Guide D.administration Serveur Mandrakelinux 10.0

Guide dadministration serveur Mandrakelinux 10.
(http://www.mandrakesoft.com)
Guide dadministration serveurMandrakelinux 10.0 Publi Mars 2004 Copyright 2004 Mandrakesoft SA par Camille Bgnis, Fabian Mandelbaum, Christian Roy, Fred Lepied, Nicolas Planel, Daouda Lo, Franois Pons, John Rye, Pascal Rigaux, Damien Chaumette, Till Kamppeter, Florent Villard, Luca Berra, Florin Grad, Frdric Crozat, Stew Benedict, Guillaume Cottenceau, Thierry Vignaud, et Jean-Michel Dault.
Notice lgale
Ce manuel (sauf les parties listes dans le tableau ci-dessous) est la proprit exclusive de Mandrakesoft S.A. et est protg au titre des droits de proprit intellectuelle. Ce manuel (sauf les parties listes dans le tableau ci-dessous) peut tre librement reproduit et/ou distribu, seul ou accompagn dun ou plusieurs autres produits, sur format papier ou lectronique. Les conditions suivantes devront toutefois tre respectes :
Cette licence dutilisation doit apparatre en intgralit, et de faon claire et explicite sur tous les exemplaires reproduits et/ou distribus. Les textes de couverture ci-bas et Au sujet de Mandrakelinux, page 1, de mme que les noms des diffrents auteurs et contributeurs, doivent tre joints la version reproduite, duplique ou distribue et ne peuvent tre modis. Dans sa version papier, ce manuel ne peut tre reproduit et/ou redistribu dans un but non commercial.
Laccord de Mandrakesoft S.A. devra tre obtenu pralablement toute autre utilisation qui sera faite de ce manuel ou dune partie de ce manuel. Mandrake , Mandrakesoft , DrakX et Linux-Mandrake , ainsi que le Logo toile associ sont dposs par Mandrakesoft S.A. en France et/ou dans dautres pays du monde. Tous les autres noms, titres, dessins, et logos sont la proprit exclusive de leurs auteurs respectifs et sont protgs au titre des droits de proprit intellectuelle.
Textes de couverture Mandrakesoft mars 2004 http://www.mandrakesoft.com/ Copyright 1999-2004 Mandrakesoft S.A. et Mandrakesoft inc.
Les chapitres cit es dans le tableau ci-dessous sont prot eg es par une autre licence. Consultez le tableau et les r ef erences associ ees pour plus dinformation ` a propos de ces licences.
Copyright original Le rseau sous GNU/Linux, page 203
Licence
par Joshua D. {POET} Drake - Licence Publique Gnrale The Linux Review (https: GNU GPL (http://www.gnu. //secure.linuxports.com/) org/copyleft/gpl.html)
A propos de la scurit sous GNU/Linux, page 133
par Kevin Fenzi par Dave Wreski
et
The Linux Documentation Project TLDP (http://tldp.org)
Outils utiliss dans la conception de ce manuel

Ce manuel a t rdig avec la grammaire XML DocBook. Pour grer lensemble des chiers Borges (http://linux-mandrake.com/en/doc/project/Borges/) a t utilis. Les chiers source XML ont t prformats avec xsltproc, openjade et jadetex avec laide des feuilles de style personnalises de Norman Walsh. Les images ont t prises avec xwd et GIMP, puis converties avec convert. Tous ces logiciels sont libres et disponibles sur votre distribution Mandrakelinux.
Table des mati` eres

Prface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1. Au sujet de Mandrakelinux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.1. Communiquer avec la communaut Mandrakelinux. . . . . . . .1 1.2. Rejoignez le Club . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.3. Acqurir des produits Mandrakesoft . . . . . . . . . . . . . . . . . . . . . . . 2 1.4. Contribuer Mandrakelinux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 2. propos de ce manuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 3. Note des traducteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 4. Conventions utilises dans ce manuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 4.1. Conventions typographiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 4.2. Conventions gnrales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 I. Assitants de conguration pour services usuels . . . . . . . . . . . . . . . . . . . . . . . 11 1. Les assistants de conguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 1.1. Prface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 1.2. Conguration du serveur DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . 13 1.3. Conguration du serveur DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 1.4. Conguration du serveur mail : serveur Postx . . . . . . . . . . . 15 1.5. Conguration de Samba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 1.6. Conguration du serveur Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 1.7. Conguration du serveur FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 1.8. Conguration du serveur de forums . . . . . . . . . . . . . . . . . . . . . . 24 1.9. Conguration du serveur mandataire (Proxy) . . . . . . . . . . . . . 24 1.10. Conguration du serveur de temps . . . . . . . . . . . . . . . . . . . . . . 27 2. Congurer des clients de passerelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 2.1. Machine Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30 2.2. Machine Windows XP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 2.3. Machine Windows 95 ou Windows 98 . . . . . . . . . . . . . . . . . . . . . 33 2.4. Machine Windows NT ou Windows 2000 . . . . . . . . . . . . . . . . . 37 2.5. Machine DOS utilisant le paquetage NCSA Telnet . . . . . . . . . 41 2.6. Windows pour Workgroup 3.11 . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 2.7. Machine MacOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 2.8. Machine OS/2 Warp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 II. Conguration approfondie des services usuels . . . . . . . . . . . . . . . . . . . . . . . 55 3. BIND : serveur DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 3.1. Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 3.2. Exemple de conguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 3.3. Conguration avance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 4. Serveur Web Internet/intranet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 v
4.1. Versions dApache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 4.2. Modules Apache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 4.3. Installer et utiliser PHP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 4.4. Installer et utiliser SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 4.5. Congurer Apache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 4.6. Alias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 4.7. Authentication des utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . 72 4.8. Permettre les index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 4.9. Informations supplmentaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 5. Le serveur de courrier Postx . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 5.1. Fonctions dun serveur SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 5.2. Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 5.3. Exemple de conguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 5.4. Conguration avance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 5.5. Pour en savoir plus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 6. Serveurs de remise de courrier : POP et IMAP . . . . . . . . . . . . . . . . . . . . 83 6.1. Avant-propos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 6.2. Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 6.3. Exemple de conguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 6.4. Conguration avance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 7. Partage de ressources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 7.1. Samba : intgrer Linux dans un rseau Windows . . . . . . . . . . 87 7.2. Partage de ressources : FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 7.3. NFS: Partage de dossiers pour les htes UNIX/Linux . . . . . 98 8. Le serveur Kolab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 8.1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 8.2. Aperu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 8.3. Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 8.4. Linterface dadministration de Kolab . . . . . . . . . . . . . . . . . . . . 105 9. Serveur de bases de donnes MySQL . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 9.1. Pour commencer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 9.2. Crer un utilisateur pour la base de donnes . . . . . . . . . . . . . 120 9.3. Crer une base de donnes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 9.4. Crer une table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 9.5. Gestion de donnes dans une table . . . . . . . . . . . . . . . . . . . . . . . 124 9.6. Pour en savoir plus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 10. Client et serveur NIS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .127 10.1. Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 10.2. Conguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 10.3. Conguration avance pour les clients . . . . . . . . . . . . . . . . . . 129 III. Thorie applique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .133 vi
11. A propos de la scurit sous GNU/Linux . . . . . . . . . . . . . . . . . . . . . . 133 11.1. Prambule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 11.2. Aperu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 11.3. Scurit physique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 11.4. Scurit locale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 11.5. Scurit des chiers et des systmes de chiers . . . . . . . . . 149 11.6. Scurit des mots de passe et cryptage . . . . . . . . . . . . . . . . . . 158 11.7. Scurit du noyau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 11.8. Scurit rseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 11.9. Prparation de scurit (avant de vous connecter) . . . . . . . 187 11.10. Que faire, avant et pendant une effraction . . . . . . . . . . . . . 190 11.11. Documents de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 11.12. Foire aux questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 11.13. Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 Vocabulaire relatif la scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 12. Le rseau sous GNU/Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 12.1. Copyright . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 12.2. Comment utiliser ce document ? . . . . . . . . . . . . . . . . . . . . . . . . 203 12.3. Informations gnrales concernant le rseau sous Linux. 205 12.4. Informations gnrales sur la conguration du rseau. . .207 12.5. Informations sur IP et Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . 215 12.6. Informations relative IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 12.7. Utilisation du matriel courant pour PC . . . . . . . . . . . . . . . . 221 12.8. Autres technologies de rseau . . . . . . . . . . . . . . . . . . . . . . . . . . 223 12.9. Cbles et cblages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238 13. Faire face aux problmes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 13.1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 13.2. Disquette de dmarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 13.3. Sauvegarde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244 13.4. Restauration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 13.5. Problmes au dmarrage du systme . . . . . . . . . . . . . . . . . . . 249 13.6. Problmes de chargeur de dmarrage . . . . . . . . . . . . . . . . . . . 252 13.7. Problmes sur les systmes de chiers . . . . . . . . . . . . . . . . . . 254 13.8. Lorsque le systme se gle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256 13.9. Arrter les applications qui fonctionnent mal . . . . . . . . . . . 258 13.10. Considrations diverses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 13.11. Outils Mandrake pour faire face aux problmes . . . . . . . . 260 13.12. Derniers mots . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260 A. Glossaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 vii
viii
Liste des tableaux

12-1. Allocations pour rseaux privs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Liste des illustrations

1-1. Un exemple de rseau interne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 1-2. Accs aux assistants partir du Centre de Contrle . . . . . . . . . . . . . . . . . . 12 1-3. Choisir la plage dadresses disponible depuis votre serveur DHCP . . . 14 1-4. Choisir le groupe de travail pour vos partages . . . . . . . . . . . . . . . . . . . . . . . 17 1-5. Quel sera le nom de votre serveur Samba ? . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 1-6. Dnir les rgles daccs Samba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 1-7. Autoriser le partage des chiers et imprimantes . . . . . . . . . . . . . . . . . . . . . . 19 1-8. Do votre serveur Web doit-il tre visible ? . . . . . . . . . . . . . . . . . . . . . . . . . . 21 1-9. Do voulez-vous rendre visible votre serveur FTP ? . . . . . . . . . . . . . . . . . 22 1-10. Options du serveur FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 1-11. Choisir la taille du cache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 1-12. Restreindre laccs un sous-rseau particulier . . . . . . . . . . . . . . . . . . . . . 26 1-13. Choisir vos serveurs de temps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 2-1. Nouvelle conguration du rseau local avec drakconnect . . . . . . . . . . . . 31 2-2. Conguration de la passerelle sous Windows XP . . . . . . . . . . . . . . . . . . . . . 32 2-3. Le dialogue de conguration rseau sous Windows 9x . . . . . . . . . . . . . . . 33 2-4. Le dialogue de conguration TCP/IP sous Windows 9x . . . . . . . . . . . . . . 34 2-5. Le dialogue de conguration de la passerelle sous Windows 9x . . . . . . 35 2-6. Le dialogue de conguration de protocole sous Windows NT . . . . . . . . 37 2-7. La panneau de logiciel rseau sous Windows NT . . . . . . . . . . . . . . . . . . . . 38 2-8. Le dialogue de conguration TCP/IP sous Windows NT . . . . . . . . . . . . . 38 2-9. Le dialogue de conguration DNS sous Windows NT . . . . . . . . . . . . . . . . 39 2-10. Le dock de MacOS X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 2-11. Prfrences Systme de MacOS X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 2-12. Conguration automatique de laccs Internet pour MacOS X . . . . . . . 44 2-13. Conguration manuelle de laccs Internet pour MacOS X . . . . . . . . . . 44 2-14. Accder au panneau de contrle TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 2-15. Conguration automatique de laccs Internet pour MacOS . . . . . . . 47 2-16. Conguration manuelle de laccs Internet pour MacOS . . . . . . . . . . . 48 30. Linterface de Webmin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 31. Contrle daccs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 3-1. Crer une zone primaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 3-2. Crer une zone matre inverse (Reverse Master Zone) . . . . . . . . . . . . . . . 57 3-3. Assigner un nom un poste de travail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 3-4. Dmarrage de BIND . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 ix
3-5. Faire des modications la conguration de BIND . . . . . . . . . . . . . . . . . . 58 3-6. Conguration des postes client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 3-7. Le guide BIND 9 Administrator Reference Manual par Webmin . . . . . . 61 5-1. cran de dmarrage du module Postx . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 5-2. Lcran principal de conguration de Postx . . . . . . . . . . . . . . . . . . . . . . . . . 77 5-3. Dnir un nouvel alias de courrier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 5-4. Congurer des domaines virtuels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 6-1. cran de dmarrage du module xinetd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 6-2. Conguration du module POP3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 7-1. La fentre principale du module de Samba . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 7-2. Congurer les options communes de rseau . . . . . . . . . . . . . . . . . . . . . . . . . 89 7-3. Congurer la mthode dauthentication pour les clients Windows 9589 7-4. Synchronisation des utilisateurs Samba et Unix . . . . . . . . . . . . . . . . . . . . . . 90 7-5. Congurer un partage public . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 7-6. Limiter les utilisateurs ayant accs un partage . . . . . . . . . . . . . . . . . . . . . . 91 7-7. Options par dfaut pour limprimante partage . . . . . . . . . . . . . . . . . . . . . . 92 7-8. Page de dmarrage du module ProFTPD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 7-9. Congurer un accs FTP anonyme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 7-10. Contrle daccs pour les commandes rpertoire . . . . . . . . . . . . . . . . . . . . 96 7-11. Crer un nouveau partage NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 7-12. Outils NFS de DiskDrake . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 7-13. Changer le point de montage NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 8-1. Linterface utilisateur du serveur Kolab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 8-2. Modier les donnes utilisateur existantes . . . . . . . . . . . . . . . . . . . . . . . . . . 107 8-3. Linterface Maintainer du serveur Kolab . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 8-4. Le formulaire de cration de carnet dadresses . . . . . . . . . . . . . . . . . . . . . . 111 8-5. La table de gestion des utilisateurs de carnet dadresses . . . . . . . . . . . . . 112 8-6. Le formulaire de cration de nouveaux dossiers partags . . . . . . . . . . . 113 8-7. La table de gestion des Maintainers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 8-8. Le formulaire de cration de nouveaux administrateurs . . . . . . . . . . . . . 115 8-9. Le formulaire de paramtrage du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 8-10. Le formulaire des Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 9-1. Modier le mot de passe de ladministrateur . . . . . . . . . . . . . . . . . . . . . . . . 119 9-2. Crer un utilisateur MySQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 9-3. Crer une base de donnes MySQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 9-4. Crer une nouvelle table MySQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 9-5. Modier une table MySQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 9-6. Grer des donnes avec Webmin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 10-1. Serveur NIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 10-2. Client NIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 12-1. Un exemple de routage dynamique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 x
12-2. Le cblage NULL-modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 12-3. Cablage PLIP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .239 12-4. Cblage Ethernet 10base2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241 12-5. Cablage paires torsades NULL-modem . . . . . . . . . . . . . . . . . . . . . . 242
xi
xii
Pr eface
1. Au sujet de Mandrakelinux
Mandrakelinux est une distribution GNU/Linux dveloppe par Mandrakesoft S.A. La socit Mandrakesoft est ne sur Internet en 1998 ; son ambition premire demeure de fournir un systme GNU/Linux convivial et facile utiliser. Les deux piliers de Mandrakesoft sont le logiciel libre et le travail coopratif.
1.1. Communiquer avec la communaut e Mandrakelinux

Nous prsentons ci-dessous plusieurs liens Internet pointant vers de nombreuses ressources lies Mandrakelinux. Si vous souhaitez en savoir plus sur la socit Mandrakesoft, consultez notre site Web (http://www. mandrakesoft.com/). Vous pouvez aussi visiter le site ddi la distribution Mandrakelinux (http://www.mandrakelinux.com/) et tous ses drivs. Mandrakeexpert (http://www.mandrakeexpert.com/) est la plate-forme daide en ligne de Mandrakesoft. Elle propose une nouvelle faon de partager les savoirs sappuyant sur la conance et le plaisir de rcompenser son prochain pour son aide. Vous tes galement invit participer aux nombreuses listes de diffusion (http://www.mandrake-inux.com/fr/flists.php3), o la communaut Mandrakelinux dploie tout son enthousiasme et sa vivacit. Enn, noubliez pas de vous connecter sur Mandrakesecure (http://www. mandrakesecure.net/). Ce site rassemble tout ce qui traite de la scurit des distributions Mandrakelinux. Vous y trouverez notamment des avertissements de bogues et de scurit, ainsi que des articles traitant de scurit informatique et du domaine priv (privacy). Bref, voil un site incontournable pour tout administrateur systme, ou tout utilisateur soucieux de scurit.
1.2. Rejoignez le Club

Mandrakesoft propose une large palette davantages travers son Club des utilisateurs de Mandrakelinux (http://www.mandrakelinux.com/fr/ club/) :
Prface
tlcharger des logiciels commerciaux, qui ne sont normalement disponibles que dans les packs de dtail, tels que des pilotes logiciel, des applications commerciales, des gratuiciels (freeware) et des versions dmo ; voter et proposer de nouveaux logiciels travers un systme de vote RPM que des bnvoles maintiennent ; accder plus de 50 000 paquetages RPM pour toutes les distributions Mandrakelinux ; obtenir des remises pour des produits et services sur le Mandrakestore (http://www.mandrakestore.com) ; accder une meilleure liste de miroirs, exclusive pour les membres du Club ; lire des forums et articles multilingues.
En nanant Mandrakesoft par lentremise du Club des utilisateurs de Mandrakelinux, vous amliorerez directement la distribution Mandrakelinux et vous nous permettrez de proposer le meilleur poste de travail GNU/Linux possible nos utilisateurs.
1.3. Acqu erir des produits Mandrakesoft

Vous pouvez acheter des produits Mandrakesoft sur le Mandrakestore (http: //www.mandrakestore.com). Vous ny trouverez pas que des logiciels Mandrakelinux, des systmes dexploitation et des CD de dmarrage live (comme Mandrakemove), mais aussi des offres spciales dabonnement, de lassistance, des logiciels tiers et des licences, des manuels et des livres GNU/Linux, ainsi que dautres gadgets Mandrakesoft.
1.4. Contribuer ` a Mandrakelinux

Quels que soient vos talents, vous tes encourag participer lune des nombreuses tches requises la construction du systme Mandrakelinux :
Paquetages. Un systme GNU/Linux est principalement constitu de programmes rassembls depuis Internet. Ils doivent tre mis en forme de faon ce quils puissent fonctionner ensemble, si tout se passe bien ;
Prface
Programmation. Une foule de projets est directement dveloppe par Mandrakesoft : trouvez celui qui vous intresse le plus et proposez votre aide au dveloppeur principal ; Internationalisation. vous pouvez nous aider traduire des pages de nos sites Web, des programmes et leur documentation respective. Documentation. Enn, nous ne comptons plus le temps et les efforts investis pour que le manuel que vous tes en train de lire demeure jour.
Consultez la page des projets de dveloppement (http://www.mandrakesoft. com/labs/) pour en savoir plus sur les diffrentes faons de contribuer lvolution de Mandrakelinux.
` propos de ce manuel 2. A
Ce Guide dadministration serveur a t crit an de donner ceux et celles, qui dsirent utiliser leur systme Mandrakelinux en tant que serveur, des connaissances gnrales au sujet de la conguration des services les plus utiliss. travers des outils graphiques, nous vous montrerons comment rgler vos serveurs, activer les services ncessaires et scuriser votre environnement rseau. Ce qui suit se veut un survol des trois parties quabrite ce manuel. La premire partie (Assitants de conguration pour services usuels) abordera les diffrents services que vous pouvez congurer avec le Centre de contr ole Mandrakelinux (Les assistants de conguration, page 11). Aprs avoir lu ce chapitre, vous devriez tre en mesure de congurer des services tels que DHCP, DNS ou Postx. Ensuite, Congurer des clients de passerelle, page 29, couvre la conguration de clients en mascarade travers votre systme Mandrakelinux, ce qui permet de travailler dans un rseau comprenant plusieurs plates-formes telles que Microsoft DOS, Windows 9x, Windows XP et Windows NT, Novell Netware, SCO OpenServer et Solaris. Pour que ce chapitre vous soit utile, votre LAN doit tre bien congur puisque nous nous concentrons sur la passerelle, et non sur le DNS ou sur des problmes de connexion. La deuxime partie (Conguration approfondie des services usuels) explore les diffrents modules de Webmin, qui vous aidera congurer les services disponibles. Toutefois, nous avons document les chiers de conguration du serveur Web Apache puisque Webmin ne peut pas grer des chiers de conguration multiples (voir Serveur Web Internet/intranet, page 63). Voici un rsum des services que nous couvrirons. 3
Prface
Les points forts du DNS BIND utilis en tant que serveur de noms de domaine sont exposs dans BIND : serveur DNS, page 55. Serveur Web Internet/intranet, page 63 discute du serveur Apache ; Nous expliquons comment congurer un serveur Postx pour envoyer du courrier lectronique travers le protocole SMTP dans Le serveur de courrier Postx, page 75. Les protocoles POP et IMAP utiliss pour rcuprer le courrier sont prsents dans le Serveurs de remise de courrier : POP et IMAP, page 83. Nous nous concentrons sur les protocoles Samba pour partager des chiers dans un environnement plates-formes multiples, et NFS en ce qui a trait aux rseaux ddis uniquement GNU/Linux dans Partage de ressources, page 87. Lutilisation du client ProFTPD est aussi dtaille. Ensuite nous discuterons de la conguration dun serveur collaboratif (groupware) travers le serveur Kolab dans Le serveur Kolab, page 103. Il fait partie de la solution collecticiel Kroupware et vous permet de synchroniser linformation utilisateur lintrieur de votre entreprise. Notez que ce service sera congur manuellement et non travers Webmin. Le prochain chapitre explore exclusivement la conguration dun serveur de bases de donnes MySQL : il expose la cration, la modication et la gestion de tables (Serveur de bases de donnes MySQL, page 119). Nous discutons de la gestion dutilisateurs distants et expliquons la conguration client et serveur de NIS dans Client et serveur NIS, page 127.
Dans Thorie applique, nous discutons de deux sujets : la scurit et la rseautique. Le A propos de la scurit sous GNU/Linux, page 133, sappuyant sur un HOWTO des auteurs Kevin Fenzi et Dave Wreski, donne plusieurs trucs pour les administrateurs systme sur comment mieux scuriser leurs rseaux. Comme la scurit est devenue ncessaire dans notre monde hautement ax vers Internet, ce chapitre constitue une lecture obligatoire. Enn, notre chapitre sur la rseautique (Le rseau sous GNU/Linux, page 203) sappuie sur un HOWTO crit par Joshua D. Drake (aussi connu sous le nom de POET) et donne plusieurs ressources pour rpondre vos besoins en rseautique. Il prcise le matriel compatible avec GNU/Linux et explique les bases des services de rseautique tels que le DHCP, le DNS, etc.
Prface
3. Note des traducteurs

Dans le droit l de lesprit particulier de la communaut du libre (open source), nous accueillons les collaborations bras ouverts ! Il vous est tout fait possible dapporter votre petite pierre ldication de ce projet de diverses faons. Vous disposez de temps libre ? Proposez-nous un nouveau chapitre. Vous comprenez bien langlais ? Aidez-nous traduire. Vous avez des ides pour amliorer ce document ? Nous sommes tout oue ! Prveneznous lorsque vous reprez des coquilles ! Pour toute information au sujet du projet de documentation de Mandrakelinux, communiquez avec le responsable de la documentation (mailto: documentation@mandrakesoft.com) ou visitez notre site Web (http:// linux-mandrake.com/en/doc/project/) (en anglais seulement).
4. Conventions utilis ees dans ce manuel

4.1. Conventions typographiques
An daccentuer clairement certains mots ou groupes de mots, nous avons utilis certains attributs typographiques. Le tableau suivant en donne la signication symbolique :
Exemple format e inud ls -lta
Signication Signale un terme technique. Types utiliss pour une commande et ses arguments, les options et les noms de chier (voir la section Synopsis dune commande, page 7). Rfrence vers une page de manuel (aussi appele page de man). Pour consulter la page correspondante dans un shell (ou ligne de commande), excutez la commande man 1 ls. Ce style est utilis pour une copie dcran texte de ce que vous tes cens voir lcran comme une interaction utilisateur-ordinateur ou le code source dun programme, etc.
ls(1)
$ ls *.pid
Prface Exemple format e localhost Signication Donnes littrales qui ne correspondent gnralement pas une des catgories prcdemment dnies : un mot cl tir dun chier de conguration, par exemple. Dsigne le nom des applications. Notre exemple ( Apache ) nest pas un nom de commande. Toutefois, dans des contextes particuliers, lapplication et le nom de la commande peuvent tre les mmes, mais formats de faon diffrente. Entre de menu ou label des interfaces graphiques, en gnral. La lettre souligne indique le raccourci clavier ventuel. Partie dun ordinateur ou ordinateur lui-mme. Citation en langue trangre. Types rservs pour les mots que nous voulons accentuer. Lisez-les voix haute :-)
Apache
C ongurer
Bus SCSI Once upon a time... Attention !
Cette ic one introduit une note. Il sagit g en eralement dune remarque dans le contexte courant, pour donner une information additionnelle.
Cette ic one introduit une astuce. Il peut sagir dun conseil dordre g en eral sur la meilleure fa con darriver ` a un but sp ecique, ou une fonctionnalit e int eressante qui peut vous rendre la vie plus facile.
Soyez tr` es attentif lorsque vous rencontrez cette ic one. Il sagit toujours dinformations tr` es importantes sur le sujet en cours de discussion.
Prface
4.2. Conventions g en erales

4.2.1. Synopsis dune commande
Lexemple ci-dessous prsente les diffrents signes et symboles que vous rencontrerez lorsque nous dcrivons les arguments dune commande :
command <argument non litt eral> [--option={arg1,arg2,arg3}] [argument optionnel...]
Ces conventions tant standardises, vous les retrouverez en bien dautres occasions (dans les pages de man, par exemple). Les signes < (infrieur) et > (suprieur) indiquent un argument obligatoire qui ne doit pas tre recopi tel quel mais remplac par votre texte spcique. Par exemple : <fichier> dsigne le nom dun chier ; si ce chier est toto.txt, vous devrez taper toto.txt, et non <toto.txt> ou <fichier>. Les crochets [ ] indiquent des arguments optionnels que vous dciderez ou non dinclure dans la ligne de commande. Les points de suspension ( ... ) signient quun nombre illimit doptions peut tre insr cet endroit. Les accolades ( { } ) contiennent les arguments autoriss cet endroit. Il faudra obligatoirement en insrer un cet endroit prcis.
4.2.2. Notations particuli` eres

De temps autre, il vous sera demand de presser les touchesCtrl-R, cela signie que vous devez taper et maintenir la touche Ctrl enfonce pendant que vous appuyez sur la touche R. Il en va de mme pour les touches Alt et Shift. De mme, propos des menus, aller sur lentre de menu FichierRelire la conguration utilisateur (Ctrl-R) signie : cliquez sur le label Fichier du menu (gnralement en haut et gauche de la fentre) puis sur le menu vertical qui apparat, cliquez sur Relire la conguration utilisateur. De plus, vous pouvez galement utiliser la combinaison de touches Ctrl-R , comme dcrit ci-dessus pour arriver au mme rsultat.
Prface
4.2.3. Utilisateurs syst` eme g en eriques

chaque fois que cela est possible, nous utiliserons deux utilisateurs gnriques dans nos exemples : Reine Pingusa Pierre Pingus Cet utilisateur est cr pendant linstallation. Cet utilisateur est ensuite cr par ladministrateur systme.
Introduction aux assistants de conguration serveur et aux clients en mascarade

Cette partie se divise en deux chapitres : le premier dtaille les assistants de conguration serveur Mandrakelinux, tandis que le second discute et approfondit la notion de clients en mascarade (masqueraded clients).
1. Assistants de conguration serveur

travers les assistants de conguration, ce chapitre (Les assistants de conguration, page 11) vous aidera congurer des serveurs tels que DNS (Domain Name Server), DHCP (Dynamic Host Conguration Protocol), Samba, HTTP, FTP, etc. Les assistants vous permettent de congurer ces services facilement an quils soient intgrs de faon transparente dans votre petit environnement rseau. Si vous dsirez approfondir la conguration de ces services, rfrezvous aux chapitres Webmin correspondants (Partie II).
2. Clients derri` ere une passerelle

Dans ce chapitre (Congurer des clients de passerelle, page 29), nous vous apprendrons comment utiliser Mandrakelinux avec un mandataire rgl en tant que passerelle gateway) vers le monde extrieur (le rseau externe). Linformation contenue dans ce chapitre couvre les environnements Macintosh, Microsoft DOS, Windows 9x, Windows XP et Windows NT, Novell Netware, SCO OpenServer, Sun Solaris, etc.
10
Chapitre 1. Les assistants de conguration

1.1. Pr eface
Les assistants de conguration fournis avec Mandrakelinux vous donnent la possibilit de congurer rapidement et efcacement un rseau priv. Dans tout ce chapitre, nous supposons que votre rseau est tabli tel quillustr la gure 1-1, et que Mandrakelinux est install sur le serveur. La conguration et lactivation dune connexion Internet (si vous en avez une) est hors du cadre de ce chapitre.
Figure 1-1. Un exemple de rseau interne Les assistants peuvent vous aider congurer ce qui suit :
Conguration du serveur DHCP, page 13 : votre serveur peut attribuer dynamiquement des adresses IP de nouvelles machines sur le rseau ; Conguration du serveur DNS, page 14 : conguration de la rsolution des noms de domaines extrieurs au rseau priv ; Conguration du serveur FTP, page 22 : Congure un serveur FTP, et les rseaux do il pourra tre joignable ; 11
Conguration du serveur de forums, page 24 : vous pouvez faire agir votre serveur en tant que miroir local dun serveur de forums externe ; Conguration du serveur mail : serveur Postx, page 15 : conguration de votre domaine de mail pour envoyer et recevoir du courrier de et vers lextrieur ; Conguration du serveur mandataire (Proxy), page 24 : permet de congurer votre serveur en tant que proxy, ce qui acclre la navigation Web et rduit lutilisation de bande passante ; Conguration de Samba, page 16 : si le serveur doit agir en tant que serveur de chiers ou dimpression pour des machines windows, cet assistant vous aidera congurer les chiers et imprimantes partages, et le nom du serveur dans le rseau windows ; Conguration du serveur de temps, page 26 : votre machine peut aussi donner lheure aux autres machines en utilisant le protocole NTP (Network Time Protocol) ; cet assistant vous aidera congurer ce service. Conguration du serveur Web, page 21 : Congure un serveur Web, et les rseaux do il pourra tre joignable ;
Note aux utilisateurs exp eriment es : les assistants sont limit es ` a la conguration dun r eseau de classe C, et pour chaque service, seule la conguration de base est g er ee. Cela devrait sure dans la plupart des cas, mais si vous voulez une conguration plus personnalis ee, vous devrez editer les chiers de conguration ` a la main, ou utiliser un autre outil dadministration tel que Webmin.
12
Figure 1-2. Accs aux assistants partir du Centre de Contrle Les assistants de conguration serveur sont accessibles depuis Control Center. Lorsque le paquetage drakwizard est install, une nouvelle entre de menu apparat dans le menu en arbre du Control Center (gure 1-2). Vous pouvez galement accder aux assistants individuellement en cliquant sur lentre de menu correspondante. Dans ce chapitre, les assistants seront dcrits sans ordre prtabli. Notez que les paquetages ncessaires seront automatiquement installs au lancement des assistants.
1.2. Conguration du serveur DHCP

DHCP signie Dynamic Host Conguration Protocol (Protocole de Congura13
Chapitre 1. Les assistants de conguration tion Dynamique des Htes). Ce protocole permet aux nouvelles machines se connectant votre rseau local de se voir attribuer automatiquement une adresse IP, de rcuprer les adresses des serveurs de noms et ladresse de la passerelle quand elle existe.
Figure 1-3. Choisir la plage dadresses disponible depuis votre serveur DHCP Vous navez qu spcier la plage dadresses que vous voulez rendre disponible par lentremise du DHCP, comme le montre la gure 1-3. Si vous souhaitez que les machines clientes puissent accder lInternet, vous pouvez spcier ici ladresse de la passerelle.
1.3. Conguration du serveur DNS

DNS est lacronyme de Domain Name System (Systme de Noms de Domaine). DNS vous permet de spcier une machine par son nom la place de son 14
Chapitre 1. Les assistants de conguration adresse IP. Cet assistant permet de congurer unserveur DNS de base, matre ou esclave. Vous avez alors la possibilit de lancer lun de ces quatre assistants : Serveur DNS Ma tre Cet assistant congurera votre machine comme serveur DNS principal. La premire tape permet de fournir ladresse dun serveur DNS externe auquel seront transmises les requtes auxquelles le serveur local ne pourra pas rpondre directement. Il sagit gnralement de ladresse du serveur DNS de votre fournisseur daccs. La deuxime tape permet de spcier le nom de domaine pour les recherches. Par exemple si vous demandez ladresse IP de la machine kenobi, le serveur effectuera la recherche en sufxant ce nom le nom de domaine spci ici.
Serveur DNS secondaire Cet assistant va congurer votre machine en tant que serveur esclave dun autre serveur DNS matre. Il suft de spcier ladresse IP du serveur matre pour que lesclave en fasse un miroir. Les clients pourront alors tre congurs pour interroger les deux serveurs : si le matre est dfaillant, lesclave prendra le relais. Ajouter un h ote au DNS Si votre machine est un serveur DNS matre, vous pouvez dclarer ici toutes les machines adresse xe (non DHCP) de votre rseau an que le serveur DNS puisse rpondre aux requtes les concernant. Enlever un h ote du DNS Cela est utilis pour enlever une entre DNS prcdemment ajoute avec Ajouter un h ote au DNS.
1.4. Conguration du serveur mail : serveur Postx

Cet assistant vous aidera congurer le courrier lectronique entrant et sortant. Une fois congur, ce serveur SMTP permettra aux utilisateurs locaux denvoyer des messages des correspondants internes et externes. En outre, 15
Chapitre 1. Les assistants de conguration si votre serveur est rfrenc sur Internet en tant que serveur MX pour votre propre domaine, alors il pourra aussi recevoir et grer le courrier reu depuis lInternet et adress vos utilisateurs locaux. Dans ce dernier cas, assurezvous douvrir les ports correspondants de votre pare-feu.
Votre serveur ne doit pas etre en conguration DHCP an que Postx fonctionne correctement.
La premire tape consiste choisir si vous utiliserez un relais SMTP externe ou non. Si vous pouvez utiliser un relais fourni par votre fournisseur daccs, alors choisissez External mail server dans la liste droulante. Sinon, choisissez Internal mail server. Si vous avez choisi External mail server, les tapes suivantes seront afches : 1. Outgoing mail address Le masquage dadresse est une technique qui consiste cacher tous les htes qui se trouvent dans un domaine, derrire leur passerelle de courrier, et faire en sorte que les messages semblent tous provenir de la passerelle elle-mme, au lieu de machines individuelles. Spciez ici le nom de domaine depuis lequel les messages sortant apparatront. Par exemple, si lutilisateur reine envoie un message de la machine lune.pingus.org quelquun dautre sur Internet, et que vous avez choisi pingus.org comme Masquage du nom de domaine, alors le message apparatre venir de reine@pingus.org 2. Internet mail gateway Cest ici que lon dsigne le serveur de courrier du fournisseur daccs qui sera responsable de relayer vos messages sortant. 3. myorigin Rentrez ici le nom de domaine depuis lequel les messages locaux sembleront venir. Par exemple, si vous choisissez pingus.org en tant que paramtre myorigin, les messages davertissement provenant du serveur de courrier apparatront venir de postfix@pingus.org Si vous avez choisi Internal mail server la premire tape, vous ne devrez spcier que le paramtre myorigin. 16
1.5. Conguration de Samba

Samba est un paquetage logiciel qui permet GNU/Linux dagir en tant que serveur de chiers et/ou dimpression pour des machines Windows. Cet assistant vous aidera congurer seulement des partages publics, pas des partages privs. Si cest ce que vous voulez faire, rfrez-vous la documentation de Samba qui vient avec le paquetage.
Figure 1-4. Choisir le groupe de travail pour vos partages Vous devez ensuite entrer le nom du groupe de travail pour lequel ces partages seront disponibles (gure 1-4). Vous pouvez soit crer un nouveau groupe de travail, soit en choisir un dj existant : si vous ne savez que faire, demandez votre administrateur systme.
17
Figure 1-5. Quel sera le nom de votre serveur Samba ? Enn, vous devez spcier le nom par lequel votre serveur Mandrakelinux sera connu des machines Windows, tel quillustr dans la gure 1-5. Vous pouvez choisir le nom que vous voulez. Aprs cela, vous pouvez restreindre laccs aux partages Samba servis par votre serveur. Choisissez Tous si vous ne souhaitez pas restreindre laccs, ou Mes r` egles si vous souhaitez dnir les machines autorises accder aux partages. Vous devrez alors ensuite dnir ces rgles daccs.
18
Figure 1-6. Dnir les rgles daccs Samba Remplissez les champs en vous inspirant des exemples fournis.
19
Figure 1-7. Autoriser le partage des chiers et imprimantes La conguration de Samba se fait en trois tapes. La premire sera de dcider si vous voulez autoriser le partage des chiers et imprimantes, tel quillustr dans la gure 1-7. Voici les trois fonctionnalits proposes :
Activer lespace public d echange : tous les chiers qui se trouvent dans un rpertoire public seront disponibles publiquement pour les clients SMB(Windows ou autre) du rseau local . Si vous activez cette option, un dialogue demandera de spcier le chemin vers le rpertoire public. Activer le partage dimprimantes : toutes les imprimantes gres par ce serveur seront accessibles aux clients SMB du rseau local ; Permettre lacc` es aux r epertoires personnels ` a leurs propri etaires : chaque utilisateur ayant un compte sur le serveur pourra accder ses propres chiers depuis tout client SMB du rseau local.
20
Tous les utilisateurs souhaitant acc eder ` a leur r epertoire personnel sur le serveur ` a partir dautres machines devront d enir leur mot de passe gr ace ` a la commande smbpasswd.
1.6. Conguration du serveur Web
Figure 1-8. Do votre serveur Web doit-il tre visible ? Cet assistant vous laissera simplement dcider do votre serveur Web sera visible. Vous avez le choix de ne pas lactiver, de le rendre visible depuis le rseau interne et/ou externe. Cochez la case approprie comme le montre la gure 1-8. La seconde tape permet dactiver la fonctionnalit permettant aux utilisateurs de publier leur propre site Web. Tous les chiers quils enregistreront dans /home/utilisateur/public_html/ seront accessibles 21
Chapitre 1. Les assistants de conguration ladresse http://nom.du.serveur/~utilisateur/. Le rpertoire /home/ utilisateur/public_html/ pourra tre modi ltape suivante. La dernire tape permet de personnaliser le chemin daccs au rpertoire contenant les chiers qui seront servis. Pour commencer garnir votre site Web, placez simplement vos chiers dans le rpertoire choisi. Aussitt que lassistant a termin son travail, vous pouvez vous connecter directement sur votre site Web travers ladresse http://localhost
1.7. Conguration du serveur FTP
Figure 1-9. Do voulez-vous rendre visible votre serveur FTP ? Cet assistant ressemble celui utilis pour la conguration du serveur Web : il vous laissera dcider si le serveur FTP doit tre dsactiv, visible depuis le rseau local seulement, ou bien la fois sur les rseaux internet et externe.
22
Figure 1-10. Options du serveur FTP Vous pouvez alors congurer quelques options : Adresse electronique de ladministrateur Entrez ici ladresse laquelle les messages relatifs au serveur FTP seront envoys. Autoriser root ` a se connecter Cochez cette case si vous souhaitez que lutilisateur root puisse se connecter au serveur FTP. Si lauthentication FTP est effectue en clair, cette option est viter. Utilisateur Chroot Home En cochant cette option, les utilisateurs locaux qui se connectent sur le serveur FTP nauront accs qu leur rpertoire personnel. 23
Chapitre 1. Les assistants de conguration Autoriser la reprise des transferts FTP Si votre serveur est susceptible de proposer de gros chiers en tlchargement, il pourrait tre judicieux de permettre aux clients de reprendre un tlchargement interrompu. Autorise FXP Cochez cette option si vous souhaitez que le serveur soit capable dchanger des chiers avec un autre serveur FTP.
Pour commencer ` a utiliser votre serveur FTP anonyme, ajoutez simplement vos chiers dans le r epertoire /var/ftp/pub/. Aussit ot que lassistant a termin e son travail, vous pouvez vous connecter directement sur votre site FTP ` a travers ladresse Web ftp://localhost. Les r epertoires personnels sont accessibles par d efaut ` a travers une authentication par mot de passe local. Si reine veut acc eder ` a son r epertoire personnel, elle na qu` a utiliser ladresse Web ftp://reine@localhost.
1.8. Conguration du serveur de forums

Cet assistant congurera une passerelle pour les forums : votre serveur rcuprera les forums de discussion depuis un serveur de forums externe (habituellement, celui de votre fournisseur daccs) et les rendra visibles pour votre rseau interne. La premire chose faire est donc de spcier quel serveur de forums vous voulez utiliser. Vous devez ensuite spcier lintervalle (en heures) entre chaque rafrachissement. Ne spciez pas un intervalle trop grand : les forums voluent rapidement, comme pratiquement toute chose sur Internet...
1.9. Conguration du serveur mandataire (Proxy)

Le serveur mandataire (Proxy) squid est trs utile pour les rseaux locaux qui accdent plusieurs pages Web travers une connexion lente ou relativement lente. Il maintient un cache des pages les plus visites. Ainsi, elles nont pas tre rcupres deux fois sur Internet si une requte sur celles-ci est faite par deux utilisateurs. 24
Premirement, vous devez choisir le port sur lequel le mandataire coutera les requtes. Les usagers devront congurer leur navigateur Web an dutiliser ce port en tant que port mandataire, et le nom de votre serveur en tant que serveur mandataire.
Figure 1-11. Choisir la taille du cache Selon lespace mmoire dont vous disposez, vous pouvez en allouer plus ou moins au mandataire. Plus vous utilisez de mmoire cache, moins il y aura daccs au(x) disque(s) de votre serveur. Et selon lespace disque disponible, vous pouvez allouer plus ou moins despace pour les pages en cache. Plus vous avez despace, moins vous aurez accder directement Internet. Trois niveaux daccs sont disponibles pour les clients dsirant utiliser le mandataire :
25
Pas de restriction daccs. Aucune restriction, tous les ordinateurs auront accs au cache ; Rseau local. Seulement les machines sur le rseau local auront accs au mandataire ; localhost. Seulement la machine, soit le serveur, pourra accder son propre mandataire.
Figure 1-12. Restreindre laccs un sous-rseau particulier Si, prcdemment, vous avez choisi la politique daccs R eseau local, vous pouvez restreindre encore plus laccs un sous-rseau ou domaine particulier. Entrez votre choix selon le schma propos. Enn, si votre serveur a accs un autre mandataire de grande taille connect Internet, vous pouvez D enir un mandataire de niveau sup erieur sur lequel les requtes seront transfres. Si tel est le cas, la prochaine tape, il vous sera demand dentrer le nom de ce serveur. 26
1.10. Conguration du serveur de temps

Ce dernier assistant vous aide congurer un serveur de temps pour votre rseau interne. Le protocole utilis est NTP. Lorsque vous aurez congur les serveurs de temps externes sur lesquels votre propre serveur se synchronisera, les machines de votre rseau local pourront leur tour se synchroniser sur votre serveur.
Figure 1-13. Choisir vos serveurs de temps Il suft de choisir les serveurs interroger, par ordre de prfrence. Comme il est indiqu, mieux vaut garder le choix initial moins que cela ne fonctionne pas. Choisissez alors un serveur qui soit le plus proche possible de votre situation gographique. Vous pourriez aussi avoir besoin de modier votre fuseau horaire, mais normalement, vous naurez pas le changer : par dfaut, le fuseau horaire slectionn est celui utilis pendant linstallation.
27
28
Chapitre 2. Congurer des clients de passerelle

Ce chapitre vous montrera comment faire interagir diffrents systmes dopration avec une machine GNU/Linux, laquelle agit comme dispositif mandataire (masquerading) rgl en tant que passerelle vers le monde extrieur. Les tests de conguration sur les systmes dexploitation suivants ont tous t couronns de succs :

Apple Macintosh, avec MacTCP ou Open Transport ; Commodore Amiga, avec AmiTCP ou AS225-stack ; Postes de travail Digital VAX 3520 et 3100, avec UCX (pile TCP/IP pour VMS) ; Digital Alpha/AXP, avec Linux ; IBM AIX (sur un RS/6000), OS/2 (incluant Warp 3) et OS400 (sur un OS/400) ; Linux (videmment !) : nimporte quel noyau depuis 1.2.x ; Microsoft DOS, (avec le paquetage NCSA Telnet, prise en charge partielle de DOS Trumpet), Windows 3.1 (avec le paquetage Netmanage Chameleon) et Windows pour Workgroup 3.11 (avec le paquetage TCP/IP) ; Microsoft Windows 95, Windows 95 OSR2, Windows 98, Windows 98se ; Microsoft Windows NT 3.51, 4.0 et 2000 (poste de travail et serveur) ; Serveur Novell Netware 4.01, avec le service TCP/IP ; SCO OpenServer (v3.2.4.2 et 5) ; Sun Solaris 2.51, 2.6 et 7.
Passons travers la conguration de certains dentre eux. Si votre systme nest pas inclus dans la liste susmentionne, une faon simple de procder est de simplement signier au systme dexploitation quelle machine doit tre utilise en tant que passerelle . Notez quici, nous nous concentrerons sur le ct passerelle du rseau : donc, nous naborderons pas les problmes pouvant tre relis au DNS, au partage de chiers ou aux schmas de connexion. Ainsi, pour que ce chapitre vous soit utile, votre rseau local doit tre bien congur. Rfrez-vous la documentation de votre systme pour le rgler de faon adquate, en accordant une attention particulire aux rglages du DNS.
29
Chapitre 2. Congurer des clients de passerelle Pour la suite, nous assumons que vous travaillez avec un rseau de classe C : vos diffrents postes de travail ont tous une adresse IP ressemblant 192.168.0.x, votre masque de rseau (netmask) est rgl 255.255.255.0, et vous utilisez une interface de rseau eth0. Nous prenons galement pour acquis que ladresse IP de votre passerelle est rgle 192.168.0.1 et que tous vos postes de travail peuvent parler la passerelle (vous pouvez tester ceci avec la commande ping ou son quivalent, tout dpendant de lenvironnement que vous utilisez).
2.1. Machine Linux

2.1.1. Pour toutes les machines Linux
Nous devons diter un chier de conguration. La mthode est diffrente quand on utilise la conguration automatique du rseau. Conguration automatique du rseau Ouvrez le chier de conguration de linterface (par exemple /etc/ sysconfig/network-scripts/ifcfg-eth0) et vriez que le paramtre BOOTPROTO est rgl BOOTPROTO=dhcp. Conguration manuelle Vous devez diter /etc/sysconfig/network sur une machine Mandrakelinux (ce peut tre diffrent sur la vtre). Ouvrez ce chier avec votre diteur de texte habituel, puis ajoutez les lignes suivantes (en ajustant les valeurs si ncessaire) :
GATEWAYDEV=eth0 GATEWAY=192.168.0.1
Maintenant, relancez votre couche rseau avec la commande suivante en temps que root : service network restart dans un terminal.
2.1.2. Sur une machine Mandrakelinux

Pour rgler la conguration de faon automatique, vous navez qu entrer les bons paramtres laide de lassistant de conguration. Rfrez-vous au chapitre Conguration des connexions Internet du Guide de dmarrage pour 30
Chapitre 2. Congurer des clients de passerelle plus de renseignements. Lorsque vous congurez une connexion Internet lintrieur dun rseau local (G erer les connexions), il vous est propos de congurer le rseau en mode manuel ou automatique (DHCP) :
Figure 2-1. Nouvelle conguration du rseau local avec drakconnect Si votre rseau local abrite un serveur bootp ou DHCP, choisissez lentre DHCP, et votre conguration sera rgle. Si votre machine possde une adresse IP xe, entrez-la dans le premier champ aprs vous tre assur que lentre Statique est bien slectionn. Il faut galement remplir les champs Masque de sous-r eseau et Passerelle en fonction de votre conguration rseau. Une fois que vous avez appliqu les modications, votre rseau est correctement congur et prt tre utilis. La conguration est maintenant permanente.
31
2.2. Machine Windows XP

Dans cette section, nous prenons pour acquis que votre connexion rseau est congure. La capture dcran qui suit montre les trois tapes ncessaires pour obtenir le menu contextuel dsir.
Figure 2-2. Conguration de la passerelle sous Windows XP Voici les tapes suivre pour passer dune fentre lautre :
1. Sur le bureau, faites un clic droit sur licne My network places, et slectionnez Properties dans le menu contextuel ; 2. Dans la fentre Network Connections, faites la mme chose avec la connexion lie au rseau o se trouve la passerelle ; 3. Dans le prochain menu, choisissez le champ Internet Protocol (TCP/IP) et cliquez sur le bouton Properties ; 32
Chapitre 2. Congurer des clients de passerelle 4. Dans ce menu, vous pouvez slectionner Obtain an IP address automatically si votre rseau abrite un serveur DHCP. Ensuite, la passerelle devrait tre congure automatiquement. Sinon, choisissez Utiliser ladresse IP suivante et remplissez les champs appropris.
2.3. Machine Windows 95 ou Windows 98
Premirement, allez dans le panneau de contrle (D emarrer Param` etresPanneau de contr ole) et trouvez licne de rseau ci-haut. Doublecliquez dessus et un dialogue de conguration rseau apparatra.
33
Figure 2-3. Le dialogue de conguration rseau sous Windows 9x Dans la liste afche, vous devriez trouver le protocole TCP/IP. Sinon, vous devrez vous rfrer la documentation de votre systme pour savoir comment linstaller. Sil lest dj, slectionnez-le et cliquez sur Propri et es.
34
Figure 2-4. Le dialogue de conguration TCP/IP sous Windows 9x travers cette fentre, vous pourrez rgler les paramtres TCP/IP. Votre administrateur systme vous dira si vous avez une adresse IP statique ou si vous utilisez un DHCP (adresse IP automatique). Cliquez sur longlet Passerelle (gateway).
35
Figure 2-5. Le dialogue de conguration de la passerelle sous Windows 9x Le reste est un jeu denfants ! Remplissez les champs vides avec ladresse IP de votre passerelle (dans notre exemple, 192.168.0.1). Finalement, cliquez sur les boutons Ajouter et OK. videmment, vous devrez redmarrer votre machine. Une fois fait, vriez que vous pouvez rejoindre le reste du monde Internet.
36
2.4. Machine Windows NT ou Windows 2000

Pour congurer ces systmes dexploitation, suivez ces tapes trs simples : 1. Allez dans le menu Panneau de contr ole+R eseauProtocole.
Figure 2-6. Le dialogue de conguration de protocole sous Windows NT
2. Premirement, slectionnez le Protocole TCP/IP dans la liste de protocoles rseau. Ensuite, cliquez sur le bouton Propri et es, et choisissez la carte rseau connecte au rseau local (gure 2-7). Dans cet exemple, nous montrons une conguration faite avec un serveur DHCP : loption 37
Chapitre 2. Congurer des clients de passerelle Obtenir une adresse IP du serveur DHCP (Obtain an IP address from a DHCP server) est coche.
Figure 2-7. La panneau de logiciel rseau sous Windows NT Si tel est votre cas, vous navez qu conrmer tous ces choix et redmarrer votre machine. Sinon, suivez les prochaines tapes. 3. Si vous ne possdez pas de serveur DHCP, vous devez rgler les paramtres manuellement. Premirement, cochez loption Sp eciez une adresse IP (gure 2-8).
38
Figure 2-8. Le dialogue de conguration TCP/IP sous Windows NT Choisissez ladapteur appropri : ladresse IP devrait dj tre la bonne. Sinon, il faut la spcier. 4. Dans le champ Passerelle par d efaut, crivez 192.168.0.1 (soit ladresse de la machine Linux partageant la connexion dans notre exemple). 5. Finalement, vous devez spcier les serveurs DNS que vous utilisez dans longlet DNS, tel que montr dans la gure 2-9.
39
Figure 2-9. Le dialogue de conguration DNS sous Windows NT Vous devez galement fournir le nom dhte et le nom de domaine qui y est associ.
40
Sauf si vous savez exactement ce que vous faites, proc edez de fa con tr` es minutieuse lors des etapes qui suivent :
laissez le champ Conguration automatique du DHCP vide,
sauf si votre r eseau abrite un serveur DHCP ;

laissez egalement tous les champs Serveur WINS vides, sauf
si vous poss edez un ou plus dun serveur WINS ;

ne cochez pas le champ Activez le transfert dIP (Enable
IP Forwarding ) sauf si votre machine NT est utilis ee pour le routage et, encore une fois, que vous savez exactement ce que vous faites ;
d esactivez DNS for Windows Name Resolution et Activez
la consultation LMHOSTS (Enable LMHOSTS lookup ).
Cliquez sur OK dans les menus contextuels qui apparatront et redmarrez votre ordinateur pour tester la conguration.
2.5. Machine DOS utilisant le paquetage NCSA Telnet

Dans le rpertoire qui abrite le paquetage NCSA, vous trouverez un chier nomm config.tel. ditez-le avec votre diteur de texte prfr et ajoutez les lignes suivantes :
name=default host=le_nom_de_la_machine_linux hostip=192.168.0.1 gateway=1
Changez le_nom_de_la_machine_linux pour le nom de rel de votre passerelle Linux. Maintenant, sauvegardez le chier, essayez de faire un telnet sur votre machine Linux, puis sur une machine branche Internet.
2.6. Windows pour Workgroup 3.11

Le paquetage TCP/IP 32b devrait dj tre install. Allez dans le menu Principal+Conguration Windows+Conguration r eseauPilotes et choisissez Micro41
Chapitre 2. Congurer des clients de passerelle soft TCP/IP-32 3.11b dans la section Pilotes r eseau (Network Drivers), puis cliquez sur R eglage (Setup. Ensuite, la procdure est trs similaire celle dcrite dans la section Machine Windows NT ou Windows 2000, page 36.
2.7. Machine MacOS

2.7.1. MacOS X
La conguration consiste rgler les paramtres corrects de linterface Ethernet connect votre passerelle.
Figure 2-10. Le dock de MacOS X Avant tout, vous devez ouvrir la fentre Pr ef erences Syst` eme en cliquant sur son icne dans le dock systme.
42
Figure 2-11. Prfrences Systme de MacOS X
43
2.7.1.1. Avec une conguration automatique DHCP
Figure 2-12. Conguration automatique de laccs Internet pour MacOS X Dans la fentre qui apparat, slectionnez Built-In Ethernet ou linterface actuellement connecte la passerelle, puis choisissez Utilisez DHCP dans longlet TCP/IP comme dans gure 2-12. Puis, cliquez sur Appliquez maintenant, et si tout sest bien droul, le champ Routeur devrait afcher ladresse IP votre passerelle.
2.7.1.2. Pour une conguration manuelle

Si vous navez pas de DHCP sur votre rseau local, suivez cette procdure.
44
Figure 2-13. Conguration manuelle de laccs Internet pour MacOS X Dans la fentre qui apparat, remplissez les champs comme expliqu ici :

