes personnelles et celles des utilisateurs du systme. Vous ne le regretterez pas.
13.3.4. O` u sauvegarder ?
Lautre grande question laquelle rpondre. Cela dpend de la quantit de donnes que vous voulez sauvegarder, combien de temps vous pouvez consacrer la sauvegarde, quelle est la facilit daccs au support de sauvegarde, ainsi que de nombreux autres facteurs. En gnral, vous avez besoin dun support qui soit au moins aussi large que la quantit dinformations que vous voulez sauvegarder, et sufsamment rapide pour que le processus complet ne prenne pas une ternit. Les supports de sauvegarde disponibles varient en capacit, abilit et vitesse. Vous pouvez combiner plusieurs supports diffrents suivant votre stratgie de sauvegarde, par exemple : bandes et CD-R/DVD+RW, disque dur et bande, disque dur et CD-R/DVD+RW, etc., mais assurez vous que votre logiciel de sauvegarde accepte tous ces supports.
Chapitre 13. Faire face aux problmes pour vous ou votre organisation. Par exemple, une des stratgies veut que vous fassiez une sauvegarde complte chaque n de semaine, et une sauvegarde incrmentale (seulement les changements) chaque jour ; ensuite il faudrait que vous fassiez une sauvegarde complte chaque mois et que vous la stockiez dans au moins deux endroits diffrents. Cette stratgie peut tre adapte une entreprise, mais pas pour un ordinateur personnel. Pour vos sauvegardes personnelles, vous pouvez envisager de faire une sauvegarde hebdomadaire de vos chiers sur votre disque dur et chaque mois, transfrez ces sauvegardes sur un CD-R/DVD+RW ou une bande.
Vous devez avoir les droits de lecture sur les chiers et r epertoires que vous allez sauvegarder, sinon la sauvegarde echouera.
#!/bin/bash # Cr ee une sauvegarde compress ee de tous les r epertoires sp ecifi es et stocke # le fichier en r esultant dans un r epertoire de votre choix. SAUVE_REP="$HOME /etc /var" NOM_SAUVEGARDE=date +%b%d%Y SAUVEGARDE_DEST_REP="/backups" # D ecommentez la ligne suivante pour obtenir une sauvegarde GZipp ee, # commentez pour une sauvegarde BZipp ee #tar cvzf $SAUVEGARDE_DEST_REP/$NOM_SAUVEGARDE.tar.gz $SAUVE_REP # Nous cr eons une archive BZipp ee... # Commentez la ligne suivante pour une archive GZipp ee, # d e-commentez pour une archive BZipp ee tar cvjf $SAUVEGARDE_DEST_REP/$NOM_SAUVEGARDE.tar.bz2 $SAUVE_REP
Utilisez la variable BACKUP_DIRS pour dterminer les rpertoires que vous voulez inclure dans votre sauvegarde et BACKUP_DEST_DIR pour le rpertoire 247
Chapitre 13. Faire face aux problmes de destination du chier de sauvegarde. Rendez le script excutable en tapant chmod 700 backup.sh dans une console. Naturellement, vous pouvez par la suite dplacer le chier .tar.bz2 ou .tar.gz sur nimporte quel support. Vous pouvez mme sauvegarder directement sur le support que vous voulez en le montant et en changeant la variable SAUVEGARDE_DEST_REP du script en fonction. Nhsitez pas amliorer ce script et le rendre aussi souple que vous le voulez. Pour restaurer les sauvegardes ralises de cette manire, voyez Exemple de restauration avec TAR, page 248.
13.4. Restauration
La restauration des sauvegardes dpend du programme, du support et de la planication que vous avez utiliss pour les raliser. Nous nallons pas traiter de toutes les situations ici, mais seulement mentionner que vous devez vous assurer que vous restaurez les chiers ou rpertoires aux mmes endroits quils taient lorsque vous avez ralis la sauvegarde, an de rcuprer vos donnes et vos paramtrages.
Vous devez avoir la permission d ecriture sur les chiers et r epertoires que vous allez restaurer, sinon lop eration de restauration echouera.
#!/bin/bash # Extrait une sauvegarde compress ee de tous les r epertoires sp ecifi es # et restaure les fichiers sauvegard es ` a leur endroit dorigine SAUVEGARDE_REP_SOURCE="/backups" NOM_SAUVEGARDE=$1 # D ecommentez la ligne suivante si vous restaurez une sauvegarde GZipp ee #tar xvzf $SAUVEGARDE_REP_SOURCE/$NOM_SAUVEGARDE
248
Comme vous pouvez le voir, ce script est trs simple. Vous navez qu lui passer le nom du chier que vous voulez restaurer en paramtre (juste le nom du chier, pas le chemin complet), et il restaurera les chiers sauvegards leur position initiale. Noubliez pas de rendre le script excutable en tapant chmod 700 backup.sh dans une console.
249
Si, pour une raison quelconque, vous navez pas teint votre machine correctement, le systme va excuter un contrle de routine des systmes de chiers au prochain dmarrage. Parfois, cette commande choue et vous transfre alors dans une console. Excutez e2fsck -py [p eriph erique] o [p eriph erique] est le nom de la partition sur laquelle le test automatique a chou. Loption -p demande e2fsck deffectuer toutes les rparations ncessaires sans rien demander tandis que loption -y suppose que vous rpondez oui toutes les questions. Lorsque la phase de vrication et de rparation est termine, pressez Ctrl-D pour quitter la console durgence. Le systme va redmarrer. Si vous obtenez cette erreur rgulirement, il se peut quil y ait des secteurs dfectueux sur votre disque. Excutez e2fsck -c [p eriph erique] pour vrier. Cette commande va automatiquement marquer les secteurs dfectueux et ainsi empcher le systme de chiers de stocker des donnes dans 250
Chapitre 13. Faire face aux problmes ces blocs. e2fsck ne vriera le systme de chiers automatiquement que sil na pas t proprement dmont lors du dernier arrt ; ou bien si le nombre maximal de montages a t atteint. Pour forcer une vrication, utilisez loption -f.
La recherche des blocs d efectueux sur un disque peut durer un temps consid erable.
Chapitre 13. Faire face aux problmes lement slectionn sera en surbrillance et dune couleur diffrente. Appuyez sur Entre pour lactiver.
252
Lexemple suivant suppose que vous essayez dinstaller GRUB dans le MBR de votre premier disque IDE et que le chier stage1 est dans le r epertoire /boot/grub/.
Dabord, lancez le shell de GRUB en lanant la commande grub. Une fois que cest fait, excutez les commandes suivantes : root (hd0,0) ; ceci indiquera GRUB que les chiers ncessaires sont dans la premire partition (0) de votre premier disque dur (hd0). Puis, excutez : setup (hd0), ce qui installera GRUB dans le MBR de votre premier disque dur. Cest tout ! Vous pouvez aussi essayer dutiliser grub-install /dev/hda pour installer GRUB sur le MBR de votre premier disque dur, mais la mthode dcrite plus haut est prfrable.
13.6.1.3. Quelques consid erations concernant les syst` emes ` a double amor cage (dual booting)
Mise jour de Windows 9x, NT, 2000 et XP. Si vous utilisez un systme lancement double, soyez prvoyant et ayez toujours une disquette de dmarrage GNU/Linux sous la main. Windows (toutes les versions) remplace frquemment LILO ou GRUB (les chargeurs de dmarrage qui lancent GNU/Linux et dautres systmes dexploitation) sans avertissement, et si vous ne possdez pas de disquette de dmarrage, vous serez incapable de lancer GNU/Linux aprs avoir fait une mise jour de Windows.
Si vous voulez restaurer une copie du MBR de votre disque dur, insrez une disquette le contenant dans votre lecteur et tapez la commande qui suit :
# dd if=/dev/fd0/mbr.bin of=/dev/hda bs=512
253
Les exemples susmentionn es supposent que le MBR de votre premier disque IDE (/dev/hda) soit sauvegard e dans un chier nomm e mbr.bin, lequel est sur une disquette dans le premier lecteur de votre ordinateur (/dev/fd0). Ces commandes doivent etre lanc ees par lutilisateur root.
Le super-bloc est le premier bloc de chaque partition ext2FS/ext3. Il contient des donnes importantes propos du systme de chiers, comme sa taille, lespace libre, etc. (cest assez similaire sur les partitions FAT). Une partition comprenant un super-bloc endommag ne peut tre monte. Heureusement, ext2FS/ext3 conserve plusieurs sauvegardes du super-bloc dissmines sur la partition. Dmarrez votre systme avec la disquette de dmarrage cre plus tt. La localisation des copies de sauvegarde dpend de la taille du bloc du systme de chiers. Pour les systmes de chiers dont la taille des blocs est de 1 Ko, vous la trouverez au dbut de chaque bloc de 8 Ko (8192 octets). Pour les systmes de chiers avec des blocs de taille 2 Ko, cest au dbut de chaque bloc de 16 Ko (16384 octets), et ainsi de suite. Vous pouvez utiliser la commande mke2fs -n [nom_de_votre_p eriph erique] pour trouver quel octet se trouvent les sauvegardes de super-bloc. En supposant que la taille du bloc soit de 1 Ko, la prochaine copie de sauvegarde commencera loctet 8193. Pour restaurer le super-bloc partir de cette copie, excutez e2fsck -b 8193 /dev/hda4 ; changez hda4 pour dsigner votre partition endommage. Si ce bloc est galement endommag, essayez le suivant loctet numro 16385, et ainsi de suite jusqu ce que vous trouviez un super-bloc en bon tat. Redmarrez votre systme pour activer les changements.