Conguration : Manuelle ; Adresse IP :192.168.100.34 (ladresse IP du client) ; Masque de sous-rseau (Subnet Mask) : 255.255.255.0 (le masque de sousrseau du rseau local) ; Adresse du routeur : 192.168.100.1 (ladresse de la passerelle) ; Serveurs DNS : 192.168.100.11 ; 192.168.100.14 (ladresse IP des serveurs DNS).
Ladresse du serveur de noms peut etre un serveur DNS interne ou celui de votre fournisseur dacc` es.
Une fois que tout est ni, cliquez sur Appliquez maintenant, et si tout sest bien droul, vous pourrez surfer sur Internet. 45
2.7.2. MacOS 8/9

Premirement, vous devez ouvrir le panneau de contrle TCP/IP tel quillustr dans le menu Apple.
Figure 2-14. Accder au panneau de contrle TCP/IP 46
2.7.2.1. Avec la conguration automatique du DHCP

Si vous congurez votre pare-feu pour quil agisse en tant que serveur DHCP, suivez cette procdure la lettre. Sinon, allez la section suivante.
Figure 2-15. Conguration automatique de laccs Internet pour MacOS Dans le menu contextuel qui apparat, remplissez les champs comme ceci :
Connect via: Ethernet ; Congure : Using DHCP server (soit Utiliser un serveur DHCP ; DHCP Client ID (soit Identication du client DHCP) : 192.168.0.1.
47
2.7.2.2. Conguration manuelle

Si votre rseau local nabrite pas de serveur DHCP, suivez la procdure cibas :
Figure 2-16. Conguration manuelle de laccs Internet pour MacOS Dans le menu contextuel, remplissez les champs ainsi :
Connect via : Ethernet ; Congure : Manuellement ; Adresse IP : 192.168.0.248 ; Masque de sous-rseau (Subnet Mask) : 255.255.255.0 ; Adresse du routeur : 192.168.0.1 ;
48

Adresses des serveurs de noms de domaine : 192.168.0.10 et 192.168.0.11 ; Nom de domaine de recherche : myco.com.
Les adresses des serveurs de noms de domaine peuvent etre celles des DNS internes ou celles des serveurs de votre fournisseur dacc` es ` a Internet.
2.7.3. MacTCP
1. Dans le Panneau de contr ole MacTCP, choisissez le pilote de rseau Ethernet (attention, ce nest pas EtherTalk) puis cliquez sur le bouton Encore... (More...). 2. Dans le champ Adresse de la passerelle, entrez ladresse de la machine Linux qui partage la connexion (dans notre exemple, 192.168.0.1). 3. Cliquez sur OK pour sauvegarder les rglages. Peut-tre aurez-vous redmarrer votre systme pour tester ces rglages.
2.8. Machine OS/2 Warp

Le protocole TCP/IP devrait dj tre install. Sinon, installez-le. 1. Allez dans Programmes, puis TCP/IP (LAN), et R eglages TCP/IP. 2. Dans la rubrique Routing, choisissez Ajouter. Pour le Type, slectionnez D efaut. 3. Remplissez le champ Adresse du routeur avec ladresse de la machine Linux qui partage la connexion Internet (dans notre exemple, 192.168.0.1). 4. Maintenant, fermez le panneau de contrle TCP/IP, rpondez Oui toutes les questions, et ramorcez votre machine an de tester les rglages.
49
50
Introduction ` a la conguration des services

Cette partie dtaillera les services les plus communs dont un administrateur systme pourrait avoir besoin en ce qui a trait lutilisation de rseaux externe (Internet) et interne (intranet). Nous dtaillerons les paquetages que les entreprises de taille moyenne sont susceptibles dutiliser. Tous les services seront congurs avec loutil Webmin ( lexception de Serveur Web Internet/intranet, page 63, et Le serveur Kolab, page 103).
1. Introduction ` a Webmin
Loutil Webmin permet ladministration distante de votre machine en utilisant uniquement un navigateur qui prend en charge le protocole HTTPS (HTTP sur SSL). Webmin facilite ladministration distance, tout en favorisant la scurit des oprations. Webmin est idal pour les administrateurs systme, puisque toutes les platesformes importantes possdent des navigateurs Web qui correspondent ou excdent les pr-requis susmentionns. De plus, Webmin abrite son propre serveur Web ; il na pas besoin de logiciel tiers (comme un serveur Web) pour fonctionner. Tout est inclus. Larchitecture de Webmin est modulaire, ce qui vous permet dcrire vos propres modules de conguration si ncessaire. Les modules desservant les services dcrits dans cette section, ainsi que dautres, sont tous inclus par dfaut dans Webmin. Ce dernier peut congurer presque tous les aspects de votre systme.
1.1. Acc eder et utiliser linterface

Premirement, assurez-vous que le paquetage webmin est install. Vous devriez aussi vous assurer quil fonctionne travers lapplication drakxservices. Une fois ces oprations compltes, vous serez en mesure dy accder travers un navigateur, localement ou sur une autre machine du mme rseau. Pointez votre navigateur vers https://NomDuServeurOuIP:10000 pour accder linterface. Acceptez le certicat et lcran de connexion apparatra. Entrez lidentiant root ainsi que son mot de passe, puis cliquez sur Login an daccder lcran principal de Webmin.
Figure 30. Linterface de Webmin
An dobtenir linterface en fran cais, cliquez sur le bouton Webmin Conguration puis sur Languages. Depuis la liste d eroulante, choisissez French (FR). Malheureusement, certaines interfaces de module ne sont pas compl` etement traduites. Donc, vous y retrouverez certains champs ou boutons en anglais.
Linterface prsente sept sections ou onglets, chacun dentre eux donnant accs des modules ddis un aspect particulier de la conguration dune machine. titre dexercice, vous devriez cliquer sur loption Contr ole dacc` es par adresses IP du module Conguration de Webmin.
Figure 31. Contrle daccs Veuillez noter que si votre serveur est accessible depuis Internet, cette tape est obligatoire si vous voulez bien scuriser votre systme. Bien entendu, rien 52
ne vous empche dutiliser un pare-feu travers DrakFirewall, ou Webmin (R eseau, Linux Firewall). Choisissez loption Autoriser uniquement depuis les adresses list ees. Puis, dans le champ texte, listez toutes les machines ou rseaux qui auront la permission de se connecter Webmin. Pour une scurit optimise, cochez galement loption Resolve hostnames on every request.
1.2. Comment obtenir de laide

Il est possible daccder de laide en ligne pour la plupart des modules par lentremise dhyperliens. Lorsque vous cliquerez sur ceux-ci, une autre fentre apparatra et abritera de laide concernant le paramtre choisi. Elle peut vous donner le sens, la syntaxe utiliser ou mme des exemples, tout dpendant du module. Notez galement que la plupart des modules propose un lien Chercher dans la documentation dans le coin suprieur droit de votre cran. En cliquant sur celui-ci, vous lancerez une recherche sur le nom de ce module dans la documentation locale et sur Google (http://www.google.org). Ainsi, vous avez un accs instantan aux documents pertinents au module que vous voulez congurer. Le site Web de Webmin (http://www.webmin.com/index2.html) propose galement des ressources varies, incluant un lien vers le trs bon livre The Book of Webmin (http://www.swelltech.com/support/documentation. html) crit par Joe Cooper. Finalement, la n de chaque chapitre discutant dun service, nous avons inclus une liste de ressources pouvant vous intresser.
2. Services
Les services couverts dans cette partie sont :
Serveur de noms de domaine (DNS ou Domain Name System). Nous discuterons du serveur de noms de domaine BIND dans le chapitre BIND : serveur DNS, page 55.
53
Hbergement de sites Web Internet/intranet (HTTP). Nous discuterons du serveur Web Apache. Voyez le chapitre Serveur Web Internet/intranet, page 63 ;
Webmin etant incapable de g erer les multiples chiers de conguration de Apache, nous parlerons de la conguration manuelle au lieu de linterface de Webmin.
Nous documenterons la partie serveur de la solution de travail collaboratif Kroupware dans Le serveur Kolab, page 103. Le chapitre (Le serveur de courrier Postx, page 75) traitant de la gestion de courrier (SMTP) se concentre sur lenvoi de courrier lectronique par lentremise du serveur de courrier Postx. Nous parlerons des services de remise de courrier (POP et IMAP) avec le serveur de courrier IMAP-2000 (voir Serveurs de remise de courrier : POP et IMAP, page 83). le partage de chiers et dimprimantes (NFS, SMB et FTP) est le sujet principal du chapitre suivant (Partage de ressources, page 87). Nous discuterons de lutilisation du serveur de bases de donnes MySQL dans Serveur de bases de donnes MySQL, page 119. La gestion dcentralise des utilisateurs et lhbergement de rpertoires personnels est le sujet principal du chapitre Client et serveur NIS, page 127.
Veuillez noter que tous les outils utiliss pour les services susmentionns sont des logiciels libres et sont dj inclus dans votre distribution Mandrakelinux.
54
Chapitre 3. BIND : serveur DNS

Le module Serveur de Noms de Domaine Bind permet la gestion des noms de domaine, des adresses DNS et des options de BIND 8.x et 9.x. BIND (Berkeley Internet Name Domain) implmente les composantes majeures du protocole DNS (Domain Name System) et constitue une rfrence ouverte et libre dans ce domaine. Un serveur DNS permet dassocier un nom une adresse IP. Par exemple : www.mandrakesoft.com ( un nom ) est associ 63.209.80.236 ( une adresse IP). BIND est particulirement utile pour effectuer des congurations simples, malgr quelques diffrences entre les versions 8.x et 9.x. Vous devrez donc vous mer particulirement du module Webmin puisque les fonctionnalits de BIND 9.x ne sont pas encore toutes prises en charge. En consquence, si vous tentez dutiliser les options avances, vous devrez surveiller les chiers journaux (log les) an de vous assurer que BIND fonctionne correctement.
3.1. Installation
Premirement, vous devez installer le paquetage RPM contenant le serveur DNS. Nous utiliserons BIND. Voici les paquetages installer : bind, bindutils, et caching-nameserver. Pour pouvoir utiliser le module Webmin Serveur de Noms de Domaine Bind, vous devrez slectionner la catgorie Serveurs, puis cliquer sur le bouton Serveur de Noms de Domaine Bind (avec le 8 dans licne et non le 4.)
3.2. Exemple de conguration

Notez qu travers le caching-nameserver, il y a deux zones DNS existantes (Zone existantes) ; la Root zone (soit la zone primaire) et la zone matre, 127.0.0. La premire est utilise par le serveur DNS pour contacter le serveur central an de rsoudre les noms de domaine qui lui sont externes. moins que votre serveur DNS ne soit utilis dans un rseau interne exclusivement sans accs Internet, ou si vous relayez les requtes vers un autre serveur, il ne faut pas enlever ces informations.
55
3.2.1. Conguration du DNS

Pour pouvoir utiliser chaque service rseau adquatement, vous devez crer une zone matre (master zone) qui dcrira votre rseau local. Nous nous concentrerons ici sur les Zones existantes. Notez que la Root zone est dj cre. Master 127.0.0 dsigne les rseaux en boucle locale (loopback network). Nous voulons crer la zone primaire qui dsignera les postes sur le rseau interne. Ces deux zones initiales sont requises pour le fonctionnement normal du serveur DNS, il ne faut pas les modier. Notre tche est maintenant de crer la zone primaire (Root zone) qui dcrira toutes les machines de notre rseau local. Choisissez Crer une nouvelle zone primaire et compltez la page, tel quillustr dans la gure 3-1.
Figure 3-1. Crer une zone primaire Une nouvelle page safchera avec de nombreuses icnes : ne vous inquitez pas trop, la plupart peuvent tre laisses tel quel si vous navez pas de congurations complexes implanter. Vous pourrez y ajouter tous les noms de vos machines locales, malgr le fait que vous devriez crer la partie inverse (reverse) de votre zone matre en premier lieu. En fait, une zone DNS est compose de deux parties ; la premire, dite Normale, pour les conversions nomsvers-adresses (forward) et lautre, dite Inverse, adresses-vers-noms (reverse). Puis, slectionnez Retourner ` a la liste de zones et choisissez Cr eer une nouvelle zone primaire, mais cette fois, choisissez une zone Inverse au lieu de Normale. 56
Chapitre 3. BIND : serveur DNS Plutt que dcrire le nom de domaine, vous spcierez la classe rseau. Par exemple, pour la plage dadresses 192.168.1.0/24, crivez 192.168.1.
Figure 3-2. Crer une zone matre inverse (Reverse Master Zone)
3.2.2. Enregistrer les postes de votre r eseau

Cette tape est la seule qui doive tre reproduite chaque ajout de machine sur le rseau, tous les autres paramtres sont congurs une fois seulement, tant que votre rseau ne change pas et que vous najoutez pas un second serveur DNS. Retournez ` a la liste de zones et slectionnez une des nouvelle zones (selon notre exemple, elles sont nommes 192.168.1 ou mondomaine.test). Si vous choisissez mondomaine.test, cliquez sur Adresse et vous pouvez ajouter autant de noms que votre plage dadresses IP le permet (254 dans notre exemple). Notez que loption Mettre ` a jour ladresse inverse ? est slectionne automatiquement. Avec cette option, la partie inverse de votre adresse est congure par dfaut.
57
Figure 3-3. Assigner un nom un poste de travail
3.2.3. D emarrage du service

Dans notre exemple, nous avons cr un DNS trs simple. Pour que la nouvelle conguration soit prise en compte, revenez la liste de zones et cliquez sur Start Name Server
Figure 3-4. Dmarrage de BIND Si le bouton nest pas remplac par un autre indiquant Appliquer les changements, le serveur nest pas actif cause dune erreur de conguration. Dans ce cas, nous vous conseillons de lire la prochaine section.
Figure 3-5. Faire des modications la conguration de BIND
3.2.4. Conguration des postes client

Pour pouvoir rsoudre les adresses Internet de votre rseau local, vous devez congurer les postes client du rseau pour quils aient accs au DNS. Retournez laccueil de Webmin, et cliquez sur Mat eriel, puis sur Conguration 58
Chapitre 3. BIND : serveur DNS R eseau. Choisissez ensuite Client DNS et tapez ladresse IP de votre serveur DNS si vous tes sur un poste client, ou 127.0.0.1 si vous tes sur le serveur.
Figure 3-6. Conguration des postes client
3.3. Conguration avanc ee

3.3.1. R esolution de probl` emes
Si le service nest pas dmarr, consultez le chier /var/log/messages pour identier les informations vous permettant de rsoudre votre problme. Si vous ne voyez pas de message derreur signicatif, vous pouvez utiliser les programmes named-checkconf et named-checkzone pour vrier les paramtres de votre conguration. Dans le paquetage bind-utils, vous avez accs une gamme doutils vous permettant de tester votre conguration DNS (nslookup ou dig). Pour les utiliser, ajoutez ladresse IP de votre serveur DNS, prcd du mot nameserver dans votre chier /etc/resolv.conf.
3.3.2. La commande rndc

La conguration de BIND nest pas encore complte puisque rndc nest pas congur pour oprer sur lensemble de votre rseau. rndc est le logiciel contrlant le serveur de noms. Vous pouvez, par exemple, avoir des statistiques en utilisant rndc stats, ou obtenir un rapport dtat avec rndc status. Pour en savoir plus propos de cette commande puissante, rfrez-vous la page de manuel :rndc. 59
Chapitre 3. BIND : serveur DNS rndc communique avec le serveur de noms par une connexion TCP, en envoyant des commandes signes numriquement ; vous devriez changer la cl par dfaut en utilisant /usr/sbin/new_key.pl. Si vous avez install le paquetage caching-nameserver, une conguration par dfaut de rndc est installe et vous pouvez lutiliser. Si non, vous devez ajouter la cl, qui se trouve dans le chier /etc/rndc.conf, au chier /etc/named.conf. La dclaration de contrle tablit les canaux de contrle que les administrateurs systme peuvent utiliser pour affecter le fonctionnement du serveur de noms local. Ces canaux de contrle sont utiliss par rndc pour envoyer des commandes et recevoir les informations non-relies au DNS depuis un serveur de noms. Pour les modier, vous ne devez pas slectionner Control Interface Options. En fait, Webmin enlve les options de cl, qui se trouve dans les dclarations de contrle. Modiez plutt le chier /etc/named.conf avec un diteur de texte. Voici un exemple dun rndc local-only avec une cl :
// secret must be the same as in /etc/rndc.conf key "key" { algorithm hmac-md5; secret "cOb0cEDYZIQKNXDjnRJLmcTuZiXADGfVBahwsAnOd0yJbTmzPeHWO0LTTeCt"; }; controls { inet 127.0.0.1 allow { 127.0.0.1; } keys { "key"; }; };
Pour des raisons de scurit, le serveur BIND de Mandrakelinux tourne sous un nom dutilisateur aux privilges limits. Si vous crez un serveur DNS secondaire sur votre rseau, BIND devra peut-tre crire ses propres chiers partir de la zone DNS matre. Cest pourquoi il est recommand de modier le propritaire des chiers zones crs par Webmin. Voici comme faire : chown named -R /var/named/.
60
3.3.3. Documentation
Si vous voulez en faire plus avec BIND, il est fortement recommand de lire BIND 9 Administrator Reference Manual (en anglais seulement), disponible au format PDF sur le site ofciel de BIND. Vous trouverez galement plus de renseignements au format HTML en cliquant dans le coin suprieur droit des pages Conguration R eseau ou Serveur de Noms de Domaine Bind de Webmin. En bas de ces pages vous trouverez bon nombre de liens Internet intressants. Notez que le Manuel de rfrence est disponible au format HTML en cliquant sur bind-9.2.0/html/Bv9ARM.html.
Figure 3-7. Le guide BIND 9 Administrator Reference Manual par Webmin
3.3.4. Quelques options suppl ementaires

Pour toutes les options qui ne sont pas abordes dans ce document, nous vous recommandons de conserver les congurations par dfaut, moins de vraiment connatre les consquences de votre modication. chaque modication, cliquez sur Appliquer les changements pour vrier que la conguration du serveur ne soit pas casse par votre changement.
61
3.3.4.1. Options globales du serveur
Journalisation et erreurs :vous permet dajouter des paramtres suivre ou des catgories vous permettant davoir les chiers journaux et les messages derreurs quil vous faut ; Liste de contr ole dacc` es : la dclaration ACL assigne un nom symbolique une liste dadresses (les adresse IP sont spares par des espaces ; Redirection et transferts : lapplication de redirection peut tre utilise pour crer une vaste mmoire tampon sur plusieurs serveurs, rduisant les requtes externes et les besoins en bande passante. Cette option peut galement tre utilise pour permettre des requtes de la part de serveurs nayant pas accs Internet. La redirection arrive exclusivement lorsque la requte ne concerne quun domaine pour lequel le serveur nest pas autoritaire (authoritative), ou lorsque la rponse nest pas dans sa mmoire tampon.
3.3.4.2. Cr eer une nouvelle vue (New View)

La fonction View Statement est une nouvelle fonctionnalit trs intressante de BIND 9 qui permet un serveur de noms de rpondre une requte DNS, selon la source de la demande. Cette fonction est particulirement pertinente pour limplantation dune conguration de serveur DNS partage sur de nombreux serveurs.
62
Chapitre 4. Serveur Web Internet/intranet

Apache permet dhberger des sites Web et de servir des pages Web des navigateurs Internet tels que Mozilla, netscape ou MS Internet Explorer. Apache peut servir des sites statiques ou dynamiques laide de technologies telles que PHP, Perl, SSL, etc. Dans ce chapitre, nous parlerons de linstallation et de la conguration des modules Apache les plus courants. La version Mandrakelinux dApache sappelle ADVX, abrviation de Advanced Extranet Server. Il sagit dun serveur Web libre extensible bas sur Apache. Tirant parti dune approche compltement modulaire, les administrateurs systme peuvent crer un extranet ou un intranet comportant uniquement les fonctions dsires, ou avec toute la exibilit ncessaire aux besoins des diffrents dpartements dune mme organisation.
Il est d econseill e dutiliser Webmin pour congurer votre serveur Web, car ` a cette heure, cet outil dadministration ne sait pas g erer les chiers de conguration multiples.
4.1. Versions dApache

La premire tape avant de crer votre serveur Web est de dcider quelle version dApache convient vos besoins. Les choix suivants soffrent vous :
Apache 2.0 : Cette nouvelle version dApache est la plus puissante, et peut tre tendue grce plus de 100 modules diffrents. Cest la version standard sous Mandrakelinux, et est elle requise si vous souhaitez installer des applications Web telles que PHP Groupware ou le WebMail Horde/IMP. Pour installer ce paquetage, lancer urpmi apache2. Apache 1.3 : cette version est utilise depuis de nombreuses annes, et est la plus teste. Nanmoins, si vous avez besoin dutiliser LDAP, Radius, Ruby, Python ou dautres fonctions volues, vous naurez dautre choix que dutiliser la version 2.0. Sinon, si vos besoins sont basiques, si vous tes conservateur, ou si vous souhaitez simplement mettre jour un serveur Web existant, utilisez la version 1.3. pour installer ce paquetage, lancez urpmi apache.
63
Apache 1.3 + mod_perl : si votre site Web repose essentiellement sur des modules Perl tels que Apache::ASP, HTML::Mason, HTML::embperl, installez cette version. Toutefois, elle requiert plus de ressources systme car linterprteur Perl est intgr. Chaque requte, que ce soit pour des images ou des pages statiques, demandera un peu plus de mmoire. Vous pouvez nanmoins installer la fois mod perl et la version standard. Dans ce cas, mod perl sexcutera en mode mandataire : toutes les pages statiques et les images seront servies avec la version standard dApache, alors que les chiers du rpertoire /perl/ seront servis par mod perl (consulter le site Web de mod_perl (http://perl.apache.org/docs/1.0/guide/ strategy.html#Adding_a_Proxy_Server_in_http_Accelerator_Mode)). Pour installer le paquetage mod perl, lancez urpmi apache-mod_perl.
Si vous souhaitez utiliser la fois Apache 1.3 et Apache 2.0, pour des besoins de dveloppement ou de test, vous pouvez installer les deux et facilement passer de lun lautre. Une fois que les deux versions sont installes, la version 2.0 sera dmarre par dfaut. En utilisant la commande advxrun1.3, la version 1.3 sera lance. Utilisez alors la commande advxrun2.0 pour revenir la version 2.0.
4.1.1. D emarrer et arr eter Apache

En tant que root, utilisez les commandes service httpd start (dmarrer) ou service httpd stop (arrter). Pour redmarrer Apache en une seule commande, utilisez service httpd restart.
4.1.2. Cr eer un compte pour le webmestre et ajouter du contenu

Vous devriez crer un compte webmaster pour viter davoir diter ou copier des chiers en tant que super-utilisateur (root). Tapez les commandes suivantes :
# useradd -d /var/www webmaster # chown webmaster /var/www/html # passwd webmaster [tapez_le_mot_de_passe_du_webmaster_et_tapez_Entr ee]
De cette faon, vous pourrez partager le mot de passe webmaster avec un autre membre de votre organisation, qui pourra mettre jour directement les chiers en utilisant le compte webmaster. 64
Chapitre 4. Serveur Web Internet/intranet La racine du serveur se trouve dans /var/www/html/, et tous les sousrpertoire sous celui-ci. Donc, si vous voulez avoir, par exemple, www. masociete.com/apropos, crez un rpertoire /var/www/html/apropos/ et placez-y vos chiers HTML. Lorsque vous naviguez sur un site Web, si vous ne spciez pas un chier HTML ou autre explicitement dans lURL, la page par dfaut est charge. La page par dfaut de tout rpertoire est par ordre de priorit : 1. index.html pour des pages normales (non-dynamiques) ; 2. index.php pour des pages dynamiques PHP ; 3. index.shtml pour les pages semi-dynamiques inclusion ct serveur (server-side includes) ; 4. index.htm, ou Default.htm, pour des raisons de compatibilit avec FrontPage et autres outils de publication non-standard.
4.2. Modules Apache

Une fois que vous avez dcid quelle version dApache est la plus approprie pour vos besoins, vous pouvez installer des fonctions supplmentaires grce aux modules. Seul un nombre limit de modules est disponible pour la srie 1.3, mais la srie 2.0 propose plus de cent modules pr-compils, disponibles soit sur les CD dinstallation standard de Mandrakelinux, soit dans la section contribs. Les modules PHP et SSL sont si importants que nous leur ddierons des sections spares. Parmi les autres modules, nous pouvons citer les modules pour lauthentication (LDAP, Radius, MySQL), DAV (Direct Authoring and Versioning, soit dition directe et gestion des versions :), compression des pages Web (mod gzip et apache2-mod deate), anti-virus et anti-spam, gestion tendue des langages de programmation (Perl, Python, Ruby, TCL), etc. Linstallation des modules est triviale. Il suft de remplacer <module> cidessous par le nom du module souhait :

pour la srie 1.3, urpmi mod_<module>; pour la srie 2.0, urpmi apache2-mod_<module>. 65
4.3. Installer et utiliser PHP

Installez le module PHP. Puis pour tester votre installation, tapez cette commande en tant que root:
# echo "<?php phpinfo(); ?>" > /var/www/html/test.php
et pointez votre navigateur sur http://localhost/test.php Vous verrez une page prsentant toutes les options PHP et les fonctions intgres telles que ctype, ftp, openssl, posix, session, zlib, etc. Il existe une plthore de modules PHP, tels que ldap, mysql, pgsql, gd, xml, etc. De nombreuses applications Web ncessitent certains de ces modules additionnels. Pour installer ces modules, utilisez la commande urpmi php-<module>. Par exemple, lapplication WebMail Horde/IMP a besoin des fonctions IMAP et LDAP. Donc, vous devriez utiliser urpmi php-imap php-ldap. Lorsque vous installez un module PHP, vous devez redmarrer votre serveur. Vous pourrez ensuite vrier votre page de test PHP pour voir si le module a t correctement install. Pour plus de renseignements au sujet de PHP, visitez le site Web de PHP (http://www.php.net).
Vous pouvez chercher dans le manuel PHP en ligne simplement en ajoutant le nom du module ` a lURL. Par exemple, pour consulter la documentation de la fonction phpinfo, essayez la section phpinfo du site PHP (http://php.net/phpinfo).
4.4. Installer et utiliser SSL

SSL (Secure Sockets Layer, soit couche de connexion scurise ) fournit des services de communications chiffres, scurisant laccs votre site Web. Vous pouvez activer SSL simplement en installant le module SSL. Un point important noter est que vous aurez besoin dun certicat SSL . Lorsque vous installez le paquetage SSL, un certicat SSL ctif est gnr dans le rpertoire /etc/ssl/apache/. Ce certicat permettra un chiffrement sr, mais le navigateur se plaindra quil est incapable de vrier lidentit de votre site en tant que site de conance. Pour un intranet, ce nest pas un 66
Chapitre 4. Serveur Web Internet/intranet problme car il suft de demander aux utilisateurs de ne pas tenir compte du message davertissement et daccepter le certicat. Mais pour un site public de commerce lectronique, vos clients seront sans nul doute drangs par ce message. Quel est lintrt dun certicat SSL ? Pour un site Web de commerce lectronique, vous avez besoin de deux choses : 1. Lassurance que personne ne peut intercepter un numro de carte de crdit. Pour cela, mme un certicat SSL ctif sufra. Aprs que lutilisateur ait accept la cl, toutes les communications entre le serveur et le navigateur seront cryptes. 2. Lassurance que ceux qui grent un site Web en particulier existent vraiment, bref quelles sont rellement celles quelles prtendent tre. Sinon, quelquun pourrait rserver un nom de domaine qui ressemble un autre, comme www.mandrakestore.com, prendre une fausse commande, et senfuir avec largent. Pour surmonter ces problmes, des organisations de conance appeles Autorits de Certication (Certication Authorities, CA) signeront votre certicat SSL aprs avoir vri votre identit. Certains des CA les plus connues sont Thawte, Verisign, Equifax, GeoTrust, RSA Data Security et Visa. Pour que ces socits signent votre certicat, vous devrez leur fournir une preuve de votre identit. Pour un commerce, ils auront besoin de votre certicat de socit, preuve que vous possdez le nom de domaine, etc. Une fois le certicat sign par le CA, installez-le la place de votre certicat ctif, redmarrez le serveur, et tous ceux qui se connecteront en https ne verront plus davertissement et un cadenas , ou une cl safchera dans la barre dtat de leur navigateur, indiquant que le site est sr. propos du choix de lautorit de certication, Thawte reconnat pleinement Apache, et fournit toute linformation ncessaire, ainsi que des livre blancs gratuits. Pour plus dinformation propos de SSL, consultez le site Web de modssl (http://www.modssl.org/docs/2.8/).
67
4.5. Congurer Apache

An de faciliter linstallation des diffrents modules, la version ADVX Mandrakelinux dApache dcoupe les chiers de conguration en plusieurs parties. Les chiers de conguration sont tous situs dans le rpertoire /etc/httpd/. Vous y trouverez :

le chier de conguration spcique chaque version ; le chier de conguration commun ; les chiers des htes virtuels ; Les types mime ; le mcanisme de dtection des types de chiers ; les chiers spciques aux modules.
Nous dtaillerons chaque chier de conguration, section par section.
4.5.1. Le chier de conguration sp ecique ` a chaque version

Le chier de conguration principal dpend de la version :

pour la srie 1.3, il sappelle httpd.conf ; pour Apache + Mod_perl, il sappelle httpd-perl.conf ; pour la srie 2.0, il sappelle httpd2.conf.
Dans ce chier, une seule directive de conguration est importante : ServerName. Vous devriez supprimer le commentaire et remplacer localhost par le nom dhte rel de votre serveur. Vous ne pouvez pas en inventer un, il doit avoir une entre de DNS valide. Si vous tes sur un lien ADSL ou autre, avec une adresse IP dynamique, vous pourrez utiliser dyndns, noip, ou tout autre service similaire pour fournir un DNS votre serveur. Si vous comptez utiliser votre serveur uniquement sur un rseau priv ou sur un intranet, vous pouvez utiliser une adresse IP au lieu dun nom dhte. Vous ne devriez pas modier quoique ce soit dautre dans la conguration moins que vous n sachiez vraiment ce que vous faites. En particulier, si vous changez la directive DocumentRoot, vous pourriez avoir des problmes 68
Chapitre 4. Serveur Web Internet/intranet lorsque vous installerez des applications Web puisquelles sont congures pour sinstaller dans /var/www/html/. Si vous voulez afner les performances de votre serveur Web, vous pouvez consulter les directives StartServers et MaxClients. Les sites Web chargs peuvent bncier de valeurs plus leves, ce qui demandera plus de mmoire, mais permettra de servir plus de requtes en mme temps.
4.5.2. Le chier de conguration commun

commonhttpd.conf est utilis par toutes les versions. Il contient les permissions pour les diffrents rpertoires Web, les formats de journaux, les alias, les associations des icnes et des chiers, le choix de la langue, les documents derreur, etc.
Si vous lisez de la documentation qui vous demande de modier le chier httpd.conf, vous devriez editer commonhttpd.conf ` a la place.
4.5.3. Les chiers des h otes virtuels

Si vous ouvrez httpd.conf, httpd2.conf, ou httpd-perl.conf, vous remarquerez quils chargent conf/vhosts/Vhosts.conf, et que deux autres lignes sont commentes, avec les directives DynamicVhosts et VirtualHomePages. Si vous ouvrez le premier chier, /etc/httpd/conf/vhosts/Vhosts.conf, vous verrez deux exemples dhtes virtuels. Le premier dentre eux sappuie sur une IP, le second est un hte virtuel nomm (Named VirtualHosts). Le premier exemple est utilis lorsque vous avez plusieurs adresses IP, comme une adresse interne sur un intranet et une autre, externe, pour un site Web sur Internet. Pour chaque IP, vous pouvez alors spcier le DocumentRoot (o les chiers HTML sont placs), le nom du serveur (ServerName), et un chier de journalisation (log) spcique. Le second exemple est utilis pour hberger plusieurs sites Web sur une seule adresse IP. Dans ce cas, vous spciez ladresse IP que vous souhaitez utiliser comme hte virtuel nomm (Named Virtual Host), et vous pouvez utiliser plusieurs htes virtuels avec la mme adresse IP, mais avec un nom de serveur diffrent. 69
Chapitre 4. Serveur Web Internet/intranet Par exemple:

NameVirtualHost 192.168.2.1 <VirtualHost 192.168.2.1> ServerName compta.masociete.com ServerPath /compta DocumentRoot /home/compta </VirtualHost> <VirtualHost 192.168.2.1> ServerName ventes.masociete.com ServerPath /ventes DocumentRoot /home/ventes </VirtualHost>
Lorsque le navigateur demande compta.masociete.com, le serveur se place dans le rpertoire /home/compta/ et sert les pages HTML qui sy trouvent. Lorsque le navigateur demande ventes.masociete.com, le serveur se place dans le rpertoire /home/ventes/. La directive ServerPath est utilise pour des raisons de compatibilit avec les anciens navigateurs, comme Netscape 2.0 ou Internet Explorer 3.0, qui ne fonctionnent pas avec les noms dhtes virtuels. Dans ce cas, les utilisateurs de ces navigateurs pourront utiliser www.masociete.com/ventes et pourront tout de mme accder au site Web. Le chier DynamicVhosts.conf est utile pour hberger des socits ou organisations qui ont de nombreux sites Web, telles que les universits. Dans ce cas, placez chaque site Web sous le mme rpertoire, et Apache activera automatiquement les noms de domaine. Par exemple, vous pourriez avoir /www/hosts/www.company1.com, /www/hosts/www.company2.com, etc. Le chier VirtualHomePages.conf est alors utilis pour crer automatiquement les sites Web user1.company.com, user2.company.com, user3. company.com, etc. Cela requiert que votre nom de domaine soit dni avec un caractre de remplacement (joker ou wildcard) de faon ce que *.company.com aille vers le serveur Web Apache.
4.5.4. Les types Mime

Le chier /etc/httpd/conf/apache-mime.types associe une application externe responsable pour louverture dun chier une extension de chier donne. Par exemple, si vous essayez douvrir un chier Microsoft Excel, ( .xls ), il dira au navigateur dutiliser lapplication par dfaut pour le type MIME application/msexcel. 70
4.5.5. Le m ecanisme de d etection du type de chier

Parfois, les chiers nont pas dextension. Par exemple, que doit faire le serveur avec un chier nomm Prsentation des ventes 2004 de la socit ? Le chier /etc/httpd/conf/magic propose des astuces pour dtecter le type de chier. Si le chier commence par un signe pourcentage et un point dexclamation, il sagit dun chier, mais sil commence avec le mot RIFF , il sagit dun chier Microsoft .wav. Le navigateur pourra ainsi lancer lapplication correspondante pour ouvrir ce type de chier.
4.5.6. Les chiers de conguration des modules

Chaque module Apache 2.0 place un chier de conguration dans le rpertoire /etc/httpd/conf.d/. Chaque nom de chier commence par un chiffre, qui dtermine lordre dans lequel le chier sera insr dans le chier de conguration dApache. Par exemple, la conguration SSL se trouve dans le chier 40_mod_ssl.conf, tandis que la conguration PHP est dans le chier 70_mod_php.conf, ce qui signie que le conguration SSL sera insre avant celle de PHP. Ces chiers sont inclus de telle sorte que chaque module ait son propre chier de conguration par dfaut. Toutefois, certaines lignes peuvent tre commentes (pour des raisons de scurit) dans certains chiers de conguration, comme 30_mod_proxy.conf. Dautres modules peuvent ncessiter une conguration manuelle an dtre utilis correctement.
4.6. Alias
Si la structure de votre site Web est complexe, inclut de nombreux sousrpertoires imbriqus, et que vous souhaitez faciliter la navigation, vous pouvez crer des alias. Par exemple si vous avez une adresse comme www.masociete.com/ventes/ paulmartin/projets/2003/automne/catalogue, vous pouvez utiliser un alias plus simple comme www.masociete.com/catalogue. Pour ce faire, ajouter la ligne suivante commonhttpd.conf:
Alias /catalogue/ /var/www/html/paulmartin/projets/2003/automne/catalogue/
71
4.7. Authentication des utilisateurs

Si vous souhaitez que seulement certains utilisateurs puissent accder une page Web donne, vous pouvez utiliser le mcanisme .htaccess. Supposons quune section de votre site Web (/var/www/html/prive) comporte des renseignements condentiels que seuls vos employs devraient pouvoir consulter. Vous pouvez protger cette section laide dun mot de passe. Vous devez crer un chier .htaccess dans /var/www/html/prive, contenant les directives suivantes :
AuthName "Acc` es restreint" AuthType Basic AuthUserFile /var/www/auth/test1.pwd require valid-user
Lorsque les utilisateurs essaieront daccder ce rpertoire, une fentre leur demandera lidentiant et le mot de passe pour y accder. Vous devez crer ce chier de mots de passe. Commencez par crer un rpertoire /var/www/auth , ou nimporte o ailleurs sur votre serveur, mais en dehors de la racine de votre serveur (par exemple pas dans /var/www/html/auth). Vous devez ensuite crer ce chier (touch /var/www/auth/test1.pwd) puis ajouter un utilisateur. Dans cet exemple, nous crerons un utilisateur employe , avec le mot de passe test .
htpasswd /var/www/auth/test1.pwd employe
Le programme vous demandera alors le mot de passe, et comme vous ne voyez pas ce que vous tapez, le mot de passe sera redemand pour plus de sret. Vous pourrez alors accder cette partie du site avec lidentiant et le mot de passe choisis. Pour ajouter dautres utilisateurs, il suft dutiliser la mme commande htpasswd.
htpasswd /var/www/auth/test1.pwd employe2 htpasswd /var/www/auth/test1.pwd employe3
Pour changer un mot de passe existant, utilisez la mme commande (htpasswd). Le mot de passe pour lutilisateur spci sera modi au lieu dtre cr. 72
Chapitre 4. Serveur Web Internet/intranet Pour supprimer un utilisateur, ajouter loption -D la commande htpasswd.
htpasswd -D /var/www/auth/test1.pwd employe3
Notez nalement quil existe de nombreuses autres possibilits. Vous pouvez ranger les utilisateurs en groupe, et utiliser ces derniers pour lauthentication. De nombreux modules sont aussi disponibles de manire pouvoir utiliser LDAP, Radius ou MySQL pour contrler laccs votre site.
4.8. Permettre les index

Par dfaut, la version Mandrakelinux dApache ne permet pas lafchage du contenu dun rpertoire sil ne contient pas de chier dindex car cela est plus sr. Pour certaines applications, comme un rpertoire de chiers tlchargeables, vous voudrez effectivement que les utilisateurs puissent voir tous les chiers disponibles. Dans ce cas, ajoutez la directive Options + Indexes dans le chier .htaccess du rpertoire dont le contenu doit tre visible des utilisateurs.
4.9. Informations suppl ementaires

Pour plus dinformation, la meilleure source est le site Web dApache (http: //httpd.apache.org). Vous pouvez aussi lire le manuel Apache directement sur votre serveur si vous avez install le paquetage apache-manual ou apache2-manual, selon la version dApache. Pointez alors votre navigateur sur http://localhost/ manual Finalement, pour plus dinformation sur toutes les fonctionnalits de la version Mandrakelinux optimise dApache, visitez la page de ADVX (http: //www.advx.org).
73
74
Chapitre 5. Le serveur de courrier Postx

Avec Postx, vous pouvez congurer un serveur de courrier lectronique qui vous permettra denvoyer et de recevoir du courrier. Celui-ci peut communiquer directement avec dautres serveurs de courrier sur Internet travers le protocole SMTP. Avec une conguration approprie, Postx peut grer lensemble des courriers dune organisation.
5.1. Fonctions dun serveur SMTP

Un serveur SMTP (Simple Mail Transfer Protocol) peut tre compar un bureau de tri postal. Le bureau reoit des lettres du quartier et les trie. Si une lettre sadresse quelquun habitant le quartier, elle sera dpose dans sa bote aux lettres. Sinon, la lettre sera envoye au bureau postal correspondant ladresse du destinataire. La mme procdure a lieu lorsquune lettre dun autre bureau de poste est relaye. Les oprations dun serveur de courrier Postx standard sont trs similaires : il reoit des courriers lectroniques provenant des utilisateurs du rseau local et depuis dautres serveurs, lesquels ont identi votre serveur de courrier comme celui tant responsable de la prise en charge des courriers lectroniques adresss un nom de domaine spcique. Le serveur lit ladresse du destinataire :
Si le nom de domaine correspond celui desservi localement, le courrier sera stock dans la bote aux lettres correspondante. Ensuite, lutilisateur devra prendre ses messages travers un client de courriel. La livraison des messages aux utilisateurs se fait travers un autre protocole (Serveurs de remise de courrier : POP et IMAP, page 83). Sinon, le serveur cherche sur Internet le serveur responsable de la livraison des courriers adresss ce nom de domaine, puis les lui transfre.
Continuons notre conguration minimale an que ces services fonctionnent sur votre serveur. En clair, ce sont les noms de domaine que votre serveur dessert.
75
5.2. Installation
La premire tape consiste vrier que Postx est bien install sur votre machine. Si ce nest pas le cas, veuillez utiliser rpmdrake ou tapez urpmi postfix pour linstaller. La conguration du serveur seffectue partir de licne Conguration de Postx, que vous trouverez sous longlet Serveurs.
Si le serveur de courrier est destin e ` a recevoir les messages dun domaine sp ecique en provenance dautres serveurs, il devra etre congur e ainsi dans la conguration du DNS, soit sur votre serveur DNS local (BIND : serveur DNS , page 55) ou sur le site de votre registraire de nom de domaine.

Chaque option de Postx contenue dans Webmin est documente. Il vous suft de cliquer sur le nom dune option et une nouvelle fentre apparatra, dtaillant loption en question.
Figure 5-1. cran de dmarrage du module Postx 76
Chapitre 5. Le serveur de courrier Postx Les chiers de conguration de Postx sont dans le rpertoire /etc/ postfix/. Les options principales de Postx que vous devez modier se trouvent dans le chier /etc/postfix/main.cf et peuvent tre modies en cliquant sur la premire icne : Options g en erales.
Figure 5-2. Lcran principal de conguration de Postx Dans cette section vous devrez congurer les options suivantes :
La premire option (Quel domaine utiliser pour le courrier sortant) concerne le courrier sortant. Vous devriez y spcier le nom de domaine. Laissez la valeur par dfaut (Utiliser le nom de machine) si le nom de domaine de votre serveur est le mme que votre nom de domaine de courrier lectronique. Domaines pour lesquels on re coit le courrier. Ce paramtre est associ au courrier entrant. Vous devriez spcier les domaines de courrier pour lesquels votre serveur est responsable. Rglez-le Tout le domaine si votre ordinateur possde la mme valeur que le nom de votre domaine de courrier. Sinon, cochez la troisime option et entrez la liste des domaines dont il a la charge, ainsi que tous les noms que le serveur peut avoir, incluant $myhostname et localhost.$mydomain, spars par des virgules. Envoyer le courrier sortant via la machine. Cette option est utile si vous accdez Internet travers un ISP qui vous fournit un serveur de courrier. Si tel est le cas, vous pouvez choisir de lutiliser en tant que relais pour 77
Chapitre 5. Le serveur de courrier Postx rpartir vos propres messages leurs destinataires, ce qui rduira la charge de votre serveur. Toutefois, il est impratif que vous ayez conance en lintgrit de votre ISP. Ensuite, tapez le nom du serveur de courrier de votre ISP : smtp.fournisseur.net par exemple.
Nom de machine (hostname) de ce syst` eme. Ce paramtre spcie le nom dhte Internet de votre serveur de courrier. La valeur par dfaut correspond au FQDN (Fully-Qualied Domain Name), soit au nom de domaine quali. Par exemple, passerelle.exemple.com. Laissez la valeur par D efaut (donn e par le syst` eme) si votre nom dhte est de la forme nom_machine.nom_domaine_mx. Nom de domaine internet local. Cette option spcie le nom de domaine Internet local. La valeur par dfaut est $myhostname auquel on enlve le premier composant. Pour notre exemple, ce serait exemple.com. Laissez la valeur par D efaut (donn e par le syst` eme) si votre nom dhte est de la forme nom_machine.nom_domaine_mx. R eseaux locaux. Ce paramtre est utilis pour identier les machines en lesquelles vous pouvez faire conance pour faire le relais de courrier travers votre serveur de courrier. Les messages provenant de ces machines et se dirigeant vers dautres serveurs sur le Net seront accepts et transfrs sans restriction. Voici des valeurs typiques utiliser : 192.168.1.0/24, 127.0.0.0/8, ce qui signie que vous acceptez que votre machine locale relaie le courrier, tout comme les systmes dont ladresse gure dans ltendue dadresses 192.168.1.1-254. Assurez-vous de spcier uniquement les rseaux voulus de faon viter dtre la cible de spammers indsirables.
La section Alias vous aidera congurer la redirection de courrier vers des botes aux lettres existantes et valides. Comme vous pourrez le voir dans le tableau de cette section, plusieurs alias par dfaut existent et convergent tous, possiblement aprs quelques sauts , vers ladresse postfix. Il est recommand que vous ajoutiez un alias pour que cette adresse pointe vers votre compte personnel an que les messages envoys un des alias dnis (incluant les messages pour root, comme les alertes systme) vous soient vraiment transfrs, au lieu dtre stocks localement dans la bote de courrier de lutilisateur postfix.
78
Figure 5-3. Dnir un nouvel alias de courrier An de conclure la conguration serveur gnrale, il peut tre intressant de jeter un il la page Contr ole des ressources. Deux options sont intressantes : Taille max dun message Congure la taille maximale (en octets) des courriels accepts par Postx. Cette valeur est la taille du message complet, incluant les en-ttes et les pices jointes. Prenez en compte que le logiciel de courrier lectronique encodera les pices jointes non-texte. Donc, la taille totale du message sera plus grande que la taille des pices jointes lorsque tlcharges sur votre disque dur. Taille max des messages rebond (bounced) Lorsque Postx ne peut pas livrer le courrier son destinataire nal, il envoie une note de non-livraison lexpditeur original. Cette note contiendra la cause derreur et une partie du message original (vous pouvez congurer la taille du message original inclure). Ce paramtre indique la grosseur (en octets) du texte inclure.

La section Options G en erales contient beaucoup de champs. Voici les plus intressants. Si vous voulez garder une trace de tous vos messages, ajoutez une adresse dans Adresse qui re coit un bcc de chaque message. Vous pouvez aussi spcier le dlai avant denvoyer un avertissement de non-livraison dans Dur ee en heures avant denvoyer un avertissement pour non-livraison. Les autres options sont spciques chaque systme et ne sont pas importantes pour la conguration de Postx. Ne changez ces paramtres seulement si vous comprenez pleinement leur signication.
79
5.4.1. Mise en correspondance dadresse

Dans la section Correspondances canoniques, vous pouvez identier une table dquivalence qui permet de rcrire les en-ttes de messages gres par Postx. Par exemple, dans le champ Tables de correspondances canoniques, vous pourriez associ le nom dun employ son adresse de courriel : John.Doe@exemple.com et jdoe@exemple.com.
5.4.2. Mise en correspondance des domaines virtuels

Si vous desservez plus dun domaine de courrier avec un mme serveur, vous devrez peut-tre congurer des Domaines virtuels additionnels. En effet, si vous grez les courriers des domaines pingus.org et icy.org, les courriers envoys pierre@pingus.org et pierre@icy.org seront livrs dans la mme et unique bote aux lettres de pierre. Si cest la mme personne, il ny a videmment pas de problme. Mais si ce sont deux personnes diffrentes, les messages devront tre livrs deux comptes de courrier diffrents. Premirement, vous devrez spcier la Tables de correspondances de domaines. Vous devez taper hash:/etc/postfix/virtual et cliquer sur Sauvegarder et Appliquer. La prochaine tape est de crer un nouvelle table de correspondance en cliquant sur Nouvelle entr ee. Par exemple, nous voulons rediriger les messages adresss pierre@icy.org lutilisateur local icypierre, au lieu de pierre.
Figure 5-4. Congurer des domaines virtuels De cette faon, vous pouvez rediriger le courrier dutilisateurs isols, de usagers dautres domaines ou serveurs, ou mme, un domaine entier vers un seul utilisateur.
80
5.4.3. Dautres options diverses

La section Livraison du courrier contient des options qui peuvent vous aider congurer la gestion des courriers aprs que Postx les ait reus. Dans Options du serveur SMTP, vous pouvez prvenir la rception de spams en congurant Domaines DNS pour la recherche de blacklist. Certains serveurs Internet utilisent un serveur DNS qui possde des adresses sur une liste noire. Ceux-ci relaient du spam. En congurant cette option, Postx vrie dans cette base de donnes avant daccepter le courrier. La section D ebogage contient deux options. La premire (Liste des domaines/r eseaux pour lesquels le log etendu (verbose) est activ e) spcie une liste de serveurs et de postes client pour lesquels Postx garde une trace dtaille de la transaction. La deuxime option dtermine le niveau de dtail voulu. Si LDAP est install sur votre systme, vous pouvez accder et congurer les options dans la section Recherches LDAP. Enn, vous pouvez utiliser la section de R e ecriture et masquage dadresses pour cacher toutes les machines lintrieur de votre rseau local derrire la passerelle de courrier, et faire croire que tout le courrier provient de la passerelle elle-mme et non pas de machines individuelles. Notez que cette option est active par dfaut.
5.4.4. Acc` es aux bo tes aux lettres

Finalement, la section User Mailboxes vous permet de naviguer travers les botes aux lettres locales. Par exemple, vous pourriez vouloir y faire des tches dentretien en manipulant des messages. Il peut tre intressant davoir accs aux message dun utilisateur si ce dernier ne peut plus accder sa bote aux lettres, ou pour effacer des pices jointes normes qui surchargeraient lordinateur.
Si vous utilisez cette fonctionnalit e, gardez ` a lesprit votre sens de l ethique et nabusez pas de vos droits dadministrateur en lisant les messages de vos utilisteurs...
81
5.5. Pour en savoir plus

Un long chapitre traite de Postx dans The Book of Webmin (http:// www.swelltech.com/support/webminguide/ch10.html) crit par Joe Cooper. Vous trouverez des explications pour presque toutes les options disponibles dans le module Postx de Webmin. Cest galement une bonne ide de lire les Postx Documentation pages (http://www.postfix.org/docs.html) (en anglais). Vous pouvez aussi accder cette documentation dans le rpertoire /usr/share/doc/postfix-*/.
82
Chapitre 6. Serveurs de remise de courrier : POP et IMAP

En utilisant POP (Post Ofce Protocol) ou IMAP (Internet Message Access Protocol), un usager peut accder sa bote aux lettres lectronique et rcuprer ses courriels de faon pouvoir les lire sur sa machine locale.
6.1. Avant-propos
Si vous avez fait une installation standard de Mandrakelinux, les serveurs daccs au courrier (POP3 ou IMAP) sont dmarrs partir du super-dmon xinetd. Lorsquune connexion est tablie sur le port POP (ou IMAP), xinetd lance le programme appropri pour rpondre la requte. Un usager POP3 rcupre ses courriels sur son poste, do il peut ensuite les lire avec un logiciel comme KMail ou Evolution. Par contre, le protocole IMAP permet aux usagers de laisser leur courrier lectronique sur le serveur pour une gestion distance. IMAP est particulirement adapt aux usagers mobiles. Du ct de ladministrateur systme, il devra vrier rgulirement ltat de son espace disque, puisque les courriers IMAP consument habituellement beaucoup despace sur le serveur. Une politique de quota despace serait galement approprie.
6.2. Installation
Pour congurer un serveur POP/IMAP, les paquetages xinetd et imap doivent tre installs. La conguration du serveur est ralise par le module Services Internet etendus de la section R eseau.

La premire tape consiste dcider avec les utilisateurs le service quils souhaitent utiliser : POP, IMAP ou les deux. Mieux vaut ne congurer et activer que les services qui seront effectivement utiliss. 83
Chapitre 6. Serveurs de remise de courrier : POP et IMAP En cliquant sur Services Internet etendus, vous verrez une liste de services accessibles sur votre poste grs par xinetd. Ces services peuvent tre activs ou non.
Figure 6-1. cran de dmarrage du module xinetd Chacun des protocoles POP et IMAP possde un quivalent scuris, POP3S et IMAPS, qui chiffrent les donnes lors de la transmission. Si les utilisateurs sont amens consulter leur courrier sur Internet (et non pas uniquement depuis le rseau local), il est plus sr dutiliser les protocoles scuriss et de dsactiver les autres. Assurez-vous alors que les clients de courrier lectronique permettent lutilisation de ces protocoles. Le paquetage imap installe les services et dmarre le serveur POP avec les options par dfaut. Cliquez sur un service pour le congurer et contrler sont tat.
84
Chapitre 6. Serveurs de remise de courrier : POP et IMAP
Figure 6-2. Conguration du module POP3 Pour quun service soit activ, choisissez Oui dans la case Service activ e ?. Ensuite, vous pouvez rserver laccs ce service travers la troisime table : Contr ole dacc` es au service. Ajoutez les adresses IP des postes ayant accs au service dans la case Permettre lacc` es depuis et slectionnez Machines list ees seulement... Puis, Sauvegarder vos changements et, sur la page prcdente, cliquez sur Appliquer les changements pour que xinetd prenne en compte la nouvelle conguration.
Cet ecran de conguration est le m eme pour tous les services g er es par xinetd.

De nombreuses options existent mais ne sont pas requises pour une conguration standard. Dans la section Options r eseau du service, les options Lier 85
Chapitre 6. Serveurs de remise de courrier : POP et IMAP ` a ladresse et Num ero de port permettent de forcer le service couter sur un couple spcique adresse/port. Si vous avez de nombreuses interfaces rseau et que vous voulez faire circuler le trac de courrier sur une interface spcique, vous pouvez le spcier ici en entrant ladresse IP. Dans la seconde table intitule Options du programme du service, vous pouvez rediriger toutes vos requtes vers un autre systme. Dans le champ Service eectu e par, choisissez Rediriger vers la machine et entrez ladresse IP et le port de la machine. Les options Tourner en tant quutilisateur et Tourner en tant que groupe permettent dexcuter le service sous un nom dusager spcique. Xinetd permet galement de dnir des limites ou des quotas pour chaque service. Loption Serveurs concurrents maxi dtermine le nombre maximum de dmons qui peuvent tre excuts en concurrence. Pour sa part, le champ Nombre maximum de connexions par seconde spcie le nombre de requtes que pourra soutenir le serveur en mme temps. Si le nombre maximum est atteint, alors loption D elai si le maximum est atteint tablit lintervalle en secondes avant que le serveur soit de nouveau accessible. Dans notre exemple avec POP3, vous pourriez dcider que seulement trois serveurs peuvent tre dmarrs pour rpondre 5 connexions par seconde, ce qui peut tre utile pour des serveurs surchargs. La dernire option trs utile est Niveau de nice pour le serveur ( niveau de gentillesse ) qui indique la priorit du programme lchelle du systme. Si plusieurs services sont disponibles sur le mme serveur, et que certains dentre eux sont plus importants que dautres, cette option permet de demander au systme dallouer plus de ressources aux processus critiques. Le Niveau de nice est O par dfaut et peut prendre des valeurs entre -20 (la plus haute priorit) et 19 (la plus basse). Si vous considrez que le service POP3 est de moindre importance par rapport aux autres services hbergs sur cette machine, vous pouvez lui assigner un niveau de nice de 10, par exemple.
86
Chapitre 7. Partage de ressources

7.1. Samba : int egrer Linux dans un r eseau Windows
Le serveur Samba permet dintgrer facilement un systme Mandrakelinux dans un rseau htrogne. travers Samba, votre ordinateur peut tre vu dans le rseau dautres utilisateurs et agir en tant que serveur Microsoft Windows en partageant des chiers, des comptes dutilisateurs distants, des imprimantes, etc.
7.1.1. Installer Samba

Vriez que le serveur Samba est install sur votre systme. Si ce nest pas le cas, utilisez Rpmdrake ou lancez la commande urpmi samba-server, en tant que root dans un terminal, pour linstaller. La conguration du serveur se trouve dans loutil Partage Windows avec Samba de la catgorie Serveurs.
87
7.1.2. Exemple de conguration
Figure 7-1. La fentre principale du module de Samba Les chiers de conguration de Samba sont enregistrs dans /etc/samba/. Les options Samba principales sont situes dans le chier /etc/samba/smb. conf et sont accessibles par licne R eseau Windows.
Samba recharge sa conguration chaque minute, il nest donc pas n ecessaire de red emarrer le serveur Samba pour chaque changement de conguration.
88
7.1.2.1. Conguration g en erale
Figure 7-2. Congurer les options communes de rseau Dnissez un Groupe de travail pour votre serveur (RetD dans notre exemple). De plus, vous avez la possibilit de modier le Nom du serveur et la Description du serveur. Vous pouvez aussi demander au serveur Samba de se comporter comme le serveur WINS de votre rseau grce loption Mode WINS1 Ensuite, slectionnez le niveau de scurit Niveau Utilisateur et validez votre choix en cliquant sur Sauvegarder (voir gure 7-2).
7.1.2.2. M ethode dauthentication
Figure 7-3. Congurer la mthode dauthentication pour les clients Windows 95

1. Il faut viter de mlanger des serveurs WINS Windows et Samba sur votre rseau.
89
Chapitre 7. Partage de ressources Si vous voulez utiliser un serveur de chiers avec un client Windows 95, vous devez modier une valeur par dfaut dans la section Authentication : rglez Utiliser des mots de passe chir es ? Non tel quillustr dans la gure 7-3.
Figure 7-4. Synchronisation des utilisateurs Samba et Unix Si votre rseau ne comporte pas de clients Windows 95, cliquez sur licne Congurer la synchronisation automatique dUnix et de Samba, cochez chacune des options comme montr (gure 7-4) et cliquez sur le bouton Appliquer. Pour ajouter les utilisateurs actuels Linux du systme en tant quutilisateur Samba, cliquez sur Convertir les utilisateurs Unix vers des utilisateurs Samba, vriez les options et cliquez sur le bouton Convertir les utilisateurs. Aprs cela, vous devriez cliquer sur Editer les utilisateurs et les mots de passe Samba pour modier ou supprimer les utilisateurs non souhaits.
7.1.2.3. Ajouter des partages
Figure 7-5. Congurer un partage public
90
Chapitre 7. Partage de ressources Pour crer un partage public sur lequel tous les utilisateurs locaux pourront lire et crire des chiers, cliquez sur le lien Cr eer un nouveau r epertoire partag e et remplissez les options comme indiqu (gure 7-5). Cliquez ensuite sur le nom du partage (Public dans notre exemple) puis sur le bouton S ecurit e et contr ole dacc` es pour changer les options En ecriture et Acc` es invit e Oui. Sauvegardez vos changements et rptez lopration pour rajouter dautres dossiers partags avec les contrles daccs appropris. Rappelez-vous que les rpertoires partags devront possder des droits daccs Linux appropris an dtre lisibles, accessibles et modiables par les utilisateurs Windows.
7.1.3. Conguration avanc ee

7.1.3.1. Acc` es aux partages
Figure 7-6. Limiter les utilisateurs ayant accs un partage Slectionnez un partage modier dans la liste de partages puis cliquez sur le bouton S ecurit e et Contr ole dAcc` es. Utilisez les options Machines autoris ees et Machines refus ees pour spcier une liste dadresses IP (spares par des espaces) des machines autorises se connecter, ou non, ce partage. Si vous placez loption Limiter ` a liste possible Oui, vous pourrez alors remplir les champs Utilisateurs possible et Groups possibles. Voir gure 7-6. 91
7.1.3.2. Imprimante par d efaut
Figure 7-7. Options par dfaut pour limprimante partage Toutes les imprimantes du serveur Samba seront disponibles et vous voudrez peut-tre dnir une imprimante par dfaut en cliquant sur R eglages par d efaut des imprimantes partag ees (voir gure 7-7). Utilisez la liste droulante Imprimante Unix pour slectionner limprimante par dfaut et spcier sa disponibilit, ainsi que certaines options de contrle daccs.
7.1.4. Pour aller plus en profondeur

Cest une bonne ide de consulter la Documentation Samba (http://samba. org/samba/docs/). Si vous avez install le paquetage samba-doc, vous pouvez aussi accder la documentation Samba installe sur votre machine dans le rpertoire /usr/share/doc/samba-doc-*/.
7.2. Partage de ressources : FTP

ProFTPD permet de crer et de paramtrer un serveur FTP. travers cette application, votre entreprise peut partager des chiers avec des utilisateurs connects Internet (ou votre intranet). Selon votre conguration, ils pourraient ventuellement tlcharger des chiers sur votre serveur.
7.2.1. Installation
Premirement, vous devez installer le paquetage proftpd sur votre systme. Utilisez rpmdrake ou tapez urpmi proftpd dans un terminal en tant que root. 92
Chapitre 7. Partage de ressources La conguration du serveur se fait travers le module ProFTPD Server de Webmin, dans la catgorie Serveurs.
7.2.2. Exemples de conguration
Le protocole FTP nest pas s ecuris e, car ni lauthentication ni les communications ne sont crypt ees. Les identiants et mots de passe circulant en clair. Utilisez les connexions autres quanonymes seulement ` a lint erieur de r eseaux s ecuris es.
Figure 7-8. Page de dmarrage du module ProFTPD
93
Chapitre 7. Partage de ressources Toute la conguration du serveur ProFTPD est enregistre dans le chier /etc/proftpd.conf. La conguration de ProFTPD par dfaut (juste aprs linstallation) ne permet que la connexion des utilisateurs de votre systme ayant un compte local. Dans les sections qui viennent, nous prsenterons quelques exemples de conguration courante de serveurs FTP. Tout comme Apache, ProFTPD peut tre utilis pour servir plusieurs sites FTP sur une mme machine par le biais de serveurs virtuels. Les options de conguration globales sappliqueront tous les serveurs virtuels. Les options de conguration globales se trouvent dans la section Virtual Servers.
Les valeurs par d efaut sont optimis ees pour la plupart des congurations. Inutile de les changer si vous navez pas de besoins sp eciques.
7.2.2.1. Simple serveur FTP anonyme
Figure 7-9. Congurer un accs FTP anonyme Cliquez sur Default server puis sur le bouton Anonymous FTP. Crez alors un nouveau serveur anonyme avec les paramtres suivants :
Limit to directory: /var/ftp. Cest le rpertoire racine de lutilisateur ftp ; laccs en dehors de ce rpertoire est virtuellement impossible partir du serveur FTP. Access les as user et Access les as group : ftp. Cet utilisateur et ce groupe ont t crs lors de linstallation de ProFTPD.
Voir lexemple gure 7-9, puis cliquez sur Cr eer. 94
Chapitre 7. Partage de ressources Cliquez ensuite sur licne Authentication et assurez-vous que les options suivantes sont correctement positionnes :
Username aliases. Rglez-le anonymous pour Login username et ftp pour le champ Real username puisque nous souhaitons que les clients puissent se connecter avec lidentiant anonymous. Require password for anonymous login? Devrait tre positionn sur Non : lutilisateur anonyme Anonymous na pas de mot de passe. Only allow login by users with valid shell? Devrait tre positionn sur Non. Il nest pas ncessaire davoir un compte pour se connecter en tant que anonymous.
Nous devons dsormais spcier des options pour certaines commandes dans la section Per-directory and Per-command options. Nous voulons autoriser laccs au serveur anonyme. Entrez LOGIN comme FTP commands dans la section Add per-command options for, et cliquez sur le bouton Cr eer. Cliquez alors sur Access Control et slectionnez Allow all clients pour Access control policy. Retournez ensuite aux options du serveur FTP anonyme. tape suivante : nous voulons empcher lcriture partout dans les rpertoires du serveur anonyme. Entrez WRITE comme FTP commands dans la section Add per-command options for, pour crer la commande dcriture Commands WRITE. Cliquez alors sur Access Control et slectionnez Deny all clients pour Access control policy. Sauvegardez les changements, cliquez sur le lien Retourner au menu principal puis Apply Changes pour redmarrer le serveur avec la nouvelle conguration. ce stade, vous pouvez tester votre serveur FTP anonyme. 1. Pointez votre client FTP sur ladresse ou le nom de votre serveur. 2. Entrez le mot anonymous comme identiant et votre adresse lectronique comme mot de passe. 3. Si tout se passe bien, tous les chiers et sous-rpertoires situs dans le rpertoire /var/ftp devraient alors tre disponibles au tlchargement.
95
7.2.2.2. Serveur FTP anonyme avec r epertoire de chargement (upload)

Si vous souhaitez que les membres de votre organisation puissent aussi charger des chiers sur le serveur, vous devrez crer une zone spciale cet effet. Ajoutons cette fonctionnalit au serveur anonyme que nous venons de crer. Lancez les commandes suivantes dans un terminal en tant que root, pour crer lespace de stockage, et lui donner les droits daccs adquats.
# mkdir /var/ftp/uploads # chown ftp:ftp /var/ftp/uploads # chmod g+w /var/ftp/uploads
Allez alors dans la section Anonymous FTP de la conguration Default server et entrez uploads/* dans le champ Directory path type de la section Add perdirectory options for. Nous souhaitons que les utilisateur de notre rseau puissent lire et crire des chiers dans ce rpertoire. Utilisez la section Per-command options. Puis, crez et congurez les deux FTP commands suivantes :
Entrez STOR dans la table Add per-command options for..., puis cliquez sur Create. Ensuite cliquez sur Access Control et remplissez le formulaire tel quillustr (gure 7-10) :
Figure 7-10. Contrle daccs pour les commandes rpertoire 96
Chapitre 7. Partage de ressources Dans notre exemple, nous autorisons les chargements anonymes de chiers dans ce rpertoire, uniquement pour le rseau 192.168.1., et les bloquons pour tous les autres rseaux. Vous pouvez aussi contrler laccs sur la base dun nom de machine, adresses IP, utilisateurs ou groupes dutilisateurs. Cliquez sur le lien Return to per-directory options, crez la commande READ et rptez les mmes oprations, mais cette fois pour lautorisation en lecture du rpertoire uploads/*.
Retournez au menu principal puis cliquez sur Apply Changes pour redmarrer le serveur FTP avec la nouvelle conguration. Tous les chiers du rpertoire /var/ftp/uploads/ seront disponibles sur le rseau local en lecture et criture anonymes. Vous pouvez dsormais rpter la procdure de test susmentionne, cette fois pour le rpertoire /var/ftp/uploads/.
7.2.3. Conguration avanc ee

Voici la liste des options les plus utiles :
Dans la section Miscellaneous des serveurs virtuels, vous pouvez changer le Server administrators email address pour spcier ladresse lectronique de ladministrateur systme du serveur ; et le Server name displayed to users pour personnaliser le nom de votre serveur. Par exemple, Serveur principal FTP de ma soci et e. Dans la section Networking Options, vous pouvez changer la valeur Maximum concurrent logins pour que votre serveur ne soit pas surcharg par un trop grand nombre de connexions simultanes2. La valeur initiale est de 10 connexions simultanes. Vous pourrez aussi modier le message derreur de connexion (Login error message), par exemple : D esol e, le nombre maximal dutilisateurs (%m) a et e atteint -- r eessayez plus tard ; o %m reprsente le nombre que nous venons de choisir. Vous pouvez aussi personnaliser le port sur lequel le serveur virtuel va couter les requtes (21 pour le serveur principal).
2. Positionner cette valeur 0 revient empcher toute connexion sur le serveur FTP.
97
Dans la section Files and Directories, vous pouvez spcier les rpertoires initiaux (Initial login directory). Cest le rpertoire racine par dfaut et peut tre utilis pour cantonner les utilisateurs dans un environnement hermtique. Si vous souhaitez mettre tous les utilisateurs dans leur propre environnement cage (Limit users to directories), en limitant leur accs leur propre rpertoire personnel par exemple. New le umask peut tre utilis pour contrler les permissions des chiers qui seront crs (upload) sur le serveur.
Vous pouvez toujours utiliser la section Edit Congs de lcran principal (gure 7-8) si vous souhaitez modier les chiers de conguration du serveur ProFTPD la main.

Joe Cooper consacre un chapitre gnral sur FTP dans son livre The Book of Webmin (http://www.swelltech.com/support/webminguide/ch09.html). Vous pourrez aussi consulter la Documentation ProFTPd (http://proftpd.linux. co.uk/docs/).
7.3. NFS: Partage de dossiers pour les h otes UNIX/Linux

Le service Network File System (NFS) permet de partager trs facilement des rpertoires de votre ordinateur sur dautres ordinateurs du mme rseau. Ainsi, vous pouvez partager des chiers entre plusieurs utilisateurs. Ce type de partage est beaucoup plus facile congurer que Samba, mais il nest utilis que sur des systmes GNU/Linux et UNIX. NFS nest pas un protocole scuris et doit tre utilis seulement dans un rseau local bien scuris.
7.3.1. Installation
Pour congurer les partages NFS avec Webmin, vous devez pralablement installer les paquetages nfs-utils et nfs-utils-clients. Vous pouvez utiliser Rpmdrake ou taper urpmi nfs-utils nfs-utils-clients dans un terminal, en tant que root 98
7.3.2. Exemple de conguration

Le bouton de conguration Partage NFS se trouve dans la section Rseau. Cliquez simplement sur le lien Ajouter un nouveau partage et la page de conguration safchera.
Ce module est tr` es simple ` a utiliser car il est possible dobtenir des renseignements au sujet de chaque param` etre. Cliquez simplement sur un param` etre que vous ne comprenez pas et un message contextuel sachera, r epondant ` a votre question.
Figure 7-11. Crer un nouveau partage NFS Lcran de cration dun nouveau partage (gure 7-11) est divis en deux parties. Dans D etails du partage, vous devrez spcier le nom du R epertoire partag e que vous voulez exporter vers dautres ordinateurs. Vous pourrez aussi spcier les htes autoriss accder ce rpertoire (Partager ` a). Par dfaut, le partage est accessible Tous. Ceci devrait tre chang pour le sousrseau que vous utilisez (par exemple : 192.168.1.0/255.255.255.0) ou un Groupe de r eseau. Dans S ecurit e de lexport, vous pourrez restreindre un peu plus laccs au rpertoire partag. Par exemple, vous pouvez choisir les ID auxquelles vous voulez faire conance (ou non), ainsi que permettre la lecture ou la lecture et lcriture dans vos rpertoires. Une fois que tout est congur, cliquez sur le bouton Cr eer pour retourner lcran principal de conguration des partages NFS. Vous verrez alors dans la liste le partage que vous venez de crer. Vous pouvez ensuite crer de nou99
Chapitre 7. Partage de ressources veaux partages, ou modier ceux existant en cliquant sur le lien correspondant dans la colonne Partager ` a. Cliquez sur le bouton Appliquer tous changements pour rendre vos partages effectivement accessibles.
7.3.3. Acc eder au r epertoire partag e

Il faut dsormais congurer les clients pour quils montent les partages que nous venons de crer. La conguration varie dun systme lautre. Nous verrons donc la conguration dun client Mandrakelinux avec Mandrakelinux Control Center.
Figure 7-12. Outils NFS de DiskDrake Utilisez loutil Points de montage NFS de la section Points de montage. Si votre serveur NFS napparat pas tout de suite, cliquez sur le bouton Rechercher les serveurs. Puis slectionnez dans larborescence gauche le serveur NFS puis le rpertoire monter (gure 7-12).
100
Figure 7-13. Changer le point de montage NFS Cliquez sur le bouton Point de montage pour spcier le rpertoire local dans lequel le partage sera accessible (/mnt/Documents/ dans notre exemple, gure 7-13), puis cliquez sur le bouton Monter pour monter le partage. Le rpertoire partag est dsormais accessible localement dans le rpertoire choisi. Lorsque vous cliquerez sur le bouton Terminer, un dialogue vous proposera de sauvegarder la conguration dans /etc/fstab. Acceptez si vous voulez rendre ce partage accessible dnitivement.

Un chapitre ddi aux partages NFS se trouve dans le livre de Joe Cooper The Book of Webmin (http://www.swelltech.com/support/webminguide/ ch13.html#exports). Bien que sappuyant sur une version ancienne de Webmin, cette lecture sera srement protable.
101
102
Chapitre 8. Le serveur Kolab

8.1. Introduction
Kolab est la partie serveur de Kroupware, la solution de travail collaboratif de KDE. Kolab stocke les informations de synchronisation telles que les adresses, le calendrier et les chiers utiles aux groupes dutilisateurs. Vous pouvez accder aux informations stockes au niveau du serveur Kolab en utilisant la partie cliente Kontact du projet Kroupware. Kontact est une combinaison de plusieurs outils: KMail, KOrganizer, KAddressbook, KNotes, KPilot et KNode. Ce chapitre vous donnera un aperu technique du serveur Kolab, de mme que linstallation, la conguration et ladministration de ce type de serveur. Les informations utilisateur pour le client Kontact se trouvent dans la documentation Guide de dmarrage de Mandrakelinux. Celles relatives au projet Kroupware, peuvent directement tre consultes sur le site web de Kroupware (http://kroupware.kde.org).
8.2. Aper cu
Linterface administration de Kolab repose sur le serveur HTTP amlior Apache. Lauthentication au niveau du module dadministration nest possible que via une connexion scurise. Kolab liste trois catgories dutilisateurs:

Utilisateur. Peut changer les informations utilisateurs. Maintainer (utilisateur volu). A les droits Utilisateur plus des droits dadministration sur les utilisateurs, groupes et dossiers partags. Administrateur. A les droits Maintainer plus les droits sur tout larborescence LDAP ainsi que les droits de basculer les services hrits et de consulter les journaux(logs).
Toutes les catgories dutilisateurs accdent au module dadministration Kolab avec la mme interface Web. Aprs lauthentication de laccs grce aux lettres de crances de LDAP, lutilisateur se retrouve face une interface Web
103
Chapitre 8. Le serveur Kolab retant sa catgorie et ses permissions. Les nouveaux utilisateurs sont crs automatiquement en tant quutilisateurs normaux. Le serveur LDAP est hberg physiquement sur la mme machine que Kolab. Toutes les donnes utilises par Kolab, aussi bien les donnes utilisateurs et les donnes de conguration, sont stockes sur le serveur LDAP, qui est congur laide du script damorce de Kolab, kolab bootstrap -b. En sauvegardant rgulirement les donnes LDAP sur une autre machine, il est possible de restaurer un serveur Kolab aprs un crash matriel. Kolab utilise un compte manager spcial, cr linstallation pour permettre aux utilisateurs de type administrateur de manipuler toutes les donnes de Kolab du serveur LDAP. Les Maintainers et les Utilisateurs ont des droits daccs diffrents sur larborescence LDAP. Ce qui signie quune potentielle attaque sur le serveur Apache ne pourrait pas manipuler ou altrer les donnes des comptes utilisateurs sur la machine tant que le mot de passe du manager nest pas fourni.
8.3. Installation
Pour installer le serveur Kolab, utiliser Rpmdrake (voir Rpmdrake: Gestionnaire de paquetages du Guide de dmarrage) de Mandrakelinux Control Center. Vous pouvez aussi installer Kolab en lanant une console en tant que root et en tapant la commande urpmi --auto kolab-server. Aprs linstallation de Kolab, le serveur doit tre congur en excutant la commande /usr/sbin/kolab_bootstrap -b. Le script damorce va congurer le serveur LDAP utilis pour stocker les informations de conguration de Kolab et les donnes utilisateur. Lors de linitialisation du serveur, kolab_bootstrap vous demande de fournir un mot de passe pour le compte manager du serveur LDAP. Vous devez garder cette information puisquelle sert la fois pour le compte Administrateur de Kolab et pour laccs linterface dadministration lors de la premire connexion.
Vous aurez besoin dune entr ee de nom dh ote valide dans le DNS ainsi quun enregistrement MX valide pour votre domaine mail. Si vous nutilisez que /etc/hosts, vous pouvez acc eder ` a la majorit e des fonctionnalit es, mais vous ne pourrez pas recevoir de courriel venant de lext erieur. Une solution serait dutiliser fetchmail ou un outil similaire pour aller chercher les mails sur un serveur POP externe, mais lid eal serait davoir votre propre nom de domaine et une adresse IP xe accessible de lext erieur.
104
Chapitre 8. Le serveur Kolab Quand le script damorce a ni de sexcuter, Dmarrez le serveur Kolab en lanant la commande service kolab-server start. Kolab tourne et est maintenant en attente du premier accs. Pour congurer le client Kontact en conjonction avec Kolab, vous avez besoin dinformations de connexion de LDAP que vous trouverez dans /etc/ openldap/slapd.conf. Par exemple:
# grep suffix /etc/openldap/slapd.conf suffix "dc=kolab,dc=yourdomain,dc=com"
Vous fournit la chane Base DN:

dc=kolab,dc=yourdomain,dc=com
Ainsi pour lutilisateur peter, la chane Bind DN sera

cn=peter,dc=kolab,dc=yourdomain,dc=com
8.4. Linterface dadministration de Kolab

Tous les utilisateurs qui sont connects dans le module dadministration de Kolab utilisent la mme interface Web. Si votre navigateur Internet se trouve sur la mme machine que le serveur Kolab, vous pouvez le charger https: //localhost/kolab/. Si vous accdez partir du rseau, lURL serait de la forme https://hostname/kolab/.
A cause du certicat SSL factice et auto-sign e, votre navigateur vous achera le message certicate failed the authenticity test . Ne vous en souciez pas, ceci est tout ` a fait normal. Cliquez juste sur Continuer, puis Accepter toujours. En fonction de votre conguration DNS, vous pouvez etre amen e` a repasser par cet etape une deuxi` eme fois.
Le premier accs au serveur Kolab doit tre fait en utilisant le compte manager avec le mot de passe que vous aviez choisi lors de lexcution du script kolab_bootstrap. Une fois connect, ladministrateur peut crer un
105
Chapitre 8. Le serveur Kolab compte utilisateur Kolab, des comptes Maintainer et administrateurs. Pour plus dinformations sur ce point, voir Maintainers, page 109.
Si la base de donn ees LDAP est d ej` a pr e-remplie, ladministrateur verra les informations des utilisateurs existants. Ces utilisateurs LDAP ne pourront pas se connecter au module administration de Kolab automatiquement. Les utilisateurs Kolab doivent etre cr e es de fa con explicite ` a laide du module dadministration.
Lorsquun nouveau compte est cr, il est fonctionnel. Lutilisateur Kolab peut accder au module dadministration. Aprs stre connect dans le module administration, la page daccueil de Kolab safche. Une liste de formulaires Web, disponible pour lutilisateur, est accessible sur le cadre de gauche. Les sections suivantes expliquent ces formulaires pour les diffrents types dutilisateurs et les informations ncessaires leur bonne utilisation.
8.4.1. Utilisateurs
Les membres du groupe dutilisateurs rgulier ont le droit de:

modier leurs donnes utilisateur personnels; ajouter une adresse courriel supplmentaire pour leur compte; activer un service de notication dabsence (vacances); activer un service de redirection de courriel.
Figure 8-1. Linterface utilisateur du serveur Kolab 106
Les services de notication dabsence (vacances) et de redirection de courriel sont mutuellement exclusifs. Lutilisateur doit explicitement d esactiver un service pour activer lautre.
8.4.1.1. Changer les donn ees Utilisateur

les membres du groupe dutilisateurs rgulier ne peuvent pas:

changer leur nom dutilisateur; changer leur identiant unique utilisateur (UID); changer leur adresse courriel primaire;
Pour changer les donnes utilisateur :
Figure 8-2. Modier les donnes utilisateur existantes 107
Chapitre 8. Le serveur Kolab 1. Connectez vous dans Administration Interface de Kolab. 2. Cliquez sur My User Settings sur le panneau de gauche sur linterface administration de Kolab. 3. Dans le formulaire Modify Existing User changer les informations de lutilisateur. 4. Cliquez sur OK.
8.4.1.2. Activer les param` etres dabsence (vacances)

Dans certains cas, quand un utilisateur est en vacances et ne peut pas consulter son courriel, cest souvent utile dinformer ses interlocuteurs dee la personne contacter en son absence. Le service de message dabsence de Kolab permet de congurer les paramtres dabsence. Pour activer le service de message dabsence de Kolab: 1. Connectez vous dans linterface Administration de Kolab. 2. Cliquez sur My User Settings sur le panneau de gauche de linterface dadministration de Kolab. 3. Cliquez sur Vacation. la page User Vacations Settings safchera. 4. Slectionnez la dure de votre absence dans le menu droulant. 5. Tapez votre message dabsence dans la zone de texte Vacation. 6. Cliquez OK.
8.4.1.3. Activer la redirection de courriel

Kolab fournit un service de redirection de courriel pour permettre aux utilisateurs, en mission externe et ne pouvant pas accder directement leurs boites aux lettres, de spcier une adresse de courriel o leurs courriels seront redirigs. Une copie du courriel redirig peut tre stock sur le serveur mail local (en option). Pour activer le service de redirection de courriel de Kolab: 1. Connectez vous dans linterface Administration de Kolab. 2. Cliquez sur My User Settings sur sur le panneau de gauche de linterface dadministration de Kolab. 108
Chapitre 8. Le serveur Kolab 3. Cliquez sur Forward E-Mail et la page User Forward Settings safchera. 4. Tapez ladresse o le courriel sera redirig. 5. Si vous voulez conserver une copie des courriels sur le serveur local, cliquez sur la case cocherKeep. 6. Cliquez OK.
8.4.2. Maintainers
Le rle du Maintainer de groupe est dadministrer les utilisateurs et les dossiers partags sur le serveur Kolab. Les droits suivants sont accessibles aux Maintainers en plus des droits de lutilisateur de base :

ajouter, modier et effacer les utilisateurs de Kroupware; ajouter, modier et effacer les contacts du carnet dadresses, pour dsigner les utilisateurs dans le rpertoire LDAP qui ne sont pas enregistrs sur le serveur Kolab; ajouter, modier et effacer les dossiers partags.
Les activit es relatives aux droits utilisateur du Maintainer sont document es ` a Utilisateurs , page 106.
Figure 8-3. Linterface Maintainer du serveur Kolab 109
8.4.2.1. Utilisateurs Kroupware

Les utilisateurs Kroupware sont des utilisateurs Kolab dment enregistrs et ont accs tous les services de travail collaboratif de Kolab. les Maintainers de Kolab peuvent grer les donnes utilisateur de Kroupware et crer de nouvelles entres du carnet dadresses. 8.4.2.1.1. Cr eer de nouveaux utilisateurs. Pour ajouter un nouvel utilisateur: 1. Cliquez sur Create New User dans la section Users du cadre de gauche. 2. Remplissez les informations utilisateur dans le formulaire Create New User. 3. Cliquez sur OK.
S electionnez la case ` a cocher Addressbook pour rendre ladresse de lutilisateur Kroupware visible dans le carnet dadresses.
8.4.2.1.2. G erer les Utilisateurs existants Si un membre du groupe des Maintainers clique sur le bouton Users situ sur le cadre de gauche de linterface administration de Kolab, une liste alphabtique de tous les utilisateurs courants de Kroupware apparat dans le cadre de droite. Pour chaque utilisateur, un choix de modication ou de suppression est propos.
Pour modier les informations de lutilisateur, cliquez sur le bouton Modify. La page Modify Existing User safchera. Cette page est explique plus en dtails dans Utilisateurs, page 106. Pour effacer un utilisateur, cliquez sur le bouton Delete.
110
8.4.2.2. Contacts du carnet dadresses

Les contacts du carnet dadresses sont les personnes prsentes dans le rpertoire LDAP mais qui ne sont pas des utilisateurs enregistrs Kolab. Ces derniers peuvent accder leurs donnes du carnet dadresses; les Maintainers Kolab peuvent grer les donnes des contacts du carnet dadresses et en crer des nouveaux. 8.4.2.2.1. Cr eer de nouveaux contacts
Figure 8-4. Le formulaire de cration de carnet dadresses Pour crer un contact de carnet dadresses: 1. Cliquez sur Create new vCard dans la section Users du cadre de gauche. 2. Remplissez les informations requises pour le contact dans le formulaire Create New Address Book Entry. 111
Chapitre 8. Le serveur Kolab 3. Cliquez sur OK.
8.4.2.2.2. G erer les utilisateurs existants Quand un membre du groupe de Maintainers clique sur le bouton Addressbook sur le cadre de gauche du module dadministration de Kolab, une liste alphabtique de tous les utilisateurs de carnet dadresses safche dans le cadre de droite. Pour chaque utilisateur, un choix de modication ou de suppression est propos.
Figure 8-5. La table de gestion des utilisateurs de carnet dadresses Les actions suivantes peuvent tre menes sur le formulaire Manage Address Book Users:
Pour modier les informations de lutilisateur: 1. Cliquez sur le bouton Modify. 2. Sur la page Modify Address Book Users, changer les informations dsires. 3. Cliquez sur OK. Pour supprimer un utilisateur, cliquez sur le bouton Delete.
8.4.2.3. G erer les dossiers partag es

les Maintainers peuvent recongurer les dossiers partags existants et en crer de nouveaux.
112
Chapitre 8. Le serveur Kolab 8.4.2.3.1. Cr eer de nouveaux dossiers partag es
Figure 8-6. Le formulaire de cration de nouveaux dossiers partags Pour ajouter un nouveau dossier partag: 1. Cliquez sur Add Folder dans la section Shared Folder sur le cadre de gauche. 2. Remplissez les informations requises dans le formulaire Create New Shared Folder. 3. Cliquez sur OK.
8.4.2.3.2. Congurer les dossiers partag es Quand un membre du groupe de Maintainers clique sur le bouton Shared Folder sur le cadre de gauche du module dadministration de Kolab, une liste alphabtique de tous les dossiers partags courants safche dans le cadre de droite. Pour chaque dossier, un choix de modication ou de suppression est propos.
Pour modier un dossier: 1. Cliquez sur le bouton Modify. 2. Sur la page du dossier Modify Shared, changer les informations dsires. 3. Cliquez sur OK.
113
Pour effacer un dossier, cliquez sur le bouton Delete.
8.4.3. Administrateurs
Le groupe administrateur a un contrle total sur tous les objets du serveur LDAP et des services hrits non scuriss tels que FTP, HTTP, IMAP et POP3. Les administrateurs peuvent accomplir toutes les fonctions du groupe des Maintainers. En plus de pouvoir ajouter, modier ou supprimer les utilisateurs, les entres du carnet dadresses et les dossiers partags. Les administrateurs ont les droits suivants:
ajouter, modier ou supprimer les comptes des utilisateurs des groupes Maintainer ou administrateur; changer les caractristiques du serveur (Nom dhte et domaine mail); Basculer les services hrits non scuriss (FTP, HTTP, IMAP et POP3).
Les activit es relatives au Maintainer du groupe administrateur et des droits basiques dutilisateur sont document es ` a Utilisateurs , page 106, et Maintainers , page 109.
8.4.3.1. G erer les comptes Maintainers

Les administrateurs ont le droit de modier ou de supprimer les comptes Maintainers existants ou den crer de nouveaux. 8.4.3.1.1. Cr eer de nouveaux Maintainers Pour ajouter un nouveau Maintainer: 1. Cliquez sur Add Maintainer dans la section Maintainer sur le cadre de gauche. 2. Remplissez les informations requises dans le formulaire. 3. Cliquez sur OK.
114
Chapitre 8. Le serveur Kolab 8.4.3.1.2. G erer les Maintainers existants Quand un membre du groupe dadministrateurs clique sur le bouton Maintainers sur le cadre de gauche du module dadministration de Kolab, une liste alphabtique de tous les utilisateurs ou Maintainers courants safche dans le cadre de droite. Pour chaque utilisateurs ou Maintainers, un choix de modication ou de suppression est propos.
Figure 8-7. La table de gestion des Maintainers
Pour modier les informations dun Maintainer: 1. Cliquez sur le bouton Modify du Maintainer dsir. 2. Cet action afchera la page Modify Existing User. 3. Mettez jour les informations dsires. 4. Cliquez sur OK. Pour supprimer un Maintainer, cliquez sur le bouton Delete.
8.4.3.2. Cr eer de nouveaux administrateurs

Il est toujours prudent davoir au moins un administrateur de secours pour chaque serveur. Kolab permet la cration de plusieurs administrateurs.
115
Figure 8-8. Le formulaire de cration de nouveaux administrateurs Pour ajouter un nouvel administrateur: 1. Cliquez sur Administrator dans le panneau de gauche du module dadministration. 2. Cliquez sur Add Administrator. 3. Remplissez les cases pour le nouvel administrateur. 4. Cliquez sur OK.
8.4.3.3. Changer les caract eristiques du Serveur

Les membres du groupe administrateur peuvent changer le nom dhte, le nom de domaine du domaine courriel sur le serveur hte.
Les changements de ces caract eristiques peuvent aecter directement le syst` eme de transport du courriel et causer des probl` emes sur son acheminement.
Pour changer les paramtres du serveur, cliquez sur Server dans le cadre de gauche du module dadministration, donnez les informations ncessaires comme indique surr la gure ci-dessous puis cliquez sur OK.
116
Figure 8-9. Le formulaire de paramtrage du serveur
8.4.3.4. Basculer les services

Ladministrateur de Kolab a le droit dactiver ou de dsactiver les services suivants sur la machine hte:

POP3; service POP3/TLS (TCP port 995); service IMAP/TLS (TCP port 993); service FTP free-busy (publication des disponibilits); service HTTP free-busy (publication des disponibilits).
Pour activer ou dsactiver les services, cliquez sur Services dans le panneau de gauche du module dadministration. Vous verrez alors le formulaire Web suivant.
117
Figure 8-10. Le formulaire des Services Dans ce formulaire vous pouvez voir le statut des diffrents services. Pour les activer ou les dsactiver, cliquez sur lURL requis dans la colonne des actions.
118
Chapitre 9. Serveur de bases de donn ees MySQL

Une base de donnes est une application ddie au stockage des donnes (principalement texte et nombres) et leur restitution de manire efcace. Elle est gnralement utilise par dautres applications qui ont besoin daccder rapidement leurs donnes pour les afcher ou les manipuler. MySQL est un vritable serveur de bases de donnes SQL (Structured Query Language, soit un langage dinterrogation, de mise jour et de gestion des bases de donnes relationnelles) multi-utilisateurs et multi-processus (multithreaded). MySQL est une implantation client/serveur qui consiste en un dmon serveur (mysqld) et plusieurs programmes/librairies client diffrents. Les vises principales de MySQL sont la vitesse, la robustesse et la convivialit. Dans ce petit tutoriel nous aborderons la conguration de base de MySQL et son utilisation travers linterface Webmin.
9.1. Pour commencer

Pour congurer votre serveur MySQL travers Webmin, vous devez pralablement installer les RPMs Mandrakelinux suivants : MySQL, MySQL-client et libmysql10. Le bouton de conguration MySQL Database Server se trouve dans lindex Serveurs. Si vous venez dinstaller MySQL, il vous sera propos de le dmarrer : Faites-le en cliquant sur le bouton Start MySQL Server. On vous demandera alors le mot de passe root de MySQL. Si cest la premire fois que vous utilisez MySQL, laisser ce mot de passe vide et cliquez sur Save. Notez quil y a trois bases de donnes par dfaut dans lcran principal (mysql, test et tmp). Vous ne devriez ni les modier, ni les effacer. Votre premire tche est de choisir un mot de passe pour ladministrateur. Cela est obligatoire pour empcher que les autres utilisateurs puissent avoir un accs illimit la base de donnes. Pour ce faire, cliquez sur licne User Permissions puis effectuez les oprations suivantes pour chacun des liens root dans la table des utilisateurs.
119
Chapitre 9. Serveur de bases de donnes MySQL
Figure 9-1. Modier le mot de passe de ladministrateur Aprs avoir cliqu sur un utilisateur, cochez le bouton Set to de la ligne Password. Dans le champ correspondant, entrez le nouveau mot de passe pour ladministrateur. Conrmez vos changements en cliquant sur le bouton Sauvegarder.
9.2. Cr eer un utilisateur pour la base de donn ees

Un utilisateur de base de donnes na rien voir avec un utilisateur UNIX. Cette notion signie plutt que vous devez grer les utilisateurs de faon diffrente. Depuis la page dindex MySQL Database Server, cliquez sur le bouton User Permissions puis sur Create new user. Les utilisateurs de la base de donnes peuvent avoir des permissions diffrentes, lesquelles sont listes dans limage qui suit. Slectionnez dans la liste les permissions qui seront accordes lutilisateur pour une machine spcique.
120
Figure 9-2. Crer un utilisateur MySQL Pour des raisons de scurit, mieux vaut ne pas laisser la valeur Hosts Any. Spciez plutt les noms des machines depuis lesquelles lutilisateur pourra se connecter la base MySQL.
9.3. Cr eer une base de donn ees

Premirement, crons une base de donnes qui contiendra nos tables. Cliquez sur Create a new database depuis la page principale, et nommez votre base de donnes.
121
Figure 9-3. Crer une base de donnes MySQL Il est possible de dnir une premire table sur cette nouvelle base de donnes et dy spcier jusqu quatre champs. Pour notre exemple nous avons dcid cependant de faire cela dans ltape suivante. Remarquez que si vous envisagez dutiliser votre base de donnes avec une application tierce comme une interface Web, tout ce dont vous avez besoin est dsormais disponible: un utilisateur et son mot de passe, ainsi quune base de donnes prte accueillir des informations.
9.4. Cr eer une table

Lorsque la base de donnes aura t cre, il est possible de dnir sa structure manuellement avec Webmin. Cliquez sur son icne pour accder la page Edit Database. Notez que cette nouvelle base de donnes ne contient aucune table pour le moment, mais nous pouvons crer de nouvelles tables (Create a new table), les supprimer (Drop tables) ou faire des copies de sauvegarde (Backup Database). Vous pouvez aussi excuter des requtes SQL directement (Execute SQL) en entrant des commandes SQL la main ou en envoyant un chier de commandes SQL. Avant de cliquer sur Create a new table, vous pouvez slectionner le nombre de champs que vous voulez que 122
Chapitre 9. Serveur de bases de donnes MySQL la table contienne (4 par dfaut). Sur la page Create Table, vous devez crire le nom de la table et des champs et cliquer sur Cr eer.
Figure 9-4. Crer une nouvelle table MySQL Si vous voulez modier les paramtres de table ou ajouter des nouveaux champs, vous pouvez cliquer sur le nom de la table la page Edit Database.
123
Figure 9-5. Modier une table MySQL partir dici, vous pourrez modier ou supprimer un champ existant, ou en crer un nouveau.
9.5. Gestion de donn ees dans une table

Nous avons tout cr pour que la base de donnes MySQL soit fonctionnelle. Plusieurs programmes client permettent de se connecter au serveur MySQL, et plusieurs programmes ont besoin dune telle base de donnes. Vous pouvez galement utiliser Webmin pour grer vos donnes. Sur la page Edit Table, vous pouvez cliquer sur le bouton View Data pour ajouter, modier ou supprimer des donnes.
124
Figure 9-6. Grer des donnes avec Webmin
9.6. Pour en savoir plus

Vous trouverez un ensemble de documents sur le site Web de MySQL (http://www.mysql.com/documentation/), y compris en franais. Vous pouvez aussi accder la documentation de MySQL sur votre propre machine dans le rpertoire /usr/share/doc/MySQL-*/.
125
126
Chapitre 10. Client et serveur NIS

Pour simplier la gestion dusagers sur un rseau local, il est possible de centraliser linformation rseau, telle que les listes dusagers et de mots de passe sur un domaine NIS (Network Information System). Avec NIS, les usagers peuvent se connecter sur nimporte quel ordinateur en utilisant un identiant (login) et un mot de passe uniques. Le partage dinformation permet de distribuer des chiers tels que /etc/passwd, /etc/shadow ou /etc/hosts pour partager des mots de passe ou des alias dordinateurs. Pour distribuer les donnes, vous devez congurer un serveur de Partage de ressources comme NFS (voir NFS: Partage de dossiers pour les htes UNIX/Linux, page 98) ou Samba (voir Samba : intgrer Linux dans un rseau Windows, page 87).
10.1. Installation
Dabord, assurez-vous que le serveur ypserv est install correctement sur votre machine. Si ce nest pas le cas, utilisez Rpmdrake ou tapez urpmi ypserv dans un terminal pour linstaller. La conguration du serveur NIS se fait en 2 tapes : la premire est la conguration des Tables NIS1 du serveur ; la deuxime est la conguration de chaque client :

sur le serveur, vous devez installer le paquetage RPM ypserv ; pour chaque poste de travail, vous aurez besoin des paquetages RPM portmap, yp-tools et ypbind.
Pour utiliser le module Client et serveur NIS de Webmin, vous devez slectionner la catgorie R eseau, puis le bouton Client et serveur NIS.
1.
Les tables NIS sont les chiers que vous avez choisis de partager ou dexporter.
127
10.2. Conguration
10.2.1. Serveur NIS
Vous devez congurer votre domaine NIS en utilisant votre nom de domaine (tel que mondomaine.test). Aprs avoir cliqu sur licne Serveur NIS, vous devez choisir les Tables NIS ` a servir. Dans notre exemple, nous avons slectionn les chiers passwd, group et shadow (utilisez la touche Ctrl pour choisir plusieurs chiers de la liste).
Figure 10-1. Serveur NIS Vous navez pas modier la description du chier qui est faite dans la section Fichiers NIS matres. Sur la page principale Client et serveur NIS, licne Tables NIS permet de modier les tables servies. Licne S ecurit e du serveur permet de choisir les clients que vous voulez servir ou non.
10.2.2. Client NIS

Pour chaque client, vous devez congurer le paramtre Domaine NIS avec le nom de domaine utilis par le serveur. Vous devez galement spcier ladresse IP. 128
Figure 10-2. Client NIS
10.3. Conguration avanc ee pour les clients

Parmi toutes les donnes exportes, certaines dentre elles peuvent tre redondantes en rapport avec la conguration locale. Or, il est possible dallouer une priorit toute source (localement, par NIS, ou autre). Pour ce faire, vous pouvez utiliser le bouton Services client pour chacun des clients NIS. Il est galement possible de choisir lordre prfr pour rechercher les donnes. Par exemple, vous pouvez choisir de rsoudre ladresse de lhte en utilisant 1) le chier /etc/hosts, 2) ensuite, lhte NIS desservi (si vous lavez slectionn dans les tables NIS), 3) et nalement (si le client ne peut plus faire de rsolution), utilisez le serveur DNS. Pour vrier que le client communique bien avec le serveur, vous pouvez utiliser la commande ypcat passwd pour lire les donnes de mot de passe desservies par le serveur. Si vous partagez les rpertoires de vos utilisateurs (par lentremise de NFS par exemple), et si vous dmarrez le service autofs sur votre client NIS, les utilisateurs devraient tre en mesure de monter automatiquement leur rpertoire personnel lorsquils se connectent sur le client. Ainsi, tout le monde peut se connecter automatiquement sur tous les clients, et accder ses donnes personnelles et chiers de conguration.
129
130
Questions de s ecurit e et de r eseau

An dapprofondir vos connaissances, nous avons choisi dajouter deux chapitres ce manuel :
Le chapitre qui traite de scurit (A propos de la scurit sous GNU/Linux, page 133) est une lecture imprative pour tout administrateur systme. Mme si vous pouvez scuriser votre systme Mandrakelinux avec les outils par dfaut, un systme nest vraiment scuris que lorsquil est administr de manire proactive, en prenant soin dentretenir la scurit globale, autant physique que logique de votre systme. Nous esprons que ce chapitre vous aidera choisir une politique de scurit approprie pour vos serveurs ; les bons outils pour scuriser votre infrastructure rseau ; comment dterminer si votre systme a t altr ou compromis, etc. Le but dun serveur est de rendre disponible des services sur un rseau. Ce manuel aurait t incomplet sans un chapitre entirement ddi la rseautique (Le rseau sous GNU/Linux, page 203). La conguration du rseau en lui-mme, et les diffrents protocoles, y sont dnis et explicits. Nous touchons aussi des sujets tels que le routage, traitons de renseignements relatifs Ethernet et au IP (tels que DNS, DHCP et DHCPD), du matriel PC commun, ainsi que dautres technologies comme ARCNet, Appletalk et Frame Relay.
132
Chapitre 11. A propos de la s ecurit e sous GNU/Linux

Ce document est un aperu gnral des problmes de scurit auxquels pourrait tre confront un administrateur de systme GNU/Linux. Il traite de la philosophie de la scurit en gnral et aborde quelques exemples spciques pour mieux scuriser votre systme GNU/Linux des intrus. De nombreux liens vers de la documentation et des programmes relatifs la scurit sont aussi fournis.
Le document original (voir ci-dessous) a et e adapt e pour la distribution Mandrakelinux, des parties ont et e enlev ees ou modi ees.
11.1. Pr eambule
Ce chapitre est bas sur un HOWTO de Kevin Fenzi et Dave Wreski dont loriginal est hberg par le Linux Documentation Project (http://www. tldp.org)
11.1.1. Information sur le copyright

Ce document est soumis aux droits de copyright (c) 1998 - 2000 Kevin Fenzi et Dave Wreski Les modications depuis la version v2.0, 11 Juin 2002, sont (C)opyright 20002004 MandrakeSoft. Ce document est distribu selon les termes suivants :
Les documents Linux HOWTO peuvent tre reproduits et distribus en tout ou partie, sur nimporte quel support, physique ou lectronique partir du moment o cette mention de copyright est recopie sur toute copie. Une redistribution commerciale est autorise et encourage ; Cependant, les auteurs aimeraient tre informs de telles redistributions. Toute traduction, oeuvre drive, ou incluant quel que document Linux HOWTO que ce soit doivent correspondre cette mention de copyright. Ce qui veut dire que vous ne pouvez pas produire une oeuvre drive dun HOWTO et en imposer des restrictions additionnelles sur sa distribution. 133
Chapitre 11. A propos de la scurit sous GNU/Linux Ces rgles connaissent des exceptions sous certaines conditions ; Veuillez contacter le coordinateur de Linux HOWTO ladresse prcise dessous.
Si vous avez des questions, contactez Tim Bynum (mailto:tjbynum@ metalab.unc.edu), le coordinateur de Linux HOWTO.
11.1.2. Introduction
Ce chapitre traite certains des principaux problmes affectant la scurit de GNU/Linux. La philosophie gnrale ainsi que les ressources rseau sont aussi abordes. Un certain nombre dautres HOWTOs dbordent sur les questions de scurit et ces documents ont t rfrencs chaque fois quils sy prtaient. Ce chapitre nest pas destin recenser tous les trous de scurit. Un grand nombre de nouvelles techniques sont sans arrt utilises. Ce chapitre vous apprendra o rechercher ce type dinformation mise jour, et donnera des mthodes gnrales pour empcher de telles exactions davoir lieu.
11.2. Aper cu
Ce chapitre tentera dexpliquer certaines procdures et programmes communment employs pour vous aider rendre votre systme plus sr. Il est important de discuter de certains des concepts de base en premier, et crer une base de scurit, avant de commencer.
11.2.1. Pourquoi a-t-on besoin de s ecurit e?

Dans le monde en bullition des communications mondiales de donnes, connexions Internet peu chres, et dveloppement de programmes acclr, la scurit devient une question de plus en plus importante. La scurit est maintenant une ncessit de base, parce que linformatique mondiale est intrinsquement expose au danger. Alors que vos donnes circulent dun point A vers un point B sur Internet, par exemple, elles peuvent transiter par plusieurs autres points sur le trajet, donnant dautres la possibilit de les intercepter ou mme de les modier. Mme dautres utilisateurs sur votre systme peuvent intentionnellement modier vos donnes votre insu. Les 134
Chapitre 11. A propos de la scurit sous GNU/Linux accs non autoriss votre systme peuvent tres obtenus par des intrus, aussi appels crackers, qui utilisent alors des techniques avances pour se faire passer pour vous, vous voler de linformation, ou mme vous empcher daccder vos propres ressources. Si vous vous demandez quelle est la diffrence entre un hacker et un cracker , lisez le documentHow to Become a Hacker (http://www.catb.org/~esr/faqs/hacker-howto.html) de Eric Raymond.
11.2.2. Degr e de s ecurit e

Il convient de garder lesprit quaucun systme ne peut jamais tre absolument sr. Tout ce que vous pouvez faire, est de rendre la tche de plus en plus difcile quiconque tenterait de compromettre votre systme. Pour lutilisateur moyen de GNU/Linux, il suft de peu pour garder le cracker lcart. Nanmoins, pour les utilisateurs GNU/Linux de renom (banques, compagnies de tlcommunications, etc), beaucoup plus de travail est ncessaire. Un autre facteur prendre en compte est que au plus votre systme est scuris, au plus votre scurit devient intrusive. Vous devez dcider un juste milieu, compromis entre la scurit et la facilit dutilisation. En fait, vous pourriez exiger que toute personne se connectant votre systme utilise un modem retour dappel (call-back) pour les rappeler leur propre numro de tlphone. Cela est plus sr, mais si quelquun nest pas chez lui, cela devient difcile pour lui de se connecter. Vous pouvez aussi congurer votre systme GNU/Linux sans rseau ou connexion Internet, mais cela rduit son utilit. Si vous tes en charge dun site de taille moyenne grande, vous devriez tablir une politique de scurit faisant tat du degr de scurit requis pour votre site, et de quel outil daudit est en place pour le contrler. Vous pouvez trouver un exemple bien connu de politique de scurit sur le site faqs.org (http://www.faqs.org/rfcs/rfc2196.html). Il propose un modle exhaustif pour tablir un plan de scurit pour votre socit.
11.2.3. Quessayez-vous de prot eger ?