254
Vous vous demandez peut-tre bon, jai effac ce chier accidentellement, comment puis-je le retrouver ? . Il existe quelques utilitaires prvus pour le systme de chiers ext2 de GNU/Linux qui vous permettent de rcuprer des chiers et des rpertoires effacs. Cependant, ces outils ne pourront pas rcuprer les chiers que vous avez effacs il y a quelques mois : cause de lactivit du systme, lespace marqu libre sera rcrit. Par consquent, la meilleure mthode pour se prmunir des suppressions accidentelles est deffectuer des sauvegardes.
Gardez ` a lesprit quil nexiste pas pour linstant doutil pour r ecup erer les chiers eac es sur un syst` eme de chiers ReiserFS. Gardez un oeil sur la page de ReiserFS (http://www.namesys.com/) au cas o` u un tel outil devenait disponible.
Voyons les outils de rcupration des chiers effacs. Lun deux est Recover. Cest un outil interactif . Si vous tes lheureux possesseur dun Mandrakelinux - dition PowerPack, vous disposez dj de cet outil dans le CDROM contrib . Sinon, vous pouvez le trouver sur le site RPMFind (http: //fr.rpmfind.net). Allez-y et tlchargez le RPM. Lorsque vous lavez, installez-le. Puis, excutez-le avec recover [options] et rpondez aux questions qui vous seront poses. Celles-ci permettent de dnir lintervalle de temps lintrieur duquel il faut chercher les rpertoires et les chiers effacs an de limiter la dure de la recherche. 2 Lorsque loutil a termin sa recherche, il vous demandera o vous voulez sauvegarder les rpertoires et chiers rcuprs. Choisissez un rpertoire qui contiendra tous ces chiers et rpertoires rcuprs. Notez que vous ne pourrez pas retrouver les noms des chiers, seulement leur contenu, mais vous pouvez inspecter leur contenu ou tenter de les renommer avec diff2. Vous pouvez chercher tous les chiers effacs, mais cela durera plus longtemps...
255
Chapitre 13. Faire face aux problmes rents noms jusqu ce que vous trouviez celui que vous cherchez. Cest mieux que rien !
Des mini-HOWTO consacr es ` a ce sujet existent egalement, dont Ext2fs-Undeletion (http://www.freenix.fr/unix/linux/ HOWTO/mini/Ext2fs-Undeletion.html) et r ecup eration dune structure compl` ete de r epertoires (http://www.tldp.org/ HOWTO/mini/Ext2fs-Undeletion-Dir-Struct/index.html)(en anglais).
Dans le cas dun gel du systme, votre premire priorit devrait tre dteindre votre systme correctement. En supposant que vous tes sous X, essayez successivement ces tapes :
1. Essayez de tuer le serveur X en pressant Alt-Ctrl-backspace simultanment. 2. Essayez de passer une autre console avec Alt-Ctrl-Fn (o n quivaut au numro de la console, soit de 1 6). Si vous y parvenez, connectez-vous en tant que root et excutez la commande kill -15 $(pidof X), ou la commande kill -9 $(pidof X) si la premire na aucun effet (vriez avec la commande top pour vrier si X fonctionne toujours). 3. Si vous tes dans un rseau local, essayez de vous connecter par ssh sur votre machine partir dune autre. Il est recommand de vous connecter en tant quutilisateur non privilgi puis dutiliser la commande su pour devenir root. 256
Chapitre 13. Faire face aux problmes 4. Si le systme ne rpond aucune de ces tentatives, vous devez utiliser la squence SysRq (System Request). Cette squence implique de presser trois touches la fois, la touche Alt de gauche, la touche SysRq (nomme PrintScreen ou Impr cran sur les vieux claviers) et une lettre. a. Alt gauche-SysRq-R place le clavier en mode cru (raw mode). Maintenant essayez de presser Alt-Ctrl-Backspace encore une fois pour tuer X. Si a ne fonctionne pas, continuez. b. Alt gauche-SysRq-S tente dcrire toutes les donnes non sauvegardes sur le disque ( synchronisation du disque). c. Alt gauche-SysRq-E envoie un signal de terminaison tous les processus, sauf init. d. Alt gauche-SysRq-I envoie un signal de n tous les processus (terminaison beaucoup plus ferme ), sauf init. e. Alt gauche-SysRq-U tente de remonter tous les systmes de chiers monts en lecture seule. Ceci retire le marquage dirty ag et vitera ainsi une vrication du systme de chiers au redmarrage. f. Alt gauche-SysRq-B redmarre le systme. Vous pouvez aussi presser le bouton reset sur votre machine.
Rappelez-vous quil sagit dune s equence, cest-` a-dire que vous devez presser une combinaison apr` es lautre dans le bon ordre : Raw, Sync, tErm, kIll, Umount, reBoot3. Lisez la documentation au sujet du noyau pour plus de renseignements.
5. Si rien de ce qui prcde ne fonctionne, croisez les doigts et pressez le bouton reset de votre machine. Avec un peu de chance, GNU/Linux se contentera dune vrication du disque au redmarrage. Par tous les moyens, essayez de trouver ce qui a provoqu ce blocage car cela peut endommager svrement le systme de chiers. Vous pouvez aussi envisager dutiliser ext3 ou ReiserFS, un systme de chiers journalis inclus dans Mandrakelinux, qui prend en charge beaucoup mieux ce genre de problmes. Cependant, remplacer ext2FS par ext3 ou ReiserFS ncessite de reformater vos partitions.
257
Ceci nous indique, entre autres, que Mozilla a t dmarr par lutilisateur pierre et que son PID est 3505. Maintenant que nous avons le PID du programme dfectueux, nous pouvons poursuivre et excuter la commande kill pour le terminer. Donc, nous excutons ceci : kill -9 3505, et voil ! Mozilla sera tu. Notez que cette mthode doit tre utilise seulement lorsque le programme ne rpond plus vos sollicitations. Ne lutilisez pas comme mthode habituelle pour quitter une application. En fait, nous avons envoy le signal KILL au processus numro 3505. La commande kill accepte dautres signaux que KILL, pour avoir un contrle plus n sur vos processus. Pour plus dinformations, voyez kill(1).
258
Systmes legacy-free. Les fabricants ont rcemment introduit ce quils appellent des systmes legacy free , surtout sur les ordinateurs portables4. Ceci signie que le BIOS a t signicativement rduit pour vous permettre de choisir quel mdium vous voulez dmarrer. Dans certains cas, GNU/Linux sera apte tout congurer tout correctement. Malheureusement, dans certains cas, vous devrez appliquer le correctif (patch) ACPI. Cartes graphiques nVidia 3D. Les ordinateurs possdant des cartes graphiques nVidia ncessitent un correctif noyau pour utiliser lacclration matrielle OpenGL 3D sur les applications compatibles avec OpenGL. Le noyau devrait tre install par DrakX. Cependant, si ce nest pas le cas, veuillez installer les paquetages relatifs, soit depuis le site Web de nVidia (http://www. nvidia.com) ou depuis le Mandrakeclub (http://www.mandrakeclub.com), lancez le Centre de contr ole Mandrakelinux et recongurez-y X.
Les RPMs nVidia sont de nature exp erimentale et, en tant que tels, ils ne sont pas pris en charge par Mandrakesoft. Toutefois, ils fonctionnent tr` es bien sur la plupart des syst` emes.
Mon ordinateur est lent . Si vous remarquez aprs linstallation que votre ordinateur est notablement plus lent, vous pouvez essayer de contourner ce problme en dsactivant lACPI. Pour ce faire, ajoutez la ligne suivante votre chier /etc/lilo.conf :
append=" acpi=off"
Sil y a dj une ligne append=, contentez-vous dy ajouter acpi=off la n. Lancez alors lilo -v en tant que root et redmarrez la machine.
4. Rfrez-vous cet excellent site Web, Linux on Laptops (http://www. linux-laptop.net), pour plus de renseignements sur votre modle dordinateur portable.
259
5.