Avant dessayer de scuriser votre systme, vous devriez dterminer de quel niveau de menace vous avez vous protger, quels risques vous pouvez ou ne pouvez pas prendre, et comme rsultat, quel sera le degr de vulnrabilit de votre systme. Vous devriez analyser votre systme pour savoir ce 135
Chapitre 11. A propos de la scurit sous GNU/Linux que vous protgez, pourquoi vous le protgez, quelle est sa valeur, et qui est responsable pour vos donnes et autres biens.
Le risque est la possibilit quun intrus puisse russir accder votre ordinateur. Un intrus peut-il lire ou crire des chiers, ou excuter des programmes qui pourraient faire des dgts ? Peut il dtruire des donnes critiques ? Peut-il vous empcher vous ou votre compagnie de raliser un travail important ? Noubliez pas : quelquun ayant accs votre compte ou votre systme peut se faire passer pour vous. Mais aussi, un seul compte non scuris sur votre systme peut conduire compromettre le rseau tout entier. Si vous autorisez un seul utilisateur se connecter en utilisant un chier .rhosts, ou utiliser un service non scuris tel que tftp, vous prenez le risque de voir un intrus mettre un pied dans la porte . Une fois que lintrus a un compte utilisateur sur votre systme, ou le systme de quelquun dautre, il peut tre utilis pour obtenir laccs un autre systme ou un autre compte. Le danger vient gnralement de quelquun ayant des motivations pour obtenir un accs pervers votre rseau ou ordinateur. Vous devez dcider en qui vous avez conance pour leur donner accs votre systme, et quelle menace ils reprsentent. Il y a plusieurs types dintrus, et il est utile davoir lesprit leurs diffrentes caractristiques pendant que vous mettez en place la scurit de votre systme.
Le Curieux - Ce type dintrus est surtout intress par le type de votre systme et les donnes qui sy trouvent. Le Malveillant - Cet intrus est l pour faire crouler votre systme, modier vos pages Web, ou mme vous obliger dpenser du temps et de largent pour vous remettre des dommages causs. Lintrus Clbre - Ce type dintrus essaye dutiliser votre systme pour augmenter sa cte de popularit et dinfamie. Il est susceptible dutiliser la popularit de votre systme pour afcher ses capacits. Le Concurrent - Cet intrus est intress par les donnes qui se trouvent sur votre systme. Il peut dagir de quelquun qui pense que vous possdez des informations dont il pourrait tirer prot, nancirement ou autre.
136
Chapitre 11. A propos de la scurit sous GNU/Linux
Le Locataire - Ce type dintrus souhaite sinstaller sur votre systme, et utiliser ses ressources pour son propre compte. Il fait gnralement tourner des serveurs chat ou IRC, site darchives pornographiques, ou mme des serveurs DNS. Le Passager - Cet intrus nest intress par votre systme que pour obtenir laccs dautres systmes. Si votre systme est bien connect, ou une passerelle vers certains htes internes, vous tes directement expos ce type dindividu.
La vulnrabilit dcrit le degr de protection de votre ordinateur depuis dautres rseaux, et la possibilit pour quelquun dobtenir un accs non autoris. Quy a-t-il en jeu si quelquun casse votre systme ? Bien sr, les soucis dun particulier en connexion PPP seront diffrents dune socit connectant leurs machines Internet, ou un autre grand rseau. Combien de temps cela prendrait-il de rcuprer/recrer des donnes qui seraient perdues ? Un investissement de temps maintenant peut conomiser dix fois plus de temps plus tard, si vous devez recrer des donnes perdues. Avez vous vri votre stratgie de sauvegarde, et vri vos donns rcemment ?
11.2.4. D evelopper une politique de s ecurit e

Crez une politique simple, gnrique, que vos utilisateurs pourront aisment comprendre et suivre. Cela devrait protger les donnes et lintimit des utilisateurs. Certains aspects que vous pouvez aborder sont : Qui a accs au systme (ma ance peut-elle utiliser mon compte ?) Qui est autoris installer des programmes sur le systme, qui possde quelle donne, rcupration des catastrophes, et utilisation approprie du systme. Une politique de scurit gnralement accepte commence par la phrase Ce qui nest pas permis est interdit Ceci signie que, moins que vous nautorisiez laccs un service pour un utilisateur, cet utilisateur ne devrait pas utiliser ce service jusqu ce que vous ly autorisiez. Assurez vous que les rgles fonctionnent pour votre compte dutilisateur normal. Vous dire Ah, je narrive pas rsoudre ce problme 137
Chapitre 11. A propos de la scurit sous GNU/Linux de permissions, je vais le faire comme root peut conduire des trous de scurit vidents et dautres nayant pas encore t exploits. RFC 1244 (ftp://www.faqs.org/rfcs/rfc1244.html) est un document dcrivant comment crer votre propre politique de scurit rseau. RFC 1281 (ftp://www.faqs.org/rfcs/rfc1281.html) est un document qui dcrit un exemple de politique de scurit avec des descriptions dtailles de chaque tape. Enn, vous pourrez jeter un coup doeil la bibliothque COAST (ftp: //coast.cs.purdue.edu/pub/doc/policy) pour voir de quoi ont lair de vritables politiques de scurit.
11.2.5. Moyens pour s ecuriser votre site

Cette section va aborder plusieurs moyens grce auxquels vous pourrez scuriser les entits pour lesquelles vous avez travaill dur : votre propre machine, vos donnes, vos utilisateurs, votre rseau, et mme votre rputation. Quarriverait il votre rputation si un intrus effaait des donnes de vos utilisateurs ? Ou dgure votre site Web ? Ou publie le projet trimestriel de votre compagnie ? Si vous envisagez une installation rseau, il y a beaucoup de facteurs dont vous devez tenir compte avant dajouter une simple machine votre rseau. Mme si vous avez un simple compte PPP , ou juste un petit site, cela ne signie pas que les intrus se dsintresseront de votre systme. Les grands sites clbres ne sont pas les uniques cibles, beaucoup dintrus veulent simplement pntrer le plus de sites possibles, sans gard leur taille. De plus, ils peuvent utiliser un trou de scurit de votre site pour obtenir laccs dautres sites auxquels vous tes connects. Les intrus ont beaucoup de temps devant eux, et peuvent sconomiser de deviner comment vous avez bouch les trous, simplement en essayant toutes les possibilits. Il y a aussi plusieurs raisons pour lesquelles un intrus peut tre intress par votre systme, ce que nous traiterons plus tard.
11.2.5.1. S ecurit e de lh ote

Sans doute le domaine de scurit sur lequel les administrateurs se concentrent le plus. Cela implique gnralement de vous assurer que votre propre systme est sr, et esprer que tous les autres sur votre rseau font de mme. Choisir de bons mots de passe, scuriser les services rseau de 138
Chapitre 11. A propos de la scurit sous GNU/Linux votre hte local, garder de bons registres de comptes et mettre jour les programmes qui rsolvent des trous de scurit sont parmi les tches dont est responsable ladministrateur scurit local. Bien que cela soit absolument ncessaire, cette tche peut devenir harassante ds que votre rseau dpasse la taille de quelques machines.
11.2.5.2. S ecurit e du r eseau local

La scurit rseau est tout autant ncessaire que la scurit de lhte local. Avec des centaines, des milliers, ou plus, dordinateurs sur le mme rseau, vous ne pouvez supposer que chacun de ces systmes soit sr. Vous assurer que seuls les utilisateurs autoriss peuvent utiliser votre rseau, construire des pare-feu, utiliser du cryptage lourd, et sassurer quil ny a pas de machine crapuleuse (non sre) sur votre rseau font partie des devoirs de ladministrateur de la scurit du rseau. Ce document va aborder certaines des techniques utilises pour scuriser votre site, et ainsi vous montrer certaines faons de prvenir quun intrus obtienne laccs ce que vous essayez de protger.
11.2.5.3. La s ecurit e par lobscurit e

Un certain type de scurit qui doit tre abord est La scurit par lobscurit . Cela signie par exemple, dplacer un service qui est vulnrable vers un port non standard, en esprant que cela droutera les attaquants. Un temps sufra pour quils dcouvrent la supercherie et exploitent le vulnrabilit. La scurit par lobscurit signie aucune scurit. Simplement parce que vous avez un petit site ou peu de notorit, ne signie pas quun intrus ne sera pas intress par ce que vous avez. Nous discuterons de ce que vous protgez dans les prochaines sections.
11.2.6. Organisation de ce chapitre

Ce chapitre a t divis en un certain nombre de sections. Elles couvrent plusieurs larges problmes de scurit. La premire Scurit physique, page 140, explique comment vous devez protger votre machine physique de violations. La seconde, Scurit locale, page 146, dcrit comment protger votre systme de violations par des utilisateurs locaux. La troisime, Scurit des chiers et des systmes de chiers, page 149, vous enseigne comment congu139
Chapitre 11. A propos de la scurit sous GNU/Linux rer votre systme de chiers et les permissions sur les chiers. La suivante, Scurit des mots de passe et cryptage, page 157, traite des moyens de cryptage pour mieux scuriser machines et rseaux. Scurit du noyau, page 169 dbat des options du noyau (kernel) que vous pouvez utiliser pour un systme plus sr. Scurit rseau, page 174, dcrit comment mieux scuriser votre systme GNU/Linux dattaques rseau. Prparation de scurit (avant de vous connecter), page 187, vous informe de la prparation des machines avant leur connexion. Ensuite, Que faire, avant et pendant une effraction, page 190, conseille lattitude avoir lors d une intrusion en cours et comment dtecter une intrusion rcente. Dans Documents de base, page 194, quelques documents de base sur la scurit sont recenss. La section Questions et Rponses Foire aux questions, page 197, rpond quelques questions frquentes, et enn une section Conclusion, page 200. Les deux points principaux raliser lors de la lecture de ce chapitre sont :
Soyez conscient de votre systme. Consultez les logs systmes /var/log/ messages, gardez un oeil sur votre systme, et Gardez votre systme jour en vous assurant que soient installes les dernires versions des programmes mis jour pour les alertes de scurit. Cette simple prcaution rendra votre systme notablement plus sr.
11.3. S ecurit e physique

Le premier niveau de scurit que vous devez prendre en compte est la scurit physique de vos systmes dordinateurs. Qui a un accs physique direct votre machine ? Devrait-il ? Pouvez-vous protger votre machine dune intrusion de leur part ? Devez vous ? le degr de scurit physique dont vous avez besoin sur votre systme dpend beaucoup de votre situation et/ou de votre budget. Si vous tes un particulier, vous nen aurez sans doute pas trop besoin (cependant vous pourriez avoir besoin de protger votre machine de vos enfants ou de visiteurs gnants. Si vous tes dans un laboratoire, vous en avez besoin de beaucoup plus, mais les utilisateurs devront nanmoins pouvoir travailler sur les machines. Beaucoup des sections suivantes vous y aideront. Si vous tes dans des bureaux, vous aurez ou non besoin de protger votre machine pendant les heures de pause ou lorsque vous tes absent. Dans certaines socits, laisser votre console non scurise est un crime grave. 140
Chapitre 11. A propos de la scurit sous GNU/Linux Des mthodes de scurit physiques comme des serrures sur les portes, cbles, armoires fermes, et vido surveillance sont de bonnes ides, mais en dehors de la porte de ce chapitre.
11.3.1. Verrouillage de lordinateur

De nombreux botiers dordinateur proposent une option de verrouillage . Cela se prsente gnralement sous la forme dune serrure sur lavant du botier vous permettent de passer dun tat dverrouill verrouill laide dune cl. Ce type de verrouillage peut empcher quelquun de voler votre ordinateur, ou ouvrir le botier pour directement manipuler ou voler votre matriel. Il peut aussi parfois empcher le redmarrage de la machine par une disquette ou autre. Ces verrouillages de botier font diffrentes choses selon le support par la carte mre et la conception du botier. Sur beaucoup dordinateurs ils font en sorte que vous devez casser le botier pour pouvoir louvrir. Sur dautres, ils empchent la connexion de nouveaux claviers ou souris. Consultez les caractristiques de votre carte mre ou du botier pour plus de renseignements. Ils peuvent tre parfois une caractristique trs utile, mme si la serrure est parfois de trs mauvaise qualit, et facile forcer avec un passe-partout. Certains botiers (particulirement des SPARCs et macs) possdent un anneau larrire, de sorte que si vous y passez un cble lattaquant devra couper le cble ou casser le botier pour pouvoir louvrir. Y mettre un cadenas ou une chane peut avoir un bon effet dissuasif sur quelquun essayant de voler votre machine.
11.3.2. S ecurit e au niveau du BIOS

Le BIOS est le niveau logiciel le plus bas qui congure ou manipule votre matriel x86. LILO ou dautres mthodes de boot GNU/Linux accdent au BIOS pour dterminer comment dmarrer votre machine GNU/Linux. Les autres architectures sur lesquelles GNU/Linux tourne ont des programmes similaires (OpenFirmware sur Macs et nouveaux Sun, Sun boot PROM, etc.). Vous pouvez utiliser votre BIOS pour empcher les attaquants de redmarrer votre machine et y manipuler votre systme GNU/Linux. La plupart des BIOS de PC permettent la conguration dun mot de passe. Cela ne garantit pas beaucoup de scurit (le BIOS peut tre rinitialis, ou enlev si quelquun a accs au botier), mais peut tre une bonne dissuasion 141
Chapitre 11. A propos de la scurit sous GNU/Linux (cest dire que cela prendra du temps et laissera des traces deffraction).Cela ralentira les attaquants potentiels. Le mot de passe par dfaut savre un autre risque lorsque vous faites conance au mot de passe du BIOS pour scuriser votre systme. La plupart des fabricants de BIOS ne sattendent pas ce que les utilisateurs ouvrent leur ordinateur et dconnectent les batteries sils oublient leur mot de passe et ont muni leurs BIOS de mots de passe par dfaut qui fonctionnent, nonobstant le mot de passe que vous avez choisi. Voici certains des mots de passe les plus communs :
j262 AWARD_SW AWARD_PW lkwpeter Biostar AMI Award bios BIOS setup cmos AMI!SW1 AMI?SW1 password hewittrand shift + s y x z
Jai test un BIOS Award et AWARD_PW ont fonctionn. Ces mots de passe sont assez faciles obtenir sur les sites Web des fabricants ou sur astalavista (http://astalavista.box.sk) et en tant que tel, un mot de passe de BIOS ne peut pas tre considr comme une protection adquate contre les attaquants informs. Beaucoup de BIOS x86 vous permettent aussi de spcier plusieurs autres bons paramtres de scurit. Consultez le manuel de votre BIOS ou explorez le la prochaine fois que vous redmarrez. Par exemple, certains BIOS dsactivent le dmarrage depuis une disquette et dautres demandent un mot de passe pour pouvoir accder aux caractristiques du BIOS.
Si votre machine est un serveur, et vous congurez un mot de passe de d emarrage, votre machine ne pourra pas red emarrer toute seule. Gardez ` a lesprit que vous aurez besoin de vous d eplacer et fournir le mot de passe en cas de coupure de courant.
142
11.3.3. S ecurit e du chargeur de d emarrage

Gardez lesprit lorsque vous mettez en place tous ces mots de passe, que vous devez vous en souvenir ! Rappelez-vous aussi que ces mots de passe vont seulement ralentir un intrus dtermin. Ils ne vont pas empcher quelquun de dmarrer partir dune disquette et monter votre partition racine. Si vous utilisez la scurit en conjonction avec votre chargeur de dmarrage, vous devriez aussi dsactiver le dmarrage depuis une disquette, ainsi que protger laccs au BIOS. Si vous utilisez la scurit en conjonction avec votre chargeur de dmarrage, vous devriez aussi protger laccs au PROM.
Une fois encore, si votre machine est un serveur, et vous congurez un mot de passe de d emarrage, votre machine ne pourra pas red emarrer toute seule. Gardez ` a lesprit que vous aurez besoin de vous d eplacer et fournir le mot de passe en cas de coupure de courant.
11.3.3.1. Avec LILO

LILO propose les paramtres password et restricted; password exige un mot de passe chaque redmarrage, alors que restricted demande un mot de passe seulement si vous spciez des options au prompt (comme single) au prompt LILO . Rfrez-vous lilo.conf(5) pour de plus amples informations sur les paramtres password et restricted. Gardez aussi en tte que /etc/lilo.conf devra tre en mode 600 (lecture et criture pour root seulement), sinon dautres personnes pourront lire vos mots de passe de dmarrage !
11.3.3.2. Avec GRUB

GRUB est assez exible en ce qui concerne la conguration dun mot de passe au dmarrage : le chier de conguration par dfaut (/boot/grub/menu.lst) peut contenir une ligne permettant de charger un nouveau chier de conguration contenant des options diffrentes. Ce nouveau chier peut abriter un nouveau mot de passe permettant daccder un troisime chier de conguration, et ainsi de suite.
143
Chapitre 11. A propos de la scurit sous GNU/Linux Donc, dans votre chier /boot/grub/menu.lst, vous devez ajouter une ligne ressemblant :
password tr` es_secret /boot/grub/menu2.lst
et bien entendu, vous devez gnrer un nouveau chier de conguration du nom de /boot/grub/menu2.lst vers lequel vous dplacerez les entres non scurises, prcdemment enleves du chier /boot/grub/menu.lst. Rfrez-vous la page GRUB info pour plus dinformations.
11.3.4. kxlock et vlock

Si vous vous loignez de votre machine de temps autre, il est bon de verrouiller votre console an que personne ne puisse manipuler ou regarder votre travail. Pour ce faire, vous pouvez utiliser les programmes klock ou vlock. klock est un verrouilleur dcran X;. Vous pouvez lancer klock depuis nimporte quel terminal X, il verrouillera alors lafchage et exigera un mot de passe pour pouvoir y retourner. La plupart des environnements graphiques proposent aussi cette option dans leurs menus respectifs. vlock est un simple petit programme qui vous permet de verrouiller quelques unes ou toutes les consoles de votre machine GNU/Linux. vous pouvez bloquer juste celle que vous utilisez ou bien toutes. Si vous nen bloquez quune, dautres peuvent venir et utiliser la console ; ils ne seront simplement pas autoriss utiliser votre console jusqu ce que vous la dverrouilliez. Bien sr, verrouiller votre console empchera quelquun de falsier votre travail, mais ne les empchera pas de redmarrer la machine, et ainsi interrompre votre travail. a ne les empche pas non plus daccder votre machine depuis une autre et y faire des dgts. Plus important, cela nempche personne de quitter compltement X Window System et daller sur un prompt de console virtuelle normale, ou la console (VC) depuis laquelle X (X11) a t dmarr et la suspendre, obtenant ainsi vos privilges. Pour cette raison, vous ne devriez utiliser cela que sous le contrle de KDM (ou autre).
144
11.3.5. La s ecurit e des p eriph eriques locaux

Si une webcam ou un microphone est reli votre systme, vous devriez analyser sil est possible quun attaquant gagne laccs votre systme par leur entremise. Lorsquils ne sont pas utiliss, dbrancher ou carrment enlever ces priphriques savre une option intelligente. Sinon, vous devriez lire la documentation et examiner tout logiciel qui pourrait donner accs ces priphriques.
11.3.6. D etecter des violations physiques de s ecurit e

La premire chose toujours noter, est quand la machine est redmarre. Du fait que GNU/Linux est un systme dexploitation stable et robuste, les seules fois o votre machine devrait redmarrer, est lorsque vous larrtez pour des mises jour majeure, changement de matriel, ou des actions de cet ordre. Si votre machine a redmarr sans votre intervention, cela pourrait tre un signe quun intrus la viole. Beaucoup des manires de violer votre machines impliquent en effet le redmarrage ou larrt de celle-ci. Vrier quil ny a aucune trace deffraction sur le botier et dans la zone de la machine. Bien que la plupart des intrus nettoient les traces de leur passage des logs, cest une bonne ide de les vrier et noter toute irrgularit. Cest aussi une bonne ide de garder les donnes de logs en un endroit sr, comme un serveur de logs ddi, lintrieur de votre rseau bien protg. Lorsque une machine a t viole, les donnes de logs deviennent de peu dutilit, car il est fort probable quils aient aussi ts modis par lintrus. Le dmon syslog peut tre congur pour envoyer automatiquement les donnes de logs vers un serveur syslog central, mais les donnes sont gnralement envoyes en clair, permettant un intrus de consulter les logs lors du transfert. Cela pourrait rvler des informations sur votre rseau qui ne devraient pas tre dvoiles. Il y a des dmons syslog disponibles qui cryptent les donnes lorsquelles sont envoyes. Soyez aussi conscient que falsier les messages de syslog est facile - avec un programme de craquage ayant t publi. syslog accepte mme les entres de logs rseau qui prtendent venir de lhte local sans mme indiquer leur origine relle. Quelques points vrier dans vos logs :
Logs courts ou incomplets. 145

Logs contenant des dates tranges. Logs avec des permissions ou propritaire incorrects. traces de redmarrage de la machine ou de services. Logs manquants. Entres su ou connections depuis des origines inhabituelles.
Nous parlerons des donnes logs systme dans le chapitre Gardez trace des donnes de journalisation du systme, page 188.
11.4. S ecurit e locale

Laspect suivant regarder est la scurit de votre systme vis--vis des utilisateurs locaux. Avons-nous dit utilisateurs locaux ? Oui ! Obtenir laccs au compte dun utilisateur local est la premire chose que fait un intrus, sur le chemin de lexploitation du compte root. Avec une scurit locale laxiste, il peut alors amliorer ses privilges du compte normal vers des privilges de root en utilisant un certain nombre de bogues et de services locaux mal congurs. Si vous vous assurez que votre scurit locales est serre, alors lintrus suera un peu plus pour passer la barre. Les utilisateurs locaux peuvent aussi causer beaucoup de dgts sur votre systme, mme (et surtout) sils sont vraiment qui ils prtendent tre. Donner des comptes des gens que vous ne connaissez pas ou pour lesquels vous navez pas de renseignements est une trs mauvaise ide.
11.4.1. Cr eer de nouveaux comptes

Vous devriez vous assurer de fournir aux comptes utilisateurs le strict minimum requis pour leur tche. Si vous donnez un compte votre ls (10 ans), vous voudrez peut-tre quil puisse accder un traitement de textes et un programme de dessin, mais quil ne puisse pas effacer des donnes qui ne sont pas les siennes. Plusieurs bonnes rgles suivre lorsque vous autorisez des gens accder votre machine GNU/Linux :
146

Leur donner la plus exacte quantit de privilges dont ils ont besoin. Sassurer de quand/o ils se connectent, ou devraient se connecter. Sassurer de supprimer les comptes inutiliss, que vous trouverez aisment en utilisant la commande last ou en vriant les chiers journaux pour dterminer si ces utilisateurs sont encore actifs. Pour faciliter la maintenance des comptes et lanalyse des donnes de logs, il est conseill dutiliser le mme numro dusager (userid) sur tous les ordinateurs et rseaux. La cration de groupes de userids devrait tre strictement interdite. Les comptes dutilisateurs permettent aussi la responsabilisation, ce qui est rendu impossible par les comptes groups.
Beaucoup de comptes dutilisateurs locaux qui sont utiliss dans des effractions de scurit nont pas t utiliss pendant des mois ou des annes. Comme personne ne les utilise, ils sont des vecteurs dattaque idaux.
11.4.2. S ecurit e pour root

Le compte le plus sollicit sur votre machine est le compte root (superutilisateur). Ce compte a lautorit sur toute la machine, ce qui peut aussi inclure lautorit sur dautres machines du rseau. Rappelez vous que vous ne devriez utiliser le compte root que pour de trs courtes tches particulires, et tre le plus souvent sous votre compte normal. Mme de petites erreurs commises lorsque vous tes connect en tant que root peuvent causer des problmes. Moins vous tes connect avec les privilges de root, plus sr ce sera. Plusieurs astuces pour viter de bousiller votre propre machine en tant que root :
Lorsque vous effectuez des commandes complexes, essayer de les faire tourner dabord de manire non destructive... tout particulirement les commandes qui utilisent lenglobement. Cest--dire, si vous voulez faire rm -f foo*.bak, lancez dabord ls foo*.bak et assurez vous que vous allez effectivement effacer les chiers que vous pensiez. Utiliser echo la place dune commande destructive marche aussi parfois. Ne devenez root que pour lancer des tches spciques. Si vous vous retrouvez en train de vous demandez comment faire pour rsoudre un pro147
Chapitre 11. A propos de la scurit sous GNU/Linux blme, revenez sous votre compte normal, jusqu ce que vous soyez sr de ce que vous avez besoin de faire en tant que root.
Le chemin de commandes pour lutilisateur root est trs important. Ce chemin de commandes (cest a dire, la variable d environnement PATH) dsigne les rpertoires dans lesquels le shell cherche les programmes. Essayez de limiter le chemin de commandes pour lutilisateur root le plus possible, et ny incluez jamais . (qui signie le rpertoire courant ) dans votre PATH. De plus, nayez jamais de rpertoires en criture dans votre chemin de recherche, car cela pourrait permettre aux attaquants de modier ou placer de nouveaux binaires dans votre chemin de recherche, leur permettant de se lancer comme root la prochaine fois que vous utilisez la commande. Nutilisez jamais la suite doutils rlogin/rsh/rexec (appels les rutilitaire ) en tant que root. Ils sont sujets de plusieurs attaques, et sont cruellement dangereux utiliss comme root. Ne crez jamais un chier .rhosts pour root. le chier /etc/securetty contient la liste des terminaux depuis lesquels root peut se connecter. Par dfaut, cela est arrt aux consoles virtuelles locales (ttys). Soyez trs prudent lors de lajout de nouvelles choses ce chier. Vous devriez tre capable de vous connecter distance avec votre compte normal, puis utiliser su si ncessaire (de prfrence sous couvert de ssh ou un autre tube crypt), il ny a donc pas de besoin de se connecter directement sous root. Soyez toujours lent et rchi sous root. Vos actions peuvent modier beaucoup de choses, faites sept fois le tour du clavier avant de taper!
Si vous avez absolument besoin dautoriser quelquun (de prfrence de toute conance) avoir un accs root sur votre machine, il y a un certain nombre doutils qui peuvent vous y aider. sudo autorise les utilisateurs accder un certain nombre de commandes comme root avec leur propre mot de passe. Cela devrait vous permettre ainsi de laisser un utilisateur jecter et monter un support amovible, sans aucun autre privilge root. sudo garde aussi une trace de toutes les tentatives russies ou non dutilisation, vous permettant de savoir qui a utilis quelle commande pour faire quoi. Pour cette raison sudo marche bien mme des endroits o certaines personnes ont des accs root, car il vous aide suivre les changements apports. Bien que sudo puisse tre utilis pour donner certains utilisateurs des privilges pour effectuer certaines tches, il prsente quelques inconvnients. 148
Chapitre 11. A propos de la scurit sous GNU/Linux Il devrait tre utilis uniquement pour un ensemble de tches limites, comme redmarrer un serveur ou ajouter de nouveaux utilisateurs. Tout programme offrant une fuite vers un shell donnera laccs root un utilisateur linvoquant depuis sudo. Cela inclut la plupart des diteurs, par exemple. De mme, un programme aussi inoffensif que /bin/cat peut tre utilis pour craser des chiers, ce qui pourrait tre utilis pour exploiter root. Envisagez sudo comme un moyen de responsabilisation, mais nesprez pas quil remplace lutilisateur root tout en tant sr.
11.5. S ecurit e des chiers et des syst` emes de chiers

Quelques minutes de prparation et de planication avant de mettre votre systme en ligne peut vous aider le protger ainsi que les donnes quil contient.
Il ne devrait y avoir aucune raison pour que le rpertoire maison dun utilisateur y autorise lexcution de programmes SUID/SGID. Utiliser loption nosuid dans /etc/fstab pour les partitions en criture par dautres que root. vous pourrez aussi souhaiter utiliser nodev et noexec sur la partition des rpertoires des utilisateurs, ainsi que sur /var, interdisant ainsi lexcution de programmes, et la cration de priphriques caractre ou bloc, qui ne devraient jamais tre ncessaires de toute faon. Si vous exportez des systmes de chier via NFS, assurez vous de congurer /etc/exports avec le plus de restrictions daccs possibles. Cela signie ne pas utiliser de caractres denglobement (* ?) ni autoriser un accs pour root en criture, et exporter en lecture seule chaque fois que cest possible. Congurez le umask de cration de chier des utilisateurs le plus restrictif possible, voir Paramtres umask , page 151. Si vous montez des systmes de chier en utilisant un systme de chier rseau comme NFS, assurez vous de congurer /etc/exports avec des restrictions appropries. Gnralement, utiliser nodev, nosuid, et mme noexec, est souhaitable. Fixer les limites du systme de chier, au lieu de le laisser illimit comme il est par dfaut. Vous pouvez contrler des limites par utilisateurs en utilisant le module de limites de ressources PAM et le chier /etc/pam.d/ 149
Chapitre 11. A propos de la scurit sous GNU/Linux limits.conf. Par exemple, les limites pour le groupe users pourraient ressembler cela :
@users @users @users hard hard hard core nproc rss 0 50 5000
Cela interdit la cration de chiers core , limite le nombre de processus 50, et limite lutilisation de la mmoire par utilisateur 5Mo. Vous pouvez aussi utiliser le chier de conguration /etc/login.defs pour rgler les mmes limites. Les chiers /var/log/wtmp et /var/run/utmp contiennent les registres de connexion pour tous les utilisateurs de votre systme. Leur intgrit doit tre assure, car ils peuvent tre utiliss pour dterminer quand et do un utilisateur (ou un possible intrus) est entr sur le systme. Ces chiers devraient aussi avoir des permissions en 644, sans affecter la marche normale du systme. Le bit inaltrable peut tre utilis pour empcher leffacement ou lcrasement accidentel dun chier qui doit tre protg. Cela empche aussi quelquun de crer un lien dur vers le chier. Voir la page chattr(1) pour plus dinformation sur le bit inaltrable . Les chiers SUID et SGID sur votre systme prsentent un risque potentiel de scurit, et devraient tre surveills de prs. Du fait que ces programmes donnent des privilges particuliers aux utilisateurs qui les excutent, il est ncessaire de sassurer que des programmes non srs ne sont pas installs. Un coup favori des crackers est dexploiter les programmes SUID-root, puis laisser un programme SUID comme porte drobe (backdoor) pour rentrer nouveau plus tard, mme si le trou original a t bouch. Cherchez tous les programmes SUID/SGID sur votre systme, et gardez une trace de ce quils sont, de sorte que vous puissiez vous rendre compte de tout changement, ce qui pourrait indiquer un intrus potentiel. Utilisez les commandes suivantes pour trouver tous les programmes SUID/SGID de votre systme :
root# find / -type f $ -perm -04000 -o -perm -02000 $
150
Chapitre 11. A propos de la scurit sous GNU/Linux Vous pouvez supprimer la permission SUID ou SGID sur un programme suspect avec la commande chmod, puis changez-la nouveau si vous vous rendez compte que cest absolument ncessaire. Les chiers en criture non restreinte (world-writable), plus particulirement les chiers systmes, peuvent tre un trou de scurit si un cracker obtient laccs votre systme, et les modie. De plus, les rpertoires en criture non restreinte sont dangereux, car ils autorisent un cracker de crer ou effacer des chiers volont. pour localiser de tels chiers sur votre systme, utilisez la commande suivante :
root# find / -perm -2 ! -type l -ls
et assurez-vous de la cause de lexistence de tels chiers. En utilisation normale, plusieurs chiers seront en criture non restreinte, mme certains chiers de /dev, et les liens symboliques, do le ! -type l qui exclut ces derniers de la commande find.
Les chiers sans propritaire peuvent aussi tre un signe quun intrus est pass par l. Vous pouvez localiser les chiers qui nont pas de propritaire ou de groupe propritaire grce la commande :
root# find / $ -nouser -o -nogroup $ -print
Trouver les chiers .rhosts devrait faire partie de vos devoirs dadministrateur systme, car ils devraient tre bannis de votre systme. Rappelez-vous quun cracker na besoin que dun compte ouvert pour avoir lopportunit daccder au rseau entier. Vous pouvez localiser les chiers .rhosts avec la commande :
root# find /home -name .rhosts -print
Enn, avant de changer les permissions dun chier systme, assurez-vous que vous comprenez ce que vous faites, ne changez jamais les permissions dun chier parce que cela semble tre une manire facile pour que tout marche bien. Cherchez toujours savoir pourquoi ce chier a ces permissions avant de les modier.
151
11.5.1. Param` etres umask

La commande umask peut tre utilise pour connatre le mode de cration des chiers par dfaut sur votre systme. Cest le complment octal du mode du chier en question. Si les chiers sont crs sans gard leurs permissions, lutilisateur pourrait donner des permissions en lecture ou en criture par inadvertance quelquun qui ne devrait pas avoir ces permissions. Gnralement, les paramtres umask sont 022, 027, ou 077 (qui est le plus restrictif). Normalement, le umask est x dans /etc/profile, de sorte quil sapplique tous les utilisateurs du systme. le masque de cration de chiers peut tre calcul en soustrayant la valeur souhaite de 777. En dautres termes, un umask de 777 implique que les chiers nouvellement crs de contiennent des permissions sans lecture, ni criture, ni excution pour tout le monde. Un masque de 666 implique que les chiers nouvellement crs ont un masque de 111. Par exemple, vous pourriez avoir une ligne comme celle-ci :
# Fixer le umask utilisateur par d efaut umask 033
Assurez-vous dutiliser un umask pour roots de 077, qui interdira lecture, criture, et excution pour les autres utilisateurs a moins que vous ne changiez cela explicitement avec la commande chmod. Dans ce cas, les rpertoires nouvellement crs devraient avoir des permissions de 744, obtenues en soustrayant 033 de 777. Les chiers nouvellement crs avec un umask de 033 devraient avoir des permissions de 644.
Pour Mandrakelinux, il est juste n ecessaire dutiliser un umask de 002. Cela est d u au fait que la conguration de base utilise un groupe par utilisateur.
11.5.2. Permissions des chiers

Il est important de vous assurer que vos chiers systme ne sont pas ouverts des modications accidentelles des utilisateurs et des groupes qui ne devraient pas faire de maintenance systme. UNIX diffrencie le contrle daccs aux chiers et rpertoire selon trois critres : propritaire, groupe, et autres. Il y a toujours un seul propritaire, un nombre quelconque de membres du groupe et tous les autres. Une explication rapide des permissions sous UNIX : 152
Chapitre 11. A propos de la scurit sous GNU/Linux Proprit Quels utilisateurs et groupes ont le contrle des paramtres de permission du noeud et du parent du noeud Permissions Bits susceptibles dtre mis ou enlevs pour permettre un certain type daccs. Les permissions pour les rpertoires peuvent avoir une signication diffrente des mmes paramtres de permissions sur un chier. Lecture :

tre capable de lire le contenu dun chier tre capable de lire un rpertoire
criture:

tre capable dajouter ou modier un chier tre capable de supprimer ou de dplacer des chiers dun rpertoire
Excution:

tre capable de lancer un programme binaire ou un script shell tre capable de chercher dans un rpertoire, en accord avec la permission de lecture
Attribut de sauvegarde du texte : (Pour les rpertoires) Le sticky bit (bit de conservation) a aussi un comportement diffrent lorsquil est appliqu aux rpertoires. Si le bit de conservation est mis sur un rpertoire, alors un utilisateur pourra seulement supprimer les chiers quil y possde, ou pour lesquels il a des droits explicites en criture, mme sil a les droits en criture sur ce rpertoire. Cela est conu pour des rpertoires tels que /tmp, qui sont world-writable (criture par tout le monde), mais o il ne vaut mieux pas que les utilisateurs puissent effacer des chiers lenvie. Le sticky bit est vu comme un t dans un listing de rpertoire dtaill.
153
Chapitre 11. A propos de la scurit sous GNU/Linux Attribut SUID : (Pour les chiers) Il sagit de la permission set-user-id (utiliser ID utilisateur) sur le chier. Quand le mode dutilisation de lID utilisateur est mis dans les permissions du propritaire, et si le chier est excutable, les processus qui lutilisent obtiennent les ressources systmes de lutilisateur qui possde le chier, et non plus de lutilisateur qui a lanc le processus. Cela est la cause de beaucoup de violations de type buffer overow (dpassement de mmoire tampon). Attribut SGID : (Pour chiers) Sil est utilis dans les permissions du groupe, ce bit contrle le statut set group id dun chier. Il se comporte comme pour suid, part que cest le groupe qui en est bnciaire. Le chier doit tre excutable pour faire effet.
Attribut SGID : (Pour rpertoires) Si vous activez le bitSGID sur un rpertoire (avec chmod g+s directory), les chiers qui y seront crs auront leur groupe mis au groupe du rpertoire. Vous Le propritaire du chier Groupe Le groupe auquel vous appartenez Tous Quiconque sur le systme qui nest ni propritaire, ni membre du groupe Exemple de chier :
-rw-r--r-- 1 kevin users 114 Aug 28 1997 .zlogin 1st bit - r epertoire? (non) 2nd bit - lecture propri etaire? (oui, par kevin) 3rd bit - ecriture par propri etaire? (oui, par kevin) 4th bit - ex ecution propri etaire? (non) 5th bit - lecture groupe? (oui, par users) 6th bit - ecriture groupe? (non) 7th bit - ex ecution groupe? (non) 8th bit - lecture tous? (oui, par tous) 9th bit - lecture tous? (non) 10th bit - ex ecution tous? (non)
154
Les lignes suivantes sont des exemples densembles de permissions qui sont ncessaires pour avoir laccs dcrit. Vous voudrez sans doute donner plus de permissions que celles donnes ici, mais on ne dcrit ici que leffet de ces permissions minimales :
-r---------w------Autoriser lacc` es en lecture au fichier par le propri etaire Autoriser le propri etaire ` a modifier ou effacer le fichier (Notez que quiconque ayant les droits d ecriture sur le r epertoire dans lequel se trouve le fichier peut l ecraser/effacer) ---x------ Le propri etaire peut ex ecuter ce programme, mais pas de script shell, qui de plus n ecessite un droit en lecture ---s------ Sera ex ecut e avec lUID du propri etaire ------s--- Sera ex ecut e avec le GID du groupe -rw------T Pas de mise ` a jour du "last modified time" (Heure de derni` ere modification). G en eralement utilis e pour le fichiers d echange (swap) ---------t Aucun effet. (anciennement bit de conservation)
Exemple de rpertoires :
drwxr-xr-x 3 kevin users 512 Sep 19 13:47 .public_html/ 1e bit - r epertoire? (oui, il contient de nombreux fichiers) 2e bit - lecture propri etaire? (oui, par kevin) 3e bit - ecriture propri etaire? (oui, par kevin) 4e bit - ex ecution propri etaire? (oui, par kevin) 5e bit - lecture groupe? (oui, par users) 6e bit - ecriture groupe? (non) 7e bit - ex ecution groupe? (oui, par users) 8e bit - lecture par tous? (oui, par tous) 9e bit - ecriture par tous? (non) 10e bit - ex ecution par tous? (oui, par tous)
Les lignes qui suivent sont des exemples des ensembles de permissions minimum requis pour autoriser laccs dcrit. Vous voudrez sans doute donner plus de permissions que celles donnes ici, mais on ne dcrit ici que leffet de ces permissions minimales :
dr-------d--x-----dr-x-----d-wx-----d-----x--t d--s--s--Le contenu peut ^ etre list e, mais lattribut des fichiers ne peut ^ etre lu Le r epertoire est accessible, et utilis e comme chemin en ex ecution compl` ete Les attributs de fichiers peuvent ^ etre lus par le propri etaire Les fichiers peuvent ^ etre cr e es/effac es, m^ eme si le r epertoire nest pas le r epertoire courant Emp^ eche leffacement de fichiers par "tous" ceux ayant un droit d ecriture. Utilis e pour /tmp Aucun effet
155
Chapitre 11. A propos de la scurit sous GNU/Linux Les chiers de conguration systme (gnralement dans /etc) ont souvent un mode de 640 (-rw-r-----), et sont possds par root. Selon les besoins en scurit de votre site, vous pouvez les ajuster. Ne laissez jamais un chier systme en criture pour un groupe ou pour tous. Certains chiers de conguration, dont /etc/shadow, devraient ntre en lecture que par root, et les rpertoires de /etc ne devraient pas tre accessibles par tous, au moins. Scripts Shell SUID les scripts shell suid reprsentent un srieux risque de scurit, et pour cette raison, le noyau nen tiendra pas compte. Quel que soit le degr de scurit que vous supposez pour ces scripts, ils peuvent tre exploits par le cracker pour lui fournir un shell root.
11.5.3. Contr oles dint egrit e

Une autre trs bonne manire de dtecter des attaques locales (et rseau) sur votre systme est de lancer un contrleur dintgrit comme Tripwire, Aide ou Osiris. Ces contrleurs dintgrit gnrent un certain nombre de sommes de contrle sur tous vos binaires et chiers systmes importants et les comparent une base de donnes prcdemment gnre de valeurs rfrences bien connues. Ainsi, tout changement dans un chier sera dtect. Cest un bon rexe dinstaller ce genre de programmes sur une disquette, puis dempcher physiquement lcriture sur celle-ci. De cette faon. les intrus ne pourront pas altrer le contrleur dintgrit lui-mme ou modier sa base de donnes. Une fois que vous avez une application de ce style congure, il est conseill de lajouter vos devoirs dadministrateurs systme pour vrier que rien na chang. Vous pouvez mme ajouter un entre crontab pour lancer le contrleur depuis votre disquette toute les nuits et vous envoyer un message le matin. Quelque chose comme :
# set mailto MAILTO=kevin # run Tripwire 15 05 * * * root /usr/local/adm/tcheck/tripwire
Vous enverra un rapport tous les matins 5H15. 156
Chapitre 11. A propos de la scurit sous GNU/Linux Les contrleurs dintgrit peuvent tre une aubaine pour dtecter des intrusions avant mme que vous ne puissiez les remarquer. Comme beaucoup de chiers changent sur un systme moyen, vous devrez faire le discernement entre des activits de cracker et vos propres agissements. Vous pouvez trouver une version libre et non prise en charge de Tripwire sur le site tripwire.org (http://www.tripwire.org), gratuitement. Des manuels et de lassistance technique peuvent tre achets. Aide peut tre trouv sur Sourceforge (http://sourceforge.net/projects/ aide). Osiris peut tre trouv OSIRIS Host Integrity Management (http:// osiris.shmoo.com/).
11.5.4. Chevaux de Troie

Les Chevaux de Troie tirent leur nom du clbre stratagme dcrit dans lIliade dHomre. Lide est quun cracker distribue un programme ou binaire qui semble intressant, et encourage dautres personnes le tlcharger et le lancer en tant que root. Alors, le programme peut compromettre leur systme pendant quils ny prtent pas attention. Alors quils pensent que le logiciel quils viennent de charger ne fait quune seule chose (et parfois trs bien), il transige aussi leur scurit. Vous devez prendre garde aux programmes que vous installez sur votre machine. Mandrakesoft fournit les sommes de contrle MD5 et les signatures PGP de chacun des RPM quil fournit, de sorte que vous puissiez vrier que vous installez la bonne chose. Vous ne devriez jamais lancer un binaire que vous ne connaissez pas, pour lequel vous navez pas les sources comme root ! Peu dattaquants souhaitent publier leur code source pour sondage public. Bien que cela puisse tre complexe, assurez-vous que vous obtenez le code source dun programme depuis son site rel de distribution. Si le programme doit tre lanc par root, assurez vous que vous ou quelquun de conance a regard les sources et les a vries.
157
11.6. S ecurit e des mots de passe et cryptage

La plupart des programmes de cryptage d ecrits dans ce chapitre sont disponibles dans votre distribution Mandrakelinux.
Une des caractristiques de scurit les plus importantes utilise aujourdhui est le mot de passe. Il est important que vous et vos utilisateurs ayez des mots de passe srs et impossibles deviner. Votre distribution Mandrakelinux fournit le programme passwd qui interdit lutilisation dun mot de passe trop simple. Assurez vous que votre version de passwd est jour. Une discussion en profondeur du thme du cryptage est au del de la porte de ce document, mais une introduction est de rigueur. Le cryptage est trs utile, parfois mme ncessaire notre poque. Il y a toutes sortes de mthodes de cryptage des donnes, chacune avec ses propres caractristiques. La plupart des UNIXs (et GNU/Linux ny fait pas exception) utilisent principalement un algorithme de chiffrement sens unique appel DES (Data Encryption Standard, soit Standard de cryptage de donnes) pour crypter vos mots de passe. Ce mot de passe crypt est alors gard dans le chier /etc/shadow. Quand vous essayez de vous connecter, le mot de passe que vous tapez est crypt nouveau et compar avec lentre contenue dans le chier qui contient les mots de passe. Sils concident, cela doit tre le mme mot de passe, et laccs est alors autoris. Bien que DES soit un algorithme de cryptage double sens (vous pouvez coder puis dcoder un message, la bonne cl tant fournie), les variantes utilises par la plupart des UNIXs sont sens unique. Cela signie quil ne devrait pas tre possible de renverser le chiffrement pour rcuprer le mot de passe daprs le contenu du chier /etc/shadow. Des attaques en force, du type Crack ou John the Ripper (voir la section Crack et John the Ripper, page 166) peuvent souvent deviner vos mots de passe, moins quils ne soient sufsamment alatoires. Les modules PAM (voir ci-dessous) vous permettent dutiliser diffrentes routines de cryptage pour vos mots de passe (MD5 ou similaire). Vous pouvez aussi utiliser Crack votre avantage. Envisagez de le lancer priodiquement sur votre propre base de mots de passe, pour trouver les mots de passe non srs. Contactez alors lutilisateur en infraction, et demandez lui de changer son mot de passe. Vous pouvez vous rendre sur le site du CERN (http://consult.cern.ch/ writeup/security/security_3.html) pour des conseils sur le choix dun bon mot de passe. 158
11.6.1. PGP et la cryptographie ` a cl e publique

La cryptographie cl publique, comme celle utilise par PGP, utilise une cl pour le cryptage, et une autre pour le dcryptage. La cryptographie traditionnelle, pourtant, utilise la mme cl pour le cryptage, et le dcryptage ; cette cl doit tre connue des deux cts, et quelquun a donc d transfrer de manire sre la cl dun ct lautre. pour soulager le besoin de transfrer de manire sre la cl de chiffrement, la cl publique de cryptage utilise deux cls spares : Une cl publique et une cl prive. La cl publique de chacun est disponible pour quiconque pour faire le cryptage, alors que cependant, chacun garde sa cl prive pour dcrypter les messages crypts avec la cl publique. Il y a des avantages aux deux mthodes de cryptage, cl publique ou cl prive, et vous pouvez lire propos de leurs diffrences : La FAQ pour la cryptographie RSA, cite la n de cette section. PGP (Pretty Good Privacy, soit intimit plutt bonne) est bien tolr par GNU/Linux. Les versions 2.6.2 et 5.0 sont reconnues pour leur stabilit. Pour des nouvelles de PGP et comment lutiliser, jetez un coup doeil aux diffrentes FAQs de PGP : faqs.org (http://www.faqs.org/faqs/pgp-faq/) Veillez utiliser la version autorise dans votre pays. Du fait des restrictions dexportation du gouvernement amricain, il est interdit de transfrer hors de ce pays de la cryptographie lourde sous forme lectronique. Les contrles dexportation des US sont maintenant grs par EAR (Export Administration Regulations), et non plus par ITAR. Il y a aussi un guide pas pas pour congurer PGP sous GNU/Linux disponible sur LinuxFocus (http://mercury.chem.pitt.edu/~angel/LinuxFocus/ English/November1997/article7.html). Il a t crit pour la version internationale de PGP, mais est aisment transposable la version des tatsUnis. Vous pourriez aussi avoir besoin de correctifs pour certaines des dernires versions de GNU/Linux; le correctif (patch) est disponible chez metalab (ftp://metalab.unc.edu/pub/Linux/apps/crypto). Il y a un projet travaillant sur une rimplantation libre de PGP sous licence open source . GnuPG est un remplaant complet et libre pour PGP. Du fait quil nutilise pas IDEA ou RSA il peut tre utilis sans aucune restriction. GnuPG respecte pratiquement OpenPGP (http://www.faqs.org/rfcs/ rfc2440.html). Voir la page Web GNU Privacy Guard (http://www.gnupg. org) pour plus dinformation.
159
Chapitre 11. A propos de la scurit sous GNU/Linux Vous trouverez plus de renseignements au sujet de la cryptographie dans la FAQ du site de la cryptographie RSA (http://www.rsasecurity.com/ rsalabs/faq/). Vous trouverez ici toute linformation sur des sujets tels que Dife-Hellman , cryptographie cl publique , certicats lectroniques , etc.
11.6.2. SSL, S-HTTP, et S/MIME

Les utilisateurs se demandent souvent ce qui diffrencient les diffrents protocoles de cryptage, et comment les utiliser. Bien que ce document ne soit pas consacr au cryptage, il est bon dexpliquer brivement ce quest chaque protocole, et o trouver plus dinformation.
SSL : - SSL (Secure Sockets Layer) est une mthode de cryptage dveloppe par Netscape pour fournir de la scurit sur Internet. Il prend en charge plusieurs protocoles de cryptage et fournit lauthentication du client et du serveur. SSL agit sur la couche transport, cre un canal crypt de donnes et peut ainsi encoder des donnes de diverses natures. Vous constaterez cela lorsque vous visiterez un site scuris pour consulter un document en ligne avec Communicator. Cest galement la base des communications scuritaires avec Communicator, ainsi quavec plusieurs composantes de chiffrement de donnes de Netscape Communications. Vous trouverez plus de renseignements sur le site Openssl.org (http://www.openssl.org). Des informations sur les autres implmentations de scurit de Netscape et un bon point de dpart pour ces protocoles sont disponibles sur le site de Netscape (http://wp.netscape.com/ security/index.html). Mentionnons aussi que le protocole SSL peut tre utilis pour passer nombre de protocoles communs, en les enveloppant par scurit. Voir le site de Quiltaholic (http://www.quiltaholic.com/ rickk/sslwrap/). S-HTTP : - S-HTTP est un autre protocole qui fournit des services de scurit par Internet. Il a t conu pour pourvoir, aux deux parties impliques dans les transactions, condentialit, authentication, intgrit, et non rpudiation [ne pas pouvoir tre pris pour un autre] tout en grant des mcanismes cls multiples et des algorithmes de cryptographie ngociation doptions. S-HTTP est limit au logiciel spcique qui limplmente et crypte chaque message individuellement. [ extrait de RSA Cryptography FAQ , page 138]
160
S/MIME : - S/MIME (Secure Multipurpose Internet Mail Extension, soit extension de courrier lectronique scuris porte multiple) est un standard de cryptage utilis pour crypter le courrier lectronique et autres types de messages sur Internet. Cest un standard ouvert dvelopp par la RSA, de sorte quil est probable quil apparaisse sous GNU/Linux un jour ou lautre. plus de renseignements sur S/MIME peuvent tre trouvs sur RFC2311 (http://www.ietf.org/rfc/rfc2311.txt).
11.6.3. Impl ementations IPSEC

A ct de CIPE, et dautres formes de cryptage de donnes, il y a aussi plusieurs implmentations de IPSEC pour GNU/Linux. IPSEC est une tentative de lIETF de cration de communications cryptes, donc sres, au niveau du rseau IP, pour assurer authentication, intgrit, contrle daccs, et condentialit. Des informations sur IPSEC le projet Internet peuvent tre consultes sur : ipsec Charter (http://www.ietf.org/html.charters/ ipsec-charter.html). Vous pouvez aussi trouver des liens vers dautres protocoles impliquant la gestion de cls, et une mailing list IPSEC et son archive. Limplmentation de GNU/Linux x-kernel, qui tait dveloppe la University of Arizona, utilise une base oriente objet pour implmenter les protocoles rseau appels x-kernel. En clair, le x-kernel est une mthode pour passer les messages au niveau du noyau, ce qui facilite limplmentation. Ce projet nest plus en dveloppement mais des renseignements peuvent tre trouvs sur le site The x-Kernel Project (http://openresource.com/openres/orgs/ DP/P/x-Kernel.shtml). Une autre implmentation librement disponible de IPSEC est lIPSEC FreeS/WAN GNU/Linux . Leur page Web indique : Ces services vous permettent de monter un tuyau scuris travers des rseaux non ables. Tout ce qui passe travers le rseau non able est crypt par la machine passerelle IPSEC et dcrypt par la passerelle lautre bout. Cela conduit un rseau priv virtuel ou VPN (Virtual Private Network). Cest un rseau qui est effectivement priv, mme sil inclut des machines de plusieurs sites diffrents interconnects par Internet, non srs. Elle est disponible en tlchargement sur le site Linux FreeS/WAN (http: //www.freeswan.org/).
161
Chapitre 11. A propos de la scurit sous GNU/Linux De mme que dautres formes de cryptographie, elle nest pas distribue dans le noyau par dfaut, cause des restrictions lexportation.
11.6.4. ssh (shell s ecuris e) et stelnet

ssh et stelnet sont des suites de programmes qui permettent de se connecter un systme distant avec des changes crypts. ssh est une suite de programmes utilise comme remplacement scuris de rlogin, rsh et rcp. Elle utilise la cryptographie cl publique pour crypter les communications entre deux htes, ainsi que lauthentication des utilisateurs. Ces outils peuvent tre utiliss pour se connecter un serveur distant ou copier des donnes entre deux htes, tout en empchant des attaques de tiers ( session hijacking ) et DNS spoong . Ils assurent la compression de donnes sur vos connections et les communications X11 scurises. Il y a lheure actuelle plusieurs implmentations de ssh. Limplmentation commerciale originale par Data Fellows peut tre trouve sur la page ssh de datafellows.com (http://www.datafellows.com). Lexcellente implmentation Openssh est base sur une ancienne version de DataFellows ssh et a t entirement retravaille pour ninclure aucun brevet ou partie propritaire. Elle est libre et sous licence BSD. Elle peut tre trouve sur : http://www.openssh.com (http://www.openssh.com). Il y a aussi un projet open source pour rimplmenter ssh depuis le nant appel lsh . Pour plus de renseignements, consulter : LSH (http://www. lysator.liu.se/~nisse/lsh/). Vous pouvez aussi utiliser ssh depuis vos stations Windows vers votre serveur ssh GNU/Linux. Il y a plusieurs implmentations de clients windows librement disponibles, dont celui de PuTTY (http://www.chiark.greenend. org.uk/~sgtatham/putty/), ainsi quune version commerciale de DataFellows, sur le site DataFellows (http://www.datafellows.com). SSLeay (obsolte, voir OpenSSL plus loin) est une implmentation libre du protocole Secure Sockets Layer de Netscape, dvelopp par Eric Young. Elle comporte plusieurs applications, comme Secure telnet , un module pour Apache, plusieurs bases de donnes, ainsi que plusieurs algorithmes dont DES, IDEA et Blowsh . En utilisant cette bibliothque, un remplacement de telnet scuris qui fait du cryptage par dessus une connexion telnet. Au contraire de SSH, stelnet utilise SSL, le protocole Secure Sockets Layer dvelopp par Netscape. 162
Chapitre 11. A propos de la scurit sous GNU/Linux Vous pourrez trouver Secure telnet et Secure FTP en commenant par la FAQ SSLeay et SSLapps (http://www.psy.uq.oz.au/~ftp/Crypto/) (en anglais).
Le projet OpenSSL bas e sur SSLeay a pour but de d evelopper une boite ` a outils robuste, de qualit e commerciale, enti` erement fonctionnelle, et Open Source qui impl emente les protocoles Secure Sockets Layer (SSL v2/v3) et Transport Layer Security (TLS v1) ainsi quune librairie de cryptographie forte dusage g en eral. Pour plus dinformations sur ce projet, consultez les Pages OpenSSL (www.openssl.org). Il y a aussi une liste cons equente dapplications bas ees sur OpenSSL sur Applications en relation avec OpenSSL (http://www.openssl.org/related/apps.html).
SRP est une autre implmentation scurise de telnet/ftp. Extrait de leur page Web : Le projet SRP dveloppe des logiciels Internet srs pour une utilisation mondiale gratuite. partir dune distribution de Telnet et FTP totalement scuriss, nous esprons supplanter les systmes dauthentication rseau vulnrables par des substituts solides qui ne sacrient en rien la facilit dutilisation pour la scurit. La scurit devrait tre de fait et non pas une option ! Pour plus de renseignements, visiter stanford.edu (http://srp.stanford. edu/srp).
11.6.5. PAM - Modules Additionnels dAuthentication

Votre version de Mandrakelinux est fournie avec une combinaison dauthentications unie appele PAM. PAM vous permet de changer vos mthodes dauthentication et exigences la vole, et encapsule toutes les mthodes locales dauthentication sans besoin de recompiler un quelconque binaire. La conguration de PAM est au del de la porte de ce chapitre, mais allez faire un tour du ct du site Web de PAM : kernel.org (http://www.kernel. org/pub/linux/libs/pam/index.html). Juste un aperu des possibilits de PAM :
Utilisez un cryptage autre que DES pour vos mots de passe. (Les rendant plus rsistants aux dcodages par la force) 163
Fixez des limites de ressources pour tous vos utilisateurs, de sorte quils ne puissent mener des attaques de type dnis de service (denial of service) (nombre de processus, quantit de mmoire, etc.) Activez les mots de passe fantme (shadow) (voir ci-dessous) la vole Autorisez certains utilisateurs se connecter uniquement certaines heures depuis des sites spciques
En quelques heures dinstallation et de conguration de votre systme, vous pouvez empcher plusieurs attaques avant quelles ne surviennent. Par exemple, utilisez PAM pour dsactiver lutilisation sur tout le systme des chiers .rhosts dans les rpertoires des utilisateurs en ajoutant ces lignes dans /etc/pam.d/rlogin :
# # D esactiver rsh/rlogin/rexec pour les utilisateurs # login auth required pam_rhosts_auth.so no_rhosts
11.6.6. Encapsulation IP Cryptographique (CIPE)

Le premier objectif de ce logiciel est de fournir un moyen de scuriser (contre lespionnage, y compris lanalyse de trac, et linjection de message truqu) des interconnexions de sous-rseaux au travers dun rseau par paquets non sr tel que Internet. CIPE crypte les donnes au niveau du rseau. Les paquets voyageant entre les htes sur le rseau sont crypts. Le moteur de cryptage est plac prs du priphrique qui envoie et reoit les paquets. Cela est diffrent de SSH, qui crypte les donnes par connexion, au niveau du port (socket). Une connexion logique entre des programmes tournant sur des htes diffrents est crypte. CIPE peut tre utilis pour faire du pontage (tunnelling), an de crer un rseau priv virtuel (VPN). Le cryptage de bas niveau a lavantage de pouvoir tre rendu transparent entre deux rseaux connects dans le VPN, sans besoin de changer une quelconque application. Rsum depuis la documentation de CIPE : 164
Chapitre 11. A propos de la scurit sous GNU/Linux Le standard IPSEC dnit un ensemble de protocoles qui peuvent tre utiliss (entre autre) pour monter des VPNs crypts. Cependant, IPSEC est un protocole plutt lourd et compliqu possdant un grand nombre doptions, les implmentations de lensemble complet du protocole sont encore rarement utiliss et plusieurs problmes (tel que la gestion des cls) ne sont toujours pas compltement rsolus. CIPE utilise une approche simple, dans laquelle beaucoup de choses modiables (comme le choix de lalgorithme de cryptage effectivement utilis) sont xes linstallation. Cela limite la exibilit, mais permet une implmentation simple (et par l mme efcace, facile dboguer...). Plus dinformations peuvent tre trouves chez CIPE Project (http://sites. inka.de/sites/bigred/devel/cipe.html) De mme que dautres formes de cryptographie, il nest pas distribu avec le noyau par dfaut du fait de restrictions lexportation.
11.6.7. Kerberos
Kerberos est un systme dauthentication dvelopp par The Athena Project au MIT. Quand un utilisateur se connecte, Kerberos authentie cet utilisateur (en utilisant un mot de passe), et fournit cet utilisateur un moyen de prouver son identit aux autres serveurs et htes dissmins sur le rseau. Cette authentication est alors utilise par des programmes tels que rlogin pour autoriser lutilisateur se connecter dautres htes sans mot de passe (au lieu du chier .rhosts). Cette mthode dauthentication peut aussi tre utilise par le systme de courrier lectronique pour garantir que les messages seront dlivrs la bonne personne, ainsi que pour garantir lauthenticit de lexpditeur. Kerberos et les programmes qui laccompagnent, empchent les utilisateurs de tromper le systme en lui faisant croire quils sont quelquun dautre ( spoong ). Malheureusement, installer Kerberos est trs intrusif, et demande le remplacement ou la modication de nombreux programmes standards. Vous pourrez trouver plus dinformations propos de Kerberos en visitant la FAQ Kerberos (http://www.faqs.org/faqs/kerberos-faq/general/), et le code peut tre obtenu depuis le site mit.edu (http://web.mit.edu/ kerberos/www/).
165
Chapitre 11. A propos de la scurit sous GNU/Linux [Stein, Jennifer G., Clifford Neuman, and Jeffrey L. Schiller. "Kerberos : An Authentication Service for Open Network Systems." USENIX Conference Proceedings, Dallas, Texas, Winter 1998.] Kerberos ne devrait pas tre votre premier pas pour amliorer la scurit de votre hte. Il est plutt compliqu, et pas aussi rpandu que, disons SSH.
11.6.8. Les mots de passe Shadow