260
Annexe A. Glossaire
adresse IP Adresse numrique compose de quatre squences de un trois chiffres qui identient un ordinateur sur un rseau et notamment sur Internet. Les adresses IP sont structures de manire hirarchique, avec des domaines suprieurs et nationaux, domaines, sous-domaines, et adresses de chaque machine individuelle. Une adresse IP ressemble 192.168.0.1.. Ladresse dune machine personnelle peut tre de deux types : statique ou dynamique. Les adresses IP statiques sont des adresses qui ne changent pas, alors que les adresses dynamiques sont ractualises chaque nouvelle connexion au rseau. Les utilisateurs de modem ou de cble ont gnralement des adresses IP dynamiques, alors que certaines connexions DSL et dautres large bande fournissent des adresses IP statiques. adresse matrielle Cest un nombre qui identie de manire unique un hte at the media access layer. Les adresses Ethernet et les adresses AX.25en sont un exemple. alias Mcanisme utilis dans un shell pour lui faire substituer une chane par une autre avant dexcuter une commande. Vous pouvez voir tous les alias dnis dans la session courante en tapant la commande alias linvite. anneau tueur (kill ring) Sous Emacs, cest lensemble des zones de texte copies ou coupes depuis le dmarrage de lditeur, que lon peut rappeler pour les insrer de nouveau, et qui est organis sous forme danneau. On peut aussi lappeler cercle des morts . APM Advanced Power Management (Gestion Avance de lnergie) : fonctionnalit utilise par quelques BIOS pour faire entrer la machine dans un tat de latence aprs une priode dinactivit donne. Sur les ordinateurs portables, lAPM est aussi charg de reporter le statut de la batterie et, si lordinateur le permet, la dure de vie restante estime. arp Address Resolution Protocol : Protocole de Rsolution dAdresses. Le protocole Internet utilis pour faire automatiquement correspondre une 261
Annexe A. Glossaire adresse Internet et une adresse physique (matrielle) sur un rseau local. Cela est limit aux rseaux supportant la diffusion (broadcasting) matrielle. arrire-plan Dans le contexte du shell, un processus tourne en arrire-plan si vous pouvez envoyer des commandes pendant que ledit processus continue de fonctionner. Voir aussi : job, premier plan. ASCII American Standard Code for Information Interchange : Code standard amricain pour lchange dinformation. Le code standard utilis pour stocker des caractres, y compris les caractres de contrle, sur un ordinateur. Beaucoup de codes 8-bit (tels que ISO 8859-1, lensemble des caractres par dfaut de GNU/Linux) contiennent ASCII sur leur moiti infrieure. Voir aussi : ISO 8859. ATAPI (AT Attachment Packet Interface) Une extension des spcications ATA ( Advanced Technology Attachment , plus connue sous le nom dIDE, Integrated Drive Electronics) qui propose des commandes supplmentaires pour contrler les lecteurs de CD-ROM et de bandes magntiques. Les contrleurs IDE proposant cette extension sont aussi appels contrleurs EIDE (Enhanced IDE). ATM Cest lacronyme d Asynchronous Transfer Mode, mode de transfert non synchrone. Un rseau ATM concentre des donnes en paquets de taille standard (53 bytes: 48 pour les donnes et 5 pour len-tte) pour les transfrer efcacement dun point un autre. ATM est une technologie de circuit commut pour paquets rseau destine aux rseaux optiques haut-debit (plusieurs megabit). atomique Une srie doprations est dite atomique si elle est excute en une seule fois, sans interruption. batch Mode de gestion pour lequel les travaux (jobs) sont soumis de faon squentielle au processeur jusquau dernier, le processeur est alors libr pour une autre liste de processus. 262
Annexe A. Glossaire bta test Nom donn la procdure visant tester la version bta (prliminaire) dun programme. Ce dernier passe gnralement par des phases dites alpha puis bta de test avant de sortir ofciellement (release). bibliothque Ensemble de procdures et de fonctions au format binaire utilis par les programmeurs dans leurs programmes (si la licence le leur permet). Le programme responsable du chargement des bibliothques partages au dmarrage est appel lditeur dynamique de liens (dynamic linker). binaire Format des chiers excutable par la machine. Cest gnralement le rsultat dune compilation de chiers sources bip Petit bruit aigu mis par lordinateur pour attirer votre attention sur une situation ambigu ou une erreur. Il est utilis en particulier lorsque le compltement automatique dune commande propose plusieurs choix. bit Binary digIT (Chiffre Binaire). Un simple chiffre pouvant prendre les valeurs 0 ou 1, car le calcule seffectue en base deux. bitmap Image en mode point, par opposition une image en mode vectoriel. block (chier en mode) Fichier dont le contenu est mis en tampon (buffer). Toutes les oprations dentre/sortie sur de tels chiers passent par le tampon, ce qui permet des critures asynchrones sur le matriel sous-jacent, et des lectures directes sur le tampon, donc plus rapides. Voir aussi : tampon (buffer), cache mmoire, caractre (chiers en mode). bogue (bug) Comportement illogique ou incohrent dun programme dans un cas particulier, ou comportement qui nest pas en accord avec sa documentation. Souvent, dans un programme, de nouvelles fonctionnalits introduisent de nouveaux bogues. Le mot bogue est une francisation du mot anglais bug. Historiquement, ce terme remonte au temps des cartes perfores : une punaise (linsecte !) qui se serait glisse dans le trou dune carte perfore et aurait engendr un dysfonctionnement 263
Annexe A. Glossaire du programme ; Ada Lovelace, voyant cela, dclara Cest un bug ; lexpression est reste depuis. boot Procdure qui senclenche au dmarrage dun ordinateur lorsque les priphriques sont reconnus un par un, et que le systme dexploitation est charg en mmoire. BSD Berkeley Software Distribution Distribution Logicielle de Berkeley : variante dUnix dveloppe au dpartement informatique de luniversit de Berkeley. Cette version a toujours t considre plus avance technologiquement que les autres, et a apport beaucoup dinnovations au monde de linformatique en gnral et Unix en particulier. bureau Si vous utilisez lenvironnement graphique X, le bureau est lendroit de lcran avec lequel vous travaillez et sur lequel sont places les icnes et les fentres. Il peut aussi tre appel le fond dcran, et est gnralement rempli par une simple couleur, un gradient de couleur ou mme une image. Voir aussi : bureau virtuel. bureau virtuel Dans le systme de fentres X, le gestionnaire de fentres peut vous proposer plusieurs bureaux. Cette fonctionnalit pratique vous permet dorganiser vos fentres en limitant le nombre de fentres se superposant lune lautre. Cela fonctionne de la mme manire que si vous possdiez plusieurs crans. Vous pouvez passer dun bureau virtuel un autre par le clavier ou la souris, selon le gestionnaire de fentres que vous utilisez. Voir aussi : gestionnaire de fentres, bureau. cache mmoire lment crucial du noyau dun systme dexploitation, il a pour rle de maintenir les tampons jour, de les effacer lorsquils sont inutiles, de rduire la taille de lantmmoire si ncessaire, etc. Voir aussi : tampon (buffer). cach (chier) Fichier qui napparat pas lorsque lon excute la commande ls sans option. Les noms de chiers cachs commencent par un . et sont notamment utiliss pour enregistrer les prfrences et congurations propres 264
Annexe A. Glossaire chaque utilisateur. Par exemple, lhistorique des commandes de bash est enregistr dans le chier cach .bash_history. canaux IRC Points de rencontre lintrieur des serveurs IRC o vous pouvez converser avec dautres utilisateurs. Les canaux sont crs dans les serveurs IRC et les utilisateurs se connectent ces canaux an de pouvoir communiquer entre eux. Les messages crits sur un canal ne sont visibles que par les personnes connectes ce canal. Deux ou plusieurs utilisateurs peuvent aussi crer des canaux privs an de ne pas tre drangs par les autres utilisateurs. Les noms de canaux commencent par un #. caractre (chiers en mode) Fichiers dont le contenu nest pas mis en tampon (buffer). Lorsquassoci un priphrique physique, toutes les entres/sorties sont immdiatement effectues. Certains priphriques caractres spciaux sont crs par le systme (/dev/zero, /dev/null et dautres). Ils correspondent aux ux de donnes. Voir aussi : block (chier en mode). casse Dans le contexte de chanes de caractres, la casse est la diffrenciation entre lettres minuscules et majuscules (ou capitales). CHAP Challenge-Handshake Authentication Protocol (Protocole dAuthentication par Poigne de main-d) : protocole utilis par les FAI pour authentier leurs clients. Dans ce schma, une valeur est envoye au client (la machine qui se connecte), le client calcule un hash partir de cette valeur quil envoie au serveur, et le serveur compare le hash avec celui quil a calcul. Voir aussi : PAP. Chargeur de dmarrage (bootloader) Programme responsable du chargement du systme dexploitation. De nombreux chargeurs de dmarrage vous donnent la possibilit de charger plus dun systme en vous proposant un menu. Les chargeurs tels que grub sont disponibles avec cette fonctionnalit et sont trs utiles sur les machines multi-systmes. chemin Affectation dun chier ou dun rpertoire au systme de chiers. Les diffrents niveaux dun chemin sont spars par le slash ou caractre 265
Annexe A. Glossaire / . Il y a deux types de chemins sous GNU/Linux. Le chemin relatif est la position dun chier ou un rpertoire par rapport au rpertoire courant. Le chemin absolu est la position dun chier ou un rpertoire par rapport au rpertoire racine. cible (target) Objet dune compilation, gnralement le chier binaire devant tre gnr par le compilateur. CIFS Common Internet FileSystem (Systme de Fichiers Internet Commun) : prdcesseur du systme de chiers de SMB, utilis sur les systmes DOS. client Programme ou ordinateur qui se connecte de faon pisodique et temporaire un autre programme ou ordinateur pour lui donner des ordres ou lui demander des renseignements. Cest lune des composantes dun systme client/serveur. code objet Code gnr par le processus de compilation devant tre li avec les autres codes objets et bibliothques pour former un chier excutable. Le code objet est lisible par la machine. Voir aussi : binaire, compilation, liaison. compilation Une des tapes de la traduction du code source (en langage comprhensible avec un peu dentranement) crit en un langage de programmation (C, par exemple) en un chier binaire lisible par la machine. compltement Nologisme (substantif masculin) dsignant la capacit du shell tendre une sous-chane en un nom de chier, nom dutilisateur ou autre, de faon automatique, si la sous-chane nest pas ambigu. compression Moyen de diminuer la taille des chiers ou le nombre de caractres transmis lors dune connexion. Certains programmes de compression de chiers sont compress, zip, gzip, et bzip2.
266
Annexe A. Glossaire compte Sur un systme Unix, un nom de connexion, un rpertoire personnel, un mot de passe et un shell qui autorisent une personne se connecter sur ce systme. console Nom donn ce que lon appelait autrefois terminal . Les terminaux constituaient les postes utilisateurs des gros ordinateurs centraux (mainframe). Sur les postes de travail, le terminal physique est le clavier plus lcran. Voir aussi : consoles virtuelles. consoles virtuelles Sur les systmes GNU/Linux, les consoles virtuelles sont utilises pour vous permettre de lancer plusieurs sessions sur un seul cran. Vous disposez par dfaut de six consoles virtuelles qui peuvent tre actives en pressant les combinaisons de touches : ALT-F1 ALT-F6. Il y a une septime console virtuelle par dfaut, ALT-F7, qui vous permet de lancer le serveur X (interface graphique) Depuis X, vous pourrez activer les consoles virtuelles en pressant CTRL-ALT-F1 CTRL-ALT-F6. Voir aussi : console. continu (priphrique en) Priphrique qui traite des ots (non interrompus ou diviss en blocs) de caractre en entre. Un priphrique en continu typique est le lecteur de bandes. cookies Fichiers temporaires crits sur le disque dur local par un site Web distant. Cela permet au serveur dtre prvenu des prfrences de lutilisateur quand celui-ci se connecte nouveau. courrier lectronique Aussi appel mail , e-mail , ml ou encore courriel , il dsigne un message que lon fait parvenir un autre utilisateur dun mme rseau informatique par voie lectronique. Similaire au courrier traditionnel (dit courrier escargot ), le courrier lectronique a besoin des adresses de lexpditeur et du destinataire pour tre envoy correctement. Lexpditeur doit avoir une adresse du type moi@chez.moi et le destinataire une adresse lui@chez.lui . Le courrier lectronique est un moyen de communication trs rapide (gnralement quelques minutes quelle que soit la destination). An de pouvoir crire un courrier lectronique, vous avez besoin dun client de courrier du type de 267
Annexe A. Glossaire pine ou mutt qui sont en mode texte, ou des clients en mode graphique comme kmail. datagramme Un datagramme est un petit paquet de donnes et den-ttes qui contient des adresses. Cest lunit basique de transmission dun rseau IP. Vous pouvez aussi le rencontrer sous le nom de paquet dpendances tapes de la compilation ncessaires pour passer ltape suivante dans la compilation nale dun programme. DHCP Dynamic Host Conguration Protocol (Protocole Dynamique de Conguration dHtes) : protocole conu pour que les machines sur un rseau local puissent se voir allouer une adresse IP dynamiquement. disquette de dmarrage Disquette amorable ( bootable en anglais) contenant le code ncessaire pour dmarrer le systme dexploitation prsent sur le disque dur (parfois, elle se suft elle-mme). distribution Terme utilis pour distinguer les diffrents produits proposs par les fournisseurs GNU/Linux. Une distribution est constitue du noyau Linux, et dutilitaires, ainsi que de programmes dinstallation, programmes de tiers, et parfois mme des programmes propritaires. DLCI (Data Link Connection Identier ou Identicateur de Connexion de Liaison de Donnes. Il est utilis pour identier une connexion point point unique et virtuelle via un rseau relais de trames. Le DLCI est normallement assign par le fournisseur du rseau relais de trames. DMA (Direct Memory Access ou Accs Direct la Mmoire) : fonctionnalit utilise sur larchitecture PC ; qui permet un priphrique de lire ou dcrire dans la mmoire principale sans laide du processeur. Les priphriques PCI utilisent le bus mastering (contrle du bus par un priphrique en lieu et place du processeur) et nont pas besoin de DMA. DNS Domain Name System : systme de nom de domaine. Le mcanisme de correspondance nom/adresse utilis sur Internet. Cest ce mcanisme 268
Annexe A. Glossaire qui permet de mettre en correspondance un nom de domaine et une adresse IP, qui vous laisse rentrer un nom de domaine sans connatre ladresse IP du site. DNS permet aussi deffectuer une recherche inverse, de sorte que vous pouvez obtenir ladresse IP dune machine partir de son nom. doux (lien) Voir : symboliques, liens DPMS Display Power Management System (Systme de Gestion de lAlimentation de lAfchage). Protocole utilis par tous les crans modernes pour grer les fonctionnalits de gestion dnergie. Les moniteurs disposant de ces fonctionnalits sont souvent appels des moniteurs verts . drapeau Indicateur (gnralement un seul bit) utilis pour signaler une condition particulire un programme Par exemple, un systme de chier a, entre autre, un drapeau indiquant sil doit tre inclus dans une sauvegarde ; lorsque le drapeau est lev le systme de chier est sauvegard, il ne lest pas si le drapeau est dsactiv. chappement Dans le contexte du shell, dsigne laction dencadrer une chane entre guillemets pour empcher son interprtation. Par exemple, pour utiliser des espaces sur une ligne de commande, puis rediriger le rsultat une autre commande, il faudra mettre la premire commande entre guillemets ( chapper la commande) sinon le shell linterprtera mal, ce qui empchera le bon fonctionnement. Action dencadrer une chane entre guillemets pour empcher son interprtation, dans le contexte du shell Par exemple, pour utiliser des espaces sur une ligne de commande, puis rediriger le rsultat une autre commande, il faudra mettre la premire commande entre guillemets ( chapper la commande) sinon le shell linterprtera mal, ce qui empchera le bon fonctionnement. cho Voir un cho signie voir lcran les caractres qui sont frapps au clavier. Par exemple, lorsque lon tape un mot de passe, on na gnralement pas dcho mais de simple toiles * pour chaque caractre tap. 269
Annexe A. Glossaire diteur Programme spcialis dans la modication des chiers texte. Les diteurs les plus connus sous GNU/Linux sont GNU Emacs (Emacs) et lditeur Unix : Vi. ELF Executable and Linking Format (Format dExcutables et de Liaisons) Cest le format binaire utilis par la plupart des distributions GNU/Linux de nos jours. englobement Capacit de regrouper dans le shell, un certain ensemble de noms de chiers avec un motif denglobement. Voir aussi : motif denglobement. entre standard Descripteur de chier numro 0, ouvert par tous les processus, utilis par convention comme le descripteur de chier par lequel le processus reoit ses donnes. Voir aussi : erreur standard, canal d, sortie standard. environnement Contexte dexcution dun processus. Cela inclut toute linformation dont le systme dexploitation a besoin pour grer le processus, et ce dont le processeur a besoin pour excuter correctement ce processus. Voir aussi : processus. erreur standard, canal d Descripteur de chier numro 2, ouvert par tous les processus, utilis par convention pour les messages derreur et, par dfaut, lcran du terminal. Voir aussi : entre standard, sortie standard. expression rationnelle Outil thorique trs puissant utilis pour la recherche et la correspondance de chanes de texte. Il permet de spcier des motifs auxquels les chanes recherches doivent se conformer. Beaucoup dutilitaires Unix lutilisent : sed, awk, grep et perl, entre autres. ext2 Abrviation de second extended lesystem : systme de chiers tendu 2. ext2 est le systme de chiers natif de GNU/Linux et possde toutes les caractristiques dun systme de chiers Unix : support des chiers 270
Annexe A. Glossaire spciaux (priphriques caractres, liens symboliques...), permissions sur les chiers et propritaires, etc. FAI Fournisseur dAccs Internet. Socit qui revend un accs Internet ses clients, que laccs soit par ligne tlphonique ou par ligne ddie. FAQ Frequently Asked Questions (Questions Frquemment Poses, mais aussi Foire Aux Questions) : document contenant une srie de questions/rponses sur un domaine spcique. Historiquement, les FAQ sont apparues dans les groupes de discussion, mais cette sorte de document est maintenant disponible sur des sites Web divers. Mme des produits commerciaux ont leur FAQ. Gnralement, ce sont de trs bonnes sources dinformations. FAT File Allocation Table. (Table dAllocation des Fichiers). Systme de chiers utilis par DOS / Windows. FDDI Fiber Distributed Digital Interface (Interface Numrique Distribue par Fibre) : couche rseau matrielle haut dbit, qui utilise des bres optiques pour la communication. Seulement utilise sur les gros rseaux surtout cause de son prix. FHS Filesystem Hierarchy Standard (Standard pour la Hirarchie des Systmes de chier) : document contenant des lignes de conduite pour une arborescence des chiers cohrente sur les systmes Unix. Mandrakelinux se conforme ce standard. FIFO First In, First Out (Premier Entr, Premier Sorti) : structure de donnes ou tampon matriel depuis lequel les lments sont enlevs dans lordre de leur insertion. Les tubes Unix sont lexemple le plus courant de FIFO. focus Fait quune fentre reoive les vnements clavier (tels que les pressions ou les relches des touches) et les clics de la souris, moins que ces derniers ne soient intercepts par le gestionnaire de fentres.