Les mots de passe Shadow sont un moyen de cacher vos informations de cryptage de mots de passe aux utilisateurs normaux. Votre systme dexploitation Mandrakelinux utilise les mots de passe Shadow par dfaut, mais dautres systmes stockent les mots de passe crypts dans le chier /etc/passwd o tout le monde peut les lire. Nimporte qui peut alors excuter des programmes de cassage de mots de passe et ainsi les dterminer. Les mots de passe Shadow, linverse, sont sauvegards dans le chier /etc/shadow, que seuls les utilisateurs autoriss peuvent lire. Vous pouvez lire Shadow-Password HOWTO (http://www. tldp.org/HOWTO/Shadow-Password-HOWTO.html) pour obtenir plus de renseignements, si ncessaire. Il date un peu et nest pas requis pour des distributions supportant PAM, comme votre systme Mandrakelinux.
11.6.9. Crack et John the Ripper

Si pour une raison quelconque votre programme passwd ne force pas lutilisation de mots de passe difciles deviner, vous pourrez souhaiter utiliser un programme de cassage de mots de passe pour vous assurer que les mots de passe de vos utilisateurs sont srs. Les programmes de cassage de mots de passe reposent sur une ide simple : ils essayent tous les mots du dictionnaire, puis des variations sur ces mots, en cryptant chacun deux et les comparant vos mots de passe crypts. Sils obtiennent une correspondance, ils ont trouv le mot de passe Il y a plusieurs programmes de ce type les deux les plus connus sont Crack et John the Ripper (voir OpenWall (http://www.openwall.com/john/)). Malheureusement, ils consomment beaucoup de temps CPU, mais vous devriez tre capable de vrier si un attaquant est susceptible de pntrer en les utilisant vous-mme, puis en avertissant les utilisateurs dont le mot de passe est trop faible. Notez quun attaquant devra dabord utiliser un autre trou pour 166
Chapitre 11. A propos de la scurit sous GNU/Linux pouvoir lire votre chier /etc/shadow, mais de tels trous sont plus courants que vous ne le pensez. Parce que la scurit nest aussi forte que si le plus faible des htes est protg, il est bon de mentionner que si vous avez des machines Windows sur votre rseau, vous devriez jeter un coup dil L0phtCrack, une implantation de Crack sous windows. Il est disponible depuis le site atstake.com (http://www.atstake.com/research/lc3/).
11.6.10. CFS - Syst` eme de Fichiers Crypt e et TCFS Syst` eme de Fichiers Crypt e Transparent
CFS (Cryptographic File System) permet de chiffrer une arborescence complte ; pour leur part, les utilisateurs peuvent y enregistrer des chiers crypts. Il utilise un serveur NFS tournant sur la machine locale. Pour obtenir plus de renseignements ainsi que les sources visitez le site de att.com (ftp://ftp.research.att.com/dist/mab/). TCFS (Transparent Cryptographic File System) amliore CFS en lui ajoutant une meilleure intgration dans le systme de chiers, de sorte quil devient transparent aux utilisateurs quand le systme de chier est crypt. Plus dinformations sur le site de tcfs.it (http://www.tcfs.it/). Il na pas non plus besoin dtre utilis sur des systmes de chiers complets. Il fonctionne aussi bien sur de simples arborescences.
11.6.11. X11, SVGA et s ecurit e de lachage

11.6.11.1. X11
Il est important de scuriser votre afchage graphique pour empcher les attaquants de saisir vos mots de passe lorsque vous les tapez, lire des documents ou des informations que vous consultez lcran, ou mme utiliser un trou de scurit pour obtenir laccs root. Lancer des applications X par rseau peut aussi tre dangereux, en autorisant des sniffers voir votre interaction avec le systme distant. X possde un certain nombre de mcanismes daccs de contrle. Le plus simple dentre eux est bas sur lhte : vous utilisez xhost pour spcier quels htes sont autoriss accder votre afchage. Cela nest pas du tout sr, car si quelquun a accs votre machine, il peut xhost + sa.machine 167
Chapitre 11. A propos de la scurit sous GNU/Linux et rentrer aisment. Ainsi, si vous devez autoriser laccs une machine peu sre, quiconque l bas peut violer votre afchage. Si vous utilisez xdm (X Display Manager), ou son quivalent pour KDE KDM, pour vous connecter, vous disposez dune bien meilleure mthode daccs : MIT-MAGIC-COOKIE-1. Un cookie de 128 bits est gnr et plac dans votre chier .Xauthority. Si vous avez besoin dautoriser un accs distant votre afchage, vous pouvez alors utiliser la commande xauth et linformation qui se trouve dans votre chier .Xauthority pour fournir laccs cette seule connexion. Voyez le Remote-X-Apps mini-howto : The Linux Documentation Project (http://www.tldp.org/HOWTO/Remote-X-Apps. html). Vous pouvez aussi utiliser ssh (voir ssh (shell scuris) et stelnet, page 162, ci-dessus) pour permettre des connexions X scurises. Cela possde aussi lavantage dtre totalement transparent pour lutilisateur, et signie quaucune donne en clair ne circule sur le rseau. Vous pouvez aussi dsactiver toute connexion distante votre serveur X en utilisant loption -nolisten tcp vers votre serveur X. Ainsi, vous prviendrez toutes les connexions rseau vers votre serveur sur des interfaces de connexion (sockets) TCP. Jetez un coup dil Xsecurity(7x) pour plus de renseignements concernant la scurit sous X. La bonne manire est dutiliser xdm pour vous connecter la console, puis dutiliser ssh pour aller sur un site distant sur lequel vous lancez votre application X.
11.6.11.2. SVGA
Les programmes SVGAlib sont gnralement suid-root de faon pouvoir accder tous vos priphriques vido. Cela les rend trs dangereux. Sils plantent, Vous devez gnralement redmarrer la machine pour rcuprer une console utilisable. Assurez-vous que chaque programme SVGA que vous utilisez est authentique, et que vous pouvez leur faire conance. Ou mieux, ne les utilisez pas du tout.
11.6.11.3. GGI (Projet dInterface Graphique G en erique)

Le projet GNU/Linux GGI essaye de rsoudre plusieurs des problmes de linterface graphique de GNU/Linux. GGI dplace une petite partie du code vido dans le noyau de GNU/Linux, et contrle alors laccs au systme vido. 168
Chapitre 11. A propos de la scurit sous GNU/Linux Ce qui signie que GGI sera capable de rcuprer votre console tout instant vers un tat stable connu. Cela permet aussi dutiliser une cl de scurit qui empche lutilisation de programmes login de type cheval de Troie (Trojan) sur votre console. Projet GGI (http://www.ggi-project.org)
11.7. S ecurit e du noyau

Ceci constitue une description des options de conguration du noyau en rapport avec la scurit, une explication de leur effet, et comment les utiliser. Du fait que le noyau contrle les communications rseau de votre ordinateur, il est important quil soit trs sr, et inviolable. Pour empcher quelques unes des dernires attaques rseau, vous devriez essayer de garder votre noyau jour. Vous pouvez trouver les nouvelles versions sur kernel.org (ftp:// ftp.kernel.org) ou grce aux mises jour du paquetage du noyau avec MandrakeUpdate. Il y a l aussi un groupe international qui propose un unique correctif cryptographique uni pour le noyau GNU/Linux. Ce correctif (patch) fournit le support pour plusieurs sous-systmes cryptographiques et dautres choses qui ne peuvent pas tre inclues dans le noyau principal, cause des restrictions lexport. Pour plus dinformations, consulter : GNU/Linux Crypto API (http://www.kerneli.org)
11.7.1. Options de compilation du noyau

Lorsque ce document a t crit, le noyau 2.2 tait le nec plus ultra. Encore aujourdhui, la plupart des pare-feu lutilisent encore. Toutefois, avec le noyau 2.4, beaucoup de choses ont chang. La plupart des options de compilation contenues dans ce chapitre sont encore valides, mais le masquage et le transfert de port ont t remplacs par les tables IP. Vous obtiendrez de plus amples renseignements en visitant le Linux iptables HOWTO (http://www.linuxguruz.org/iptables/howto/iptables-HOWTO.html). Pour les noyaux 2.2.x, les options suivantes sappliquent. Vous devriez voir ces options pendant le processus de conguration du noyau. La plupart des commentaires sont issus de /usr/src/linux/Documentation/Configure. help, soit le mme document utilis dans laide en ligne pendant ltape make config de la compilation du noyau. Consultez le chapitre Compilation et 169
Chapitre 11. A propos de la scurit sous GNU/Linux mise en place de nouveaux noyaux du Manuel de Rfrence pour obtenir une description du processus de compilation dun nouveau noyau.
Pare-feu rseau (CONFIG_FIREWALL) Cette option devrait tre active si vous envisagez dutiliser un parefeu (rewalling) ou le masquage dIP (masquerading) sur votre machine GNU/Linux. Si vous ne congurez quune simple machine cliente, il est plus sr de rpondre non. IP : reroutage/passerelle (CONFIG_IP_FORWARD) Si vous activez le reroutage IP (IP forwarding) ; votre machine devient essentiellement un routeur. Si votre machine est sur un rseau, vous pourriez rexpdier des donnes dun rseau un autre, et mme subvertir un parefeu qui tait la justement pour empcher cela. Les utilisateurs normaux en connexion par modem devraient dsactiver cette option, et les autres se focaliser sur les implications au niveau de la scurit dune telle dcision. Les machines pare-feu devront activer cela, en conjonction avec un logiciel de pare-feu. Vous pouvez activer le reroutage IP en utilisant la commande :
root# echo 1 > /proc/sys/net/ipv4/ip_forward
et le dsactiver avec la commande :

root# echo 0 > /proc/sys/net/ipv4/ip_forward
IP : cookies syn (CONFIG_SYN_COOKIES) Une attaque SYN est une attaque du type dnis de service (DoS) qui consomme toutes les ressources de votre machine, vous forant au redmarrage. Nous ne voyons pas de raisons pour ne pas activer cela. Dans la srie de noyaux 2.1, cette option de conguration accepte simplement les cookies syn , mais ne les active pas. Pour les activer, vous devez faire :
root# echo 1 > /proc/sys/net/ipv4/tcp_syncookies <P>
170
IP : Pare-feu (CONFIG_IP_FIREWALL) Cette option est ncessaire si vous envisagez de congurer votre machine comme pare-feu, faire du reroutage IP, ou souhaitez protger votre station en connexion par modem de quelquun qui souhaiterait y pntrer. IP : noter les paquets pare-feu (CONFIG_IP_FIREWALL_VERBOSE) Cette option vous donne des informations sur les paquets que votre parefeu a reu comme lexpditeur, le destinataire, le port, etc. IP : Refuser les structures routes la source (CONFIG_IP_NOSR) Ceci devrait tre activ. Les structures routes la source contiennent le chemin complet vers leur destination lintrieur du paquet. Cela signie que les routeurs nont pas besoin de les vrier et ne font que les rexpdier. Cela pourrait conduire laisser entrer des donnes sur votre systme qui pourraient reprsenter une possible violation. IP : masquage (CONFIG_IP_MASQUERADE) Si lun des ordinateurs de votre rseau local, pour lequel votre machine GNU/Linux agit comme pare-feu, veut envoyer quelque chose lextrieur, votre machine peut masquer cet hte, cest dire quelle rexpdie le trac vers la destination mais le fait comme sil venait de lui-mme. Consultez indyramp.com (http://www.indyramp.com/masq) et le chapitre Congurer des clients de passerelle, page 29 pour plus dinformations. IP : masquage ICMP (CONFIG_IP_MASQUERADE_ICMP) Cette option ajoute le masquage ICMP loption prcdente qui ne masque que le trac TCP ou UDP. IP : support de mandataire (proxy) transparent
(CONFIG_IP_TRANSPARENT_PROXY)
Cela autorise votre pare-feu GNU/Linux rediriger de manire transparente tout le trac rseau provenant du rseau local destin un hte distant depuis un serveur local, appel serveur proxy transparent . Cela fait croire aux ordinateurs locaux quils communiquent avec lhte distant, 171
Chapitre 11. A propos de la scurit sous GNU/Linux alors quils sont connects au proxy local. Consultez le document IP Masquerade HOWTO (http://www.tldp.org/HOWTO/IP-Masquerade-HOWTO/ index.html) pour plus de renseignements. IP : dfragmenter toujours (CONFIG_IP_ALWAYS_DEFRAG) Cette option est normalement dsactive, mais si vous construisez un parefeu, ou un hte de masquage, vous devrez lactiver. Lorsque des donnes sont envoyes dun hte un autre, elles ne sont pas toujours envoyes comme un seul paquet de donnes, mais plutt fragmentes en plusieurs morceaux. Le problme de cela est que les numros de ports ne sont connus que du seul premier fragment. Cela signie que quelquun pourrait insrer dans les paquets suivants, des informations errones. Cela est aussi susceptible dempcher une attaque de type teardrop contre un serveur interne qui ne serait lui mme pas immunis contre cela. Signatures de paquets (CONFIG_NCPFS_PACKET_SIGNING) Cela est une option qui va signer les paquets NCP pour une scurit accrue. Vous pouvez normalement la laisser dsactive, mais elle est l si vous en avez besoin. IP : Priphrique pare-feu de paquets netlink
(CONFIG_IP_FIREWALL_NETLINK)
Voil une option bien pense qui vous permet danalyser les 128 premiers octets des paquets dans un programme utilisateur, pour dterminer si vous souhaitez accepter ou refuser le paquet, selon sa validit. Filtrage de Socket (CONFIG_FILTER) Pour le plus grand nombre, il est bon de rpondre non cette option. Celleci vous permet de connecter un ltre utilisateur nimporte quel Socket et choisir les paquets accepter ou refuser. moins que vous nayez un besoin trs spcique et que vous soyez capable de programmer un tel ltre, vous devriez dire non. Notez aussi que lheure dcrire cette section, tous les protocoles sont supports, sauf TCP. Redirection de port 172
Chapitre 11. A propos de la scurit sous GNU/Linux La redirection de port (Port Forwarding) est une extension du masquage IP qui autorise la redirection de paquets depuis lintrieur dun pare-feu sur des ports spciques. Cela peut tre utile si, par exemple, vous voulez utiliser un serveur Web derrire le pare-feu ou hte de masquage et ce serveur Web doit tre accessible du monde externe. Un client externe envoie une requte au port 80 du pare-feu, le pare-feu fait suivre la requte au serveur Web, le serveur Web traite la requte et les rsultats sont envoys par le rseau au client original. Le client croit que cest le pare-feu lui-mme qui est le serveur Web. Cela peut aussi tre utilis pour rpartir la charge si vous avez une ferme de serveurs identiques en de du pare-feu. Toute linformation propos de cette caractristique est disponible sur monmouth (http://www.monmouth.demon.co.uk/ipsubs/ portforwarding.html). Filtrage de ports Socket (CONFIG_FILTER) En utilisant cette option, un programme utilisateur peut affecter un ltre chaque socket, et indiquer par l au noyau sil peut accepter ou refuser certains types de donnes de passer travers le socket. Le ltrage de socket GNU/Linux marche sur tous les types de socket sauf les TCP pour linstant. Consultez le chier texte ./linux/Documentation/networking/ filter.txt pour plus dinformation. IP : Masquage Le masquage pour les noyaux 2.2 a t amlior. Il propose des supports additionnels pour masquer des protocoles particuliers, etc. Assurez-vous de lire le HOWTO ipchains pour plus dinformations.
11.7.2. P eriph eriques noyau

Il y a plusieurs priphriques en mode bloc et caractre disponibles sous GNU/Linux qui vous aideront aussi pour la scurit. Les deux chiers /dev/random et /dev/urandom sont fournis par le noyau pour offrir des donnes alatoires tout instant.
173
Chapitre 11. A propos de la scurit sous GNU/Linux Aussi bien /dev/random que /dev/urandom devraient tre assez srs pour gnrer des cls PGP, des challenges ssh, et autres applications o des nombres alatoires sont requis. Les attaquants devraient tre incapables de prdire le nombre suivant, connaissant une squence initiale de nombres provenant de ces sources. Beaucoup defforts ont ts consentis pour sassurer que les nombres fournis par ces sources sont alatoires, dans tous les sens du terme. La seule diffrence entre ces deux priphriques, est que /dev/random spuise en octets alatoires, et vous fait attendre jusqu ce que dautres ce soient accumuls. Notez que sur certains systmes, il peut se bloquer pendant un long moment, attendant que de la nouvelle entropie, gnre par lutilisateur entre dans le systme. Vous devez donc faire attention avant dutiliser /dev/ random. (La meilleure chose faire est sans doute de lutiliser lorsque vous gnrez des informations de cls sensibles, et vous demandez lutilisateur dutiliser le clavier intensment jusqu ce que vous estimiez que cela suft.) /dev/random est de haute qualit entropique, gnr en mesurant les temps inter-interruptions, etc. Il se bloquera jusqu ce que sufsamment de bits alatoires aient t gnrs. /dev/urandom est semblable, mais lorsque la rserve dentropie baisse, il retournera un mlange dun niveau cryptographique lev de ce quil reste. Ce nest pas aussi sr, mais cela suft pour la plupart des applications. Vous pouvez lire depuis ces priphriques en utilisant quelque chose comme :
root# head -c 6 /dev/urandom | mimencode
Cela imprimera six caractres alatoires la console, convenables pour un mot de passe. Vous pourrez trouver mimencode dans le paquetage metamail. Consultez /usr/src/linux/drivers/char/random.c pour une description de lalgorithme.
11.8. S ecurit e r eseau

La scurit du rseau devient de plus en plus importante, au fur et mesure que les utilisateurs passent de plus en plus de temps connects. Violer la scurit du rseau est souvent beaucoup plus facile que violer la scurit physique ou locale, tout en tant beaucoup plus rpandue. 174
Chapitre 11. A propos de la scurit sous GNU/Linux Il y a plusieurs bons outils pour vous assister dans la scurit du rseau, et ils sont de plus en plus fournis avec les distributions GNU/Linux.
11.8.1. Renieurs de paquets (Packet Sniers)

Une des manires les plus rpandues parmi les intrus pour obtenir laccs plus de systmes sur votre rseau, est demployer un renieur de paquets sur un hte dj viol. Ce sniffer coute simplement sur les ports Ethernet et repre des choses comme passwd, login ou su dans le corps du paquet et enregistre alors le trac qui suit. De cette faon, les attaquants obtiennent des mots de passe pour des systmes quils nessayent mme pas de casser. Les mots de passe en clair sont videmment trs vulnrables cette attaque. Exemple : Un hte A a t viol. Lattaquant y installe un sniffer. Ce dernier tombe sur ladministrateur en train de se connecter de lhte B lhte C. Il obtient alors le mot de passe personnel de ladministrateur sur B. Puis ladministrateur fait un su pour corriger un problme. Il a maintenant le mot de passe de root pour lhte B. Plus tard, ladministrateur laisse quelquun faire un telnet depuis sa machine vers lhte Z sur un autre site, Lattaquant possde dsormais un login et mot de passe sur Z... A lheure actuelle, les attaquants nont mme pas besoin de violer un systme pour faire cela : Ils peuvent aussi amener un ordinateur (portable ou non) dans un btiment et se brancher sur votre rseau. Utiliser ssh ou une autre mthode pour crypter les mots de passe djoue cette attaque. Des outils comme comptes APOP au lieu de POP pour le courrier lectronique prviennent aussi ces attaques. (Les logins normaux POP sont trs vulnrables cela, de mme que tout ce qui envoie des mots de passe en clair travers le rseau.)
11.8.2. Services syst` eme et encapsuleurs tcp

Avant que vous ne connectiez votre systme GNU/Linux sur un QUELCONQUE rseau, la premire chose dterminer ce sont les services que vous souhaitez offrir. Les services que vous navez pas besoin doffrir devraient tre dsactivs de sorte que vous aurez moins de choses pour lesquelles vous proccuper et les attaquants auront moins de chances de pouvoir trouver un trou. Il y a plusieurs faons de dsactiver des services sous GNU/Linux. Vous pouvez regarder le chier /etc/inetd.conf et noter les chiers qui sont offerts 175
Chapitre 11. A propos de la scurit sous GNU/Linux par inetd. Dsactivez tous ceux dont vous navez pas besoin en les commentant (# au dbut de la ligne), et redmarrez alors votre service inetd. Vous pouvez aussi supprimer (ou commenter) des services dans votre chier /etc/services. Cela signiera que les clients locaux seront aussi incapables de trouver ces services (i.e., si vous supprimez ftp, et essayez de faire une connexion FTP vers un site distant depuis cette machine, cela chouera avec un message service inconnu). Cela ne vaut gnralement pas la peine de supprimer les services partir de /etc/services, vu que cela ne fournit pas de scurit supplmentaire. Si un utilisateur veut utiliser ftp mme si vous lavez comment, il pourrait faire son propre client qui utilise le port FTP standard, et cela fonctionnerait. Certains des services que vous pourriez souhaiter activer sont :

ftp telnet (ou ssh) courrier lectronique, comme pop-3 ou imap identd
Si vous savez que vous nallez pas utiliser un paquetage en particulier, vous pouvez aussi le supprimer compltement. rpm -e nom_du_paquetageou urpme nom_du_paquetage effacera un paquetage entier. De plus, vous devriez vraiment dsactiver les utilitaires rsh/rlogin/rcp, y compris login (utilis par rlogin), shell (utilis par rcp),et exec (utilis par rsh) depuis /etc/inetd.conf. Ces protocoles sont extrmement vulnrables et ont t la cause de violations dans le pass. Vous devriez vrier les rpertoires /etc/rc.d/rc[0-9].d, et regarder si des serveurs prsents ne sont pas superus. Les chiers de ces rpertoires sont en fait des liens symboliques vers des chiers de /etc/rc.d/init.d. Renommez ces chiers dans init.d dsactive tous les liens symboliques qui pointent vers ce chier. Si vous ne souhaitez dsactiver un service que pour un niveau dexcution (runlevel) particulier, renommez le lien symbolique appropri en remplaant le S avec un K, comme cela :
root# root# cd /etc/rc6.d mv S45dhcpd K45dhcpd
176
Vous pouvez aussi utiliser un petit utilitaire pour faire cela : chkconfig ou linterface graphique sous KDE : ksysv.
Votre distribution de Mandrakelinux est fournie avec un encapsuleur (wrapper) TCP encapsulant tous vos services TCP. Lencapsuleur TCP (tcpd) est appel depuis inetd au lieu du service rel. tcpd vrie alors lhte demandant le service, et soit excute le vrai serveur, soit refuse laccs cet hte. tcpd vous permet de restreindre laccs aux services TCP. Vous devriez diter /etc/hosts.allow et y ajouter uniquement les htes qui ont besoin davoir accs aux services de votre machine. Si vous possdez une connexion par simple modem, nous vous suggrons de refuser tous (ALL). tcpd enregistre aussi les tentatives choues pour accder aux services, de sorte que cela peut vous alerter si on est en train de vous attaquer. Si vous ajoutez de nouveaux services, vous devriez vous assurer de les congurer pour utiliser lencapsuleur TCP sils sont bass sur TCP. Par exemple, une machine connecte par modem peut tre protge de lextrieur, tout en pouvant charger son courrier lectronique, et faire des connexions rseau Internet. Pour faire cela, vous devez ajouter ce qui suit votre /etc/hosts.allow : ALL: 127. Et bien sr, /etc/hosts.deny contiendra : ALL: ALL Ce qui empchera des connexions extrieures votre machine, vous permettant nanmoins de vous connecter depuis lintrieur aux services Internet. Gardez lesprit que les encapsuleurs TCP ne protgent que les services excuts depuis inetd, et quelques rares autres. Il y a srement dautres serveurs tournant sur votre machine. Vous pouvez utiliser netstat -ta pour afcher la liste de tous les services que votre machine offre.
11.8.3. V eriez votre information de DNS

Garder des informations DNS jour sur tous les htes de votre rseau peut vous aider amliorer la scurit. Si un hte non autoris se connecte votre rseau, vous pouvez lidentier grce son absence dentres DNS. Beaucoup de services peuvent tre congurs de faon ne pas accepter de connexions dhtes qui nont pas dentres DNS valides. 177
11.8.4. identd
identd est un petit programme qui est lanc typiquement depuis votre serveur inetd. Il garde la trace de qui utilise quel service TCPet le rapporte alors qui en fait la demande. Beaucoup de gens ne comprennent pas lutilit de identd, et le dsactivent ou bloquent toutes le requtes de lextrieur qui lui sont destines. identd nest pas l pour aider les sites distants. Il ny a pas moyen de savoir si linformation que vous obtenez de lidentd distant est correcte ou non. Il ny a pas dauthentication dans les requtes identd. Pourquoi voudriez-vous lutiliser alors ? Parce quil vous aide, et est une autre source pour le suivi. Si votre identd nest pas corrompu, alors, vous savez quil informe les sites distants des noms dutilisateur ou UID des personnes utilisant les services TCP. Si ladministrateur du site distant revient et vous dit que lutilisateur untel essayait de pntrer dans leur site, vous pouvez facilement prendre des mesures contre cet utilisateur. Si vous nutilisez pas identd, vous devrez chercher dans un grand nombre de logs , deviner qui tait connect ce moment, et en gnral prendre beaucoup de temps pour rechercher lutilisateur. L identd fourni est plus facile congurer que beaucoup de gens ne le pensent. Vous pouvez le dsactiver pour certains utilisateurs (Ils peuvent crer un chier .noident le), vous pouvez garder trace de toutes les requtes identd (recommand), vous pouvez mme faire en sorte que identd retourne un UID au lieu du nom de lutilisateur, ou mme NO-USER.
11.8.5. Conguration et s ecurisation du MTA de Postx

Le serveur de courrier Postx a t crit par Wietse Venema, auteur de Postx et de plusieurs autres produits de scurit Internet, an dessayer de fournir une alternative au programme Sendmail, grandement utilis. Postx tente dtre plus rapide, plus facile administrer et, nous lesprons, plus scuritaire. Il essaie galement dtre compatible avec Sendmail, au moins de faon ne pas fcher les utilisateurs. Vous obtiendrez plus de renseignements au sujet de Postx sur le site de Postx (http://www.postfix.org) ainsi que sur le site Conguring and Securing Postx (http://www.linuxsecurity.com/feature_stories/feature_ story-91.html).
178
11.8.6. SATAN, ISS, et autres scanners r eseau

Il y a plusieurs paquetages de logiciels qui font du balayage de ports et de services sur machines et rseaux. SATAN, ISS, SAINT, et Nessus en sont quelques-uns des plus connus. Ces logiciels se connectent la machine cible (ou toutes les cibles machines et rseaux) sur tous les ports qui sont ouverts, et essayent de dterminer quels services tournent dessus. Sur la base de ces informations, vous pouvez dire si la machine est vulnrable a une attaque spcique et sur quels services. SATAN (Security Administrators Tool for Analyzing Networks, soit Outil dadministrateur scurit pour lanalyse de rseaux) est un analyseur de port avec une interface Web. Il peut tre congur pour effectuer des vrications lgres, moyennes, ou lourdes sur une machine ou un rseau de machines. Cest une bonne ide de se procurer SATAN et de scanner votre machine ou rseau, et de rgler les problmes quil rencontre. Assurez-vous dobtenir une copie de SATAN sur le site metalab (http://metalab.unc.edu/pub/ packages/security/Satan-for-Linux/) ou un site FTP ou Web rput. Il y avait une copie de SATAN cheval de Troie qui tait distribue sur Internet (voir Le site Internet de Trouble (http://www.trouble.org/~zen/satan/ satan.html)). Notez que SATAN na pas t mis jour depuis longtemps et certains des outils ci-dessous pourraient faire du meilleur boulot. ISS (Scanner de Scurit Internet) est un autre scanner de port. Il est plus rapide que SATAN, et devrait donc tre meilleur pour de grands rseaux. Nanmoins, SATAN tend fournir plus dinformations. SAINTtm est une version mise a jour de SATAN. Il a une interface Web et possde des tests bien plus rcents que SATAN. Vous pouvez en apprendre plus sur lui : SAINT (http://www.wwdsi.com/saint) Nessus est un scanner scurit libre. Il propose une interface graphique GTK pour en faciliter lutilisation. Il est aussi conu avec un trs bon crateur de modules additionnels pour de nouveaux tests de balayage de ports. Pour plus dinformations, visiter le site Web de Nessus (http://www.nessus. org/)
11.8.6.1. D etecter les balayages de ports

Il y a quelques outils conus pour vous alerter de sondages par SATAN, ISS ou dautres logiciels de balayage. Nanmoins, une utilisation tendue des encapsuleurs TCP, et la consultation rgulire des chiers de logs, devraient vous avertir de telles tentatives. Mme avec les paramtres les plus faibles, SATAN laisse encore des traces dans les logs. 179
Chapitre 11. A propos de la scurit sous GNU/Linux Il y a aussi des scanners de ports furtifs . Un paquet avec le bit TCP ACK activ (comme pour les connexions actives) passera vraisemblablement travers un pare-feu de ltrage de paquets. Le paquet RST de retour dun port _had no established session_ (na pas de session tablie) peut tre la preuve dactivit sur ce port. Je ne pense pas que les encapsuleurs TCP puissent dtecter cela. Vous pourriez galement essayer SNORTtm (http://www.snort.org), soit un IDS (Intrusion Detection System) libre, dont la fonction est de dtecter les intrusions rseau.
11.8.7. sendmail, qmail et les MTA
Un des services les plus importants que vous puissiez fournir est un serveur de courrier lectronique. Malheureusement, cest aussi un des plus vulnrables aux attaques, simplement cause du grand nombre de tches quil doit effectuer et des privilges dont il a besoin. Si vous utilisez sendmail il est trs important de garder votre version jour. sendmail a une trs longue tradition dattaques. Assurez vous de toujours utiliser la version la plus rcente de sendmail, disponible sur le sitesendmail (http://www.sendmail.org/). Gardez lesprit que vous navez pas forcment besoin de sendmail pour envoyer du courrier. Si vous tes un particulier, vous pouvez dsactiver compltement sendmail, et utiliser simplement votre client de courrier pour envoyer vos messages. Vous pouvez aussi choisir denlever loption -bd du chier de dmarrage de sendmail, dsactivant ainsi les requtes pour le courrier rentrant. En dautres termes, vous pouvez excuter sendmail depuis vos chiers de dmarrage en utilisant plutt :
# /usr/lib/sendmail -q15m
De la sorte, sendmail videra la le de courrier toutes les quinze minutes pour tous les messages nayant pu tre dlivrs la premire tentative. Beaucoup dadministrateurs choisissent de ne pas utiliser sendmail, et choisissent la place un des autres agents de transport de courrier. qmail par exemple a t conu dans un but de scurit, depuis le nant. Il est plus rapide, stable, et sr. Qmail peut tre trouv qmail.org (http://www.qmail. org)
1. Agents de transport de courrier
180
Chapitre 11. A propos de la scurit sous GNU/Linux En comptition directe avec Qmail, on trouve Postx, crit par Wietse Venema, lauteur des encapsuleurs TCP et dautres outils de scurit. Anciennement nomm vmailer, et soutenu par IBM, il est aussi un agent de transport de courrier compltement rcrit avec la scurit lesprit. Vous pouvez trouver plus dinformations propos de Postx sur postx.org (http: /www.postfix.org)
Postx est lagent de transport de courrier install e par d efaut avec votre distribution de Mandrakelinux. Consultez ` a ce sujet le chapitre Le serveur de courrier Postx , page 75 de ce manuel.
11.8.8. Attaques en d enis de service2

Un attaque en Dnis de service (DoS) essaye de saturer les ressources de sorte que le systme ne puisse plus rpondre aux requtes lgitimes, ou de refuser laccs votre machine aux utilisateurs lgitimes. Les attaques en dnis de service ont beaucoup progress ces dernires annes. Certaines des plus rcentes et connues sont listes ci-dessous. Notez que de nouvelles naissent sans arrt, de sorte quil ny a ici que quelques exemples. Lisez les archives de listes de courriers GNU/Linux sur la scurit et la liste et les archives de bugtraq pour une information plus jour.
SYN Flooding - Inondation SYN est une attaque de dnis de service rseau. Il exploite une ouverture dans la faon dont sont cres les connexions TCP. Les derniers noyaux GNU/Linux (2.0.30 et au del) proposent plusieurs options de conguration pour empcher ce type dattaque en refusant aux gens laccs votre machine ou services. Consultez Scurit du noyau, page 169 pour les options de noyaux en question. Ping Flooding - Inondation de Ping est une attaque simple en force brute de dnis de service. Lattaquant envoie une vague de paquets ICMP votre machine. Sils font cela depuis un hte qui possde plus de largeur de bande que le votre, votre machine sera incapable denvoyer quoi que ce soit vers le rseau. Une variation de cette attaque, appele smurng , envoie les paquets ICMP un hte avec lIP de retour de votre machine, leur permettant de vous inonder de manire moins dtectable. vous pouvez trouver plus dinformations sur lattaque smurf sur le site de
Denial of Service
2.
181
Chapitre 11. A propos de la scurit sous GNU/Linux linuxsecurity.com (http://www.linuxsecurity.com/articles/network_ security_article-4258.html). Si vous tes en train de subir une attaque en inondation de ping, utilisez un outil comme tcpdump pour dterminer lorigine des paquets (ou lorigine apparente), puis contactez votre fournisseur daccs avec cette information. Les inondations ping peuvent tre le plus facilement stoppes au niveau du routeur ou en utilisant un pare-feu. Ping o Death - Lattaque en ping mortel envoie des paquets ICMP ECHO REQUEST qui sont trop grands pour tre contenus dans les structures de donnes du noyau prvues pour les accueillir. Parce que envoyer un seul, gros (65.510 octets) paquet ping plusieurs systme les fera sarrter ou mme planter, ce problme a rapidement t surnomm Ping o Death (ping mortel). Celui-ci a t contourn depuis longtemps, et il ny a plus sen proccuper.
Vous pouvez trouver le code pour la plupart de ces attaques, et une description plus dtaille de leur fonctionnement sur le site Insecure (http: //www.insecure.org/sploits.html) en utilisant leur moteur de recherche.
11.8.9. S ecurit e NFS (Syst` eme de Fichiers R eseau).

NFS est un protocole de partage de chiers largement utilis. Il permet a des serveurs qui utilisent nfsd et mountd d exporter des systmes de chiers entiers vers dautres machines en utilisant le support de systmes de chiers NFS inclus dans leurs noyaux. mountd suit les systmes de chiers monts dans /etc/mtab, et peut les afcher avec showmount. Beaucoup de sites utilisent NFS pour fournir les rpertoires racines des utilisateurs, de sorte que quelle que soit la machine du rseau sur laquelle ils se connectent, ils auront tous leurs chiers personnels. Il y a peu de scurit possible lorsquon exporte un systme de chiers. Vous pouvez faire en sorte que nfsd remplace lutilisateur root distant (UID=0) par lutilisateur nobody, en leur empchant totalement laccs aux chiers exports. Nanmoins, puisque les utilisateurs individuels peuvent accder leur propres chiers (ou tout au moins ayant le mme UID), lutilisateur root distant peut se connecter ou faire un su depuis son compte et avoir un accs total ses chiers. Ce nest quun lger obstacle pour un attaquant qui peut monter votre systme de chier distant. 182
Chapitre 11. A propos de la scurit sous GNU/Linux Si vous devez utiliser NFS, assurez-vous de nexporter que vers des machines qui en ont vraiment besoin. Nexportez jamais votre rpertoire racine entier; mais seulement les rpertoires qui ont besoin dtre exports. Consultez NFS HOWTO (http://www.tldp.org/HOWTO/NFS-HOWTO/) pour plus de renseignements sur NFS.
11.8.10. NIS (Service dinformation r eseau) (anciennement YP).

NIS (Network Information Service) est un moyen de distribuer de linformation dautres machines. Le matre NIS dtient les tables dinformation et les convertit en chiers cartes NIS. Ces cartes sont alors servies sur le rseau, permettant aux machines clientes NIS dobtenir les noms de connexion, mots de passe, rpertoires utilisateurs et information shell (tout ce qui se trouve dans un chier /etc/passwd standard). Cela permet aux utilisateurs de changer leur mot de passe une seule fois et prendre pourtant effet sur toutes les machines du domaine NIS. NIS nest pas vraiment sr. Il na jamais t cens ltre. Il tait cens tre pratique et utile. Quiconque capable de deviner votre nom de domaine NIS (o que ce soit sur le rseau) peut obtenir une copie de votre chier de mots de passe, et utiliser crack et John the Ripper contre les mots de passe de vos utilisateurs. Il est aussi possible de se faire passer pour NIS et faire toutes sortes de vilaines choses. Si vous devez utiliser NIS, soyez avertis des dangers. Il y a un remplaant beaucoup plus sr NIS, appel NIS+. Consultez le HOWTO NIS pour plus dinformation : NIS HOWTO (http://www.tldp. org/HOWTO/NIS-HOWTO/).
11.8.11. Pare-feu
Les pare-feu sont un moyen de contrler les informations autorises sortir et rentrer dans votre rseau local. Gnralement, lhte pare-feu est connect Internet et votre rseau local, et le seul accs depuis votre rseau vers Internet est travers le pare-feu. De cette faon, le pare-feu peut contrler ce qui rentre et sort dInternet et de votre rseau local. Plusieurs types de pare-feu et de mthodes pour les mettre en place existent. Les machines GNU/Linux constituent de bons pare-feux. Le code pare-feu peut tre insr directement dans les noyaux 2.0 et suprieurs. Les outils utilisateur ipchains pour les noyaux 2.2, et iptables pour noyau 2.4 vous per183
Chapitre 11. A propos de la scurit sous GNU/Linux mettent de changer, la vole, les types de tracs rseau que vous autorisez. Vous pouvez aussi garder trace de certains tracs rseau. Les pare-feux sont une technique utile et importante pour scuriser votre rseau. Nanmoins, ne pensez jamais que, parce que vous avec un parefeu, vous navez pas besoin de scuriser les machines derrire lui. Cest une erreur fatale. Consultez le trs bon Firewall-HOWTO (http://www. ibiblio.org/mdw/HOWTO/Firewall-HOWTO.html) pour plus dinformations sur les pare-feux et GNU/Linux. Si vous navez aucune exprience avec les pare-feux, et envisagez den mettre un en place pour plus quune simple politique de scurit, le livre Firewalls de chez OReilly and Associates ou tout autre document en ligne sur les pare-feux est indispensable. Consultez OReilly (http://www.ora.com) pour plus dinformations. Le NIST (National Institute of Standards and Technology) a rassembl un excellent document sur les pare-feux. Bien que dat de 1995, il est toujours trs bon. Vous pouvez le trouver sur nist.gov (http: //cs-www.ncsl.nist.gov/publications/nistpubs/800-10/main.html). Il y a aussi :
Le projet Freefire une liste doutils de pare-feux libres, disponible sur le site de freere (http://sites.inka.de/sites/lina/freefire-l/ index_en.html) Mason the automated rewall builder for Linux (Mason, le btisseur de pare-feux automatiques pour GNU/Linux). Cest un script de pare-feu qui apprend quand vous faites les choses dont vous avez besoin sur votre rseau ! Plus de renseignements sur le site de Mason (http://www.stearns. org/mason/).
11.8.12. IP Chains - pare-feu pour les noyaux GNU/Linux 2.2.x

Les chanes pare-feu IP GNU/Linux sont une mise jour du code de pare-feu des noyaux 2.0, Il y a un bon nombre de nouvelles caractristiques, dont :

Manipulation des paquets plus exible Gestion des comptes plus complexe
184

Changements de politique simple possible automatiquement Les fragments peuvent tre explicitement bloqus, refuss, etc. Enregistre les paquets suspects Peut grer des protocoles autres que ICMP/TCP/UDP.
Assurez-vous de lire IP Chains HOWTO (http://www.tldp.org/HOWTO/ IPCHAINS-HOWTO.html)pour plus dinformations.
11.8.13. Netlter - pare-feu pour les noyaux Linux 2.4.x

Netlter se veut un ensemble dajout au code de ltrage de paquets IP du noyau. Il permet aux utilisateurs de congurer, dentretenir et dinspecter les rgles de ltrage de paquets dans le nouveau noyau 2.4. Le sous-systme netlter est une rcriture complte des implantations de ltrage de paquets, incluant ipchains et ipfwadm. Netlter procure un large ventail damliorations, et est devenu une solution encore plus mature et robuste pour protger les rseaux professionnels. iptables se veut linterface de ligne de commande pour manipuler les tables de pare-feu lintrieur mme du noyau. Netlter procure galement une architecture brute pour manipuler les paquets tandis quils traversent les diffrentes parties du noyau. Cette architecture inclut la prise en charge du masquage, le ltrage standard de paquets ainsi quune traduction dadresses de rseau plus complte. La prise en charge des requtes de charge balance pour un service en particulier parmi un groupe de serveurs, situs derrire un pare-feu, a galement t amliore. La fonctionnalit de linspection contextuelle des paquets (stateful inspection) est particulirement puissante. Elle permet de tracer et de contrler le ux de communications passant travers le ltre. La possibilit de garder une trace des tats et le contexte pertinent une session ne font pas que rendre les rgles plus simples ; cela permet galement de mieux interprter les protocoles de niveau suprieur. De plus, de petits modules peuvent tre dvelopps pour produire des fonctions supplmentaires spciques, telles que le passage de paquets des programmes dans lespace utilisateur pour traitement, puis leur rintroduction dans le ux normal de paquets. La possibilit de dvelopper ces programmes 185
Chapitre 11. A propos de la scurit sous GNU/Linux dans lespace utilisateur rduit le niveau de complexit y tant associ prcdemment : les changements nont plus tre faits directement au niveau du noyau. Voici dautres rfrences en matire de tables IP :
Oskar Andreasson IP Tables Tutorial (http://www.linuxsecurity.com/ feature_stories/feature_story-94.html) Oskar Andreasson, de pair avec LinuxSecurity.com, discute de son tutoriel sur les tables IP et de lutilit de ce document pour construire un pare-feu robuste pour votre entreprise ; Hal Burgiss Introduces Linux Security Quick-Start Guides (http://www. linuxsecurity.com/feature_stories/feature_story-93.html) Hal Burgiss a crit deux guides ofciels sur la scurit sous Linux, y compris la gestion de pare-feu ; Page daccueil de Netlter (http://www.netfilter.org) la page daccueil concernant netlter et iptables ; Linux Kernel 2.4 Firewalling Matures: netlter (http://www.linuxsecurity. com/feature_stories/kernel-netfilter.html) cet article de LinuxSecurity.com dcrit les bases du ltrage de paquets, comment commencer utiliser les tables IP, ainsi quune liste des nouvelles fonctionnalits disponibles dans les plus rcentes gnrations de pare-feux pour Linux.
11.8.14. VPN : R eseaux priv es virtuels (Virtual Private Network)

Les VPNs (Virtual Private Networks) sont un des moyens dtablir un rseau virtuel par dessus un rseau dj existant. Ce rseau virtuel est souvent crypt et transmet les donnes uniquement de et vers certaines entits qui ont rejoint le rseau. Les VPNs sont souvent utiliss pour connecter quelquun travaillant chez lui par dessus Internet public sur le rseau interne de sa compagnie. Il y a plusieurs solutions GNU/Linux VPN disponibles:

vpnd. Voir VPN Daemon (http://sunsite.auc.dk/vpnd/). Free S/Wan, disponible sur freeswan.org/ (http://www.freeswan.org/)
186
ssh peut tre utilis pour construire un VPN. Voir VPN PPP-SSH miniHOWTO (http://www.tldp.org/HOWTO/ppp-ssh/index.html) pour plus dinformations. vps (serveur priv virtuel) sur http://www.strongcrypto.com (http:// www.strongcrypto.com). vtun (tunnel virtuel) sur le site Web sourceforge (http://vtun.sourceforge. net/). yavipin (http://yavipin.sourceforge.net).
Consultez aussi la section sur IPSEC pour des rfrences vers plus dinformations.
11.9. Pr eparation de s ecurit e (avant de vous connecter)

OK, vous avez vri tout votre systme, et estim quil tait aussi sr que possible, et vous tes prt le mettre en ligne. Il y a quelques petites choses que vous devriez faire maintenant pour vous prparer une intrusion, de sorte que vous puissiez rapidement djouer lintrus, rcuprer le systme et sa bonne marche.
11.9.1. Faites une sauvegarde compl` ete de votre machine

Discuter des mthodes de sauvegarde et de stockage est hors de la porte de ce chapitre mais voici quelques mots au sujet des sauvegardes et de la scurit : Si vous avez moins de 650Mo de donnes sur une partition, une copie sur CD-R de vos donnes est un bon moyen (difcile modier ensuite, et, si stock correctement, peut durer longtemps). Bandes et autres mdias rinscriptibles devraient tre protgs contre lcriture ds que la sauvegarde est complte, puis vris pour empcher la modication. Assurez vous de stocker vos sauvegardes dans un endroit sr hors ligne. Une bonne sauvegarde vous fournira un bon point de dpart pour restaurer votre systme.
187
11.9.2. Choisir un bon planning de sauvegardes

Un cycle six bandes est facile grer. Il comprend quatre bandes pour la semaine, une pour chaque vendredi pair, et une dernire pour les vendredis impairs. Faites une sauvegarde incrmentielle chaque jour, et une sauvegarde complte sur la bande du vendredi approprie. Si vous faites un changement particulirement important ou ajoutez des donnes importantes votre systme, une sauvegarde complte est recommande.
11.9.3. Tester vos sauvegardes

Vous devriez faire des tests priodiques de vos copies de sauvegarde pour vous assurer quelles fonctionnent correctement. Les restaurations de chiers et leur vrication auprs des donnes relles, la taille et le listage des copies, et la lecture de vieilles copies de sauvegarde devraient tre faites sur une base rgulire.
11.9.4. Sauvegardez votre base de donn ees RPM

Dans lventualit dune intrusion, vous pouvez utiliser votre base de donnes RPM comme vous utiliseriez tripwire, mais uniquement si vous pouvez tre sr quelle na pas t modie elle non plus. Vous devriez copier votre base de donnes RPM sur une disquette, et garder tout le temps cette dernire hors-ligne. Les chiers /var/lib/rpm/fileindex.rpm et /var/lib/rpm/packages.rpm ne tiendront sans doute pas sur une seule disquette. Mais compresss, ils devraient tenir chacun sur une. Maintenant, si votre systme est corrompu, vous pouvez utiliser la commande :
root# rpm -Va
pour vrier tous les chiers du systme. Consultez la page de man de rpm, car il y a quelques autres options qui peuvent tre incluses pour le rendre moins verbeux. Gardez lesprit que vous devez aussi tre sr que votre binaire RPM na pas lui aussi t corrompu. Cela signie que chaque fois quun nouveau RPM est ajout au systme, la base de donnes RPM devra tre archive nouveau. Vous devrez peser les avantages et les inconvnients. 188
11.9.5. Gardez trace des donn ees de journalisation du syst` eme

Il est trs important que linformation gnre par syslog ne soit pas corrompue. Rendre les chiers de /var/log en lecture et criture par un seul petit nombre dutilisateurs est un bon dbut. Assurez-vous de garder un il sur ce qui y est crit, spcialement sous la rubrique auth. Des checs de connexion rpts par exemple, peuvent rvler une tentative de viol. Vous pourrez regarder dans /var/log et consulter messages, mail.log, etc. Vous voudrez aussi congurer votre script de rotation des logs pour les garder plus longtemps de sorte que vous ayez le temps de les examiner. Jetez un coup dil logrotate(8). Si vos chiers de logs ont t corrompus, essayez de dterminer partir de quand commence la corruption, et quelles choses semblent tre corrompues. Y a-t-il de longues priodes sans logs? Regarder dans les sauvegardes les chiers de logs originels est une bonne ide. Les intrus modient gnralement les chiers de logs pour effacer leurs traces, mais on devrait nanmoins y chercher des vnements inhabituels. Vous pourriez remarquer lintrus en train dessayer dobtenir laccs, ou exploiter un programme pour obtenir le compte root. Vous devriez voir des entres de logs avant que lintrus nait eu le temps de les modier. Vous devriez aussi vous assurer de bien sparer les entres auth des autres donnes de logs, y compris les tentatives de changer dutilisateur en utilisant su, tentatives de connexion, et autres informations des comptes utilisateurs. Si possible, congurez syslog pour envoyer une copie des donnes les plus importantes vers un systme sr. Cela empchera un intrus deffacer ses traces en effaant ses tentatives de login/su/ftp/etc. Voir la page de man de syslog.conf, et consulter loption @. Il y a plusieurs programmes syslogd plus volus. Consultez security.sdsc.edu (http://security.sdsc.edu/software/sdsc-syslog/) pour Secure Syslog. Secure Syslog vous permet de crypter vos entres syslog et vous assure que personne ne les a modies. Un autre syslogd avec plus de fonctions est syslog-ng (http://www. balabit.hu/en/downloads/syslog-ng/). Il permet beaucoup plus de exibilit dans la journalisation et peut crypter vos ots syslog distants pour empcher leur corruption. 189
Chapitre 11. A propos de la scurit sous GNU/Linux Enn, les chiers de logs sont encore plus inutiles lorsque personne ne les lit. Prenez un peu de temps rgulirement pour parcourir vos chiers de logs, et imprgnez vous de ce quoi ils ressemblent les jours normaux. Cela peut vous aider reprer les choses anormales.
11.9.6. Appliquez toutes les nouvelles mises ` a jour syst` eme.

La majorit des utilisateurs installent leur systme partir dun CD-ROM. A cause du rythme rapide des correctifs de scurit, de nouveaux programmes (corrigs) sont sans arrt publis. Avant de connecter votre machine au rseau, cest une bonne ide de lancer MandrakeUpdate (sur une autre machine connectes Internet bien sr) et installer tous les paquetages mis jour depuis que vous avez reu vos CD-ROM. Souvent, ces paquetages contiennent dimportants correctifs de scurit, cest donc une bonne ide de les installer.
11.10. Que faire, avant et pendant une eraction

Alors vous avez suivi les conseils donns ici (ou ailleurs) et avez dtect une effraction? La premire chose faire est de garder votre calme. Des actions prcipites peuvent causer plus de dgts que ce quaurait fait lattaquant.
11.10.1. Violation de s ecurit e sur le vif.

Reprer une violation de scurit sur le vif peut tre une exprience stressante. Comment vous ragissez peut avoir de graves consquences. Si la violation que vous voyez est physique, il y a des chances que vous voyiez quelquun en train de violer votre maison, bureau ou laboratoire. Vous devriez avertir les autorits locales. Dans un laboratoire, vous pourriez voir quelquun en train dessayer douvrir un botier ou de redmarrer une machine. Suivant votre comptence et le rglement, vous pouvez leur demander darrter ou contacter le personnel de scurit local. Si vous avez dtect un utilisateur local en train dessayer de compromettre votre scurit, la premire chose faire est de conrmer quil est bien celui que vous pensez. Vriez le site depuis lequel il est connect. Est-ce le site habituel? Non? Alors utilisez un moyen non lectronique pour rentrer en contact. En loccurrence, appelez le par tlphone ou allez leur bureau/maison pour lui parler. Sils admettent quils sont connects, vous pou190
Chapitre 11. A propos de la scurit sous GNU/Linux vez leur demander dexpliquer ce quils taient en train de faire ou leur intimer darrter. Sils ne sont pas connects, et nont aucune ide de ce dont vous parlez, lincident demandera sans doute plus dinvestigations. Examinez bien chaque incident, et rcoltez le plus dinformations possibles avant de faire une quelconque accusation. Si vous avez dtect une violation rseau, la premire chose faire (si vous le pouvez) est de dconnecter votre rseau. Sils sont connects par modem, dbranchez le cble du modem; sils sont connects par Ethernet, dconnectez le cble Ethernet. Cela les empchera de faire plus de dommages, et ils interprteront cela comme un problme rseau plutt quune dtection. Si vous ne pouvez pas dconnecter le rseau (si vous avez un site occup, ou navez pas le contrle physique des machines), la meilleure tape suivante est dutiliser quelque chose comme les encapsuleurs TCP ou ipfwadm pour refuser laccs au site de lintrus. Si vous ne pouvez pas refuser tous les utilisateurs du mme hte que celui de lintrus, bloquer le compte de cet utilisateur devrait fonctionner. Notez que bloquer un compte nest pas chose aise. Vous devez prendre en compte les chiers .rhosts, accs FTP, et une foule de portes drobes possibles. Aprs que vous ayez fait lune des choses prcdentes (dconnect le rseau, refus laccs depuis leur site, et/ou dsactiv leur compte), vous devez tuer tous leurs processus utilisateurs et les dconnecter. Vous devriez soigneusement surveiller votre site dans les minutes qui suivent, car lattaquant pourra essayer de revenir. Peut-tre en utilisant un autre compte, et/ou en utilisant une autre adresse rseau.
11.10.2. La violation de s ecurit e a d ej` a eu lieu

Alors vous avez dtect une violation qui a dj eu lieu ou vous lavez dtecte et avez mis dehors (esprons-le) lintrus. Et maintenant?
11.10.2.1. Fermer le trou

Si vous pouvez trouver le moyen qua utilis lattaquant pour pntrer votre systme, vous devriez essayer de boucher ce trou. En loccurrence, vous verrez peut-tre plusieurs entres FTP juste avant que lutilisateur ne se connecte. Dsactivez le service FTP et recherchez sil existe une version mise jour, ou si une liste quelconque connat un remde. 191
Chapitre 11. A propos de la scurit sous GNU/Linux Consultez tous vos chiers de logs, et faites une visite vos listes de scurit et sites Web pour voir sil ny a pas un nouveau trou que vous pourriez boucher. Vous pouvez trouver les mises jour de scurit de Mandrakelinux en lanant MandrakeUpdate rgulirement. Il y a maintenant un projet daudit de scurit GNU/Linux. ils explorent mthodiquement tous les utilitaires utilisateurs la recherche de possibles exploitations dtournes et dbordements. Extrait de leur annonce : Nous tentons un audit systmatique des sources GNU/Linux avec le but de devenir aussi sr que OpenBSD. Nous avons dj dcouvert (et rsolu) quelques problmes, mais plus daide serait la bienvenue. La liste nest pas modre et est aussi une source utile pour des discussions gnrales de scurit. La liste de ladresse est : security-audit@ferret.lmh.ox.ac.uk. Pour vous inscrire, envoyez un message : security-audit-subscribe@ferret. lmh.ox.ac.uk Si vous ne gardez pas lintrus hors de porte, il reviendra sans doute. Pas seulement sur votre machine, mais quelque part sur votre rseau. Sil utilisait un renieur de paquets, il y a de bonnes chances quil ait accs dautres machines locales.
11.10.2.2. Evaluer les d eg ats

La premire chose faire est dvaluer les dgts. Quest-ce qui a t corrompu? Si vous utilisez un contrleur d intgrit tel que Tripwire, vous pouvez le lancer pour excuter une vrication dintgrit, et cela devrait vous aider dire ce qui a t corrompu. Sinon, vous devrez vrier toutes vos donnes importantes. Du fait que les systmes GNU/Linux deviennent de plus en plus faciles installer, vous devriez envisager de sauvegarder vos chiers de conguration pour effacer vos disques puis rinstaller GNU/Linux, et restaurer les chiers utilisateurs et chiers de conguration des sauvegardes. Cela assurera que vous avez nouveau un systme propre. Si vous devez sauvegarder des donnes depuis le systme corrompu, soyez particulirement vigilant avec tous les binaires que vous restaurez, car ils pourraient contenir des chevaux de Troie, placs l par lintrus. La Rinstallation devrait tre considre obligatoire aprs quun intrus ait obtenu laccs root. De plus, vous voudrez sans doute garder toutes les preuves, avoir un disque de rechange est donc recommand.
192
Chapitre 11. A propos de la scurit sous GNU/Linux Vous devez alors vous proccuper de la date de lintrusion, et si la sauvegarde contient alors du travail endommag.
11.10.2.3. Sauvegardes, Sauvegardes, Sauvegardes!