271
Annexe A. Glossaire forum de discussions (newsgroup)zones de discussions et de nouvelles auxquelles on peut accder par lintermdiaire dun client de nouvelles ou un client USENET pour crire et lire des messages spciques au sujet du forum de dscussion. Par exemple, le forum alt.os.linux.mandrake est un forum de discussion alternatif (alt) qui traite des systmes dexploitation Operating Systems (os) GNU/Linux, et en particulier, Mandrakelinux (mandrake). Les noms des forums de discussion sont dclins de cette faon an de rendre plus aise la recherche dun sujet en particulier. framebuffer Projection de la RAM dune carte graphique dans la mmoire principale. Cela autorise les applications accder la mmoire vido en vitant les complications lies la communication directe avec la carte. Toutes les stations graphiques de haut niveau utilisent des framebuffers. FTP File Transfer Protocol (Protocole de Transfert de Fichiers). Cest le protocole Internet standard pour transfrer des chiers dune machine une autre. gestionnaire de fentres Programme responsable de lallure gnrale dun environnement graphique et qui soccupe des barres et cadres des fentres, des boutons, des menus issus de limage de fond, et de certains raccourcis clavier. Sans lui, il serait difcile ou impossible davoir des bureaux virtuels, de changer la taille des fentres la vole, de dplacer ces dernires, etc. GFDL (GNU Free Documentation Licenseou Licence de Documentation GNU Gratuite) Licence applique toute la documentation Mandrakelinux GIF Graphics Interchange Format. (Format Graphique dchange) : format de chier image, trs utilis sur le Web. Les images GIF sont compresses, et elles peuvent mme tre animes. Pour des questions de droits dauteur, il est conseill de remplacer ce format dimage par un format plus rcent : le format PNG. GNU GNU is Not Unix (GNU Nest pas Unix). Le projet GNU est un projet initi par Richard Stallman au dbut des annes 80, dont le but est de concevoir un systme dexploitation libre et complet. Aujourdhui, la 272
Annexe A. Glossaire plupart des outils sont disponibles, except... le noyau. Le noyau du projet GNU, Hurd, nest pas encore prt sortir du laboratoire. Linux emprunte, entre autre, deux choses au projet GNU : son compilateur C, gcc, et sa licence, la GPL. Voir aussi : GPL. gourou Expert, nom utilis pour dsigner une personne particulirement qualie dans un domaine particulier, mais qui est aussi dune grande utilit ceux qui sollicitent son aide. GPL General Public License (Licence Publique Gnrale) : licence de nombreux programmes libres, notamment du noyau Linux. Elle va lencontre de toutes les licences propritaires puisquelle ne donne aucune restriction en ce qui concerne la copie, la modication et la redistribution du logiciel, aussi longtemps que le code source est disponible. La seule restriction, si on peut lappeler ainsi, est que les personnes qui vous le redistribuez doivent aussi bncier des mmes droits. hte Relatif un ordinateur qui est gnralement utilis pour des ordinateurs relis un rseau. HTML HyperText Markup Language (Langage de Balisage HyperTexte) : langage utilis pour crer les documents Web. HTTP HyperText Transfer Protocol (Protocole de Transfert HyperTexte) : protocole utilis pour se connecter des sites Web et retirer des documents HTML ou des chiers. i-noeud point dentre menant au contenu dun chier sur un systme de chiers Unix. Un i-noeud est identi de faon spcique par un numro, et contient des mta-informations sur le chier auquel il se rfre, tels que ses temps daccs, son type, sa taille, mais pas son nom! icne Petit dessin (gnralement en 16 x 16, 32 x 32, 48 x 48, et parfois 64 x 64 pixels) qui reprsente, sous un environnement graphique, un document, un chier ou un programme. 273
Annexe A. Glossaire IDE Integrated Drive Electronics (lectronique Intgre au Disque) : le plus utilis des bus sur les PC daujourdhui pour les disques durs. Un bus IDE peut contenir jusqu deux priphriques ; sa vitesse est limite par le priphrique au bus qui a la le de commandes la plus lente (et pas la vitesse de transfert la plus lente!). Voir aussi : ATAPI ( AT Attachment Packet Interface ) . Interface graphique : GUI Graphical User Interface. Interface dun ordinateur constitue de menus, boutons, icnes, et autres lments graphiques. La plupart des utilisateurs prfrent une interface graphique plutt quune CLI (Command Line Interface : Interface en ligne de commande) pour sa facilit dutilisation, mme si cette dernire est plus polyvalente. Internet Immmense rseau qui connecte des ordinateurs tout autour du monde. invite Prompt dans un shell, cest la chane de caractres avant le curseur. Lorsquelle est visible, il est possible de taper vos commandes. IRC Internet Relay Chat (Conversation Relaye par Internet) : une des rares normes sur l Internet pour la conversation en direct. Elle autorise la cration de canaux, de conversations prives et aussi lchange de chiers. Elle est aussi conue pour tre capable de faire se connecter les serveurs entre eux, et cest pourquoi plusieurs rseaux IRC existent aujourdhui : Undernet, DALnet, EFnet pour nen citer que quelques-uns. ISA Industry Standard Architecture (Architecture Standard pour lIndustrie) : premier bus utilis sur les cartes mre, il est lentement abandonn au prot du bus PCI. Cependant, quelques fabricants de matriel lutilisent toujours. Il est encore trs courant que les cartes SCSI fournies avec des scanners, graveurs, etc. soient ISA. ISDN Integrated Services Digital Network ou RNIS : Rseau Numrique Intgration de Services. Ensemble de standards de communication permettant un unique cble ou une bre optique de transporter de la voix, des services de rseau numrique et de la vido. Il a t conu an de 274
Annexe A. Glossaire remplacer le systme tlphonique actuel, connu sous lacronyme RTC (Rseau Tlphonique Commut). ISO International Standards Organisation (Organisation Internationale de Standards) : groupement dentreprises, de consultants, duniversits et autres sources qui laborent des standards dans divers domaines, y compris linformatique. Les documents dcrivant les standards sont numrots. Le standard numro 9660, par exemple, dcrit le systme de chiers utilis par les CD-ROM. ISO 8859 Le standard ISO 8859 inclut plusieurs extensions 8-bit lensemble de caractres ASCII. Il y a notamment ISO 8859-1, l Alphabet Latin No. 1 , largement utilis, qui peut en fait tre considr comme le remplaant de facto du standard ASCII. ISO 8859-1 reconnat les langues suivantes : afrikaans, allemand, anglais, basque, catalan, danois, hollandais, cossais, espagnol, froais, nlandais, franais, gallois, islandais, irlandais, italien, norvgien, portugais, et sudois. Notez bien que les caractres ISO 8859-1 sont aussi les 256 premiers caractres de ISO 10646 (Unicode). Nanmoins, il lui manque le symbole EURO et ne reconnat pas compltement le nlandais ni le franais. LISO 8859-15 est une modication de ISO 8859-1 qui couvre ces besoins. Voir aussi : ASCII. job Processus fonctionnant en arrire-plan dans le contexte du shell. Vous pouvez avoir plusieurs jobs dans un mme shell, et contrler ces jobs. Voir aussi : premier plan, arrire-plan. joker (wildcard) Les caractres * et ? sont utiliss comme caractres dit jokers car ils peuvent reprsenter nimporte quoi. Le * reprsente un nombre quelconque de caractres, alors que le ? reprsente exactement un caractre. Les jokers sont utiliss frquemment dans les expressions ordinaires. JPEG Joint Photographic Experts Group (Regroupement dExperts de la Photographie) : autre format de chier image trs connu. JPEG est surtout habilit compresser des scnes relles, et ne fonctionne pas trs bien avec les images non ralistes. 275
Annexe A. Glossaire lancer Action dinvoquer, ou de dmarrer un programme. langage assembleur Langage de programmation le plus proche de lordinateur, do son nom de langage de programmation de bas niveau . Lassembleur a lavantage de la vitesse puisque les programmes sont crits directement sous la forme dinstructions pour le processeur, de sorte quaucune ou peu de traduction ne soit ncessaire pour en faire un programme excutable. Son inconvnient majeur est quil est fondamentalement dpendant du processeur (ou de larchitecture). crire des programmes complexes est donc trs long. Ainsi lassembleur est le langage de programmation le plus rapide, mais il nest pas transportable entre architectures. LDP Linux Documentation Project (Project de Documentation pour Linux) : organisation but non lucratif qui maintient de la documentation sur GNU/Linux. Ses documents les plus connus sont les HOWTO, mais elle produit aussi des FAQ, et mme quelques livres. lecture seule (read-only mode) Relatif un chier qui ne peut pas tre modi. On pourra en lire le contenu, mais pas le modier. Voir aussi : lecture-criture (read-write mode). lecture-criture (read-write mode) Relatif un chier qui peut tre modi. Ce type dautorisation permet la fois de lire et de modier un chier. Voir aussi : lecture seule (read-only mode). liaison Dernire tape du processus de compilation, consistant lier ensemble les diffrents chiers objet de faon produire un chier excutable, et rsoudre les symboles manquants avec les librairies dynamiques ( moins quune liaison statique ait t demande, auquel cas le code de ces symboles sera inclus dans lexcutable). libre (logiciel) open source Nom donn au code source libre dun programme qui est rendu disponible la communaut de dveloppement, et au public en gnral. La thorie sous-jacente est quen autorisant ce que le code source soit 276
Annexe A. Glossaire utilis et modi par un groupe plus large de programmeurs, cela produira un produit plus utile pour davantage de personnes. On peut citer parmi les programmes libres les plus clbres Apache, sendmail et GNU/Linux. lien I-nud dans un rpertoire, donnant par l un nom (de chier) cet i-nud. Des exemples di-nuds nayant pas de lien (et donc aucun nom) sont : les tubes anonymes (utiliss par le shell), les sockets (connexions rseau), priphriques rseau, etc. ligne de commande Ce que fournit un shell et permet lutilisateur de taper des commandes directement. Cest galement le sujet dune bataille ternelle entre ses adeptes et ses dtracteurs :-) Linux Systme dexploitation du type Unix adapt une grande varit darchitectures; il est utilisable et modiable volont. Linux (le noyau) a t crit par Linus Torvalds. login Nom de connexion de lutilisateur sur un systme Unix, et laction mme de se connecter. loopback Interface rseau virtuelle dune machine avec elle-mme, qui permet aux programmes en fonctionnement de ne pas devoir prendre en compte le cas particulier o deux entits rseau correspondent la mme machine. majeur Numro caractristique de la classe de priphriques considre. mandataire (proxy) Machine qui se situe entre un rseau et lInternet, dont le rle est dacclrer les transferts de donnes pour les protocoles les plus utiliss (HTTP et FTP par exemple). Il maintient un tampon des demandes prcdentes, ce qui vite le cot impliqu par une nouvelle demande de chier alors quune autre machine a fait cette requte rcemment. Les serveurs mandataires sont trs utiles sur les rseaux petite vitesse (comprenez : connexions modems RTC). Quelquefois, le mandataire est la seule machine capable datteindre lextrieur. 277
Annexe A. Glossaire masquage IP Technique utilise lorsque vous utilisez un pare-feu pour cacher la vritable adresse IP de votre ordinateur depuis lextrieur. Gnralement, les connexions faites en dehors du rseau hriteront de ladresse IP du pare-feu lui-mme. Cela est utile dans les cas o vous avez une connexion Internet rapide avec une seule adresse IP ofcielle, mais souhaitez partager cette connexion avec dautres ordinateurs dun rseau local ayant des adresses IP prives. MBR Master Boot Record (Secteur de Dmarrage Matre). Nom donn au premier secteur dun disque dur amorable. Le MBR contient le code utilis pour charger le systme dexploitation en mmoire ou un chargeur de dmarrage (tel que LILO), et la table des partitions de ce disque dur. menu droulant Menu qui peut s enrouler et se drouler volont laide dun bouton situ lune de ses extrmits. Il sert gnralement choisir une des valeurs proposes dans ce menu. MIME Multipurpose Internet Mail Extensions (Extensions de Courrier pour Internet Usages Multiples) : chane de la forme type/sous-type dcrivant le contenu dun chier attach dans un courrier lectronique. Cela autorise les lecteurs de courrier reconnaissant le MIME effectuer des actions dpendantes du type du chier. mineur Numro prcisant le priphrique dont il est question. mode commande Sous Vi ou lun de ses clones, cest ltat du programme dans lequel la pression sur une touche (ceci concerne surtout les lettres) naura pas pour effet dinsrer le caractre correspondant dans le chier en cours ddition, mais deffectuer une action propre la touche enfonce ( moins que le clone que vous utilisez ne permette de personnaliser la correspondance entre touches et actions, et que vous ayez choisi cette fonctionnalit). On en sort en enfonant lune des touches ramenant au mode insert, comme i, I, a, A, s, S, o, O, c, C, etc. mode insertion Sous Vi ou lun de ses clones, cest ltat du programme dans lequel la pression sur une touche aura pour effet dinsrer le caractre correspondant dans le chier en cours ddition (sauf dans certains cas comme le 278
Annexe A. Glossaire compltement dune abrviation, le calibrage droite en n de ligne,...). On en sort par une pression sur la touche chap (ou Ctrl-[). mode multitche la capacit dun systme dexploitation partager le temps dutilisation du processeur entre plusieurs applications. A bas niveau, on parle aussi de multiprogrammation. Passer dune application une autre necessite de sauvegarder tout le contexte du processus courant et de le charger lorsque cette application reprend son excution. Cette opration est appele changement de contexte, et un processeur Intel le fait 100 fois par seconde, oprant de manire tellement rapide quun utilisateur aura lillusion que le systme dexploitation excute plusieurs applications en mme temps. Il existe deux types de mode multitche: en mode multitche premptif, le systme dexploitation est responsable for taking away the CPU and passing it une autre application; en mode multitche coopratif, cest lapplication elle-mme qui cde le contrle des ressources du systme. La premiere option est evidemment la meilleure car aucun programme ne peut utiliser en permanence le temps dutilisation du processeur et ainsi bloquer les autres applications. GNU/Linux fonctionne sous le mode multitche premptif. La rgle de slection de lapplication qui doit ou non sexcuter, et qui dpend de plusieurs paramtres, est appele planication montage (point de) Rpertoire o une partition (ou un priphrique en gnral) va se rattacher au systme de chiers de GNU/Linux. Par exemple, votre lecteur de CD-ROM est mont dans le rpertoire /mnt/cdrom, do vous pouvez avoir accs au contenu du CD. mont Un priphrique est mont lorsquil rattach au systme de chiers de GNU/Linux. Quand vous montez un priphrique, vous pouvez en explorer le contenu. Ce terme est en partie obsolte d la fonctionnalit supermount , et ainsi les utilisateurs nont pas monter manuellement un priphrique amovible. Voir aussi : montage (point de). mot de passe Mot secret ou combinaison de lettres, de chiffres et de symboles, utilis pour protger quelque chose. Les mots de passe sont utiliss de concert avec les noms dutilisateur (login) pour les systmes multi-utilisateurs, sites Web, FTP, etc. Les mots de passe devraient tre des phrases difciles deviner, ou des combinaisons alphanumriques, et ne doivent en 279
Annexe A. Glossaire aucun cas tre bases sur des mots du dictionnaire. Les mots de passe empchent que dautres personnes puissent se connecter sur un ordinateur ou un site en utilisant votre compte. motif denglobement Chane de caractres compose de caractres normaux et de caractres spciaux. Les caractres spciaux sont interprts et tendus par le shell. MPEG Moving Pictures Experts Group (Groupe dExperts en Images Animes) : comit ISO qui gnre des normes de compression audio et vido. MPEG est aussi le nom de leurs algorithmes. Malheureusement, la licence de ce format est trs restrictive, par consquent il nexiste aucun visualisateur MPEG sous licence libre... MSS La MSS (Maximum Segment Size, Taille Maximale dun Segment ) est la plus grande quantit de donnes pouvant tre transmise en une fois. Si vous souhaitez viter la fragmentation locale, la MSS devrait tre gale lentte MTU-IP. MTU La MTU (Maximum Transmission Unit, Unit Maximale de Transmission ) est le paramtre qui dtermine le datagramme de plus grande taille pouvant tre transmis par une interface IP sans devoir tre dcoup en units plus petites. La MTU devrait tre plus grande que la taille du plus grand datagramme que vous souhaitez transmettre entier. Il est noter que cela ne concerne que la fragmentation locale, dautres liens sur le chemin peuvent avoir une MTU plus petite et engendrer une fragmentation du datagramme ce niveau. Les valeurs standards peuvent tre de 1500 octets pour une interface ethernet, ou 576 octets pour une interface SLIP. multi-utilisateur Caractristique dun systme dexploitation qui permet plusieurs utilisateurs de se connecter et dutiliser une mme machine au mme moment, chacun dentre eux pouvant effectuer ses tches indpendamment des autres utilisateurs. GNU/Linux est la fois un systme multitches et multi-utilisateur, de mme que tout systme UNIX. NCP NetWare Core Protocol (Protocole de Base de NetWare) : protocole dni par Novell pour accder aux services de chiers et dimpression de Novell Netware. 280
Annexe A. Glossaire NFS Network FileSystem (Systme de Fichiers Rseau) : systme de chiers rseau cr par Sun Microsystems pour partager des chiers le long dun rseau en toute transparence. NIC Network Interface Controller (Contrleur dInterface Rseau) : adaptateur install dans un ordinateur qui fournit une connexion physique un rseau, comme une carte Ethernet. NIS Network Information System (Systme dInformations par Rseau). NIS tait aussi connu sous le nom de Yellow Pages (Pages Jaunes), mais British Telecom possde un copyright sur ce nom. NIS est un protocole conu par Sun Microsystems pour partager des informations communes le long dun domaine NIS, qui peut regrouper un rseau local complet, quelques machines de ce rseau ou plusieurs rseaux locaux. Il peut exporter des bases de donnes de mots de passe, de services, dinformations de groupe, etc. niveau dexcution (runlevel) Conguration dun systme logiciel, qui ne permet que certains processus. Les processus autoriss sont dnis pour chaque niveau dans le chier /etc/inittab. Il y a huit niveaux prdnis : 0, 1, 2, 3, 4, 5, 6, S et passer de lun lautre ne peut se faire que par ladministrateur en excutant les commandes init et telinit. nom dutilisateur (username) Appel aussi login, nom (ou plus gnralement un mot) qui identie un utilisateur dans un systme. Chaque nom dutilisateur est associ un unique UID (user ID : IDenticateur dUtilisateur) Voir aussi : login. nommage Nologisme couramment employ dans le milieu de linformatique pour nommer une mthode de dsignation de certains objets. On parle souvent de convention de nommage pour des chiers, des fonctions dans un programme, etc. noyau Largement connu sous son nom anglais kernel, il est le coeur du systme dexploitation. Le noyau est charg de lallocation des ressources et de 281