Faire des sauvegardes rgulires est une aubaine pour les problmes de scurit. Si votre systme est compromis, vous pouvez restaurer les donnes dont vous avez besoin depuis les sauvegardes. Bien sr, vos donnes intressent aussi lintrus, et il ne fera pas que les dtruire, ils les volera et gardera sa propre copie; Mais au moins vous aurez encore vos donnes. Vous devriez vrier plusieurs sauvegardes en arrire avant de restaurer un chier qui a t compromis. Lintrus pourrait avoir compromis vos chiers il y a longtemps, et vous pourriez avoir fait plusieurs sauvegardes valides du chier corrompu! Bien sr, il y a aussi une ope de soucis avec les sauvegardes. Assurez-vous de les stocker dans un endroit sr. Soyez inform de qui y accde. (Si un attaquant peut obtenir vos sauvegardes, il peut accder toutes vos donnes sans que vous vous en rendiez compte.)
11.10.2.4. Pister lintrus.

OK, vous avez mis lintrus hors de porte, et rcupr votre systme, mais vous navez pas tout fait ni encore. Bien quil soit improbable que la plupart des intrus soient jamais pris, vous devriez dnoncer lattaque. Vous devriez rendre compte de lattaque au contact administratif du site depuis lequel lattaquant sen est pris votre systme. Vous pouvez rechercher ce contact avec whois ou la base de donnes Internic. Vous devriez leur envoyer un courrier lectronique avec toutes les entres de logs concernes, dates et heures. Si vous avez remarqu quoi que ce soit dautre distinctif propos de lintrus, vous devriez le mentionner de mme. Aprs avoir envoy le courrier lectronique, vous devriez (si vous y tes dispos) le faire suivre dun appel tlphonique. Si cet administrateur repre lui aussi lattaquant, il pourrait tre capable de contacter ladministrateur du site depuis lequel il vient, et ainsi de suite. Les bons crackers utilisent souvent plusieurs systmes intermdiaires, certains (ou plusieurs) pouvant mme ne pas tre au courant quils ont t viols. Essayer de pister un cracker jusqu son systme de base peut tre dif193
Chapitre 11. A propos de la scurit sous GNU/Linux cile. Rester poli avec les administrateurs auxquels vous parlez peut tre utile pour obtenir de laide de leur part. Vous devriez aussi avertir toutes les organisations de scurit dont vous faites partie, (CERT (http://www.cert.org/) ou autre), ainsi que Mandrakesoft: mandrakelinux.com (http://www.mandrakesecure.net/)
11.11. Documents de base

Il y a beaucoup de bons sites sur la scurit UNIX en gnral et GNU/Linux en particulier. Il est trs important de sabonner une (ou plus) des listes de diffusion de scurit et tre inform des mises jour de scurit. La plupart de ces listes ont peu de trac, et un contenu trs informatif.
11.11.1. R ef erences LinuxSecurity.com

Le site LinuxSecurity (http://www.linuxsecurity.com) contient de nombreuses rfrences en matire de scurit Linux et Open Source, lesquelles sont crites par le personnel de LinuxSecurity ainsi que par des experts travers le monde.
Linux Advisory Watch (http://www.linuxsecurity.com/vuln-newsletter. html) un bulletin dinformation comprhensible qui souligne les vulnrabilits de scurit qui ont t annonces dans la semaine. Il inclut des astuces pour actualiser les paquetages, ainsi quune description de chacune des vulnrabilits ; Linux Security Week (http://www.linuxsecurity.com/newsletter.html) le but de ce document est de fournir ses lecteurs un rsum des annonces de scurit les plus pertinentes du monde Linux au cours de la semaine ; Linux Security Discussion List (http://www.linuxsecurity.com/general/ mailinglists.html) cette liste de discussion sadresse ceux et celles qui voudraient poser des questions ou mettre des commentaires gnraux relatifs la scurit ; Linux Security Newsletters (http://www.linuxsecurity.com/general/ mailinglists.html) information dabonnement pour tous les bulletins de nouvelles ;
194
comp.os.linux.security FAQ (http://www.linuxsecurity.com/docs/colsfaq. html) Foire aux questions dote de rponses provenant du groupe de nouvelles comp.os.linux.security. Linux Security Documentation (http://www.linuxsecurity.com/docs/) un excellent point de dpart pour obtenir de linformation relative la scurit dans les environnements Linux et Open Source.
11.11.2. Sites FTP

Le CERT (Computer Emergency Response Team) est lquipe de rponses aux urgences informatiques. Ils mettent souvent des alertes sur les attaques actuelles et des solutions. Consultez ftp://ftp.cert.org (ftp://ftp.cert. org) pour plus dinformations. ZEDZ (http://www.zedz.net) (anciennement Replay) possde des archives de plusieurs programmes de scurit. Comme ils sont situs en dehors des Etats-Unis, ils nont pas respecter les lois de restriction des Etats-Unis au sujet de la cryptographie. Matt Blaze est lauteur de CFS et un grand dfenseur de la scurit. Les archives de Matt sont disponibles sur att.com (ftp://ftp.research.att.com/ pub/mab)
11.11.3. Sites Internet
La FAQ des hackers : plethora.net (http://www.plethora.net/~seebs/ faqs/hacker.html) ; Larchive COAST possde un grand nombre de programmes de scurit pour UNIX et des informations : CERIAS (http://www.cerias.purdue. edu/coast/) ; Page scurit de SuSE : SuSE (http://www.suse.de/de/security/) ; BUGTRAQ publie des conseils sur des problmes de scurit : securityfocus.com (http://www.securityfocus.com/archive/1) ; Le CERT (Computer Emergency Response Team), la clbre quipe met des avis sur des attaques courantes sur les plates-formes UNIX: CERT (http: //www.cert.org/) ; 195
Dan Farmer est lauteur de SATAN et beaucoup dautres outils de scurit. Sa page personnelle prsente plusieurs tudes informatives de scurit, ainsi que des outils de scurit :trouble.org (http://www.trouble.org/ security/) ; Le CIAC envoie des bulletins priodiques de scurit sur les attaques courantes : CIAC (http://ciac.llnl.gov/cgi-bin/index/bulletins) ; Un bon point de dpart pour les modules dauthentication additionnels GNU/Linux (PAM) peut tre trouv kernel.org (http://www.kernel.org/ pub/linux/libs/pam/). la FAQ WWW Security , crite par Lincoln Stein, est une bonne rfrence Web sur la scurit. Elle peut tre trouve sur le site w3.org (http: //www.w3.org/Security/Faq/www-security-faq.html) MandrakeSecure (http://www.mandrakesecure.net) est un site de scurit en rapport avec Mandrakelinux qui propose de nombreux articles, alertes, etc. Visitez souvent ce site.
11.11.4. Listes de diusion

Liste de scurit Mandrakelinux : vous pouvez tre inform de chaque correctif de scurit en vous abonnant notre liste : security (http://www. mandrakelinux.com/fr/security.php3) Bugtraq : Pour vous abonner Bugtraq, envoyer un message listserv@netspace.org contenant dans le corps subscribe bugtraq . (voir le lien ci-dessus pour les archives). CIAC : Envoyez un message majordomo@tholia.llnl.gov. Dans le corps du message crivez : subscribe ciac-bulletin
11.11.5. Livres - Documents imprim es

Il y a un certain nombre de bons livres sur la scurit. Cette section en cite quelques-uns. En plus des livres spcialement sur la scurit, la scurit est traite par bon nombre dautres livres sur ladministration systme.
196
R ef erences
D. Brent Chapman, Elizabeth D. Zwicky, Building Internet Firewalls, 1e dition Septembre 1995, ISBN 1-56592-124-0. Simson Garnkel, Gene Spafford, Practical UNIX & Internet Security, 2e dition Avril 1996, ISBN 1-56592-148-8. Deborah Russell, G.T. Gangemi, Sr., Computer Security Basics, 1e dition Juillet 1991, ISBN 0-937175-71-4. Olaf Kirch, Linux Network Administrators Guide, 1e dition Janvier 1995, ISBN 1-56592-087-2. Simson Garnkel, PGP: Pretty Good Privacy, 1e dition Dcembre 1994, ISBN 1-56592-098-8. David Icove, Karl Seger, William VonStorch, Computer Crime A Crimeghters Handbook, 1re dition aot 1995, ISBN 1-56592-086-4. John S. Flowers, Linux Security, New Riders, Mars 1999, ISBN 0735700354. Anonymous, Maximum Linux Security : A Hackers Guide to Protecting Your Linux Server and Network, Juillet 1999, ISBN 0672313413. Terry Escamilla, Intrusion Detection, John Wiley and Sons, Septembre 1998, ISBN 0471290009. Donn Parker, Fighting Computer Crime, John Wiley and Sons, Septembre 1998, ISBN 0471163783.
197
11.12. Foire aux questions

Q : Est-il plus sr de compiler un gestionnaire de priphrique directement dans le noyau, plutt que den faire un module ? R : Certaines personnes pensent quil vaut mieux dsactiver la possibilit de charger des gestionnaires de priphriques sous forme de modules, car un intrus pourrait charger un module cheval de Troie ou un module qui pourrait affecter la scurit du systme. De toute faon, pour pouvoir charger des modules, vous devez tre root. Les chiers modules objets ne peuvent aussi qutre crits par root. Cela signie quun intrus aurait besoin dun accs root pour insrer un module. Si un intrus obtient laccs root, il y a des choses plus srieuses propos desquelles se proccuper que de savoir sil voudra charger un module. Les modules sont faits pour le chargement dynamique de gestionnaires de priphriques rarement utiliss. Sur des machines serveurs ou pare-feux, en loccurrence, cela est trs improbable. Pour cette raison, il devrait tre plus logique de compiler les gestionnaires directement dans le noyau pour des machines agissant en tant que serveurs. Les modules sont aussi plus lents que les gestionnaires compils directement dans le noyau.
Q : Pourquoi se connecter comme root dune machine distante choue ? R : Lisez Scurit pour root , page 147. Cela est fait dessein pour empcher des utilisateurs distants de se connecter via telnet votre machine comme root, ce qui est une vulnrabilit srieuse de scurit, car alors le mot de passe de root serait transmis, en clair, travers le rseau. Noubliez pas : Les intrus potentiels ont du temps devant eux et peuvent lancer des programmes automatiques pour trouver votre mot de passe. Q : Comment puis-je activer les extensions SSL dApache ? R : Installez le paquetage mod_ssl et consultez la documentation sur le site Web de mod_ssl (www.modssl.org).
198
Vous pouvez aussi installer le module mod sxnet, qui est un greffon pour mod ssl et permet dactiver le Thawte Secure Extranet . mod ssl chire les communications, mais mod sxnet permet en plus dauthentier de mani` ere s ure les utilisateurs dune page Web gr ace ` a un certicat personnel. Vous pouvez consulter le site Web de Thawte (http://www.thawte.com/certs/strongextranet/) ou installer le paquetage du module mod_xnet ` a partir de votre distribution Mandrakelinux et lire la documentation incluse.
Vous devriez aussi essayer ZEDZ net (http://www.zedz.net) qui a plusieurs paquetages pr-compils, et est situ en dehors des tats-Unis.
Q : Comment puis-je manipuler les comptes des utilisateurs tout en assurant la scurit ? R : Votre distribution Mandrakelinux propose un grand nombre doutils pour changer les proprits des comptes utilisateurs.
Les commandes pwconv et unpwconv peuvent tre utilises pour passer entre des mots de passe fantmes (shadow) ou non. Les commandes pwck et grpck peuvent tre utilises pour vrier la cohrence des chiers passwd et group. Les commandes useradd, usermod, et userdel peuvent tre utilises pour ajouter, supprimer, et modier des comptes utilisateurs. Les commandes groupadd, groupmod, et groupdel feront de mme pour les groupes. Des mots de passe de groupes peuvent tre crs en utilisant gpasswd.
Tous ces programmes sont compatibles shadow -- cest dire, si vous activez les procdures shadow, ils utiliseront /etc/shadow pour linformation de mots de passes, sinon non.
Q : Comment puis-je protger des documents HTML particuliers en utilisant Apache ? R : Je parie que vous ne connaissiez pas Apache Week (http://www. apacheweek.com) ?
199
Vous pouvez trouver des informations sur lauthentication des utilisateurs sur le site Web de apacheweek (http://www.apacheweek.com/features/ userauth) ainsi que dautres conseils de scurit pour serveurs Web sur le site de Apache (http://www.apache.org/docs/misc/security_tips. html).
11.13. Conclusion
En vous abonnant aux listes de diffusion dalertes de scurit, et en vous tenant au courant, vous pouvez faire beaucoup pour la scurit de votre machine. Si vous gardez un il sur vos chiers de logs et lancez rgulirement quelque chose comme tripwire, Vous pouvez faire encore plus. Un niveau raisonnable de scurit informatique nest pas difcile maintenir sur une machine personnelle. Plus defforts sont ncessaires sur des machines de travail, mais GNU/Linux peut en fait tre une plate-forme sre. Du fait de la nature du dveloppement de GNU/Linux, des correctifs de scurit sortent souvent beaucoup plus rapidement quils ne le font sur des systmes dexploitation commerciaux, faisant de GNU/Linux une plate-forme idale lorsque la scurit est une ncessit.
Vocabulaire relatif ` a la s ecurit e

Voici quelques-uns des termes les plus utiliss en scurit informatique Un dictionnaire complet de termes de scurit informatique est disponible sur le site de LinuxSecurity (http://www.linuxsecurity.com/dictionary/) authentication (authentication) Le processus qui conduit savoir que les donnes reues sont bien les mmes que celles qui ont t envoyes, et que celui qui prtend tre lexpditeur est lexpditeur rel. bastion Host (hte bastion) Un systme informatique qui doit tre hautement scuris car il est vulnrable aux attaques, habituellement parce quil est expos Internet et est un point de contact principal pour les utilisateurs de r200
Vocabulaire relatif la scurit seaux internes. Il tire son nom des fortications extrieures des chteaux mdivaux. Les bastions supervisent les rgions critiques de dfense, possdant gnralement des murs plus pais, de la place pour plus de gens darmes, et lutile chaudron dhuile bouillante pour dcourager les attaquants. Une dnition raisonnable pour ce qui nous concerne. buffer overow (dpassement de tampon) Un style de programmation rpandu est de ne jamais allouer des tampons sufsamment grands, et ne pas en vrier les dpassements. Quand de tels tampons dbordent, le programme lexcutant (dmon ou programme suid) peut tre exploit pour faire autre chose. Cela fonctionne gnralement en crasant une adresse de retour de fonction sur la pile, de sorte quelle pointe vers un autre endroit. denial of service (dnis de service) Une attaque qui consomme les ressources de votre ordinateur pour des tches quil ntait pas suppos effectuer, empchant de la sorte lusage des ressources rseau ou autre pour des buts lgitimes. dual-homed Host (hte double patrie) Un ordinateur usage gnral possdant au moins deux interfaces rseau. rewall (pare-feu) Un composant ou ensemble de composants qui limite les transferts entre un rseau protg et Internet, ou entre deux ensembles de rseaux. host (hte) Un systme informatique reli un rseau. IP spoong (Usurpation dIP) lIP Spoong est une technique dattaque complexe compose de plusieurs composants. Cest une violation de scurit qui trompe des ordinateurs sur des relations de conance en leur faisant croire quils sont quelquun quils ne sont pas en fait. Il y a un article complet crit par dmon9, route, et innity dans le volume Sept, numro 48 du magazine Phrack. non-rpudiation La caractristique dun destinataire capable de prouver que lexpditeur de donnes est bien lexpditeur rel, mme sil dment plus tard en tre lorigine. 201
Vocabulaire relatif la scurit packet (paquet) Lunit de communication fondamentale sur Internet. packet ltering (ltrage de paquets) Laction quun priphrique ralise pour faire du contrle slectif sur le ot de donnes entrant et sortant dun rseau. Le ltrage de paquets autorise ou bloque des paquets, gnralement en les routant dun rseau vers un autre (plus gnralement dInternet vers un rseau interne, et vice-versa). Pour accomplir le ltrage de paquets, vous dnissez des rgles qui spcient quels types de paquets (ceux de ou vers une adresse IP particulire ou un port) doivent tre autoriss, et quels autres doivent tre bloqus. perimeter network (rseau primtre) Un rseau ajout entre un rseau protg et un rseau externe , pour permettre un niveau de scurit supplmentaire. Un rseau primtre est parfois appel un DMZ. proxy server (serveur mandataire) Un programme qui traite avec les serveurs externes au nom des clients internes. Les clients Proxy parlent au serveur Proxy, qui relaie les requtes autorises du client au serveur rel et relaie la rponse en retour au client. superuser (super-utilisateur) Un nom ofcieux de root.
202
Chapitre 12. Le r eseau sous GNU/Linux

12.1. Copyright
Ce chapitre sappuie sur un HOWTO de Joshua D. Drake {POET} dont loriginal est hberg sur le site The Linux Review (http://www.thelinuxreview. com/). La traduction franaise est base sur ladaptation franaise de Jacques Chion. Les HOWTOs NET-3/4-HOWTO, NET-3, et Networking-HOWTO, renseignements au sujet de linstallation et la conguration de rseau prenant en charge Linux. Copyright () 1997 Terry Dawson, 1998 Alessandro Rubini, 1999 Joshua D. Drake {POET} , CommandPrompt, Inc. est un document LIBRE. Vous pouvez le redistribuer sous les termes de la Licence Publique Gnrale GNU (GPL). Les modications depuis la version v1.7.0, 2000 , sont sous (C)opyright 2000 - 2004 MandrakeSoft.
12.2. Comment utiliser ce document ?

Ce document sorganise de haut en bas. La lecture des premires sections, qui fournissent des informations sur le matriel, est facultative ; par contre, il est conseill davoir bien assimil la section qui concerne les rseaux avant de poursuivre vers les suivantes qui savreront plus pointues. Le reste du manuel est plus technologique. Il comporte trois grandes parties : Informations sur Ethernet et IP, Technologies pour matriel PC le plus courant, et Technologies moins rpandues. La dmarche suggre pour parcourir ce document est donc la suivante : Lire les sections gnrales. Celles-ci sappliquent quasiment toutes les technologies qui seront dcrites plus loin. Il est donc important de les avoir bien saisies. La plupart dentre vous connaissent sans doute dj bien le sujet. Rchissez votre rseau. Il faudra savoir quelle est ou sera la conception de votre rseau, quels matriels et types de technologies seront utiliss. 203
Chapitre 12. Le rseau sous GNU/Linux Lisez la section Informations sur IP et Ethernet, page 215 si vous tes connect en direct sur un rseau local ou Internet : Cette section traite de la conguration de base dEthernet et des diffrentes possibilits quoffre Linux, concernant le rseau IP, telles que le pare-feu, le routage avanc, etc. Lisez la suite si les rseaux locaux bas cot ou les connexions par tlphone vous intressent Dans cette section, il sagira de PLIP, PPP, SLIP, et RNIS : les technologies utilises habituellement sur les stations de travail personnelles. Lisez les sections relatives vos besoins technologiques spciques : Si ceux-ci diffrent de IP et/ou de matriel standard, la section nale couvre des dtails spciques aux protocoles non IP et au matriel de communication particulier. Congurez votre rseau. Si vous avez la ferme intention de vous lancer dans la conguration de votre rseau, il serait prudent de prvenir tout problme ventuel en lisant attentivement cette partie. Cherchez de laide si ncessaire. Si certains problmes, non traits par notre documentation, apparaissent lors de votre installation, reportez-vous notre section consacre la recherche de documentation ou celle des rapports de bogues. Amusez-vous ! On peut vraiment prendre son pied sur le rseau. Foncez ! Nhsitez pas !
12.2.1. Les conventions utilis ees dans ce document.

Aucune convention spciale nest utilise ici. Il faudra cependant prter attention la faon dont les commandes sont indiques. Dans la documentation usuelle de UNIX, toute commande entrer est prcde dune invite du shell. Ce document utilisera user% comme invite pour les commandes ne ncessitant pas de privilges de super utilisateur, et root# pour les commandes que lon doit excuter comme utilisateur root. Il nous a sembl 204
Chapitre 12. Le rseau sous GNU/Linux prfrable dutiliser root# la place du classique # pour viter toute confusion avec les extraits de scripts shell, o le signe # (dise) est utilis pour dnir les lignes de commentaires. Lorsquil sera mentionn Options de Compilation du noyau , il faudra savoir quelles le sont avec le format utilis par menucong. Elles devraient donc tre comprhensibles mme dans le cas o on ne serait que peu familiaris avec menucong. Sil existe un doute quant la dclaration des options, il sufra dexcuter le programme une fois pour voir la question se simplier delle-mme.
12.3. Informations g en erales concernant le r eseau sous Linux.

12.3.1. Informations sur la couche r eseau de Linux.
Bon nombre dadresses existent pour dgoter des informations sur le rseau Linux. Les spcialistes disponibles pullulent. Par exemple, voir la liste sur le site linuxports (http://www.linuxports.com/). Il existe galement un groupe de discussion consacre au rseau et ce qui le concerne dans la hirarchie Linux (news:comp.os.linux.networking). On pourra galement sinscrire sur la liste de diffusion, qui permet de poser ses questions sur le rseau Linux, en envoyant un message lectronique :
To: majordomo@vger.rutgers.edu Subject: (nimporte quoi) Message: subscribe linux-net
Lorsque vous faites part dun problme, nomettez aucun dtail. Plus spciquement, indiquez de quelles versions de logiciels vous vous servez - en particulier celle du noyau, des outils tels que pppd ou dip, et dcrivez prcisment la nature des problmes rencontrs. Il faudra donc noter la syntaxe exacte des messages derreurs reus, et les commandes que vous avez excutes. 205
Chapitre 12. Le rseau sous GNU/Linux
12.3.2. O` u obtenir des informations sur le r eseau, non sp eciques ` a Linux ?

Si vous dsirez des informations gnrales sur TCP/IP, lisez les documents suivants : Introduction TCP/IP. ce document se trouve la fois sur en version texte (ftp://athos. rutgers.edu/runet/tcp-ip-intro.doc) et en version postscript (ftp: //athos.rutgers.edu/runet/tcp-ip-intro.ps). Administration TCP/IP. ce document se trouve la fois sur en version texte (ftp://athos. rutgers.edu/runet/tcp-ip-admin.doc) et en version postscript (ftp: //athos.rutgers.edu/runet/tcp-ip-admin.ps). Si vous recherchez des informations plus dtailles, ceci est trs recommand : Internetworking with TCP/IP, Volume 1 :principes, protocoles et architectures, par Douglas E. Comer, ISBN 0-13-227836-7, Prentice Hall publications, 3me dition, 1995. Si vous voulez apprendre comment crire des applications rseau dans un environnement compatible avec UNIX, je vous recommande galement : Unix Network Programming par W. Richard Stevens ISBN 0-13-949876-1, Prentice Hall publications, 1990. Une deuxime dition de ce livre est disponible en trois volumes, consultez le site Web de Prentice-Hall (http://www.phptr.com/) pour plus dinformation. Vous pouvez essayer aussi le groupe de discussions : comp.protocols.tcp-ip (news:comp.protocols.tcp-ip). Une importante source dinformations techniques concernant Internet et la suite des protocoles TCP/IP sont les RFC. RFC est lacronyme de Request For Comment , cest le moyen habituel de soumettre et de sinformer des normes de protocoles Internet. Il y a beaucoup dendroits o sont stockes ces RFC. Beaucoup de ceux-ci sont des sites FTP, dautres fournissent des accs WWW avec un moteur de recherche qui cherche les bases de donnes RFC avec des mots-cls particuliers. 206
Chapitre 12. Le rseau sous GNU/Linux Une source possible de RFC est :la base de donnes RFC de Nexor (http: //pubweb.nexor.co.uk/public/rfc/index/rfc.html).
12.4. Informations g en erales sur la conguration du r eseau

Vous devez connatre et bien comprendre les paragraphes suivants avant dessayer de congurer votre rseau. Ce sont des principes de base qui sappliquent, indpendamment de la nature du rseau que vous voulez mettre en place.
12.4.1. De quoi ai-je besoin pour d emarrer ?

Avant de commencer construire ou congurer votre rseau, vous aurez besoin de certaines choses. Les plus importantes sont :
12.4.1.1. Sources du noyau r ecentes (optionnel)
Votre distribution Mandrakelinux est livr ee avec loption r eseau activ ee, de sorte que vous navez pas besoin de recompiler le noyau. Si vous utilisez du mat eriel bien connu, tout ira bien. Par exemple : cartes 3COM, cartes NE2000 ou cartes Intel. Cependant si vous devez recompiler le noyau, voyez les informations qui suivent.
Si le noyau que vous utilisez actuellement ne reconnat pas les types de rseau ou les cartes dont vous avez besoin, il vous faudra les sources du noyau pour pouvoir le recompiler avec les options adquates. Mais tant que vous conservez un matriel de grande diffusion, il nest pas ncessaire de recompiler le noyau, moins que vous nayez un besoin bien particulier Vous pouvez toujours obtenir les sources du dernier noyau sur : sunsite.unc.edu (ftp://sunsite.unc.edu/pub/linux/kernel.org/pub/linux/ kernel/). Ce nest pas le site ofciel mais ils ont beaucoup de bande passante et beaucoup dutilisateurs peuvent se connecter en mme temps. Le site ofciel est kernel.org (ftp://ftp.kernel.org), mais dans la mesure du possible, il est recommand dutiliser le premier lien. Il faut en effet se rappeler que ftp.kernel.org est particulirement surcharg. Utilisez un mi207
Chapitre 12. Le rseau sous GNU/Linux roir. (NdT :et bien sr ftp.lip6.fr (ftp://ftp.lip6.fr/pub/linux/kernel/ sources/)). Les sources du noyau doivent tre dcompactes dans le rpertoire /usr/ src/linux/. Pour savoir comment appliquer les correctifs et compiler le noyau, lisez le Kernel-HOWTO (http://www.tldp.org/HOWTO/Kernel-HOWTO. html). Pour savoir comment congurer les modules du noyau, lisez le Modules-mini-HOWTO. Enn, le chier README qui se trouve dans les sources du noyau ainsi que le rpertoire Documentation fournissent damples renseignements au lecteur courageux. Sauf indication contraire, il est recommand de sen tenir une version stable du noyau (celle qui comporte un chiffre pair en seconde place dans le numro de version). Il est possible que les versions de dveloppement (chiffre impair en seconde place du numro de version) posent certains problmes avec les logiciels de votre systme (problmes de structure ou autre). Si vous ne pensez pouvoir rsoudre ce type de problmes particulier ou ceux qui risqueraient galement de se prsenter sur dautres logiciels, il vaut mieux ne pas les utiliser.
12.4.1.2. Adresses IP : explication

Les adresses de protocole Internet (IP) sont composes de quatre octets.1. La convention dcriture est appele notation dcimale pointe . Sous cette forme chaque octet est converti en un nombre dcimal (0-255), les zros de tte ( moins que ce nombre ne soit lui-mme un zro) tant omis et chaque octet spar par le caractre . . Par convention, chaque interface dun hte ou routeur possde une adresse IP. Il est permis, dans certaines circonstances, dutiliser la mme adresse IP sur diffrentes interfaces dune mme machine, mais, en gnral, chaque interface possde sa propre adresse. Les rseaux IP (protocole Internet) sont des squences contigus dadresses IP. Toutes les adresses dun mme rseau ont des chiffres en commun. La partie de ladresse commune toutes les adresses dun rseau sappelle la partie rseau de ladresse. Les chiffres restants sappellent partie hte . Le nombre de bits partag par toutes les adresses dun mme rseau est appel masque de rseau (netmask) et cest le rle du masque de rseau de dterminer quelles adresses appartiennent ou non son rseau. Par exemple :
1.
Pour la version 4 de IP, soit IPv4
208
Chapitre 12. Le rseau sous GNU/Linux Adresse h ote (host address) Masque de rseau (network mask) Partie rseau (network portion) Partie hte (host portion) Adresse rseau (network address) Adresse de diffusion (broadcast address) 192.168.110.23 255.255.255.0 192.168.110. .23 192.168.110.0 192.168.110.255
Si on effectue un ET logique sur une adresse avec son masque de rseau, on obtient ladresse du rseau auquel elle appartient. Ladresse du rseau, par consquent, sera ladresse de plus petit nombre dans lensemble des adresses de la plage du rseau et aura toujours la partie hte code avec des zros. Ladresse de diffusion est une adresse spciale que chaque hte du rseau coute en mme temps que son adresse personnelle. Cette adresse est celle laquelle les datagrammes sont envoys si tous les htes du rseau sont en mesure de les recevoir. Certains types de donnes telles que les informations de routage et les messages dalerte sont transmis vers ladresse de diffusion de telle sorte que tous les htes du rseau peuvent les recevoir en mme temps. Il y a deux standards utiliss de manire courante pour dnir ce que doit tre ladresse de diffusion. Ce qui est le plus courant est de prendre ladresse la plus haute possible du rseau comme adresse de diffusion. Dans lexemple ci-dessus ce serait 192.168.110.255. Pour dautres raisons, certains sites ont adopt la convention suivante: utiliser ladresse de rseau comme adresse de diffusion. En pratique cela na gure dimportance. Cependant, il faudra sassurer que tous les htes du rseau possdent la mme adresse de diffusion dans leur conguration. Pour faciliter la gestion, il a t dcid, il y a quelque temps, lors du dveloppement du protocole IP, que les ensembles dadresses seraient organiss en rseaux et ces rseaux regroups en "classes" qui fournissent un certain nombre de rseaux de tailles standards auxquels on peut assigner des adresses. Ces classes sont les suivantes : Classe de r eseau A Masque de r eseau 255.0.0.0 Adresses de r eseau 0.0.0.0 127.255.255.255
209
Chapitre 12. Le rseau sous GNU/Linux Classe de r eseau B C Multicast Masque de r eseau 255.255.0.0 255.255.255.0 240.0.0.0 Adresses de r eseau 128.0.0.0 191.255.255.255 192.0.0.0 223.255.255.255 224.0.0.0 239.255.255.255
Le type dadresse que vous devez utiliser dpend de ce que vous voulez faire exactement. On pourra combiner les actions suivantes pour obtenir lensemble des adresses dont on aura besoin : Installer une machine Linux sur un rseau IP existant. Il faudra alors contacter un des administrateurs du rseau pour lui demander les informations suivantes :

Adresse hte ; Adresse rseau ; Adresse de diffusion ; Masque de rseau ; Adresse de routage ; Adresse du serveur de noms de domaine (DNS).
Il vous faudra alors congurer votre rseau Linux laide de ces donnes, quil est donc impossible dinventer soi-mme en esprant que la conguration fonctionnera.
Construire un rseau tout neuf non connect Internet. Par contre, lors de la construction dun rseau priv qui ne sera pas connect Internet, il est tout fait possible de choisir son adresse. Cependant, pour des raisons de scurit et de abilit, il existe quelques adresses de rseau IP rserves cet usage. Elles sont spcies dans la RFC 1597 et sont les suivantes :
210
Chapitre 12. Le rseau sous GNU/Linux Classe r eseau A B C Masque de r eseau 255.0.0.0 255.255.0.0 255.255.255.0 Adresses de r eseau 10.0.0.0 10.255.255.255 172.16.0.0 172.31.255.255 192.168.0.0 192.168.255.255
Tableau 12-1. Allocations pour rseaux privs Il faudra dans un premier temps dcider de la dimension du rseau requis avant de choisir les adresses ncessaires.
12.4.2. Routage
La question du routage pourrait faire couler beaucoup dencre. Mais il est fort probable que la plupart des lecteurs ne ncessitera quun routage simple, et les autres aucun ! Il ne sera donc question ici que des principes mme du routage. Pour plus amples informations, il est suggr de se rfrer au dbut du prsent document. Commenons par proposer une dnition du routage. Par exemple : Le routage IP est le processus par lequel un hte, ayant des connexions rseau multiples, dcide du chemin par lequel dlivrer les datagrammes IP quil a reus. Donnons une petite illustration. Imaginons un routeur dans un bureau :il peut avoir un lien PPP sur Internet, un certain nombre de segments Ethernet alimentant les stations de travail et un second lien PPP vers un autre bureau. Lors de la rception par le routeur dun datagramme de lune de ses connexions, le routage est le mcanisme utilis pour dterminer vers quelle interface, ce datagramme devra tre renvoy. De simples htes ont besoin aussi de routage, tous les htes Internet ayant deux priphriques rseau, lun tant linterface loopback, et lautre celui qui est utilis pour parler avec le reste du monde, soit un lien Ethernet, soit une interface srie PPP ou SLIP. 211
Chapitre 12. Le rseau sous GNU/Linux Comment fonctionne le routage ? Chaque hte possde une liste spciale de rgles de routage, appele une table de routage. Cette table est compose de colonnes qui contiennent au moins trois champs : le premier tant une adresse de destination, le deuxime le nom de linterface vers lequel le datagramme doit tre rout et le troisime, qui est optionnel, ladresse IP dune autre machine qui transportera le datagramme vers sa prochaine destination sur le rseau passerelle. Sur Linux, cette table apparat la commande suivante :
user% cat /proc/net/route
ou avec lune des commandes suivantes :

user% /sbin/route -n user% /sbin/netstat -r
Le processus de routage est plutt simple : un datagramme entrant est reu, ladresse de destination est examine et compare avec chaque entre de la table. Lentre qui correspond le mieux cette adresse est choisie, et le datagramme est renvoy vers linterface spcie. Si le champ passerelle est rempli, alors le datagramme est renvoy vers cet hte via linterface spcie, sinon ladresse de destination est prsuppose comme tant sur le rseau support par linterface. Une commande spciale est utilise an de congurer cette table. Cette commande prend les arguments de la ligne de commande et les convertit en requtes systme (appels systme), qui permettent ensuite au noyau dajouter, de supprimer ou de modier des entres dans la table de routage. Cette commande sappelle route. Pour en savoir plus, rfrez-vous la page man de route(8).
12.4.2.1. Que fait le programme rout e (routed program) ?

La conguration de routage dcrite ci-dessus est bien adapte aux rseaux simples o il nexiste que des chemins uniques pour parvenir chaque destination. Plus le rseau est complexe, plus le reste se complique. Mais heureusement, cela ne concernera pas la plupart dentre vous. Le problme majeur est le suivant :dans le cas dun routage manuel ou routage statique , tel que dcrit ci-dessus, si une machine ou un lien tombe en panne dans le rseau, la seule faon de diriger les datagrammes vers un autre chemin, sil existe, sera dintervenir manuellement en excutant une srie de commandes adquate. Ceci est peu pratique et risqu, impliquant 212
Chapitre 12. Le rseau sous GNU/Linux une lourdeur et une lenteur certaine. Dans le cas dincidents sur un rseau o plusieurs routes coexistent, diverses techniques ont t mises au point pour que se rglent automatiquement les tables de routage ces techniques tant regroupes sous le nom de protocoles de routage dynamique . Les plus courants sont peut-tre dj connus du lecteur : RIP (Routing Information Protocol) etOSPF(Open Shortest Path First Protocol).RIP est trs souvent utilis sur rseaux dentreprise petits et moyens. LOSPF est plus moderne, plus apte grer de grands rseaux et mieux adapt lorsquun grand nombre de chemins sont possibles travers le rseau. Les implantations usuelles de ces protocoles sont : routed - RIP, et gated - RIP, OSPF et autres. Le programme rout est normalement fourni avec la distribution Linux ou se trouve inclus dans le paquetage NetKit . Un exemple dutilisation dun protocole de routage dynamique ressemblerait la gure 12-1.
eth0 192.168.1.0 255.255.255.0
eth0 192.168.2.0 255.255.255.0
ppp0 ppp1 ppp0
ppp0 ppp1 ppp1
eth0
C
Figure 12-1. Un exemple de routage dynamique
192.168.3.0 255.255.255.0
Nous avons trois routeurs : A, B et C. Chacun supporte un segment Ethernet avec un rseau IP de classe C (masque de rseau 255.255.255.0). Chaque routeur a galement une liaison PPP vers chacun des autres routeurs. Ce rseau forme un triangle. 213
Chapitre 12. Le rseau sous GNU/Linux La table de routage sur le routeur A ressemblera videmment ceci :
root# route add -net 192.168.1.0 netmask 255.255.255.0 eth0 root# route add -net 192.168.2.0 netmask 255.255.255.0 ppp0 root# route add -net 192.168.3.0 netmask 255.255.255.0 ppp1
Tout fonctionnera merveille jusqu ce que le lien entre A et B tombe en panne. Si cette liaison dfaille, alors lentre de routage montre que, sur le segment A, les htes ne peuvent en atteindre dautres sur le segment B car leurs datagrammes seront dirigs sur le lien ppp0 du routeur A qui est rompu. Ils pourront continuer communiquer avec les htes du segment C, et ces derniers avec ceux du segment B car la liaison restera intacte. Mais, si A peut parler C et si C peut toujours parler B, pourquoi A ne routerait-il pas ses datagrammes pour B via C, et laisserait ensuite C les envoyer B ? Cest exactement le type de problmes que les protocoles de routage dynamique comme RIP sont en mesure de rsoudre. Si chacun des routeurs A, B et C utilisent un Dmon de routage, alors leurs tables de routage seront automatiquement rgles pour reter le nouvel tat du rseau mme si lune des liaisons est dfectueuse. Congurer un tel rseau est simple, il sagira daccomplir deux choses sur chaque routeur. Pour le routeur A :
root# route add -net 192.168.1.0 netmask 255.255.255.0 eth0 root# /usr/sbin/routed
Le dmon de routage routed trouve automatiquement tous les ports actifs vers le rseau quand il dmarre et coute tous les messages sur chacun des priphriques rseau. Ceci lui permet de dterminer et de mettre jour sa table de routage. Ce qui prcde explique brivement ce quest le routage dynamique et la faon de sen servir. Pour de plus amples explications, on se reportera la liste de rfrences du dbut du prsent document. Rcapitulons les points importants relatifs au routage dynamique : 1. Un dmon de routage dynamique nest ncessaire que lorsque votre machine Linux est capable, de choisir entre plusieurs routes, pour une destination donne, par exemple lorsque vous envisagez dutiliser le masquage dadresse IP. 2. Le dmon de routage dynamique modiera automatiquement votre table de routage pour tenir compte des changements survenus dans votre rseau. 214
Chapitre 12. Le rseau sous GNU/Linux 3. RIP est adapt aux rseaux de petite et moyenne taille.
12.5. Informations sur IP et Ethernet

Cette section donnera des informations dtailles au sujet dEthernet et de la conguration des cartes Ethernet.
12.5.1. Cartes Ethernet prises en charge

GNU/Linux supporte la majorit des cartes rseau connues. Il serait donc inutile de toutes les dcrire ici. Si vous rencontrez des problmes lors de la conguration de votre carte rseau, consultez le manuel fourni (sil existe) ou le site internet du fabricant. Vous pouvez aussi regarder dans le rpertoire /usr/src/linux/Documentation/networking/, vous y trouverez de la documentation spcique au noyau pour les NIC.
12.5.2. Information g en erales sur Ethernet

Les noms de priphriques Ethernet sont eth0, eth1, eth2 etc. La premire carte dtecte par le noyau devient eth0 et le reste est nomm selon lordre de dtection. Une fois votre noyau compil de faon adquate pour reconnatre les cartes Ethernet, la conguration des cartes est aise. En gnral, on fera ceci (ce que la plupart des distributions feront automatiquement pour vous, si vous les avez congures pour reconnatre votre carte Ethernet) :
root# ifconfig eth0 192.168.0.1 netmask 255.255.255.0 up root# route add -net 192.168.0.0 netmask 255.255.255.0 eth0
La plupart des pilotes Ethernet ont t mis au point par Donald Becker (mailto:becker@CESDIS.gsfc.nasa.gov).
215
12.5.3. Utiliser 2 cartes Ethernet ou plus dans la m eme machine

Le module gestionnaire va gnralement dtecter toutes les cartes installes. Linformation issue de la dtection est stocke dans le chier /etc/modules. conf. Si vous avez 3 cartes NE2000, une 0x300, une 0x240 et une 0x220, il faudra ajouter les lignes suivantes votre chier /etc/modules.conf :
alias eth0 alias eth1 alias eth2 options ne ne ne ne io = 0x220,0x240,0x300
Le programme modprobe est appel rechercher trois cartes du type NE aux adresses en question. Les priphriques auxquels elles devraient tre assignes sont galement indiqus. La plupart des modules ISA peuvent prendre de multiples arguments I/O spars par des virgules. Par exemple :
alias eth0 3c501 alias eth1 3c501 options eth0 -o 3c501-0 io = 0x280 irq = 5 options eth1 -o 3c501-1 io = 0x300 irq = 7
Loption -o permet un nom unique dtre assign chaque module. La simple raison est quil est impossible de charger deux copies dun mme module. Loption irq= est utilise pour indiquer lIRQ matriel et le io= pour les diffrents ports io. Par dfaut, le noyau GNU/Linux ne teste quun seul priphrique Ethernet. Il faudra donc passer des arguments au noyau pour le forcer dtecter les autres cartes. Pour apprendre faire fonctionner votre carte rseau sous Linux rfrez vous au Ethernet-HOWTO (http://www.tldp.org/HOWTO/Ethernet-HOWTO.html).
216
12.6. Informations relative ` a IP

Cette section contient des informations sur IP.
12.6.1. DNS
DNS signie Domain Name System, systme responsable de la production du nom dune machine, tel que www.mandrakesoft.com avec ladresse IP de cet ordinateur, cest--dire ici : 216.71.116.162 ( lheure o nous mettons sous presse). Avec DNS, la production est disponible dans les deux sens, du nom vers le IP et vice-versa. ( Le DNS est constitu dun grand nombre dordinateurs dans tout le rseau Internet ayant la charge dun certain nombre de noms. A chaque machine correspond un serveur DNS auquel il peut se rfrer pour produire un nom en particulier avec son adresse. Si ce serveur ne possde pas la rponse, il en fait la demande un autre, et ainsi de suite. Il est possible galement davoir un DNS local qui aurait la charge de produire les adresses sur votre LAN. Il est possible de diviser les DNS en deux grandes catgories: DNS antmmoire (caching DNS) et le serveur DNS matre (master server). Le premier se contente de se souvenir de requtes prcdentes auxquelles il pourra rpondre sans reposer la question au serveur DNS matre. Ce dernier est un serveur utiliser en dernier recours pour produire une adresse avec un nom ou pour vrier quun nom produit bien telle ou telle adresse.
12.6.2. DHCP et DHCPD

DHCP est lacronyme de Dynamic Host Conguration Protocol. Sa cration aura beaucoup simpli la conguration dun rseau htes multiples. Nul besoin dsormais de congurer chaque hte sparment, il suft dassigner tous les paramtres utiliss couramment par les htes qui partagent un serveur DHCP. Chaque fois quun hte se connecte, un paquet sera mis au rseau. Ce paquet reprsente une demande de conguration par lhte tout serveur DHCP localis sur le mme segment. DHCP est dune grande utilit lorsquil sagit dassigner chaque hte une adresse IP, un Netmask, ou un passerelle (gateway).
217
12.6.3. Options pour le noyau

Cette section contient des informations sur la conguration doptions IP au sein mme du noyau lors du dmarrage ou pendant lexcution. Les commandes ip_forward et ip_bootp_agent sont des exemples de ces options. Ces options sont utilises pour xer le contenu dun chier dans le rpertoire /proc/sys/net/ipv4/. Le chier porte le nom de la commande.
12.6.3.1. Liste des options g en erales IP

ip_forward Si ip_forward a pour valeur 0, alors il est dsactiv. Tout autre valeur lactiverait. Cette option est gnralement employe en association avec certaines technologies rseau telle que le routage entre deux interfaces utilisant le masquage dadresses IP. ip_default_ttl Cest la dure de vie dun paquet IP. Le temps par dfaut est de 64 millisecondes. ip_addrmask_agent Boolen. Rpond aux requtes ICMP ADDRESS MASK. Par dfaut, la rponse est TRUE pour un routeur et FALSE pour un hte. ip_bootp_agent Boolen. Accepte les paquets dont ladresse source est de type 0.b.c.d et qui sont destins cet hte, en diffusion gnrale ou en multidiffusion (multicast). Si ces conditions ne sont pas remplies, les paquets sont tout simplement ignors. La valeur par dfaut est FALSE. ip_no_pmtu_disc Boolen. Dsactive Path MTU Discovery. la valeur par dfaut est FALSE. ip_b_model 0 - (valeur par dfaut). Modle standard. Toutes les routes sont dans la classe MAIN.
218
1 - Les routes par dfaut vont dans la classe DEFAULT. Ce mode convient trs bien aux petites structures IPs en crant une politique de rgles de routage. 2 - Modle conforme RFC1812. Les routes locales se trouvent dans la classe MAIN. Les routes de passerelle vont dans la classe DEFAULT.
12.6.4. Les d enominations IP

Il existe des applications pour lesquelles la conguration dadresses IP multiples pour une seule interface rseau physique peut savrer utile. Les Fournisseurs dAccs Internet utilisent souvent cette fonctionnalit pour offrir une personnalisation de leur offre Web et ftp pour leurs clients. Vous pouvez obtenir plus dinformation en lisant IP-Alias mini-HOWTO (http: //www.tldp.org/HOWTO/IP-Alias/).
12.6.5. Pare-feu IP
Les problmes de Pare-feu IP et de conguration de pare-feu sont expliqus plus en dtails dans le Firewall-HOWTO (http://fr.tldp.org/HOWTO/ lecture/Firewall-HOWTO.html). La conguration de pare-feu IP vous permet de scuriser votre machine contre les accs rseau non-dsirs en ltrant ou en acceptant des datagrammes venants ou destination dadresses IP que vous avez dsignes. Il existe trois catgories diffrentes de rgles ; ltrage des paquets entrants, ltrage des paquets sortants, et ltrage des paquets en transit. Les rgles de ltrage des paquets entrants sappliquent aux datagrammes reus par une interface rseau. Les rgles de ltrage de paquets sortants sappliquent aux datagrammes qui sont transmis par une interface rseau. Quant aux rgles de ltrage des paquets en transit, elle sappliquent aux datagrammes qui sont reus mais qui ne sont pas destins cette machine (cest--dire les paquets qui seront routs).
12.6.6. Masquage et Translation dadresses IP

Beaucoup de gens ont un accs Internet par une connexion tlphonique. La majorit de ceux qui utilisent ce genre de conguration ne se voient allous quune seule adresse IP par leur Fournisseur dAccs Internet. Il est gn219
Chapitre 12. Le rseau sous GNU/Linux ralement sufsant dallouer une seule adresse dhte au rseau. La translation dadresses IP est une fonctionnalit qui vous permet dutiliser une seule adresse IP pour plusieurs machines. Elle oblige les autres machines se prsenter comme la machine qui est rellement connecte. Et cest pour cela quon applique les termes de masquage ou de translation dadresses IP. Cependant, sachez que cette fonction de masquage IP ne fonctionne habituellement qu sens unique. Les htes masqus peuvent faire des requtes vers lextrieur, mais ils ne peuvent accepter de connections de lextrieur. Cela signie que certains services rseau ne fonctionnent pas (comme talk), et que dautres (comme FTP) doivent tre congur en mode passif (PASV) an de fonctionner. Heureusement, les services rseau les plus courants comme telnet, le Web et lIRC fonctionnent normalement.
12.6.7. IPv6
Alors que vous commenciez comprendre comment fonctionne un rseau IP, le protocole IPv6 chang les rgles ! IPv6 est la dnomination du Protocole Internet version 6. Il a t dvelopp an de rpondre aux proccupations de la communaut Internet : les utilisateurs sinquitaient dune pnurie potentielle dadresses IP allouer. Les adresses IPv6 sont composes de 16 octets (128 bits). Le protocole IPv6 inclut de nombreuses autres modications, des simplications pour la plupart, qui rendront les rseaux IPv6 plus faciles administrer que les rseaux IPv4. Visiter la page Linux IPv6 HOWTO (http://www.tldp.org/HOWTO/Linux+ IPv6-HOWTO/) pour plus de renseignements.
12.6.8. Limitation du trac

Le limiteur de trac est un pilote qui cre de nouveaux priphriques rseau. Ces priphriques sont limits en trac par lutilisateur. Ils sont relis une interface rseau physique , et ils peuvent tre employs pour router du trac.
220
12.7. Utilisation du mat eriel courant pour PC

12.7.1. RNIS
Le Rseau Numrique Intgration de Service (RNIS) (en anglais ISDN : Integrated Services Digital Network) est une srie de normes attribuant les caractristiques particulires dun rseau de donnes numriques usage gnral. Un appel RNIS permet de synchroniser des donnes point par point vers la destination. RNIS est gnralement distribu sur une ligne haut dbit, divise en un certain nombre de canaux discrets. Il existe deux types de canaux, les canaux B qui transportent de fait les donnes utilisateurs, et un canal unique appel canal D , utilis pour envoyer les informations de contrle pendant lchange RNIS an dtablir appels et autres fonctions. En Australie, par exemple, RNIS peut tre fourni sur une liaison 2 Mps qui est divise en 30 canaux B discrets de 64 kps et un canal D de 64 kps. Le nombre de canaux utilis en mme temps importe peu, et ceci avec toutes les combinaisons possibles. Vous pouvez par exemple tablir 30 appels diffrents de 64 kps vers 30 destinations diffrentes, ou bien 15 appels de 128 kps chacun vers 15 destinations diffrentes (2 canaux utiliss par appel), ou seulement un petit nombre dappels, le reste restant inactif. Un canal peut tre utilis pour des appels entrants ou sortants. Le but initial de RNIS tait de permettre aux socits de Tlcommunications de fournir un seul service de donnes pouvant distribuer soit le tlphone (avec voix numrise) ou bien des services de donnes vers le domicile ou le bureau sans que cela ncessite des modications pour obtenir une conguration spciale. On pourra connecter son ordinateur un service RNIS de diffrentes faons : en utilisant un dispositif appel adaptateur de terminal qui se branche sur le terminal numrique de rseau que votre oprateur de tlcommunications a install au moment de lobtention de votre service RNIS, et qui prsente des interfaces sries - une de ces interfaces est utilise pour entrer les commandes et tablir les appels et la conguration; les autres sont relies aux priphriques rseau qui utiliseront les circuits de donnes quand la connexion sera faite. Linux peut travailler avec ce type de conguration sans modication. Il sufra de traiter le port de ladaptateur de terminal comme tout priphrique srie. Lautre moyen, la raison dtre du support RNIS dans le noyau, vous permet dinstaller une carte RNIS dans votre machine Linux et ce sera le logiciel Linux qui alors prendra en charge les protocoles et fera lui-mme les appels. Options de compilation du noyau : 221

ISDN subsystem ---> <*> ISDN support [ ] Support synchronous PPP [ ] PPP filtering for ISDN [ ] Use VJ-compression with synchronous PPP [ ] Support generic MP (RFC 1717) < > Support BSD compression [ ] Support audio via ISDN [ ] Support AT-Fax Class 1 and Class 2 commands [ ] X.25 PLP on top of ISDN ISDN feature submodules ---> --- low-level hardware drivers Passive ISDN cards ---> Active ISDN cards --->
Limplmentation Linux de RNIS reconnat diffrents types de cartes internes RNIS, quelles soient passives ou actives. Nous nen ferons pas la liste ici. Certaines de ces cartes exigent certains logiciels tlchargeables pour tre oprationnelles. Il existe pour cela diffrents utilitaires indpendants. Tous les dtails ncessaires la conguration du support RNIS Linux se trouvent dans le rpertoire /usr/src/linux/Documentation/isdn/ et une FAQ consacre isdn4linux est disponible sur le site ISDN4Linux (http: //www.isdn4linux.de/faq/).
Au sujet de PPP. Lensemble des protocoles PPP fonctionne sur des lignes s erie synchrone ou asynchrone. Le d emon PPP pppd couramment distribu e pour Linux ne reconna t que le mode asynchrone. Si vous d esirez utiliser les protocoles PPP avec votre service RNIS, il vous faudra une version sp eciale. Les d etails pour la trouver se trouvent dans la documentation mentionn ee ci-dessus.
12.7.2. PLIP
Lors de la mise au point des versions 2.1 du noyau, le support des ports parallles sest amlior. Options de compilation du noyau :
Network device support ---> [*] Network device support <M> PLIP (parallel port) support
222
Chapitre 12. Le rseau sous GNU/Linux Le nouveau code pour PLIP fonctionne de la mme faon (on utilise les mmes commandes ifcong et route comme dans le paragraphe prcdent), mais linitialisation du systme est diffrente en raison de lamlioration du support du port parallle. Le premier priphrique PLIP est toujours appel plip0 (premier signiant ici qui est dtect en premier par le systme comme pour les priphriques Ethernet). Le port parallle utilis de fait est lun de ceux qui sont disponibles, comme indiqu dans /proc/parport. Par exemple, si vous navez quun seul port parallle, vous naurez quun seul rpertoire appel /proc/parport/0. Si votre noyau ne dtecte pas lIRQ utilise par votre port parallle, insmod plip chouera. Dans ce cas, il vous suft dcrire le chiffre qui convient dans /proc/parport/0/irq, ce qui invoque de nouveau insmod. Une information complte sur la gestion des ports parallles est disponible dans le chier /usr/src/linux/Documentation/parport.txt, qui se trouve dans les sources du noyau. Vous pouvez aussi lire PLIP mini-HOWTO (http://www.tldp.org/HOWTO/PLIP.html) pour obtenir plus de renseignements sur le sujet.
12.7.3. PPP
De par la nature, la taille, la complexit et la exibilit de PPP, il possde maintenant son propre HOWTO. Le PPP-HOWTO est toujours un document du Linux Documentation Project (http://tldp.org/HOWTO/PPP-HOWTO/), dont la page ofcielle se situe sur le site Web The Linux Review (http://www. thelinuxreview.com), dans la section PPP (http://www.thelinuxreview. com/howto/ppp).
12.8. Autres technologies de r eseau

On traitera, dans ce qui suit et par ordre alphabtique, de certaines technologies de rseau. Prcisons, cependant, que ces informations ne sappliquent pas ncessairement telles quelles dautres types de technologies de rseau.
223
12.8.1. ARCNet
Les noms du systme ARCNet sont arc0e, arc1e, arc2e etc., ou arc0s, arc1s, arc2s, etc. la premire carte dtecte par le noyau, est assign arc0e ou arc0s, le reste sera assign de faon squentielle selon leur ordre de dtection. La lettre nale indique votre choix :le format de paquet par encapsulation Ethernet ou le format de paquet RFC1051. Options de compilation du noyau. :
Network device support ---> [*] Network device support ARCnet devices ---> <M> ARCnet support <M> Enable standard ARCNet packet format (RFC 1201) <M> Enable old ARCNet packet format (RFC 1051) <M> Enable raw mode packet interface <M> ARCnet COM90xx (normal) chipset driver <M> ARCnet COM90xx (IO mapped) chipset driver <M> ARCnet COM90xx (RIM I) chipset driver <M> ARCnet COM20020 chipset driver <M> Support for COM20020 on ISA <M> Support for COM20020 on PCI
Une fois votre noyau construit pour reconnatre votre carte ARCnet, la conguration de celle-ci est trs aise. On utilisera quelque chose comme ceci :
root# ifconfig arc0e 192.168.0.1 netmask 255.255.255.0 up root# route add -net 192.168.0.0 netmask 255.255.255.0 arc0e
Se rfrer la documentation /usr/src/linux/Documentation/networking/ arcnet.txt et /usr/src/linux/Documentation/networking/arcnet-hardware. txt pour plus ample information. Le support pour ARCNet a t mis au point par Avery Pennarun, apenwarr@foxnet.net.
224
12.8.2. Appletalk (AF_APPLETALK)

Le support Appletalk peut tre congur de manire se servir du systme rseau existant ou dinterfaces spciales. Options de compilation du noyau. :
Networking options ---> <M> Appletalk protocol support Appletalk devices ---> [*] Appletalk interfaces support <M> Apple/Farrallon LocalTalk PC support <M> COPS LocalTalk PC support [*] Dayna firmware support [*] Tangent firmware support <M> Appletalk-IP driver support [*] IP to Appletalk-IP Encapsulation support [*] Appletalk-IP to IP Decapsulation support <*> Appletalk DDP
Le support Appletalk permet votre machine Linux dinteragir avec les rseaux Apple. Il sera dune grande utilit pour partager imprimantes ou disques durs entre les deux systmes. Un logiciel supplmentaire appel netatalk sera ncessaire. Wesley Craig est le reprsentant dune quipe (mailto:netatalk@umich.edu), appele le Research Systems Unix Group bas lUniversit du Michigan, qui a produit le paquetage netatalk qui permet dimplmenter le protocole Appletalk ainsi que dautres utilitaires... utiles. Le paquetage netatalk vous aura t fourni avec votre distribution Linux. Sinon vous pourrez la tlcharger partir de University of Michigan (ftp://terminator.rs.itd.umich.edu/unix/netatalk/) Pour construire et installer le paquetage, on accomplira ceci :
user% tar xvfz .../netatalk-VERSION.tar.Z user% make root# make install
Le terme VERSION correspond la version du paquetage de netatalk que vous avez tlcharg. Il est sans doute recommand dditer Makefile avant dappeler make pour enclencher la compilation du matriel. En particulier, on pourra changer
225
Chapitre 12. Le rseau sous GNU/Linux la variable DESTDIR qui dnit le lieu dinstallation ultrieure des chiers. Lassignation par dfaut, /usr/local/atalk, est assez sre.
12.8.2.1. La conguration du mat eriel Appletalk

La premire chose faire pour que tout fonctionne bien est de sassurer que les entres adquates dans le dossier /etc/services sont prsentes. Les entres ncessaires sont les suivantes :
rtmp 1/ddp # Routing Table Maintenance Protocol nbp 2/ddp # Name Binding Protocol echo 4/ddp # AppleTalk Echo Protocol zip 6/ddp # Zone Information Protocol
La prochaine tape est de crer des dossiers de conguration Appletalk dans le rpertoire /usr/local/atalk/etc (ou lendroit o vous avez install le paquetage). Le premier chier quil faudra crer est le /usr/local/atalk/etc/atalkd. conf. Pour commencer, ce chier ne ncessite quune seule ligne pour indiquer le nom du systme rseau qui reconnat le rseau o sont installes vos machines Apple :
eth0
Le programme dmon Appletalk ajoutera des dtails supplmentaires aprs son lancement.
12.8.2.2. Lexportation de syst` emes de chiers Linux via Appletalk

Vous pourrez exporter des systmes de dossiers de votre machine Linux vers le rseau an que les ordinateurs Apple prsents sur ce rseau puissent y accder. Pour accomplir cela, il vous faudra congurer le chier /usr/local/atalk/ etc/AppleVolumes.system. Un autre chier de conguration existe appel /usr/local/atalk/etc/AppleVolumes.default. Il comporte exactement le mme format et permet de savoir quels systmes de chiers seront reus par les utilisateurs qui se connectent avec un statut dinvit. 226
Chapitre 12. Le rseau sous GNU/Linux De plus amples dtails sur les modes de conguration de ces chiers et leurs options sont disponibles la page principale page de man afpd: afpd. Donnons ici un exemple simple :
/tmp Scratch /home/ftp/pub "Zone publique"
Ceci exportera votre systme de chiers /tmp comme volume AppleShare Scratch et votre rpertoire public ftp en tant que volume AppleShare Zone publique . Les noms de volume ne sont nullement obligatoires, le dmon en choisira pour vous. Mais cela ne cote rien dessayer de le faire soi-mme.
12.8.2.3. Partager son imprimante Linux avec Appletalk

Il est possible de partager son imprimante Linux avec des ordinateurs Apple grce quelques gestes simples. Commenons par dmarrer le programme papd, le dmon du Protocole dAccs limprimante, Appletalk. Lors du dmarrage de ce programme, celui-ci acceptera toute requte de vos machines Apple et enverra la tche dimpression vers le dmon de limprimante branche sur votre ligne locale. Il faudra diter le chier /usr/local/atalk/etc/papd.conf pour recongurer le dmon. La syntaxe de ce chier est la mme que celle de votre chier habituel /etc/printcap. Le nom que vous avez donn la dnition est enregistr par le protocole de nomination Appletalk, NBP. Un exemple de conguration pourrait ressembler ceci :
TricWriter:\ :pr = lp:op = cg:
Ce qui rendrait disponible pour votre rseau Appletalk une imprimante appele TricWriter . Toutes les tches acceptes seraient alors imprimes par limprimante Linux lp (telles que dnies par le chier /etc/printcap) en utilisant CUPS. La commande op=cg indique que lutilisateur cg est loprateur de limprimante. 227
12.8.2.4. D emarrer le logiciel Appletalk

Vous tes donc n prt pour tester la conguration de base. Un chier rc. atalk est fourni avec le paquetage netatalk qui fera le boulot pour vous. Ce qui reste faire, se rsume ce qui suit :
root# /usr/local/atalk/etc/rc.atalk
et le reste dmarrera et fonctionnera sans problme. Il ne devrait pas y avoir de message derreur et le logiciel enverra des messages vers la console indiquant le droulement de chaque tape.
12.8.2.5. Tester Appletalk

An de tester le fonctionnement du matriel logiciel Appletalk, allez vers une de vos machines Apple, sortez le menu Apple, ouvrez le S electeur, cliquez sur AppleShare. La machine Linux devrait apparatre.
12.8.2.6. Conits avec Appletalk

1. Il faudra peut-tre lancer le support Appletalk avant de congurer votre rseau IP. En cas de problmes de dmarrage des programmes Appletalk, ou de problmes avec votre rseau IP, essayez de lancer le logiciel Appletalk avant votre chier /etc/rc.d/rc.inet1. 2. Le dmon du Protocole de Classement de Fichiers Apple, afpd (Apple Filing Protocol Daemon) cre de srieux drangements dans votre disque dur. Au dessous du point de montage, il cre deux rpertoires appels .AppleDesktop et NetworkTrashFolder. Ensuite, pour chaque rpertoire auquel vous avez accd, il crera un .AppleDouble en dessous pour pouvoir emmagasiner des embranchements ressource, etc. Il faudra donc rchir deux fois avant dexporter / sinon le nettoyage subsquent vous mettra dans la joie ! 3. Le programme afpd sattend recevoir des mots de passe en texte clair de la part des Mac. La scurisation pourrait donc vous causer des soucis. Soyez alors vigilant lorsque, comme son nom lindique, vous dmarrez 228
Chapitre 12. Le rseau sous GNU/Linux le dmon sur votre machine connecte Internet. Vous serez le seul responsable en cas dune manoeuvre malveillante de la part dun mchant! 4. Les outils de diagnostic existants, tels que netstat et ifcong ne reconnaissent pas Appletalk. En cas de besoin, linformation brute est disponible dans le rpertoire /proc/net/.
12.8.2.7. Encore un mot !