Annexe A. Glossaire la gestion des processus. Il prend en charge toutes les oprations de basniveau qui permettent aux programmes de communiquer directement avec le matriel de lordinateur. nul (caractre) Caractre ou octet de numro 0, il est utilis pour marquer la n dune chane de caractres. octet Huit bits conscutifs. Il est interprt comme un nombre, en base deux, compris entre 0 et 255. Voir aussi : bit. page de manuel Petit document contenant la dnition dune commande et son utilisation, consulter avec la commande man. La premire chose (savoir) lire lorsquon entend parler dune commande inconnue :-) PAP Password Authentication Protocol (Protocole dAuthentication par Mot de Passe) : protocole utilis par les FAI pour authentier leurs clients. Dans ce schma, le client (cest vous) envoie une paire identiant/mot de passe au serveur, non crypte. Voir aussi : CHAP. pare-feu (rewall) Machine qui est lunique point dentre et de sortie avec le rseau extrieur dans la topologie dun rseau local, et qui ltre ou contrle lactivit sur certains ports, ou les rserve des interfaces IP prcises. passerelle Equipement dinterconnexion entre deux rseaux IP patch, patcher Correctif , chier contenant une liste de modications apporter un code source dans le but dy ajouter des fonctionnalits, den ter des bogues, ou dy apporter toute autre modication souhaite. Laction dappliquer ce chier larchive du code source. PCI Peripheral Components Interconnect (Interconnexion de Composants Priphriques) : bus cr par Intel et qui est aujourdhui le bus standard pour les architectures, mais dautres architectures lutilisent galement. Cest le successeur de l ISA, et il offre de nombreux services : identication 282
Annexe A. Glossaire du priphrique, informations de conguration, partage des IRQ, bus mastering, etc. PCMCIA Personal Computer Memory Card International Association (Association Internationale des Cartes Mmoires pour Ordinateurs Personnels) : de plus en plus souvent appel PC Card pour des raisons de simplicit ; cest la norme pour les cartes externes attaches aux ordinateurs portables : modems, disques durs, cartes mmoire, cartes Ethernet, etc. Lacronyme est quelquefois tendu avec humour en People Cannot Memorize Computer Industry Acronyms (Les gens ne peuvent pas mmoriser les acronymes de lindustrie informatique)... plein-cran Terme utilis pour dsigner les applications qui prennent toute la place disponible de votre afchage. plugin Programme dappoint utilis pour afcher ou enclencher un contenu multimdia propos sur un document web. Il est gnralement facile tlcharger lorsque le navigateur est encore incapable dafcher ce type dinformation. PNG Portable Network Graphics (Graphiques Rseau Portables) : format de chier image cr principalement pour lutilisation sur le Web, il a t conu comme un remplacement de GIF (sans les problmes de brevets et avec des fonctionnalits supplmentaires). PNP PlugNPlay (Brancher Et Utiliser). Conu en premier lieu pour l ISA pour ajouter des informations de conguration pour les priphriques, cest devenu un terme plus gnrique qui regroupe tous les priphriques capables de rapporter leurs paramtres de conguration. Tous les priphriques PCI sont PlugnPlay. prcdence Action de dicter lordre dvaluation des oprations dune expression. Par exemple : Si vous valuez lopration 4 + 3 * 2 vous obtenez 10 comme rsultat, du fait que la multiplication a une prcdence plus leve que laddition. Si vous souhaitez valuer laddition dabord, vous devrez utiliser des parenthses : (4 + 3) * 2. Vous obtiendrez 283
Annexe A. Glossaire alors 14 comme rsultat, du fait que les parenthses ont une prcdence suprieure la multiplication, lopration entre parenthses est donc value en premier. premier plan Dans le contexte du shell, le processus au premier plan est celui qui est en train dtre excut. Vous devez attendre quun tel processus ait ni pour pouvoir entrer nouveau des commandes. Voir aussi : job, arrire-plan. processus Dans un contexte Unix, un processus est l instance dun programme en cours dexcution, avec son environnement. propritaire Dans le contexte des utilisateurs et de leurs chiers, le propritaire dun chier est celui qui a cr ce chier. Dans le contexte des groupes, le groupe propritaire dun chier est le groupe auquel appartient le crateur de ce chier. propritaire (groupe) Dans le contexte des groupes et de leurs chiers, le groupe propritaire dune chier est le groupe auquel appartient lutilisateur qui a cr ce chier. racine (systme de chier) Systme de chiers de plus haut niveau, sur lequel GNU/Linux monte son arborescence de rpertoires racine. Il est indispensable que le systme de chier racine rside sur une partition spare, car il sagit de la base de tout le systme. Il hberge le rpertoire racine. RAID Redundant Array of Independent Disks (Ensemble Redondant de Disques Indpendants) : projet initi par le dpartement informatique de luniversit de Berkeley, et dans lequel le stockage des donnes est rparti sur un ensemble de disques. RAM Random Access Memory (Mmoire Accs Alatoire). Terme utilis pour identier la mmoire principale dun ordinateur. Relai de trames (frame relay) Le relai de trames est une technologie rseau qui convient parfaitement des transferts sporadiques ou en rafale. Les cots du rseau sont rduits par la multitude de clients de relais de trames qui 284
Annexe A. Glossaire partagent la mme bande passante. Cette rduction de cot repose aussi sur une utilisation du rseau qui peut diffrer en besoin de bande passante en fonction du moment . rpertoire Partie de la structure du systme de chiers. Un rpertoire est un contenant pour les chiers et ventuellement dautres rpertoires. Ces derniers sont alors appels sous-rpertoires (ou branches) du premier rpertoire. On y fait souvent rfrence sous le terme darborescence. Si vous souhaitez voir le contenu dun rpertoire, vous pouvez soit le lister, soit y pntrer. Les chiers dun rpertoire sont appels feuilles et les sous-rpertoires branches . Les rpertoires suivent les mme restrictions que les chiers, bien que la signication des autorisations y soit parfois diffrente. Les rpertoires spciaux . et .. font respectivement rfrence au rpertoire mme et son parent. rpertoire personnel Trs souvent abrg par home , mme en franais, cest le nom donn au rpertoire dun utilisateur donn. Voir aussi : compte. rseau local Aussi appel LAN Local Area Network. Nom gnrique donn un rseau de machines physiquement connectes au mme cble. RFC Request For Comments (Appel Commentaires). Les RFC sont les documents ofciels des standards de l Internet. Ils dcrivent tous les protocoles, leur utilisations, les pr-requis imposs, etc. Pour comprendre le fonctionnement dun protocole, allez chercher le RFC correspondant. root (utilisateur) Super-utilisateur sur tout systme UNIX. En particulier root (cest dire ladministrateur du systme) est la personne responsable de la maintenance et de la supervision du systme. Cette personne a aussi un accs illimit tout le systme. route Chemin que prennent vos donnes travers le rseau pour atteindre leur destination. Chemin entre une machine et une autre sur le rseau.
285
Annexe A. Glossaire RPM Redhat Package Manager (Gestionnaire de Paquetages de Red Hat ). Format dempaquetage dvelopp par Red Hat pour crer des paquetages logiciels, et utilis par beaucoup de distributions GNU/Linux, y compris Mandrake Linux. sauvegarde Moyen visant protger vos donnes importantes en les conservant sur un support et un endroit ables. Les sauvegardes devraient tre faites rgulirement, tout particulirement pour les informations critiques et les chiers de conguration (les premiers rpertoires sauvegarder sont /etc, /home, et /usr/local). Gnralement, on utilise tar avec gzip ou bzip2 pour sauvegarder des rpertoires et des chiers. Il existe dautres outils ou programmes tels que dump et restore, ainsi quune quantit dautres solutions libres ou commerciales pour la sauvegarde des documents. SCSI Small Computers System Interface (Interface Systme pour Petits Ordinateurs) : bus avec une grande bande passante mis au point pour autoriser plusieurs types de priphriques. Contrairement l IDE, un bus SCSI nest pas limit par la vitesse laquelle les priphriques acceptent les commandes. Seules les machines de haut niveau intgrent un bus SCSI directement sur la carte mre; une carte additionnelle est donc ncessaire pour les PC. slecteur despace de travail Une appliquette permettant de se dplacer dun bureau virtuel un autre. Voir aussi : bureau virtuel. serveur Programme ou ordinateur qui propose une fonctionnalit ou service et attend les connexions des clients pour rpondre leurs ordres ou leur fournir les renseignements quils demandent. Cest lune des composantes dun systme client/serveur. shadow, mots de passe Systme de gestion des mots de passe dans lequel le chier contenant les mots de passe chiffrs nest plus lisible par tout le monde, alors quil lest quand on utilise le systme normal de mots de passe.
286
Annexe A. Glossaire SMB Server Message Block (Serveur de Messages par Blocs). Protocole utilis par les machines windows (9x or NT) pour le partage de chiers le long dun rseau. socket Type de chier correspondant tout ce qui est connexion rseau. sortie standard Descripteur de chier numro 1, ouvert par tous les processus, utilis par convention comme le descripteur de chier dans lequel le processus crit les donnes quil produit. Voir aussi : erreur standard, canal d, entre standard. SVGA Super Video Graphics Array (Super Afchage Graphique Vido) : norme dafchage vido dnie par VESA pour larchitecture PC. La rsolution est de 800 x 600 x 16 couleurs. switch (options) Les switches sont utiliss pour modier le comportement des programmes, et sont aussi appels : options de ligne de commande ou arguments. Pour dterminer si un programme propose des switches en option, lisez sa page de man pages ou essayez de lui passer loption --help (ie. program --help). symboliques, liens Fichiers particuliers, ne contenant quune chane de caractres. Tout accs ces chiers est quivalent un accs au chier dont le nom est donn par cette chane de caractres, qui peut ou non exister, et qui peut tre prcis par un chemin relatif ou absolu. systme client/serveur Systme ou protocole compos dun serveur et dun ou plusieurs clients. systme dexploitation Interface entre les applications et le matriel sous-jacent. La tche de tout systme dexploitation est en premier lieu de grer toutes les ressources spciques une machine. Sur un systme GNU/Linux, cela est fait pas le noyau et les modules chargeables. Dautres systmes dexploitation connus sont AmigaOS, MacOS, FreeBSD, OS/2, Unix, Windows NT et Windows 9x. 287
Annexe A. Glossaire systme de chiers Schma utilis pour stocker des chiers sur un support physique (disque dur, disquette) dune manire consistante. Des exemples de systmes de chiers sont la FAT, ext2fs de Linux, iso9660 (utilis par les CDROM), etc. table de conversion Cest un tableau qui rfrence des corresponding codes (ou tags) et leurs signications.Cest souvent un chier de donnes utilis par un programme pour obtenir plus dinformation sur un sujet particulier. Par exemple, HardDrake utilise un tableau similaire pour identier le code dun produit dun constructeur. Voici une ligne de ce tableau, nous renseignant sur larticle CTL0001
CTL0001 sound sb Creative Labs SB16 \ HAS_OPL3|HAS_MPU401|HAS_DMA16|HAS_JOYSTICK
tampon (buffer) Zone de mmoire de taille xe, pouvant tre associe un chier en mode bloc, une table du systme, un processus etc. La cohrence de tous les tampons est assure par le cache mmoire. thmable Pour une application graphique, cela indique quelle peut changer son apparence en temps rel. Beaucoup de gestionnaires de fentres sont galement thmables. traverser Pour un rpertoire sur un systme Unix, cela signie que lutilisateur est autoris passer travers ce rpertoire et, si possible, de se rendre dans ses sous-rpertoires. Cela requiert que lutilisateur ait le droit dexcution sur ce rpertoire. tube Type de chiers spcial dUnix. Un programme crit des donnes dans le tube, et un autre programme lit les donnes lautre bout. Les tubes Unix sont FIFO, donc les donnes sont lues lautre bout dans lordre o elles ont t envoyes. Trs utiliss dans le shell. Voir aussi tube nomm. tube nomm Tube Unix qui est li, contrairement aux tubes utiliss dans le shell. Voir aussi : tube, lien. 288
Annexe A. Glossaire URL Uniform Resource Locator (Localisateur Uniforme de Ressources) : ligne avec un format spcial utilise pour identier une ressource sur l Internet dune faon univoque. La ressource peut tre un chier, un serveur etc. La syntaxe dun URL est protocole://nom.du.serveur[:port]/chemin/vers/ressource. Quand est donn seulement un nom de machine et que le protocole est http://, cela quivaut retirer lventuel chier intitul index.html du serveur par dfaut. utilisateur unique (single user) tat du systme dexploitation, ou mme un systme dexploitation en soi, qui nautorise qu un seul utilisateur la fois de se connecter et dutiliser le systme. valeurs discrtes Valeurs non continues ou qui ne se suivent pas, comme sil existait une sorte d espace entre deux valeurs conscutives. variables Chanes utilises dans les chiers Makefile pour tre remplaces par leur valeur chaque fois quelles apparaissent. Elles sont gnralement dnies au dbut du chier Makefile et sont utilises pour simplier le Makefile et la gestion de larborescence des chiers source. De manire plus gnrale, en programmation, les variables sont des mots qui font rfrence dautres entits (nombres, chanes, tableaux de valeurs, etc.) qui sont susceptibles de varier au cours de lexcution du programme. variables denvironnement Partie de lenvironnement dun processus. Les variables denvironnement sont directement visibles depuis le shell. Voir aussi : processus. verbeux Pour les commandes, le mode verbeux fait que la commande va afcher sur la sortie standard (ou erreur) toutes les actions engages et les rsultats de ces actions. Les commandes offrent parfois un niveau de volubilit , ce qui signie que la quantit dinformation fournie peut tre contrle. VESA Video Electronics Standards Association (Association pour les Standards des matriels Vido lectroniques) : association de normes de lindustrie 289
Annexe A. Glossaire oriente vers larchitecture. Elle est lauteur de la norme SVGA, par exemple. visionneuse (pager) Programme prsentant un chier texte page cran par page cran, et proposant des facilits de dplacement et de recherche dans ce chier. Nous vous conseillons less. vole ( la) On dit quune action est ralise la vole lorsquelle est faite en mme temps quune autre sans que lon sen rende compte ou sans quon lait explicitement demand. WAN : rseau tendu Wide Area Network : rseau large porte. Ce rseau, bien que similaire au rseau local (LAN), connecte des ordinateurs sur un rseau qui nest pas reli physiquement aux mmes brins, et sont spars par une large distance.
290
Index
Appletalk, 225 applications outils de dpannage, 260 tuer les, 258 tuer les programmes rcalcitrants, 258 ARCNet, 224 ATM, 229 carte graphique nVidia 3D OpenGL, 259 chargeur de dmarrage double amorage (dual-boot), 253 chargeur de dmarrage rinstaller, 252 classe rseau, 209 commandes tar, 247 console basculer vers une autre, 256 cble null modem, 239 parallle, 239 PLIP, 239 DECNet, 229 DHCP, 217 disquette de dmarrage, 243 Master Boot Record, 253 DNS, 217 documentation, 3 MandrakeLinux, 5 DOS, 41 dmarrage niveau dexcution diffrents, 251 systme bloqu, 250 systme de chier, 250 eth0, 215 Ethernet carte, 215 FDDI, 229
291
chier restorer aprs suppression, 255 Frame Relay, 230 GRUB rinstaller, 252 IMAP, 83 internationalisation, 3 IP adresse, 208 routage, 211 IPX, 235 ISDN, 221 LILO rinstaller, 252 MacOS, 42, 46 Mandrakeclub, 1 Mandrakeexpert, 1 Mandrakelinux listes de diffusion, 1 Mandrakesecure, 1 Mandrakestore, 2 mode Rescue, 243 MySQL, 119 NetRom, 235 NIS, 127 openGL carte graphique nVidia 3D, 259 OS/2, 49 paire torsade, 241 paquetage, 2 passerelle, 29 Pierre Pingus, 8 PLIP, 222 POP, 83 portables, 259 PPP, 222, 223 problme, 243, 260 lordinateur est lent, 259 systme de chier, 254 programmation, 3
292
projets R&D, 3 Reine Pingusa, 8 RFC, 206 routage, 211 rseau conguration, 207 cble, 238 masque, 209 Network Information System, 127 priv, 210 rseautique, 203 Samba, 236 sauvegarde, 244 Master Boot Record, 253 restaurer, 249 tar, 247, 248 serveur Network Information System, 127 serveur x tuer, 256 services remise du courrier, 83 super-bloc rpar, 254 system request, 257 systme de chier rpar un super-bloc, 254 TCP/IP, 206 Token Ring, 237 utilisateurs gnriques, 8 WaveLan, 238 Webmin, 51 Windows 3.11, 41 windows NT/2000, 37 windows 95/98, 33 windows XP, 32 X, 251 conguration, 251 X.25, 238
293
294