Pour en savoir plus sur la conguration dAppletalk pour Linux, on pourra se rfrer la page dAnders Brownworth (Linux Netatalk-HOWTO) sur le site Anders.com (http://www.anders.com/projects/netatalk/).
12.8.3. ATM
Werner Almesberger (<werner.almesberger@lrc.di.epfl.ch>) gre un projet de support dun mode de transfert asynchrone pour Linux. Des informations mises jour sur ltat du projet peuvent tre obtenues sur le site ATM on Linux (http://linux-atm.sourceforge.net/).
12.8.4. DECNet
Le support pour DECNet est maintenant inclus dans un noyau stable mis jour. Mandrakelinux (2.4) la galement rendu disponible dans ses noyaux 2.2.
12.8.5. FDDI
Les noms du systme FDDI sont fddi0, fddi1, fddi2, etc. la premire carte dtecte par le noyau sera assigne fddi0 et le reste, selon lordre squentiel de leur dtection. Larry Stefani, lstefani@ultranet.com, a mis au point un gestionnaire de priphriques pour la Digital Equipment Corporation FDDI EISA et les cartes PCI. Options de compilation du noyau : 229

Network device support ---> [*] FDDI driver support <M> Digital DEFEA and DEFPA adapter support <M> SysKonnect FDDI PCI support
La conguration de linterface FDDI tant quasiment identique celle de linterface Ethernet, dans un noyau construit et install pour reconnatre un gestionnaire de priphriques FDDI, il vous sufra de prciser le nom de linterface FDDI approprie dans les commandes ifcong et route.
12.8.6. Relais de trames (Frame Relay)

Les noms du systme Frame Relay (Relais de trames) sont dlci00, dlci01 etc., pour les systmes dencapsulation DLCI, et sdla0, sdla1 etc., pour le ou les FRAD(s). Frame Relay est une technologie rseau idale lorsque lon a un trac bien charg ou de nature sporadique. On se connecte un rseau Frame Relay en utilisant un systme daccs spcique appel Frame Relay Access Device ou FRAD. Le Frame Relay Linux reconnat IP par dessus Frame Relay tel quindiqu dans RFC-1490. Options de compilation du noyau :
Network device support ---> Wan interfaces ---> <M> Frame relay DLCI support (24) Max open DLCI (8) Max DLCI per device <*> SDLA (Sangoma S502/S508) support
Mike McLagan, mike.mclagan@linux.org, a mis au point le support de Frame Relay et des outils de conguration. En ce moment, et notre connaissance, le seul FRAD tre support est Sangoma Technologies (http://www.sangoma.com/) S502A, S502E et S508 et les Technologies mergeantes (Emerging Technologies). Leur site Web est ici (http://www.etinc.com/). Pour congurer les systmes FRAD et DLCI aprs avoir recompil votre noyau, il vous faudra les outils de conguration Frame Relay. Ils sont disponibles sur ftp.invlogic.com (ftp://ftp.invlogic.com/pub/linux/fr/). 230
Chapitre 12. Le rseau sous GNU/Linux La compilation et linstallation des outils sont assez simples et directes, mais elles restent des oprations assez manuelles cause du manque dun chier Makefile de haut niveau :
user% user% user% root# root# root# rppt# tar xvfz .../frad-0.15.tgz cd frad-0.15 for i in common dlci frad; make -C $i clean; make -C $i; done mkdir /etc/frad install -m 644 -o root -g root bin/*.sfm /etc/frad install -m 700 -o root -g root frad/fradcfg /sbin install -m 700 -o root -g root dlci/dlcicfg /sbin
Notez que les commandes prcdentes utilisent la syntaxe sh, lorsquon utilise un soupon de csh la place (comme tcsh), la boucle for aura une toute autre allure. Aprs linstallation des outils, il faudra crer un chier /etc/frad/router. conf, on pourra utiliser ce modle, qui est une version modie dun des chiers exemple :
# # # # # # # # # /etc/frad/router.conf Configuration template pour Frame Relay. Tous les tags sont inclus. Les valeurs par d efaut sont bas ees sur le code. fourni avec les gestionnaires de p eriph eriques DOS de la carte Sangoma S502A. Un # nimporte o` u dans une ligne constitue un commentaire. Les blancs ne sont pas pris en compte (on peut aussi espacer avec des tabulations). Entr ees [] et touches inconnues ne sont pas prises en compte.
[Devices] Count = 1 # nombre de syst` emes (devices) ` a configurer. Dev_1 = sdla0 # nom du syst` eme. #Dev_2 = sdla1 # nom du syst` eme. # Tels que sp ecifi es ici, ces param` etres sont applicables ` a tous les p eriph eriques # et peuvent ^ etre ecras es pour chaque carte. # Access = CPE Clock = Internal Kbaud = 64 Flags = TX # # MTU = 1500 # Maximum transmit IFrame length, 4096 = valeur par d efaut # T391 = 10 # T391 valeur 5 - 30, 10 = valeur par d efaut # T392 = 15 # T392 valeur 5 - 30, 15 = valeur par d efaut
231

# N391 = 6 # N391 valeur 1 - 255, 6 = valeur par d efaut # N392 = 3 # N392 valeur 1 - 10, 3 = valeur par d efaut # N393 = 4 # N393 valeur 1 - 10, 4 = valeur par d efaut # # # # # # # Tels que CIRfwd = Bc_fwd = Be_fwd = CIRbak = Bc_bak = Be_bak = sp ecifi es ici, etablissent les valeurs par d efaut pour toutes les cartes 16 # CIR forward 1 - 64 16 # Bc forward 1 - 512 0 # Be forward 0 - 511 16 # CIR backward 1 - 64 16 # Bc backward 1 - 512 0 # Be backward 0 - 511
# # # configuration sp ecifique au syst` eme # # # # Le premier syst` eme est un Sangoma S502E # [sdla0] Type = Sangoma # Type de syst` eme ` a configurer, ` a ce jour seul # SANGOMA est reconnu # # Ces touches sont particuli` eres au type Sangoma # # Le type de la carte Sangoma - S502A, S502E, S508 Board = S502E # # Le nom du mat eriel exp erimental pour la carte Sangoma # Testware = /usr/src/frad-0.10/bin/sdla_tst.502 # # Le nom du mat eriel dusine FR # Firmware = /usr/src/frad-0.10/bin/frm_rel.502 # Port = 360 # Port pour cette carte pr ecise Mem = C8 # Adresse de la fen^ etre de m emoire, A0-EE, selon la carte IRQ = 5 # chiffre IRQ, indisponible pour S502A DLCIs = 1 # Nombre des DLCI attribu e ` a ce p eriph erique DLCI_1 = 16 # DLCI #1s number, 16 - 991 # DLCI_2 = 17 # DLCI_3 = 18 # DLCI_4 = 19 # DLCI_5 = 20 # # Tels que sp ecifi es ici, sapplique exclusivement ` a ce p eriph erique, # et annule les valeurs par d efaut ci-dessus # # Access = CPE # CPE or NODE, d efaut is CPE # Flags = TXIgnore,RXIgnore,BufferFrames,DropAborted,Stats,MCI,AutoDLCI
232

# # # # # # # # # # # # # # # Clock = Internal # External or Internal, d efaut is Internal Baud = 128 # Specified baud rate of attached CSU/DSU MTU = 2048 # Maximum transmit IFrame length, d efaut is 4096 T391 = 10 # T391 valeur 5 - 30, 10 = valeur par d efaut T392 = 15 # T392 valeur 5 - 30, 15 = valeur par d efaut N391 = 6 # N391 valeur 1 - 255, 6 = valeur par d efaut N392 = 3 # N392 valeur 1 - 10, 3 = valeur par d efaut N393 = 4 # N393 valeur 1 - 10, 4 = valeur par d efaut
Le deuxi` eme syst` eme provient dune autre carte [sdla1] Type = FancyCard # Type de syst` eme a ` configurer. Board = # Type de carte Sangoma Key = Valeur # valeurs sp ecifiques ` a ce type de syst` eme
# # DLCI Param` etres par d efaut de cette configuration # Peuvent ^ etre ecras es dans les configurations sp ecifiques dans le DLCI # CIRfwd = 64 # CIR forward 1 - 64 # Bc_fwd = 16 # Bc forward 1 - 512 # Be_fwd = 0 # Be forward 0 - 511 # CIRbak = 16 # CIR backward 1 - 64 # Bc_bak = 16 # Bc backward 1 - 512 # Be_bak = 0 # Be backward 0 - 511 # # DLCI Configuration # Tous sont en option. La convention de nommage est # [DLCI_D<devicenum>_<DLCI_Num>] # [DLCI_D1_16] # IP = # Net = # Mask = # Flags defined by Sangoma: TXIgnore,RXIgnore,BufferFrames # DLCIFlags = TXIgnore,RXIgnore,BufferFrames # CIRfwd = 64 # Bc_fwd = 512 # Be_fwd = 0 # CIRbak = 64 # Bc_bak = 512 # Be_bak = 0 [DLCI_D2_16] # IP = # Net = # Mask =
233

# # # # # # # # Flags defined by Sangoma: TXIgnore,RXIgnore,BufferFrames DLCIFlags = TXIgnore,RXIgnore,BufferFrames CIRfwd = 16 Bc_fwd = 16 Be_fwd = 0 CIRbak = 16 Bc_bak = 16 Be_bak = 0
Une fois construit votre chier /etc/frad/router.conf, il reste une seule tape :la conguration des priphriques eux-mmes. Le processus ncessite lgrement plus de doigt quune conguration de systme rseau normal. Il faudra se rappeler douvrir le systme FRAD avant les systmes dencapsulation DLCI. A cause de leur nombre, ces commandes doivent tre crites dans un script shell :
#!/bin/sh # Configure le hardware FRAD et les param` etres DLCI /sbin/fradcfg /etc/frad/router.conf || exit 1 /sbin/dlcicfg file /etc/frad/router.conf # # Ouvre le syst` eme FRAD ifconfig sdla0 up # # Configure les interfaces dencapsulation et le routage ifconfig dlci00 192.168.10.1 pointopoint 192.168.10.2 up route add -net 192.168.10.0 netmask 255.255.255.0 dlci00 # ifconfig dlci01 192.168.11.1 pointopoint 192.168.11.2 up route add -net 192.168.11.0 netmask 255.255.255.0 dlci00 # route add default dev dlci00 #
234
12.8.7. IPX (AF IPX)

Le protocole IPX est le plus couramment utilis dans des situations de rseau local Novell NetWare(tm). Linux reconnat ce protocole et peut tre congur pour agir comme destinataire du rseau ou comme routeur pour IPX. Options de compilation du noyau :
Networking options ---> <M> The IPX protocol [ ] IPX: Full internal IPX network
Le protocole IPX et le NCPFS sont explicits en profondeur sur Linux IPXHOWTO (http://www.tldp.org/HOWTO/IPX-HOWTO.html).
12.8.8. AX.25, NetRom (AF NETROM) and Rose (AF ROSE)

Les noms du systme NetRom sont nr0, nr1, etc. Les noms du systme Rose sont rs0, rs1, etc. Options de compilation du noyau :
Amateur Radio support ---> [*] Amateur Radio support --- Packet Radio protocols <M> Amateur Radio AX.25 Level 2 protocol [*] AX.25 DAMA Slave support <M> Amateur Radio NET/ROM protocol <M> Amateur Radio X.25 PLP (Rose) AX.25 network device drivers --->
Les protocoles AX25, Netrom et Rose sont couverts par AX25-HOWTO (http://www.tldp.org/HOWTO/AX25-HOWTO/). Ces protocoles sont utiliss par les oprateurs radio amateurs (Amateur Radio Operators) du monde entier dans des paquetages dexprimentation radio. La plus grande partie du travail dimplantation de ces protocoles a t accomplie par Jonathon Naylor, jsn@cs.nott.ac.uk.
235
12.8.9. Support de SAMBA - NetBEUI, NetBios, CIFS

SAMBA est une implantation du protocole de Session Management Block (SMB). Samba permet Windows et dautres systmes dinstaller et dutiliser vos disques et vos imprimantes. Samba et ses congurations sont couvertes en dtails dans SMB-HOWTO (http://www.tldp.org/HOWTO/SMB-HOWTO.html).
12.8.10. Support de STRIP (Starmode Radio IP)

Les noms du systme STRIP sont st0, st1, etc. Options de compilation du noyau:
Network device support ---> Wireless LAN (non-hamradio) ---> <M> STRIP (Metricom starmode radio IP) ...
STRIP est un protocole construit spciquement pour une srie de modems radio Metricom dans le cadre dun projet de recherche de lUniversit Stanford appel ; MosquitoNet Project (http://mosquitonet.Stanford.edu). La lecture en est trs intressante mme si on nest pas directement impliqu par le projet. Les radios Metricom se connectent un port srie, sappuient sur la technologie Spread Spectrum et ont en gnral une capacit denviron 100kbps. De linformation sur les radios Metricom est disponible sur le site Metricom.com (http://www.metricom.com/).
Metricom a fait faillite, mais une autre soci et e pourrait acheter la technologie et r eactiver le site Web.
Actuellement, les outils et utilitaires rseau standard ne reconnaissent pas le gestionnaire STRIP. Quelques outils taills sur mesure devront donc tre tlchargs partir du serveur Web MosquitoNet. Des dtails prcis sur les logiciels ncessaires sont disponibles sur :: MosquitoNet Software Page (http://mosquitonet.Stanford.EDU/software.html). Pour rsumer la conguration, disons que lon utilise un programme slattach modi pour tablir le type de ligne dun priphrique tty srie STRIP, 236
Chapitre 12. Le rseau sous GNU/Linux puis on congure le systme qui en rsulte, st[0-9], comme on le ferait pour Ethernet mais avec une exception de taille :pour des raisons techniques, STRIP ne reconnat pas le protocole ARP, il faudra donc congurer manuellement les entres ARP pour chacun des htes de votre sous-rseau. Ce qui nest pas, de prime abord, trs coteux.
12.8.11. Token Ring

Les noms du systme Token Ring (ou rseau en anneau jeton) sont tr0, tr1 etc. Token Ring est un protocole IBM LAN standard qui vite les collisions grce un mcanisme qui ne permet qu une seule station la fois de transmettre sur le LAN. Un jeton (token) est dispens une station la fois, et celle qui le dtient est la seule qui puisse transmettre. Une fois ses donnes transmises, elle passe son jeton la suivante. Le jeton circule dune station active lautre, do le nom de Token Ring. Options de compilation du noyau :
Network device support ---> [*] Network device support .... Token Ring devices ---> [*] Token Ring driver support <M> IBM Tropic chipset based adapter support <M> IBM Olympic chipset PCI adapter support <M> IBM Lanstreamer chipset PCI adapter support <M> 3Com 3C359 Token Link Velocity XL adapter support <M> Generic TMS380 Token Ring ISA/PCI adapter support <M> Generic TMS380 PCI support <M> Generic TMS380 ISA support <M> Madge Smart 16/4 PCI Mk2 support <M> SMC ISA/MCA adapter support
La conguration de Token Ring est semblable celle dEthernet lexception du nom du systme rseau qui est congurer.
237
12.8.12. X.25
X.25 est un protocole matriel dchange de paquetages dni par le ITU-T (un ensemble de standards reconnus par les compagnies de tlcommunications en vigueur dans la majeure partie du monde). Une implantation de X.25 et de LAPB est en train dtre mise jour et les rcents noyaux ( partir de 2.1.*) incluent ces travaux en cours. Jonathon Naylor jsn@cs.nott.ac.uk est le chef de ce projet et il existe une liste mail de discussion sur Linux X.25. Pour vous enregistrer, envoyez un message : majordomo@vger.rutgers.edu avec le texte subscribe linuxx25 dans le corps du message.
12.8.13. Carte WaveLan

Les noms du systme WaveLan sont eth0, eth1, etc. Options de compilation du noyau:
Network device support ---> Wireless LAN (non-hamradio) ---> <M> AT&T WaveLAN & DEC RoamAbout DS support <M> Aironet Arlan 655 & IC2200 DS support <M> Aironet 4500/4800 series adapters ....
La carte WaveLAN est une carte rseau sans-l large spectre. Pour ce qui est de son utilisation et de sa conguration, la carte ressemble beaucoup une carte Ethernet. Des informations sont disponibles sur la carte Wavelan sur le site Web dORINOCO (http://www.orinocowireless.com/).
12.9. C ables et c ablages

Ceux qui sont habiles du fer souder peuvent vouloir fabriquer leurs propres cbles pour relier deux machines Linux. Les schmas de cblage suivants pourront les y aider.
238
12.9.1. C able s erie NULL Modem

Tous les cbles NULL modem ne se ressemblent pas. Beaucoup se contentent de faire croire votre ordinateur que tous les signaux appropris sont prsents et changent les donnes de transmission et de rception. Cest bien, mais cela signie que vous devez utiliser le contrle de ux logiciel (XON/XOFF) qui est moins efcace que le contrle de ux matriel. Le cble suivant donne la meilleure transmission de signal entre les deux machines et vous permet dutiliser le contrle de ux matriel (RTS/CTS).
Pin Name Pin Tx Data 2 Rx Data 3 RTS 4 CTS 5 Ground 7 DTR 20 DSR 6 RLSD/CDC 8
Figure 12-2. Le cblage NULL-modem
Pin 3 2 5 4 7 8 20 6
12.9.2. C able port parall` ele (c able PLIP)

Si vous avez lintention dutiliser le protocole PLIP entre deux machines alors ce cble vous conviendra indpendamment du type de port parallle install.
239
Figure 12-3. Cablage PLIP
Ne pas connecter les broches marqu ees avec un ast erisque
(*).
Les masses suppl ementaires sont 18, 19 ,20, 21 ,22 ,23 and
24;
Si le c able que vous utilisez poss` ede un blindage, il doit
etre connect e` a une des prises DB-25 et une seule.
un c able PLIP mal branch e peut d etruire votre port parall` ele. Faites attention et v eriez chaque connexion deux fois plut ot quune pour eviter un travail inutile ou de gros ennuis.
Bien que lon puisse utiliser des cbles PLIP sur des longues distances, vitez de le faire si possible. Les spcications du cble permettent davoir une longueur denviron 1 mtre. Faites attention si vous utilisez de grandes longueurs, car les sources de champs magntiques leves comme la foudre, les 240
Chapitre 12. Le rseau sous GNU/Linux lignes haute tension et les metteurs radio peuvent interfrer et parfois endommager votre carte contrleur. Si vous voulez vraiment connecter deux de vos ordinateurs sur une grande distance, utilisez plutt des cartes Ethernet et un cble coaxial.
12.9.3. C ablage Ethernet 10base2 (coaxial n)

10base2 est un standard de cblage Ethernet spciant lutilisation dun cble coaxial 52 ohms avec un diamtre denviron 5 mm. Il faut se rappeler un nombre important de rgles lorsquil sagit de relier deux machines avec un cblage 10base2. La premire :utilisez des terminaisons chaque extrmit du cble. Un terminateur est une rsistance de 50 ohm qui sert sassurer que le signal est absorb et non rchi lextrmit du cble. Sans terminaison chaque extrmit, vous pourriez trouver que lEthernet nest pas able ou ne fonctionne pas du tout. Normalement vous utiliserez des pices en T pour interconnecter les machines, de sorte que vous nirez avec quelque chose comme ceci :
Figure 12-4. Cblage Ethernet 10base2 Les | chaque extrmit reprsentent une terminaison, les = = = = = = reprsentent une longueur de cble coaxial avec des prises BNC chaque extrmit et les machines intermdiaires utilisent un connecteur en T . Gardez la longueur de cble entre les connecteurs en T et les cartes Ethernet aussi courte que possible, lidal tant que ces connecteurs soient branchs directement sur la carte Ethernet.
12.9.4. C ablage Ethernet ` a paires torsad ees

Si vous navez que deux cartes Ethernet avec paires torsades et que vous voulez les relier, vous navez pas besoin de rpartiteur (hub). Vous pouvez 241
Chapitre 12. Le rseau sous GNU/Linux cbler les deux cartes directement ensemble en vous rfrant au schma de cblage qui se trouve gure 12-5.
Figure 12-5. Cablage paires torsades NULL-modem
242
Chapitre 13. Faire face aux probl` emes

Ce chapitre vous prsentera quelques techniques de rsolution de problmes, cest--dire : que faire quand tout va mal, ou mieux encore, que faire pour tre prpar quand quelque chose va mal et comment le rparer.
13.1. Introduction
Faire des copies de sauvegarde, rgler de petits problmes, recompiler son noyau, installer de nouvelles applications ou bricoler ses chiers de conguration sont des tches que lon est amen effectuer un jour ou lautre sous GNU/Linux. Toutes ces actions peuvent tre matrises sans histoire, si vous utilisez un peu de bon sens et que vous suivez quelques rgles et techniques que nous allons vous prsenter.
Presque tous les exemples et les outils pr esent es dans ce chapitre sont reli es ` a la ligne de commande. Bien souvent, la restauration dun syst` eme endommag e ne peut se faire quavec elle. Donc, nous supposerons que vous ma trisez la ligne de commande.
Donc, commenons par les bases ncessaires pour tre prt...
13.2. Disquette de d emarrage

La premire chose dont vous aurez besoin si votre systme refuse de dmarrer, quelle que soit la raison, est une disquette de dmarrage. Une telle disquette vous permettra de dmarrer votre systme et de corriger ce qui empche votre systme de dmarrer normalement en quelques minutes.
Vous pouvez aussi utiliser le mode Rescue ` a partir du CD-ROM dinstallation de Mandrakelinux pour d emarrer votre machine et eectuer les t aches dentretien, mais une disquette de d emarrage sera toujours utile (par exemple, si votre machine ne permet pas de d emarrer ` a partir du lecteur de CD-ROM).
243
Chapitre 13. Faire face aux problmes
13.2.1. Cr eer une disquette de d emarrage en ligne de commande

Tapez ce qui suit en tant que root dans une console :
# mkbootdisk --device /dev/fd0 uname -r
et pressez la touche Entre. Suivez alors les instructions lcran. Un paramtre ncessaire mkbootdisk est loption --device [p eriph erique], qui indique le priphrique contenant la disquette. Dans notre exemple, nous avons choisi /dev/fd0, qui est le premier lecteur de disquette du systme. Dans 99.9% des cas, cela devrait correspondre. Sinon, choisissez le bon priphrique. Lautre paramtre ncessaire, [version-noyau], indique mkbootdisk quel noyau utiliser pour la disquette. Dans notre exemple, nous utilisons uname -r qui renvoie le nom du noyau courant. Ainsi, nous crerons une disquette de dmarrage qui contiendra le noyau courant sur le premier lecteur de disquette. Notez bien que la disquette de dmarrage qui sera cre sappuiera sur votre noyau actuel, avec tous les modules et les autres lments que ce noyau possde. Si vous souhaitez spcier les modules qui doivent tre inclus (comme ajouter un module pour un lecteur de bandes), utilisez plutt drakoppy .
13.2.2. Tester la disquette de d emarrage

Testez toujours votre disquette de dmarrage pour tre certain quelle fonctionne. Peu de choses sont plus irritantes que de dcouvrir que la disquette ne dmarre pas cause dune erreur. Si la disquette dmarre correctement, alors vous avez ni !
13.3. Sauvegarde
13.3.1. Pourquoi sauvegarder ?
Sauvegarder votre systme est le seul moyen de pouvoir le rparer sil subit des dommages srieux, si vous effacez accidentellement certains chiers systme importants, ou si quelquun inltre votre ordinateur et efface cer244
Chapitre 13. Faire face aux problmes tains chiers intentionnellement. Vous devriez galement sauvegarder votre travail quotidien (son, images, documents bureautiques, courriers lectroniques, carnet dadresses, etc.) pour tre en scurit. Vous devriez raliser vos sauvegardes en utilisant un support appropri et les conserver dans un endroit sr. Un tel endroit devrait, si possible, tre en dehors du lieu o vous travaillez dhabitude. Vous pouvez mme avoir deux sauvegardes, une sur place et une ailleurs. Dune manire gnrale, vous devriez vous assurer que vous serez capable de restaurer ces sauvegardes si vous voulez que tout cela soit rellement utile.
13.3.2. Pr eparer votre syst` eme

Tout ce qui est ncessaire est probablement dj install sur votre systme. Vous devriez galement toujours avoir une disquette de dmarrage sous la main (vous en avez cr une, nest-ce pas ?). En fait, vous pouvez raliser des sauvegardes en nutilisant que tar et un utilitaire de compression tel que gzip ou bzip2. Voyez lexemple dans Exemple de sauvegarde avec tar, page 247. Vous pouvez galement utiliser des logiciels spcialiss, tels que Taper, Time Navigator, Arkeia, ou Drakbackup, loutil ddi de Mandrakelinux .
13.3.3. Que sauvegarder ?

Eh bien, voil peut-tre la question la plus difcile que tout administrateur systme se pose lorsque vient le moment de sauvegarder. La rponse dpend de diffrents aspects : allez-vous sauvegarder seulement vos donnes personnelles, vos chiers de conguration, ou tout le systme ? Combien de temps, quel volume cela va-t-il occuper ? Allez-vous restaurer vos sauvegardes sur la mme machine et le mme systme dexploitation, ou bien sur dautres ? Comme il sagit dun guide de rparation, nous allons tenter de nous concentrer sur la ralisation dune sauvegarde qui vous permettra de restaurer rapidement votre systme dans ltat o il tait, avant que ne survienne cette catastrophe qui la rendu inutilisable. Naturellement, vous devrez raliser une sauvegarde de vos donnes personnelles si vous ne voulez pas les perdre. Par principe, vous devriez sauvegarder les dossiers /etc/, /home/, /root/ et /var/. Si vous effectuez une sauvegarde complte de ces dossiers, vous aurez sauvegard non seulement vos congurations, mais vos donnes galement (si vous vous demandez o sont vos donnes, elles se trouvent dans le dos245
Chapitre 13. Faire face aux problmes sier /home/votre_nom_de_login/). Gardez lesprit que cela peut prendre beaucoup de temps avant de se terminer, mais cest le moyen le plus sr. Un schma plus sophistiqu serait de ne sauvegarder que les chiers de conguration qui ont chang, laissant de ct ceux qui nont pas chang. Cela exigera plus de prparation, mais les sauvegardes et les restaurations seront ensuite plus rapides effectuer. De plus, ces sauvegardes sont plus faciles transfrer dune machine ou dun systme dexploitation un autre. Pour rsumer, sauvegardez tous les chiers de conguration des programmes que vous utilisez et tous les chiers de conguration que vous avez modis. Sauvegardez aussi vos donnes personnelles et celles des utilisateurs du systme. Vous ne le regretterez pas.
13.3.4. O` u sauvegarder ?
Lautre grande question laquelle rpondre. Cela dpend de la quantit de donnes que vous voulez sauvegarder, combien de temps vous pouvez consacrer la sauvegarde, quelle est la facilit daccs au support de sauvegarde, ainsi que de nombreux autres facteurs. En gnral, vous avez besoin dun support qui soit au moins aussi large que la quantit dinformations que vous voulez sauvegarder, et sufsamment rapide pour que le processus complet ne prenne pas une ternit. Les supports de sauvegarde disponibles varient en capacit, abilit et vitesse. Vous pouvez combiner plusieurs supports diffrents suivant votre stratgie de sauvegarde, par exemple : bandes et CD-R/DVD+RW, disque dur et bande, disque dur et CD-R/DVD+RW, etc., mais assurez vous que votre logiciel de sauvegarde accepte tous ces supports.
13.3.5. Quand sauvegarder ?

Il y a de nombreuses politiques de planication de sauvegarde. Nous allons vous en prsenter quelques-unes. Conservez lesprit quelles ne sont pas obligatoires et que ce ne sont peut-tre pas les meilleures, ni les seules. Ce ne sont que des lignes directrices que vous pouvez suivre pour tablir votre propre programme de sauvegarde. Les stratgies de sauvegarde dpendent du support que vous utilisez, de la frquence laquelle vos donnes changent et de limportance de ces donnes 246
Chapitre 13. Faire face aux problmes pour vous ou votre organisation. Par exemple, une des stratgies veut que vous fassiez une sauvegarde complte chaque n de semaine, et une sauvegarde incrmentale (seulement les changements) chaque jour ; ensuite il faudrait que vous fassiez une sauvegarde complte chaque mois et que vous la stockiez dans au moins deux endroits diffrents. Cette stratgie peut tre adapte une entreprise, mais pas pour un ordinateur personnel. Pour vos sauvegardes personnelles, vous pouvez envisager de faire une sauvegarde hebdomadaire de vos chiers sur votre disque dur et chaque mois, transfrez ces sauvegardes sur un CD-R/DVD+RW ou une bande.
13.3.6. Exemple de sauvegarde avec tar

Nous allons maintenant vous prsenter un petit script de sauvegarde qui utilise tar et bzip2 pour raliser une sauvegarde complte de votre dossier personnel. Lisez les commentaires du script pour obtenir des informations sur son utilisation.
Vous devez avoir les droits de lecture sur les chiers et r epertoires que vous allez sauvegarder, sinon la sauvegarde echouera.
#!/bin/bash # Cr ee une sauvegarde compress ee de tous les r epertoires sp ecifi es et stocke # le fichier en r esultant dans un r epertoire de votre choix. SAUVE_REP="$HOME /etc /var" NOM_SAUVEGARDE=date +%b%d%Y SAUVEGARDE_DEST_REP="/backups" # D ecommentez la ligne suivante pour obtenir une sauvegarde GZipp ee, # commentez pour une sauvegarde BZipp ee #tar cvzf $SAUVEGARDE_DEST_REP/$NOM_SAUVEGARDE.tar.gz $SAUVE_REP # Nous cr eons une archive BZipp ee... # Commentez la ligne suivante pour une archive GZipp ee, # d e-commentez pour une archive BZipp ee tar cvjf $SAUVEGARDE_DEST_REP/$NOM_SAUVEGARDE.tar.bz2 $SAUVE_REP
Utilisez la variable BACKUP_DIRS pour dterminer les rpertoires que vous voulez inclure dans votre sauvegarde et BACKUP_DEST_DIR pour le rpertoire 247
Chapitre 13. Faire face aux problmes de destination du chier de sauvegarde. Rendez le script excutable en tapant chmod 700 backup.sh dans une console. Naturellement, vous pouvez par la suite dplacer le chier .tar.bz2 ou .tar.gz sur nimporte quel support. Vous pouvez mme sauvegarder directement sur le support que vous voulez en le montant et en changeant la variable SAUVEGARDE_DEST_REP du script en fonction. Nhsitez pas amliorer ce script et le rendre aussi souple que vous le voulez. Pour restaurer les sauvegardes ralises de cette manire, voyez Exemple de restauration avec TAR, page 248.
13.4. Restauration
La restauration des sauvegardes dpend du programme, du support et de la planication que vous avez utiliss pour les raliser. Nous nallons pas traiter de toutes les situations ici, mais seulement mentionner que vous devez vous assurer que vous restaurez les chiers ou rpertoires aux mmes endroits quils taient lorsque vous avez ralis la sauvegarde, an de rcuprer vos donnes et vos paramtrages.
13.4.1. Exemple de restauration avec TAR

Nous allons maintenant voir un petit script qui restaure la sauvegarde que nous avons ralise avec tar dans le script prsent plus haut dans Exemple de sauvegarde avec tar, page 247.
Vous devez avoir la permission d ecriture sur les chiers et r epertoires que vous allez restaurer, sinon lop eration de restauration echouera.
#!/bin/bash # Extrait une sauvegarde compress ee de tous les r epertoires sp ecifi es # et restaure les fichiers sauvegard es ` a leur endroit dorigine SAUVEGARDE_REP_SOURCE="/backups" NOM_SAUVEGARDE=$1 # D ecommentez la ligne suivante si vous restaurez une sauvegarde GZipp ee #tar xvzf $SAUVEGARDE_REP_SOURCE/$NOM_SAUVEGARDE
248
# Restauration dune sauvegarde BZipp ee tar xvyf $SAUVEGARDE_REP_SOURCE/$NOM_SAUVEGARDE
Comme vous pouvez le voir, ce script est trs simple. Vous navez qu lui passer le nom du chier que vous voulez restaurer en paramtre (juste le nom du chier, pas le chemin complet), et il restaurera les chiers sauvegards leur position initiale. Noubliez pas de rendre le script excutable en tapant chmod 700 backup.sh dans une console.
13.4.2. Cr eation dun CD-ROM de sauvetage

Il y a une manire dtre prpar dans le cas dun dsastre total : il sagit de raliser une sauvegarde complte de votre systme. Des logiciels comme mkCDrec peuvent tre trs utiles pour mettre cela en place en quelques minutes. Si vous tes lheureux propritaire dune Mandrakelinux - dition PowerPack, vous avez dj cet outil sur le CD-ROM contrib . Sinon, vous pouvez lobtenir avec sa documentation sur le site Web de mkCDrec (http: //mkcdrec.ota.be). mkCDrec vous permet de crer une sauvegarde sur plusieurs CD-ROM, de cloner un disque (copier le contenu dun disque ou dune partition vers un autre, pourvu quil soit sufsamment grand), et beaucoup dautres choses. Pour restaurer un systme avec mkCDrec, il suft de dmarrer avec le premier CD-ROM (si la sauvegarde contient plusieurs CD-ROM) et de suivre les instructions lcran.
13.5. Probl` emes au d emarrage du syst` eme

Il peut arriver que votre systme se bloque durant le dmarrage. Si tel est le cas, ne paniquez pas, continuez lire !
Les sections suivantes ne suivent pas un ordre particulier.
249
13.5.1. Syst` eme qui se bloque d` es le d emarrage

Si votre systme se bloque durant la Reconstruction de la base de donn ees RPM ou la Recherche des d ependances entre modules, pressez simplement Ctrl-C. De cette faon, le systme va passer cette tape et continuer dmarrer. Une fois dmarr, excutez rpm --rebuilddb en tant que root si le problme survient dans le premier cas. Si cest le second cas qui se prsente, vous avez probablement effectu une mise jour du noyau, mais incorrectement. Vriez que les chiers dans /boot/ et le rpertoire /lib/modules/ correspondent la version actuelle du noyau (cest--dire, que les numros de version attachs soient corrects).Sils ne correspondent pas, voyez le chapitre Compilation et mise en place de nouveaux noyaux que vous trouverez dans le Manuel de rfrence pour savoir comment corriger ce problme . Si le processus de dmarrage bloque ltape RAMDISK: Compressed image found at block 0, vous avez endommag limage initrd. Essayez de dmarrer laide dune autre entre de lilo.conf ou avec une disquette de secours, puis effacez ou corrigez la section initrd= dans /etc/lilo.conf.
13.5.2. Echec du contr ole des syst` emes de chiers

Les informations qui suivent ne sappliquent quaux syst` emes de chiers ext2 et ext3. Si vous utilisez un autre syst` eme de chiers, consultez sa documentation pour plus de renseignements.
Si, pour une raison quelconque, vous navez pas teint votre machine correctement, le systme va excuter un contrle de routine des systmes de chiers au prochain dmarrage. Parfois, cette commande choue et vous transfre alors dans une console. Excutez e2fsck -py [p eriph erique] o [p eriph erique] est le nom de la partition sur laquelle le test automatique a chou. Loption -p demande e2fsck deffectuer toutes les rparations ncessaires sans rien demander tandis que loption -y suppose que vous rpondez oui toutes les questions. Lorsque la phase de vrication et de rparation est termine, pressez Ctrl-D pour quitter la console durgence. Le systme va redmarrer. Si vous obtenez cette erreur rgulirement, il se peut quil y ait des secteurs dfectueux sur votre disque. Excutez e2fsck -c [p eriph erique] pour vrier. Cette commande va automatiquement marquer les secteurs dfectueux et ainsi empcher le systme de chiers de stocker des donnes dans 250
Chapitre 13. Faire face aux problmes ces blocs. e2fsck ne vriera le systme de chiers automatiquement que sil na pas t proprement dmont lors du dernier arrt ; ou bien si le nombre maximal de montages a t atteint. Pour forcer une vrication, utilisez loption -f.
La recherche des blocs d efectueux sur un disque peut durer un temps consid erable.
13.5.3. X ne d emarre pas

Si vous dmarrez normalement en mode graphique et avez russi casser la conguration de X au point que celui-ci ne dmarre plus, vous pouvez vous connecter dans une console et utiliser XFdrake pour recongurer X. Vous pouvez aussi dmarrer le systme sur un autre niveau dexcution (runlevel), arranger la conguration de X avec XFdrake puis redmarrer avec X.
13.5.3.1. D emarrer sur un autre niveau dex ecution

Le niveau par dfaut est dni dans le chier /etc/inittab. Cherchez une ligne telle id:5:initdefault:. Si vous voulez dmarrer dans le niveau dexcution 3 (la console), vous devez le spcier lors du dmarrage. Sous LILO, pressez la touche chap, puis tapez linux init 3. Si vous utilisez GRUB, pressez la touche E deux fois et ajoutez init 3, pressez alors la touche Entre puis sur la touche B pour dmarrer. Pour une description plus dtaille des niveaux dexcution, consultez le Manuel de rfrence de Mandrakelinux.
13.5.3.2. Congurer X depuis la console

Pour recongurer X en utilisant XFdrake depuis une console, il suft de taper XFdrake, en tant que root. Lutilisation de XFdrake nest pas diffrente dune utilisation dans un environnement graphique, sauf que vous ne verrez peut-tre pas de curseur ni de jolies icnes. Pour vous dplacer vers le bas, appuyez sur la che de droite ou du bas. Pour vous dplacer vers le haut, appuyez sur les ches de gauche ou du haut. Vous pouvez aussi utiliser la touche Tab pour vous dplacer parmi les options/boutons. Le texte de loption ou du bouton actuel251
Chapitre 13. Faire face aux problmes lement slectionn sera en surbrillance et dune couleur diffrente. Appuyez sur Entre pour lactiver.
13.6. Probl` emes de chargeur de d emarrage

13.6.1. R einstallation du chargeur de d emarrage
Il est possible que, par erreur, vous crasiez le MBR (Master Boot Record) de votre disque, que quelque programme dfectueux engendre cette erreur ou encore, que vous dmarriez sous Windows et que vous attrapiez un virus qui lcrase. Donc, vous pensez que vous ne pourrez plus dmarrer votre systme, nest-ce pas ? Il y a en fait plusieurs faons de rcuprer le chargeur de dmarrage. Pour rcuprer votre chargeur de dmarrage, vous avez besoin dune disquette de dmarrage. Sans une disquette de dmarrage quelconque, vous pourriez bien tre compltement perdu1. Insrez simplement la disquette dans le lecteur et redmarrez votre ordinateur. Ce que vous devrez ensuite faire varie selon que vous utilisiez LILO ou GRUB. Quel que soit le chargeur de dmarrage, toutes les commandes que vous devrez utiliser devront ltre en tant que root.
13.6.1.1. Avec LILO

Si vous utilisez LILO, il vous suft dexcuter ceci linvite : /sbin/lilo. Ceci va rinstaller LILO dans le secteur damorce de votre disque et corriger le problme.
13.6.1.2. Avec GRUB

Si vous utilisez GRUB, les choses sont un petit peu diffrentes par rapport LILO.
1. moins que vous nayez sauvegard votre MBR : vous verrez comment plus loin.
252
Lexemple suivant suppose que vous essayez dinstaller GRUB dans le MBR de votre premier disque IDE et que le chier stage1 est dans le r epertoire /boot/grub/.
Dabord, lancez le shell de GRUB en lanant la commande grub. Une fois que cest fait, excutez les commandes suivantes : root (hd0,0) ; ceci indiquera GRUB que les chiers ncessaires sont dans la premire partition (0) de votre premier disque dur (hd0). Puis, excutez : setup (hd0), ce qui installera GRUB dans le MBR de votre premier disque dur. Cest tout ! Vous pouvez aussi essayer dutiliser grub-install /dev/hda pour installer GRUB sur le MBR de votre premier disque dur, mais la mthode dcrite plus haut est prfrable.
13.6.1.3. Quelques consid erations concernant les syst` emes ` a double amor cage (dual booting)
Mise jour de Windows 9x, NT, 2000 et XP. Si vous utilisez un systme lancement double, soyez prvoyant et ayez toujours une disquette de dmarrage GNU/Linux sous la main. Windows (toutes les versions) remplace frquemment LILO ou GRUB (les chargeurs de dmarrage qui lancent GNU/Linux et dautres systmes dexploitation) sans avertissement, et si vous ne possdez pas de disquette de dmarrage, vous serez incapable de lancer GNU/Linux aprs avoir fait une mise jour de Windows.
13.6.2. Sauvegarde et r ecup eration du MBR

Pour faire une copie du Master Boot Record (MBR), insrez une disquette vierge dans votre lecteur et tapez la commande suivante :
# dd if=/dev/hda of=/dev/fd0/mbr.bin bs=512 count=1
Si vous voulez restaurer une copie du MBR de votre disque dur, insrez une disquette le contenant dans votre lecteur et tapez la commande qui suit :
# dd if=/dev/fd0/mbr.bin of=/dev/hda bs=512
253
Les exemples susmentionn es supposent que le MBR de votre premier disque IDE (/dev/hda) soit sauvegard e dans un chier nomm e mbr.bin, lequel est sur une disquette dans le premier lecteur de votre ordinateur (/dev/fd0). Ces commandes doivent etre lanc ees par lutilisateur root.
13.7. Probl` emes sur les syst` emes de chiers

13.7.1. R eparer un super-bloc endommag e
Les informations qui suivent ne sappliquent quaux syst` emes de chiers ext2 et ext3. Si vous utilisez un autre syst` eme de chiers, consultez sa documentation pour plus de renseignements.
Le super-bloc est le premier bloc de chaque partition ext2FS/ext3. Il contient des donnes importantes propos du systme de chiers, comme sa taille, lespace libre, etc. (cest assez similaire sur les partitions FAT). Une partition comprenant un super-bloc endommag ne peut tre monte. Heureusement, ext2FS/ext3 conserve plusieurs sauvegardes du super-bloc dissmines sur la partition. Dmarrez votre systme avec la disquette de dmarrage cre plus tt. La localisation des copies de sauvegarde dpend de la taille du bloc du systme de chiers. Pour les systmes de chiers dont la taille des blocs est de 1 Ko, vous la trouverez au dbut de chaque bloc de 8 Ko (8192 octets). Pour les systmes de chiers avec des blocs de taille 2 Ko, cest au dbut de chaque bloc de 16 Ko (16384 octets), et ainsi de suite. Vous pouvez utiliser la commande mke2fs -n [nom_de_votre_p eriph erique] pour trouver quel octet se trouvent les sauvegardes de super-bloc. En supposant que la taille du bloc soit de 1 Ko, la prochaine copie de sauvegarde commencera loctet 8193. Pour restaurer le super-bloc partir de cette copie, excutez e2fsck -b 8193 /dev/hda4 ; changez hda4 pour dsigner votre partition endommage. Si ce bloc est galement endommag, essayez le suivant loctet numro 16385, et ainsi de suite jusqu ce que vous trouviez un super-bloc en bon tat. Redmarrez votre systme pour activer les changements.
254
13.7.2. R ecup erer des chiers supprim es

Dans cette section, nous prsentons diverses mthodes pour rcuprer des chiers et des rpertoires effacs. Gardez lesprit que les outils de rcupration ne sont pas magiques et ils fonctionneront plus ou moins bien selon la dure coule depuis que vous avez effac les chiers que vous tentez de rcuprer.
Vous vous demandez peut-tre bon, jai effac ce chier accidentellement, comment puis-je le retrouver ? . Il existe quelques utilitaires prvus pour le systme de chiers ext2 de GNU/Linux qui vous permettent de rcuprer des chiers et des rpertoires effacs. Cependant, ces outils ne pourront pas rcuprer les chiers que vous avez effacs il y a quelques mois : cause de lactivit du systme, lespace marqu libre sera rcrit. Par consquent, la meilleure mthode pour se prmunir des suppressions accidentelles est deffectuer des sauvegardes.
Gardez ` a lesprit quil nexiste pas pour linstant doutil pour r ecup erer les chiers eac es sur un syst` eme de chiers ReiserFS. Gardez un oeil sur la page de ReiserFS (http://www.namesys.com/) au cas o` u un tel outil devenait disponible.
Voyons les outils de rcupration des chiers effacs. Lun deux est Recover. Cest un outil interactif . Si vous tes lheureux possesseur dun Mandrakelinux - dition PowerPack, vous disposez dj de cet outil dans le CDROM contrib . Sinon, vous pouvez le trouver sur le site RPMFind (http: //fr.rpmfind.net). Allez-y et tlchargez le RPM. Lorsque vous lavez, installez-le. Puis, excutez-le avec recover [options] et rpondez aux questions qui vous seront poses. Celles-ci permettent de dnir lintervalle de temps lintrieur duquel il faut chercher les rpertoires et les chiers effacs an de limiter la dure de la recherche. 2 Lorsque loutil a termin sa recherche, il vous demandera o vous voulez sauvegarder les rpertoires et chiers rcuprs. Choisissez un rpertoire qui contiendra tous ces chiers et rpertoires rcuprs. Notez que vous ne pourrez pas retrouver les noms des chiers, seulement leur contenu, mais vous pouvez inspecter leur contenu ou tenter de les renommer avec diff2. Vous pouvez chercher tous les chiers effacs, mais cela durera plus longtemps...
255
Chapitre 13. Faire face aux problmes rents noms jusqu ce que vous trouviez celui que vous cherchez. Cest mieux que rien !
Des mini-HOWTO consacr es ` a ce sujet existent egalement, dont Ext2fs-Undeletion (http://www.freenix.fr/unix/linux/ HOWTO/mini/Ext2fs-Undeletion.html) et r ecup eration dune structure compl` ete de r epertoires (http://www.tldp.org/ HOWTO/mini/Ext2fs-Undeletion-Dir-Struct/index.html)(en anglais).
13.8. Lorsque le syst` eme se g` ele

Lorsquil gle , votre ordinateur ne rpond plus aux commandes et les priphriques dentre comme le clavier et la souris semblent bloqus. Cest le pire scnario et cela peut signier quune erreur critique est survenue dans votre conguration logicielle ou matrielle. Nous vous montrerons quoi faire face cette situation pnible.
Dans le cas dun gel du systme, votre premire priorit devrait tre dteindre votre systme correctement. En supposant que vous tes sous X, essayez successivement ces tapes :
1. Essayez de tuer le serveur X en pressant Alt-Ctrl-backspace simultanment. 2. Essayez de passer une autre console avec Alt-Ctrl-Fn (o n quivaut au numro de la console, soit de 1 6). Si vous y parvenez, connectez-vous en tant que root et excutez la commande kill -15 $(pidof X), ou la commande kill -9 $(pidof X) si la premire na aucun effet (vriez avec la commande top pour vrier si X fonctionne toujours). 3. Si vous tes dans un rseau local, essayez de vous connecter par ssh sur votre machine partir dune autre. Il est recommand de vous connecter en tant quutilisateur non privilgi puis dutiliser la commande su pour devenir root. 256
Chapitre 13. Faire face aux problmes 4. Si le systme ne rpond aucune de ces tentatives, vous devez utiliser la squence SysRq (System Request). Cette squence implique de presser trois touches la fois, la touche Alt de gauche, la touche SysRq (nomme PrintScreen ou Impr cran sur les vieux claviers) et une lettre. a. Alt gauche-SysRq-R place le clavier en mode cru (raw mode). Maintenant essayez de presser Alt-Ctrl-Backspace encore une fois pour tuer X. Si a ne fonctionne pas, continuez. b. Alt gauche-SysRq-S tente dcrire toutes les donnes non sauvegardes sur le disque ( synchronisation du disque). c. Alt gauche-SysRq-E envoie un signal de terminaison tous les processus, sauf init. d. Alt gauche-SysRq-I envoie un signal de n tous les processus (terminaison beaucoup plus ferme ), sauf init. e. Alt gauche-SysRq-U tente de remonter tous les systmes de chiers monts en lecture seule. Ceci retire le marquage dirty ag et vitera ainsi une vrication du systme de chiers au redmarrage. f. Alt gauche-SysRq-B redmarre le systme. Vous pouvez aussi presser le bouton reset sur votre machine.
Rappelez-vous quil sagit dune s equence, cest-` a-dire que vous devez presser une combinaison apr` es lautre dans le bon ordre : Raw, Sync, tErm, kIll, Umount, reBoot3. Lisez la documentation au sujet du noyau pour plus de renseignements.
5. Si rien de ce qui prcde ne fonctionne, croisez les doigts et pressez le bouton reset de votre machine. Avec un peu de chance, GNU/Linux se contentera dune vrication du disque au redmarrage. Par tous les moyens, essayez de trouver ce qui a provoqu ce blocage car cela peut endommager svrement le systme de chiers. Vous pouvez aussi envisager dutiliser ext3 ou ReiserFS, un systme de chiers journalis inclus dans Mandrakelinux, qui prend en charge beaucoup mieux ce genre de problmes. Cependant, remplacer ext2FS par ext3 ou ReiserFS ncessite de reformater vos partitions.
257
13.9. Arr eter les applications qui fonctionnent mal

Bien, ce nest pas si difcile aprs tout. En fait, il y a peu de chances que vous en ayez besoin, mais au cas o... Vous avez plusieurs possibilits pour ce faire. Vous pouvez le faire en cherchant le PID du programme en cause puis utiliser la commande kill pour le terminer, ou vous pouvez utiliser loutil xkill ou tout autre outil graphique, tels que ceux qui montrent larborescence des processus.
13.9.1. Depuis la console

La premire chose faire pour terminer un programme rcalcitrant est de trouver son PID, ou Process ID (son numro identiant systme). Pour ce faire, tapez la commande qui suit dans une console : ps aux | grep mozilla, en supposant que Mozilla soit le programme incrimin. Vous allez obtenir quelque chose comme :
pierre 3505 7.7 23.1 24816 15076 pts/2 Z 21:29 0:02 /usr/lib/mozilla
Ceci nous indique, entre autres, que Mozilla a t dmarr par lutilisateur pierre et que son PID est 3505. Maintenant que nous avons le PID du programme dfectueux, nous pouvons poursuivre et excuter la commande kill pour le terminer. Donc, nous excutons ceci : kill -9 3505, et voil ! Mozilla sera tu. Notez que cette mthode doit tre utilise seulement lorsque le programme ne rpond plus vos sollicitations. Ne lutilisez pas comme mthode habituelle pour quitter une application. En fait, nous avons envoy le signal KILL au processus numro 3505. La commande kill accepte dautres signaux que KILL, pour avoir un contrle plus n sur vos processus. Pour plus dinformations, voyez kill(1).
13.9.2. Utiliser dautres outils de contr ole graphique

Vous pouvez galement utiliser lun des outils de surveillance de processus (tels que KPM, KSySGuard, ou GTOP, pour ne citer que ceux-l) qui vous permettent de trouver le nom du processus et, en un ou deux clics, leur envoyer un signal ou simplement les arrter.
258
13.10. Consid erations diverses

Voici quelques considrations concernant du matriel nouveau tel que les systmes legacy-free, les cartes dacclration graphique nVidia 3D, et dautres choses qui ne rentrent pas dans les sections prcdentes.
Systmes legacy-free. Les fabricants ont rcemment introduit ce quils appellent des systmes legacy free , surtout sur les ordinateurs portables4. Ceci signie que le BIOS a t signicativement rduit pour vous permettre de choisir quel mdium vous voulez dmarrer. Dans certains cas, GNU/Linux sera apte tout congurer tout correctement. Malheureusement, dans certains cas, vous devrez appliquer le correctif (patch) ACPI. Cartes graphiques nVidia 3D. Les ordinateurs possdant des cartes graphiques nVidia ncessitent un correctif noyau pour utiliser lacclration matrielle OpenGL 3D sur les applications compatibles avec OpenGL. Le noyau devrait tre install par DrakX. Cependant, si ce nest pas le cas, veuillez installer les paquetages relatifs, soit depuis le site Web de nVidia (http://www. nvidia.com) ou depuis le Mandrakeclub (http://www.mandrakeclub.com), lancez le Centre de contr ole Mandrakelinux et recongurez-y X.
Les RPMs nVidia sont de nature exp erimentale et, en tant que tels, ils ne sont pas pris en charge par Mandrakesoft. Toutefois, ils fonctionnent tr` es bien sur la plupart des syst` emes.
Mon ordinateur est lent . Si vous remarquez aprs linstallation que votre ordinateur est notablement plus lent, vous pouvez essayer de contourner ce problme en dsactivant lACPI. Pour ce faire, ajoutez la ligne suivante votre chier /etc/lilo.conf :
append=" acpi=off"
Sil y a dj une ligne append=, contentez-vous dy ajouter acpi=off la n. Lancez alors lilo -v en tant que root et redmarrez la machine.
4. Rfrez-vous cet excellent site Web, Linux on Laptops (http://www. linux-laptop.net), pour plus de renseignements sur votre modle dordinateur portable.
259
13.11. Outils Mandrake pour faire face aux probl` emes

Chaque outil dadministration (ceux que vous pouvez lancer depuis Centre de contr ole Mandrakelinux) peut vous aider rsoudre vos problmes. Vous pouvez utiliser chacun deux pour annuler des changements de conguration, ajouter ou retirer des logiciels, mettre jour votre systme en utilisant les derniers correctifs de Mandrakesoft, et ainsi de suite. Si vous pensez avoir trouv une bogue dans un des outils Mandrakelinux, vous pouvez le signaler en utilisant Drakbug, loutil de signalement de bogues automatis.
13.12. Derniers mots

Voil, vous avez constat quil existe de nombreuses faons de se sortir dune situation critique, sans pour autant rinstaller tout le systme5 ! Bien sr, vous devez avoir une certaine expertise pour utiliser certaines des techniques dcrites dans ce chapitre, mais avec un peu de pratique, vous lobtiendrez rapidement. Ceci tant dit, nous esprons que vous naurez jamais besoin de matriser ces techniques... bien quil soit toujours bon de les connatre. Nous esprons que les instructions et exemples donns ici seront utiles en cas de besoin. Bonne chance dans vos rsolutions de problmes !
5.
La faon habituelle de corriger les problmes avec certains autres systmes.
260
Annexe A. Glossaire
adresse IP Adresse numrique compose de quatre squences de un trois chiffres qui identient un ordinateur sur un rseau et notamment sur Internet. Les adresses IP sont structures de manire hirarchique, avec des domaines suprieurs et nationaux, domaines, sous-domaines, et adresses de chaque machine individuelle. Une adresse IP ressemble 192.168.0.1.. Ladresse dune machine personnelle peut tre de deux types : statique ou dynamique. Les adresses IP statiques sont des adresses qui ne changent pas, alors que les adresses dynamiques sont ractualises chaque nouvelle connexion au rseau. Les utilisateurs de modem ou de cble ont gnralement des adresses IP dynamiques, alors que certaines connexions DSL et dautres large bande fournissent des adresses IP statiques. adresse matrielle Cest un nombre qui identie de manire unique un hte at the media access layer. Les adresses Ethernet et les adresses AX.25en sont un exemple. alias Mcanisme utilis dans un shell pour lui faire substituer une chane par une autre avant dexcuter une commande. Vous pouvez voir tous les alias dnis dans la session courante en tapant la commande alias linvite. anneau tueur (kill ring) Sous Emacs, cest lensemble des zones de texte copies ou coupes depuis le dmarrage de lditeur, que lon peut rappeler pour les insrer de nouveau, et qui est organis sous forme danneau. On peut aussi lappeler cercle des morts . APM Advanced Power Management (Gestion Avance de lnergie) : fonctionnalit utilise par quelques BIOS pour faire entrer la machine dans un tat de latence aprs une priode dinactivit donne. Sur les ordinateurs portables, lAPM est aussi charg de reporter le statut de la batterie et, si lordinateur le permet, la dure de vie restante estime. arp Address Resolution Protocol : Protocole de Rsolution dAdresses. Le protocole Internet utilis pour faire automatiquement correspondre une 261
Annexe A. Glossaire adresse Internet et une adresse physique (matrielle) sur un rseau local. Cela est limit aux rseaux supportant la diffusion (broadcasting) matrielle. arrire-plan Dans le contexte du shell, un processus tourne en arrire-plan si vous pouvez envoyer des commandes pendant que ledit processus continue de fonctionner. Voir aussi : job, premier plan. ASCII American Standard Code for Information Interchange : Code standard amricain pour lchange dinformation. Le code standard utilis pour stocker des caractres, y compris les caractres de contrle, sur un ordinateur. Beaucoup de codes 8-bit (tels que ISO 8859-1, lensemble des caractres par dfaut de GNU/Linux) contiennent ASCII sur leur moiti infrieure. Voir aussi : ISO 8859. ATAPI (AT Attachment Packet Interface) Une extension des spcications ATA ( Advanced Technology Attachment , plus connue sous le nom dIDE, Integrated Drive Electronics) qui propose des commandes supplmentaires pour contrler les lecteurs de CD-ROM et de bandes magntiques. Les contrleurs IDE proposant cette extension sont aussi appels contrleurs EIDE (Enhanced IDE). ATM Cest lacronyme d Asynchronous Transfer Mode, mode de transfert non synchrone. Un rseau ATM concentre des donnes en paquets de taille standard (53 bytes: 48 pour les donnes et 5 pour len-tte) pour les transfrer efcacement dun point un autre. ATM est une technologie de circuit commut pour paquets rseau destine aux rseaux optiques haut-debit (plusieurs megabit). atomique Une srie doprations est dite atomique si elle est excute en une seule fois, sans interruption. batch Mode de gestion pour lequel les travaux (jobs) sont soumis de faon squentielle au processeur jusquau dernier, le processeur est alors libr pour une autre liste de processus. 262
Annexe A. Glossaire bta test Nom donn la procdure visant tester la version bta (prliminaire) dun programme. Ce dernier passe gnralement par des phases dites alpha puis bta de test avant de sortir ofciellement (release). bibliothque Ensemble de procdures et de fonctions au format binaire utilis par les programmeurs dans leurs programmes (si la licence le leur permet). Le programme responsable du chargement des bibliothques partages au dmarrage est appel lditeur dynamique de liens (dynamic linker). binaire Format des chiers excutable par la machine. Cest gnralement le rsultat dune compilation de chiers sources bip Petit bruit aigu mis par lordinateur pour attirer votre attention sur une situation ambigu ou une erreur. Il est utilis en particulier lorsque le compltement automatique dune commande propose plusieurs choix. bit Binary digIT (Chiffre Binaire). Un simple chiffre pouvant prendre les valeurs 0 ou 1, car le calcule seffectue en base deux. bitmap Image en mode point, par opposition une image en mode vectoriel. block (chier en mode) Fichier dont le contenu est mis en tampon (buffer). Toutes les oprations dentre/sortie sur de tels chiers passent par le tampon, ce qui permet des critures asynchrones sur le matriel sous-jacent, et des lectures directes sur le tampon, donc plus rapides. Voir aussi : tampon (buffer), cache mmoire, caractre (chiers en mode). bogue (bug) Comportement illogique ou incohrent dun programme dans un cas particulier, ou comportement qui nest pas en accord avec sa documentation. Souvent, dans un programme, de nouvelles fonctionnalits introduisent de nouveaux bogues. Le mot bogue est une francisation du mot anglais bug. Historiquement, ce terme remonte au temps des cartes perfores : une punaise (linsecte !) qui se serait glisse dans le trou dune carte perfore et aurait engendr un dysfonctionnement 263
Annexe A. Glossaire du programme ; Ada Lovelace, voyant cela, dclara Cest un bug ; lexpression est reste depuis. boot Procdure qui senclenche au dmarrage dun ordinateur lorsque les priphriques sont reconnus un par un, et que le systme dexploitation est charg en mmoire. BSD Berkeley Software Distribution Distribution Logicielle de Berkeley : variante dUnix dveloppe au dpartement informatique de luniversit de Berkeley. Cette version a toujours t considre plus avance technologiquement que les autres, et a apport beaucoup dinnovations au monde de linformatique en gnral et Unix en particulier. bureau Si vous utilisez lenvironnement graphique X, le bureau est lendroit de lcran avec lequel vous travaillez et sur lequel sont places les icnes et les fentres. Il peut aussi tre appel le fond dcran, et est gnralement rempli par une simple couleur, un gradient de couleur ou mme une image. Voir aussi : bureau virtuel. bureau virtuel Dans le systme de fentres X, le gestionnaire de fentres peut vous proposer plusieurs bureaux. Cette fonctionnalit pratique vous permet dorganiser vos fentres en limitant le nombre de fentres se superposant lune lautre. Cela fonctionne de la mme manire que si vous possdiez plusieurs crans. Vous pouvez passer dun bureau virtuel un autre par le clavier ou la souris, selon le gestionnaire de fentres que vous utilisez. Voir aussi : gestionnaire de fentres, bureau. cache mmoire lment crucial du noyau dun systme dexploitation, il a pour rle de maintenir les tampons jour, de les effacer lorsquils sont inutiles, de rduire la taille de lantmmoire si ncessaire, etc. Voir aussi : tampon (buffer). cach (chier) Fichier qui napparat pas lorsque lon excute la commande ls sans option. Les noms de chiers cachs commencent par un . et sont notamment utiliss pour enregistrer les prfrences et congurations propres 264
Annexe A. Glossaire chaque utilisateur. Par exemple, lhistorique des commandes de bash est enregistr dans le chier cach .bash_history. canaux IRC Points de rencontre lintrieur des serveurs IRC o vous pouvez converser avec dautres utilisateurs. Les canaux sont crs dans les serveurs IRC et les utilisateurs se connectent ces canaux an de pouvoir communiquer entre eux. Les messages crits sur un canal ne sont visibles que par les personnes connectes ce canal. Deux ou plusieurs utilisateurs peuvent aussi crer des canaux privs an de ne pas tre drangs par les autres utilisateurs. Les noms de canaux commencent par un #. caractre (chiers en mode) Fichiers dont le contenu nest pas mis en tampon (buffer). Lorsquassoci un priphrique physique, toutes les entres/sorties sont immdiatement effectues. Certains priphriques caractres spciaux sont crs par le systme (/dev/zero, /dev/null et dautres). Ils correspondent aux ux de donnes. Voir aussi : block (chier en mode). casse Dans le contexte de chanes de caractres, la casse est la diffrenciation entre lettres minuscules et majuscules (ou capitales). CHAP Challenge-Handshake Authentication Protocol (Protocole dAuthentication par Poigne de main-d) : protocole utilis par les FAI pour authentier leurs clients. Dans ce schma, une valeur est envoye au client (la machine qui se connecte), le client calcule un hash partir de cette valeur quil envoie au serveur, et le serveur compare le hash avec celui quil a calcul. Voir aussi : PAP. Chargeur de dmarrage (bootloader) Programme responsable du chargement du systme dexploitation. De nombreux chargeurs de dmarrage vous donnent la possibilit de charger plus dun systme en vous proposant un menu. Les chargeurs tels que grub sont disponibles avec cette fonctionnalit et sont trs utiles sur les machines multi-systmes. chemin Affectation dun chier ou dun rpertoire au systme de chiers. Les diffrents niveaux dun chemin sont spars par le slash ou caractre 265
Annexe A. Glossaire / . Il y a deux types de chemins sous GNU/Linux. Le chemin relatif est la position dun chier ou un rpertoire par rapport au rpertoire courant. Le chemin absolu est la position dun chier ou un rpertoire par rapport au rpertoire racine. cible (target) Objet dune compilation, gnralement le chier binaire devant tre gnr par le compilateur. CIFS Common Internet FileSystem (Systme de Fichiers Internet Commun) : prdcesseur du systme de chiers de SMB, utilis sur les systmes DOS. client Programme ou ordinateur qui se connecte de faon pisodique et temporaire un autre programme ou ordinateur pour lui donner des ordres ou lui demander des renseignements. Cest lune des composantes dun systme client/serveur. code objet Code gnr par le processus de compilation devant tre li avec les autres codes objets et bibliothques pour former un chier excutable. Le code objet est lisible par la machine. Voir aussi : binaire, compilation, liaison. compilation Une des tapes de la traduction du code source (en langage comprhensible avec un peu dentranement) crit en un langage de programmation (C, par exemple) en un chier binaire lisible par la machine. compltement Nologisme (substantif masculin) dsignant la capacit du shell tendre une sous-chane en un nom de chier, nom dutilisateur ou autre, de faon automatique, si la sous-chane nest pas ambigu. compression Moyen de diminuer la taille des chiers ou le nombre de caractres transmis lors dune connexion. Certains programmes de compression de chiers sont compress, zip, gzip, et bzip2.
266
Annexe A. Glossaire compte Sur un systme Unix, un nom de connexion, un rpertoire personnel, un mot de passe et un shell qui autorisent une personne se connecter sur ce systme. console Nom donn ce que lon appelait autrefois terminal . Les terminaux constituaient les postes utilisateurs des gros ordinateurs centraux (mainframe). Sur les postes de travail, le terminal physique est le clavier plus lcran. Voir aussi : consoles virtuelles. consoles virtuelles Sur les systmes GNU/Linux, les consoles virtuelles sont utilises pour vous permettre de lancer plusieurs sessions sur un seul cran. Vous disposez par dfaut de six consoles virtuelles qui peuvent tre actives en pressant les combinaisons de touches : ALT-F1 ALT-F6. Il y a une septime console virtuelle par dfaut, ALT-F7, qui vous permet de lancer le serveur X (interface graphique) Depuis X, vous pourrez activer les consoles virtuelles en pressant CTRL-ALT-F1 CTRL-ALT-F6. Voir aussi : console. continu (priphrique en) Priphrique qui traite des ots (non interrompus ou diviss en blocs) de caractre en entre. Un priphrique en continu typique est le lecteur de bandes. cookies Fichiers temporaires crits sur le disque dur local par un site Web distant. Cela permet au serveur dtre prvenu des prfrences de lutilisateur quand celui-ci se connecte nouveau. courrier lectronique Aussi appel mail , e-mail , ml ou encore courriel , il dsigne un message que lon fait parvenir un autre utilisateur dun mme rseau informatique par voie lectronique. Similaire au courrier traditionnel (dit courrier escargot ), le courrier lectronique a besoin des adresses de lexpditeur et du destinataire pour tre envoy correctement. Lexpditeur doit avoir une adresse du type moi@chez.moi et le destinataire une adresse lui@chez.lui . Le courrier lectronique est un moyen de communication trs rapide (gnralement quelques minutes quelle que soit la destination). An de pouvoir crire un courrier lectronique, vous avez besoin dun client de courrier du type de 267
Annexe A. Glossaire pine ou mutt qui sont en mode texte, ou des clients en mode graphique comme kmail. datagramme Un datagramme est un petit paquet de donnes et den-ttes qui contient des adresses. Cest lunit basique de transmission dun rseau IP. Vous pouvez aussi le rencontrer sous le nom de paquet dpendances tapes de la compilation ncessaires pour passer ltape suivante dans la compilation nale dun programme. DHCP Dynamic Host Conguration Protocol (Protocole Dynamique de Conguration dHtes) : protocole conu pour que les machines sur un rseau local puissent se voir allouer une adresse IP dynamiquement. disquette de dmarrage Disquette amorable ( bootable en anglais) contenant le code ncessaire pour dmarrer le systme dexploitation prsent sur le disque dur (parfois, elle se suft elle-mme). distribution Terme utilis pour distinguer les diffrents produits proposs par les fournisseurs GNU/Linux. Une distribution est constitue du noyau Linux, et dutilitaires, ainsi que de programmes dinstallation, programmes de tiers, et parfois mme des programmes propritaires. DLCI (Data Link Connection Identier ou Identicateur de Connexion de Liaison de Donnes. Il est utilis pour identier une connexion point point unique et virtuelle via un rseau relais de trames. Le DLCI est normallement assign par le fournisseur du rseau relais de trames. DMA (Direct Memory Access ou Accs Direct la Mmoire) : fonctionnalit utilise sur larchitecture PC ; qui permet un priphrique de lire ou dcrire dans la mmoire principale sans laide du processeur. Les priphriques PCI utilisent le bus mastering (contrle du bus par un priphrique en lieu et place du processeur) et nont pas besoin de DMA. DNS Domain Name System : systme de nom de domaine. Le mcanisme de correspondance nom/adresse utilis sur Internet. Cest ce mcanisme 268
Annexe A. Glossaire qui permet de mettre en correspondance un nom de domaine et une adresse IP, qui vous laisse rentrer un nom de domaine sans connatre ladresse IP du site. DNS permet aussi deffectuer une recherche inverse, de sorte que vous pouvez obtenir ladresse IP dune machine partir de son nom. doux (lien) Voir : symboliques, liens DPMS Display Power Management System (Systme de Gestion de lAlimentation de lAfchage). Protocole utilis par tous les crans modernes pour grer les fonctionnalits de gestion dnergie. Les moniteurs disposant de ces fonctionnalits sont souvent appels des moniteurs verts . drapeau Indicateur (gnralement un seul bit) utilis pour signaler une condition particulire un programme Par exemple, un systme de chier a, entre autre, un drapeau indiquant sil doit tre inclus dans une sauvegarde ; lorsque le drapeau est lev le systme de chier est sauvegard, il ne lest pas si le drapeau est dsactiv. chappement Dans le contexte du shell, dsigne laction dencadrer une chane entre guillemets pour empcher son interprtation. Par exemple, pour utiliser des espaces sur une ligne de commande, puis rediriger le rsultat une autre commande, il faudra mettre la premire commande entre guillemets ( chapper la commande) sinon le shell linterprtera mal, ce qui empchera le bon fonctionnement. Action dencadrer une chane entre guillemets pour empcher son interprtation, dans le contexte du shell Par exemple, pour utiliser des espaces sur une ligne de commande, puis rediriger le rsultat une autre commande, il faudra mettre la premire commande entre guillemets ( chapper la commande) sinon le shell linterprtera mal, ce qui empchera le bon fonctionnement. cho Voir un cho signie voir lcran les caractres qui sont frapps au clavier. Par exemple, lorsque lon tape un mot de passe, on na gnralement pas dcho mais de simple toiles * pour chaque caractre tap. 269
Annexe A. Glossaire diteur Programme spcialis dans la modication des chiers texte. Les diteurs les plus connus sous GNU/Linux sont GNU Emacs (Emacs) et lditeur Unix : Vi. ELF Executable and Linking Format (Format dExcutables et de Liaisons) Cest le format binaire utilis par la plupart des distributions GNU/Linux de nos jours. englobement Capacit de regrouper dans le shell, un certain ensemble de noms de chiers avec un motif denglobement. Voir aussi : motif denglobement. entre standard Descripteur de chier numro 0, ouvert par tous les processus, utilis par convention comme le descripteur de chier par lequel le processus reoit ses donnes. Voir aussi : erreur standard, canal d, sortie standard. environnement Contexte dexcution dun processus. Cela inclut toute linformation dont le systme dexploitation a besoin pour grer le processus, et ce dont le processeur a besoin pour excuter correctement ce processus. Voir aussi : processus. erreur standard, canal d Descripteur de chier numro 2, ouvert par tous les processus, utilis par convention pour les messages derreur et, par dfaut, lcran du terminal. Voir aussi : entre standard, sortie standard. expression rationnelle Outil thorique trs puissant utilis pour la recherche et la correspondance de chanes de texte. Il permet de spcier des motifs auxquels les chanes recherches doivent se conformer. Beaucoup dutilitaires Unix lutilisent : sed, awk, grep et perl, entre autres. ext2 Abrviation de second extended lesystem : systme de chiers tendu 2. ext2 est le systme de chiers natif de GNU/Linux et possde toutes les caractristiques dun systme de chiers Unix : support des chiers 270
Annexe A. Glossaire spciaux (priphriques caractres, liens symboliques...), permissions sur les chiers et propritaires, etc. FAI Fournisseur dAccs Internet. Socit qui revend un accs Internet ses clients, que laccs soit par ligne tlphonique ou par ligne ddie. FAQ Frequently Asked Questions (Questions Frquemment Poses, mais aussi Foire Aux Questions) : document contenant une srie de questions/rponses sur un domaine spcique. Historiquement, les FAQ sont apparues dans les groupes de discussion, mais cette sorte de document est maintenant disponible sur des sites Web divers. Mme des produits commerciaux ont leur FAQ. Gnralement, ce sont de trs bonnes sources dinformations. FAT File Allocation Table. (Table dAllocation des Fichiers). Systme de chiers utilis par DOS / Windows. FDDI Fiber Distributed Digital Interface (Interface Numrique Distribue par Fibre) : couche rseau matrielle haut dbit, qui utilise des bres optiques pour la communication. Seulement utilise sur les gros rseaux surtout cause de son prix. FHS Filesystem Hierarchy Standard (Standard pour la Hirarchie des Systmes de chier) : document contenant des lignes de conduite pour une arborescence des chiers cohrente sur les systmes Unix. Mandrakelinux se conforme ce standard. FIFO First In, First Out (Premier Entr, Premier Sorti) : structure de donnes ou tampon matriel depuis lequel les lments sont enlevs dans lordre de leur insertion. Les tubes Unix sont lexemple le plus courant de FIFO. focus Fait quune fentre reoive les vnements clavier (tels que les pressions ou les relches des touches) et les clics de la souris, moins que ces derniers ne soient intercepts par le gestionnaire de fentres.
271
Annexe A. Glossaire forum de discussions (newsgroup)zones de discussions et de nouvelles auxquelles on peut accder par lintermdiaire dun client de nouvelles ou un client USENET pour crire et lire des messages spciques au sujet du forum de dscussion. Par exemple, le forum alt.os.linux.mandrake est un forum de discussion alternatif (alt) qui traite des systmes dexploitation Operating Systems (os) GNU/Linux, et en particulier, Mandrakelinux (mandrake). Les noms des forums de discussion sont dclins de cette faon an de rendre plus aise la recherche dun sujet en particulier. framebuffer Projection de la RAM dune carte graphique dans la mmoire principale. Cela autorise les applications accder la mmoire vido en vitant les complications lies la communication directe avec la carte. Toutes les stations graphiques de haut niveau utilisent des framebuffers. FTP File Transfer Protocol (Protocole de Transfert de Fichiers). Cest le protocole Internet standard pour transfrer des chiers dune machine une autre. gestionnaire de fentres Programme responsable de lallure gnrale dun environnement graphique et qui soccupe des barres et cadres des fentres, des boutons, des menus issus de limage de fond, et de certains raccourcis clavier. Sans lui, il serait difcile ou impossible davoir des bureaux virtuels, de changer la taille des fentres la vole, de dplacer ces dernires, etc. GFDL (GNU Free Documentation Licenseou Licence de Documentation GNU Gratuite) Licence applique toute la documentation Mandrakelinux GIF Graphics Interchange Format. (Format Graphique dchange) : format de chier image, trs utilis sur le Web. Les images GIF sont compresses, et elles peuvent mme tre animes. Pour des questions de droits dauteur, il est conseill de remplacer ce format dimage par un format plus rcent : le format PNG. GNU GNU is Not Unix (GNU Nest pas Unix). Le projet GNU est un projet initi par Richard Stallman au dbut des annes 80, dont le but est de concevoir un systme dexploitation libre et complet. Aujourdhui, la 272
Annexe A. Glossaire plupart des outils sont disponibles, except... le noyau. Le noyau du projet GNU, Hurd, nest pas encore prt sortir du laboratoire. Linux emprunte, entre autre, deux choses au projet GNU : son compilateur C, gcc, et sa licence, la GPL. Voir aussi : GPL. gourou Expert, nom utilis pour dsigner une personne particulirement qualie dans un domaine particulier, mais qui est aussi dune grande utilit ceux qui sollicitent son aide. GPL General Public License (Licence Publique Gnrale) : licence de nombreux programmes libres, notamment du noyau Linux. Elle va lencontre de toutes les licences propritaires puisquelle ne donne aucune restriction en ce qui concerne la copie, la modication et la redistribution du logiciel, aussi longtemps que le code source est disponible. La seule restriction, si on peut lappeler ainsi, est que les personnes qui vous le redistribuez doivent aussi bncier des mmes droits. hte Relatif un ordinateur qui est gnralement utilis pour des ordinateurs relis un rseau. HTML HyperText Markup Language (Langage de Balisage HyperTexte) : langage utilis pour crer les documents Web. HTTP HyperText Transfer Protocol (Protocole de Transfert HyperTexte) : protocole utilis pour se connecter des sites Web et retirer des documents HTML ou des chiers. i-noeud point dentre menant au contenu dun chier sur un systme de chiers Unix. Un i-noeud est identi de faon spcique par un numro, et contient des mta-informations sur le chier auquel il se rfre, tels que ses temps daccs, son type, sa taille, mais pas son nom! icne Petit dessin (gnralement en 16 x 16, 32 x 32, 48 x 48, et parfois 64 x 64 pixels) qui reprsente, sous un environnement graphique, un document, un chier ou un programme. 273
Annexe A. Glossaire IDE Integrated Drive Electronics (lectronique Intgre au Disque) : le plus utilis des bus sur les PC daujourdhui pour les disques durs. Un bus IDE peut contenir jusqu deux priphriques ; sa vitesse est limite par le priphrique au bus qui a la le de commandes la plus lente (et pas la vitesse de transfert la plus lente!). Voir aussi : ATAPI ( AT Attachment Packet Interface ) . Interface graphique : GUI Graphical User Interface. Interface dun ordinateur constitue de menus, boutons, icnes, et autres lments graphiques. La plupart des utilisateurs prfrent une interface graphique plutt quune CLI (Command Line Interface : Interface en ligne de commande) pour sa facilit dutilisation, mme si cette dernire est plus polyvalente. Internet Immmense rseau qui connecte des ordinateurs tout autour du monde. invite Prompt dans un shell, cest la chane de caractres avant le curseur. Lorsquelle est visible, il est possible de taper vos commandes. IRC Internet Relay Chat (Conversation Relaye par Internet) : une des rares normes sur l Internet pour la conversation en direct. Elle autorise la cration de canaux, de conversations prives et aussi lchange de chiers. Elle est aussi conue pour tre capable de faire se connecter les serveurs entre eux, et cest pourquoi plusieurs rseaux IRC existent aujourdhui : Undernet, DALnet, EFnet pour nen citer que quelques-uns. ISA Industry Standard Architecture (Architecture Standard pour lIndustrie) : premier bus utilis sur les cartes mre, il est lentement abandonn au prot du bus PCI. Cependant, quelques fabricants de matriel lutilisent toujours. Il est encore trs courant que les cartes SCSI fournies avec des scanners, graveurs, etc. soient ISA. ISDN Integrated Services Digital Network ou RNIS : Rseau Numrique Intgration de Services. Ensemble de standards de communication permettant un unique cble ou une bre optique de transporter de la voix, des services de rseau numrique et de la vido. Il a t conu an de 274
Annexe A. Glossaire remplacer le systme tlphonique actuel, connu sous lacronyme RTC (Rseau Tlphonique Commut). ISO International Standards Organisation (Organisation Internationale de Standards) : groupement dentreprises, de consultants, duniversits et autres sources qui laborent des standards dans divers domaines, y compris linformatique. Les documents dcrivant les standards sont numrots. Le standard numro 9660, par exemple, dcrit le systme de chiers utilis par les CD-ROM. ISO 8859 Le standard ISO 8859 inclut plusieurs extensions 8-bit lensemble de caractres ASCII. Il y a notamment ISO 8859-1, l Alphabet Latin No. 1 , largement utilis, qui peut en fait tre considr comme le remplaant de facto du standard ASCII. ISO 8859-1 reconnat les langues suivantes : afrikaans, allemand, anglais, basque, catalan, danois, hollandais, cossais, espagnol, froais, nlandais, franais, gallois, islandais, irlandais, italien, norvgien, portugais, et sudois. Notez bien que les caractres ISO 8859-1 sont aussi les 256 premiers caractres de ISO 10646 (Unicode). Nanmoins, il lui manque le symbole EURO et ne reconnat pas compltement le nlandais ni le franais. LISO 8859-15 est une modication de ISO 8859-1 qui couvre ces besoins. Voir aussi : ASCII. job Processus fonctionnant en arrire-plan dans le contexte du shell. Vous pouvez avoir plusieurs jobs dans un mme shell, et contrler ces jobs. Voir aussi : premier plan, arrire-plan. joker (wildcard) Les caractres * et ? sont utiliss comme caractres dit jokers car ils peuvent reprsenter nimporte quoi. Le * reprsente un nombre quelconque de caractres, alors que le ? reprsente exactement un caractre. Les jokers sont utiliss frquemment dans les expressions ordinaires. JPEG Joint Photographic Experts Group (Regroupement dExperts de la Photographie) : autre format de chier image trs connu. JPEG est surtout habilit compresser des scnes relles, et ne fonctionne pas trs bien avec les images non ralistes. 275
Annexe A. Glossaire lancer Action dinvoquer, ou de dmarrer un programme. langage assembleur Langage de programmation le plus proche de lordinateur, do son nom de langage de programmation de bas niveau . Lassembleur a lavantage de la vitesse puisque les programmes sont crits directement sous la forme dinstructions pour le processeur, de sorte quaucune ou peu de traduction ne soit ncessaire pour en faire un programme excutable. Son inconvnient majeur est quil est fondamentalement dpendant du processeur (ou de larchitecture). crire des programmes complexes est donc trs long. Ainsi lassembleur est le langage de programmation le plus rapide, mais il nest pas transportable entre architectures. LDP Linux Documentation Project (Project de Documentation pour Linux) : organisation but non lucratif qui maintient de la documentation sur GNU/Linux. Ses documents les plus connus sont les HOWTO, mais elle produit aussi des FAQ, et mme quelques livres. lecture seule (read-only mode) Relatif un chier qui ne peut pas tre modi. On pourra en lire le contenu, mais pas le modier. Voir aussi : lecture-criture (read-write mode). lecture-criture (read-write mode) Relatif un chier qui peut tre modi. Ce type dautorisation permet la fois de lire et de modier un chier. Voir aussi : lecture seule (read-only mode). liaison Dernire tape du processus de compilation, consistant lier ensemble les diffrents chiers objet de faon produire un chier excutable, et rsoudre les symboles manquants avec les librairies dynamiques ( moins quune liaison statique ait t demande, auquel cas le code de ces symboles sera inclus dans lexcutable). libre (logiciel) open source Nom donn au code source libre dun programme qui est rendu disponible la communaut de dveloppement, et au public en gnral. La thorie sous-jacente est quen autorisant ce que le code source soit 276
Annexe A. Glossaire utilis et modi par un groupe plus large de programmeurs, cela produira un produit plus utile pour davantage de personnes. On peut citer parmi les programmes libres les plus clbres Apache, sendmail et GNU/Linux. lien I-nud dans un rpertoire, donnant par l un nom (de chier) cet i-nud. Des exemples di-nuds nayant pas de lien (et donc aucun nom) sont : les tubes anonymes (utiliss par le shell), les sockets (connexions rseau), priphriques rseau, etc. ligne de commande Ce que fournit un shell et permet lutilisateur de taper des commandes directement. Cest galement le sujet dune bataille ternelle entre ses adeptes et ses dtracteurs :-) Linux Systme dexploitation du type Unix adapt une grande varit darchitectures; il est utilisable et modiable volont. Linux (le noyau) a t crit par Linus Torvalds. login Nom de connexion de lutilisateur sur un systme Unix, et laction mme de se connecter. loopback Interface rseau virtuelle dune machine avec elle-mme, qui permet aux programmes en fonctionnement de ne pas devoir prendre en compte le cas particulier o deux entits rseau correspondent la mme machine. majeur Numro caractristique de la classe de priphriques considre. mandataire (proxy) Machine qui se situe entre un rseau et lInternet, dont le rle est dacclrer les transferts de donnes pour les protocoles les plus utiliss (HTTP et FTP par exemple). Il maintient un tampon des demandes prcdentes, ce qui vite le cot impliqu par une nouvelle demande de chier alors quune autre machine a fait cette requte rcemment. Les serveurs mandataires sont trs utiles sur les rseaux petite vitesse (comprenez : connexions modems RTC). Quelquefois, le mandataire est la seule machine capable datteindre lextrieur. 277
Annexe A. Glossaire masquage IP Technique utilise lorsque vous utilisez un pare-feu pour cacher la vritable adresse IP de votre ordinateur depuis lextrieur. Gnralement, les connexions faites en dehors du rseau hriteront de ladresse IP du pare-feu lui-mme. Cela est utile dans les cas o vous avez une connexion Internet rapide avec une seule adresse IP ofcielle, mais souhaitez partager cette connexion avec dautres ordinateurs dun rseau local ayant des adresses IP prives. MBR Master Boot Record (Secteur de Dmarrage Matre). Nom donn au premier secteur dun disque dur amorable. Le MBR contient le code utilis pour charger le systme dexploitation en mmoire ou un chargeur de dmarrage (tel que LILO), et la table des partitions de ce disque dur. menu droulant Menu qui peut s enrouler et se drouler volont laide dun bouton situ lune de ses extrmits. Il sert gnralement choisir une des valeurs proposes dans ce menu. MIME Multipurpose Internet Mail Extensions (Extensions de Courrier pour Internet Usages Multiples) : chane de la forme type/sous-type dcrivant le contenu dun chier attach dans un courrier lectronique. Cela autorise les lecteurs de courrier reconnaissant le MIME effectuer des actions dpendantes du type du chier. mineur Numro prcisant le priphrique dont il est question. mode commande Sous Vi ou lun de ses clones, cest ltat du programme dans lequel la pression sur une touche (ceci concerne surtout les lettres) naura pas pour effet dinsrer le caractre correspondant dans le chier en cours ddition, mais deffectuer une action propre la touche enfonce ( moins que le clone que vous utilisez ne permette de personnaliser la correspondance entre touches et actions, et que vous ayez choisi cette fonctionnalit). On en sort en enfonant lune des touches ramenant au mode insert, comme i, I, a, A, s, S, o, O, c, C, etc. mode insertion Sous Vi ou lun de ses clones, cest ltat du programme dans lequel la pression sur une touche aura pour effet dinsrer le caractre correspondant dans le chier en cours ddition (sauf dans certains cas comme le 278
Annexe A. Glossaire compltement dune abrviation, le calibrage droite en n de ligne,...). On en sort par une pression sur la touche chap (ou Ctrl-[). mode multitche la capacit dun systme dexploitation partager le temps dutilisation du processeur entre plusieurs applications. A bas niveau, on parle aussi de multiprogrammation. Passer dune application une autre necessite de sauvegarder tout le contexte du processus courant et de le charger lorsque cette application reprend son excution. Cette opration est appele changement de contexte, et un processeur Intel le fait 100 fois par seconde, oprant de manire tellement rapide quun utilisateur aura lillusion que le systme dexploitation excute plusieurs applications en mme temps. Il existe deux types de mode multitche: en mode multitche premptif, le systme dexploitation est responsable for taking away the CPU and passing it une autre application; en mode multitche coopratif, cest lapplication elle-mme qui cde le contrle des ressources du systme. La premiere option est evidemment la meilleure car aucun programme ne peut utiliser en permanence le temps dutilisation du processeur et ainsi bloquer les autres applications. GNU/Linux fonctionne sous le mode multitche premptif. La rgle de slection de lapplication qui doit ou non sexcuter, et qui dpend de plusieurs paramtres, est appele planication montage (point de) Rpertoire o une partition (ou un priphrique en gnral) va se rattacher au systme de chiers de GNU/Linux. Par exemple, votre lecteur de CD-ROM est mont dans le rpertoire /mnt/cdrom, do vous pouvez avoir accs au contenu du CD. mont Un priphrique est mont lorsquil rattach au systme de chiers de GNU/Linux. Quand vous montez un priphrique, vous pouvez en explorer le contenu. Ce terme est en partie obsolte d la fonctionnalit supermount , et ainsi les utilisateurs nont pas monter manuellement un priphrique amovible. Voir aussi : montage (point de). mot de passe Mot secret ou combinaison de lettres, de chiffres et de symboles, utilis pour protger quelque chose. Les mots de passe sont utiliss de concert avec les noms dutilisateur (login) pour les systmes multi-utilisateurs, sites Web, FTP, etc. Les mots de passe devraient tre des phrases difciles deviner, ou des combinaisons alphanumriques, et ne doivent en 279
Annexe A. Glossaire aucun cas tre bases sur des mots du dictionnaire. Les mots de passe empchent que dautres personnes puissent se connecter sur un ordinateur ou un site en utilisant votre compte. motif denglobement Chane de caractres compose de caractres normaux et de caractres spciaux. Les caractres spciaux sont interprts et tendus par le shell. MPEG Moving Pictures Experts Group (Groupe dExperts en Images Animes) : comit ISO qui gnre des normes de compression audio et vido. MPEG est aussi le nom de leurs algorithmes. Malheureusement, la licence de ce format est trs restrictive, par consquent il nexiste aucun visualisateur MPEG sous licence libre... MSS La MSS (Maximum Segment Size, Taille Maximale dun Segment ) est la plus grande quantit de donnes pouvant tre transmise en une fois. Si vous souhaitez viter la fragmentation locale, la MSS devrait tre gale lentte MTU-IP. MTU La MTU (Maximum Transmission Unit, Unit Maximale de Transmission ) est le paramtre qui dtermine le datagramme de plus grande taille pouvant tre transmis par une interface IP sans devoir tre dcoup en units plus petites. La MTU devrait tre plus grande que la taille du plus grand datagramme que vous souhaitez transmettre entier. Il est noter que cela ne concerne que la fragmentation locale, dautres liens sur le chemin peuvent avoir une MTU plus petite et engendrer une fragmentation du datagramme ce niveau. Les valeurs standards peuvent tre de 1500 octets pour une interface ethernet, ou 576 octets pour une interface SLIP. multi-utilisateur Caractristique dun systme dexploitation qui permet plusieurs utilisateurs de se connecter et dutiliser une mme machine au mme moment, chacun dentre eux pouvant effectuer ses tches indpendamment des autres utilisateurs. GNU/Linux est la fois un systme multitches et multi-utilisateur, de mme que tout systme UNIX. NCP NetWare Core Protocol (Protocole de Base de NetWare) : protocole dni par Novell pour accder aux services de chiers et dimpression de Novell Netware. 280
Annexe A. Glossaire NFS Network FileSystem (Systme de Fichiers Rseau) : systme de chiers rseau cr par Sun Microsystems pour partager des chiers le long dun rseau en toute transparence. NIC Network Interface Controller (Contrleur dInterface Rseau) : adaptateur install dans un ordinateur qui fournit une connexion physique un rseau, comme une carte Ethernet. NIS Network Information System (Systme dInformations par Rseau). NIS tait aussi connu sous le nom de Yellow Pages (Pages Jaunes), mais British Telecom possde un copyright sur ce nom. NIS est un protocole conu par Sun Microsystems pour partager des informations communes le long dun domaine NIS, qui peut regrouper un rseau local complet, quelques machines de ce rseau ou plusieurs rseaux locaux. Il peut exporter des bases de donnes de mots de passe, de services, dinformations de groupe, etc. niveau dexcution (runlevel) Conguration dun systme logiciel, qui ne permet que certains processus. Les processus autoriss sont dnis pour chaque niveau dans le chier /etc/inittab. Il y a huit niveaux prdnis : 0, 1, 2, 3, 4, 5, 6, S et passer de lun lautre ne peut se faire que par ladministrateur en excutant les commandes init et telinit. nom dutilisateur (username) Appel aussi login, nom (ou plus gnralement un mot) qui identie un utilisateur dans un systme. Chaque nom dutilisateur est associ un unique UID (user ID : IDenticateur dUtilisateur) Voir aussi : login. nommage Nologisme couramment employ dans le milieu de linformatique pour nommer une mthode de dsignation de certains objets. On parle souvent de convention de nommage pour des chiers, des fonctions dans un programme, etc. noyau Largement connu sous son nom anglais kernel, il est le coeur du systme dexploitation. Le noyau est charg de lallocation des ressources et de 281
Annexe A. Glossaire la gestion des processus. Il prend en charge toutes les oprations de basniveau qui permettent aux programmes de communiquer directement avec le matriel de lordinateur. nul (caractre) Caractre ou octet de numro 0, il est utilis pour marquer la n dune chane de caractres. octet Huit bits conscutifs. Il est interprt comme un nombre, en base deux, compris entre 0 et 255. Voir aussi : bit. page de manuel Petit document contenant la dnition dune commande et son utilisation, consulter avec la commande man. La premire chose (savoir) lire lorsquon entend parler dune commande inconnue :-) PAP Password Authentication Protocol (Protocole dAuthentication par Mot de Passe) : protocole utilis par les FAI pour authentier leurs clients. Dans ce schma, le client (cest vous) envoie une paire identiant/mot de passe au serveur, non crypte. Voir aussi : CHAP. pare-feu (rewall) Machine qui est lunique point dentre et de sortie avec le rseau extrieur dans la topologie dun rseau local, et qui ltre ou contrle lactivit sur certains ports, ou les rserve des interfaces IP prcises. passerelle Equipement dinterconnexion entre deux rseaux IP patch, patcher Correctif , chier contenant une liste de modications apporter un code source dans le but dy ajouter des fonctionnalits, den ter des bogues, ou dy apporter toute autre modication souhaite. Laction dappliquer ce chier larchive du code source. PCI Peripheral Components Interconnect (Interconnexion de Composants Priphriques) : bus cr par Intel et qui est aujourdhui le bus standard pour les architectures, mais dautres architectures lutilisent galement. Cest le successeur de l ISA, et il offre de nombreux services : identication 282
Annexe A. Glossaire du priphrique, informations de conguration, partage des IRQ, bus mastering, etc. PCMCIA Personal Computer Memory Card International Association (Association Internationale des Cartes Mmoires pour Ordinateurs Personnels) : de plus en plus souvent appel PC Card pour des raisons de simplicit ; cest la norme pour les cartes externes attaches aux ordinateurs portables : modems, disques durs, cartes mmoire, cartes Ethernet, etc. Lacronyme est quelquefois tendu avec humour en People Cannot Memorize Computer Industry Acronyms (Les gens ne peuvent pas mmoriser les acronymes de lindustrie informatique)... plein-cran Terme utilis pour dsigner les applications qui prennent toute la place disponible de votre afchage. plugin Programme dappoint utilis pour afcher ou enclencher un contenu multimdia propos sur un document web. Il est gnralement facile tlcharger lorsque le navigateur est encore incapable dafcher ce type dinformation. PNG Portable Network Graphics (Graphiques Rseau Portables) : format de chier image cr principalement pour lutilisation sur le Web, il a t conu comme un remplacement de GIF (sans les problmes de brevets et avec des fonctionnalits supplmentaires). PNP PlugNPlay (Brancher Et Utiliser). Conu en premier lieu pour l ISA pour ajouter des informations de conguration pour les priphriques, cest devenu un terme plus gnrique qui regroupe tous les priphriques capables de rapporter leurs paramtres de conguration. Tous les priphriques PCI sont PlugnPlay. prcdence Action de dicter lordre dvaluation des oprations dune expression. Par exemple : Si vous valuez lopration 4 + 3 * 2 vous obtenez 10 comme rsultat, du fait que la multiplication a une prcdence plus leve que laddition. Si vous souhaitez valuer laddition dabord, vous devrez utiliser des parenthses : (4 + 3) * 2. Vous obtiendrez 283
Annexe A. Glossaire alors 14 comme rsultat, du fait que les parenthses ont une prcdence suprieure la multiplication, lopration entre parenthses est donc value en premier. premier plan Dans le contexte du shell, le processus au premier plan est celui qui est en train dtre excut. Vous devez attendre quun tel processus ait ni pour pouvoir entrer nouveau des commandes. Voir aussi : job, arrire-plan. processus Dans un contexte Unix, un processus est l instance dun programme en cours dexcution, avec son environnement. propritaire Dans le contexte des utilisateurs et de leurs chiers, le propritaire dun chier est celui qui a cr ce chier. Dans le contexte des groupes, le groupe propritaire dun chier est le groupe auquel appartient le crateur de ce chier. propritaire (groupe) Dans le contexte des groupes et de leurs chiers, le groupe propritaire dune chier est le groupe auquel appartient lutilisateur qui a cr ce chier. racine (systme de chier) Systme de chiers de plus haut niveau, sur lequel GNU/Linux monte son arborescence de rpertoires racine. Il est indispensable que le systme de chier racine rside sur une partition spare, car il sagit de la base de tout le systme. Il hberge le rpertoire racine. RAID Redundant Array of Independent Disks (Ensemble Redondant de Disques Indpendants) : projet initi par le dpartement informatique de luniversit de Berkeley, et dans lequel le stockage des donnes est rparti sur un ensemble de disques. RAM Random Access Memory (Mmoire Accs Alatoire). Terme utilis pour identier la mmoire principale dun ordinateur. Relai de trames (frame relay) Le relai de trames est une technologie rseau qui convient parfaitement des transferts sporadiques ou en rafale. Les cots du rseau sont rduits par la multitude de clients de relais de trames qui 284
Annexe A. Glossaire partagent la mme bande passante. Cette rduction de cot repose aussi sur une utilisation du rseau qui peut diffrer en besoin de bande passante en fonction du moment . rpertoire Partie de la structure du systme de chiers. Un rpertoire est un contenant pour les chiers et ventuellement dautres rpertoires. Ces derniers sont alors appels sous-rpertoires (ou branches) du premier rpertoire. On y fait souvent rfrence sous le terme darborescence. Si vous souhaitez voir le contenu dun rpertoire, vous pouvez soit le lister, soit y pntrer. Les chiers dun rpertoire sont appels feuilles et les sous-rpertoires branches . Les rpertoires suivent les mme restrictions que les chiers, bien que la signication des autorisations y soit parfois diffrente. Les rpertoires spciaux . et .. font respectivement rfrence au rpertoire mme et son parent. rpertoire personnel Trs souvent abrg par home , mme en franais, cest le nom donn au rpertoire dun utilisateur donn. Voir aussi : compte. rseau local Aussi appel LAN Local Area Network. Nom gnrique donn un rseau de machines physiquement connectes au mme cble. RFC Request For Comments (Appel Commentaires). Les RFC sont les documents ofciels des standards de l Internet. Ils dcrivent tous les protocoles, leur utilisations, les pr-requis imposs, etc. Pour comprendre le fonctionnement dun protocole, allez chercher le RFC correspondant. root (utilisateur) Super-utilisateur sur tout systme UNIX. En particulier root (cest dire ladministrateur du systme) est la personne responsable de la maintenance et de la supervision du systme. Cette personne a aussi un accs illimit tout le systme. route Chemin que prennent vos donnes travers le rseau pour atteindre leur destination. Chemin entre une machine et une autre sur le rseau.
285
Annexe A. Glossaire RPM Redhat Package Manager (Gestionnaire de Paquetages de Red Hat ). Format dempaquetage dvelopp par Red Hat pour crer des paquetages logiciels, et utilis par beaucoup de distributions GNU/Linux, y compris Mandrake Linux. sauvegarde Moyen visant protger vos donnes importantes en les conservant sur un support et un endroit ables. Les sauvegardes devraient tre faites rgulirement, tout particulirement pour les informations critiques et les chiers de conguration (les premiers rpertoires sauvegarder sont /etc, /home, et /usr/local). Gnralement, on utilise tar avec gzip ou bzip2 pour sauvegarder des rpertoires et des chiers. Il existe dautres outils ou programmes tels que dump et restore, ainsi quune quantit dautres solutions libres ou commerciales pour la sauvegarde des documents. SCSI Small Computers System Interface (Interface Systme pour Petits Ordinateurs) : bus avec une grande bande passante mis au point pour autoriser plusieurs types de priphriques. Contrairement l IDE, un bus SCSI nest pas limit par la vitesse laquelle les priphriques acceptent les commandes. Seules les machines de haut niveau intgrent un bus SCSI directement sur la carte mre; une carte additionnelle est donc ncessaire pour les PC. slecteur despace de travail Une appliquette permettant de se dplacer dun bureau virtuel un autre. Voir aussi : bureau virtuel. serveur Programme ou ordinateur qui propose une fonctionnalit ou service et attend les connexions des clients pour rpondre leurs ordres ou leur fournir les renseignements quils demandent. Cest lune des composantes dun systme client/serveur. shadow, mots de passe Systme de gestion des mots de passe dans lequel le chier contenant les mots de passe chiffrs nest plus lisible par tout le monde, alors quil lest quand on utilise le systme normal de mots de passe.
286
Annexe A. Glossaire SMB Server Message Block (Serveur de Messages par Blocs). Protocole utilis par les machines windows (9x or NT) pour le partage de chiers le long dun rseau. socket Type de chier correspondant tout ce qui est connexion rseau. sortie standard Descripteur de chier numro 1, ouvert par tous les processus, utilis par convention comme le descripteur de chier dans lequel le processus crit les donnes quil produit. Voir aussi : erreur standard, canal d, entre standard. SVGA Super Video Graphics Array (Super Afchage Graphique Vido) : norme dafchage vido dnie par VESA pour larchitecture PC. La rsolution est de 800 x 600 x 16 couleurs. switch (options) Les switches sont utiliss pour modier le comportement des programmes, et sont aussi appels : options de ligne de commande ou arguments. Pour dterminer si un programme propose des switches en option, lisez sa page de man pages ou essayez de lui passer loption --help (ie. program --help). symboliques, liens Fichiers particuliers, ne contenant quune chane de caractres. Tout accs ces chiers est quivalent un accs au chier dont le nom est donn par cette chane de caractres, qui peut ou non exister, et qui peut tre prcis par un chemin relatif ou absolu. systme client/serveur Systme ou protocole compos dun serveur et dun ou plusieurs clients. systme dexploitation Interface entre les applications et le matriel sous-jacent. La tche de tout systme dexploitation est en premier lieu de grer toutes les ressources spciques une machine. Sur un systme GNU/Linux, cela est fait pas le noyau et les modules chargeables. Dautres systmes dexploitation connus sont AmigaOS, MacOS, FreeBSD, OS/2, Unix, Windows NT et Windows 9x. 287
Annexe A. Glossaire systme de chiers Schma utilis pour stocker des chiers sur un support physique (disque dur, disquette) dune manire consistante. Des exemples de systmes de chiers sont la FAT, ext2fs de Linux, iso9660 (utilis par les CDROM), etc. table de conversion Cest un tableau qui rfrence des corresponding codes (ou tags) et leurs signications.Cest souvent un chier de donnes utilis par un programme pour obtenir plus dinformation sur un sujet particulier. Par exemple, HardDrake utilise un tableau similaire pour identier le code dun produit dun constructeur. Voici une ligne de ce tableau, nous renseignant sur larticle CTL0001
CTL0001 sound sb Creative Labs SB16 \ HAS_OPL3|HAS_MPU401|HAS_DMA16|HAS_JOYSTICK
tampon (buffer) Zone de mmoire de taille xe, pouvant tre associe un chier en mode bloc, une table du systme, un processus etc. La cohrence de tous les tampons est assure par le cache mmoire. thmable Pour une application graphique, cela indique quelle peut changer son apparence en temps rel. Beaucoup de gestionnaires de fentres sont galement thmables. traverser Pour un rpertoire sur un systme Unix, cela signie que lutilisateur est autoris passer travers ce rpertoire et, si possible, de se rendre dans ses sous-rpertoires. Cela requiert que lutilisateur ait le droit dexcution sur ce rpertoire. tube Type de chiers spcial dUnix. Un programme crit des donnes dans le tube, et un autre programme lit les donnes lautre bout. Les tubes Unix sont FIFO, donc les donnes sont lues lautre bout dans lordre o elles ont t envoyes. Trs utiliss dans le shell. Voir aussi tube nomm. tube nomm Tube Unix qui est li, contrairement aux tubes utiliss dans le shell. Voir aussi : tube, lien. 288
Annexe A. Glossaire URL Uniform Resource Locator (Localisateur Uniforme de Ressources) : ligne avec un format spcial utilise pour identier une ressource sur l Internet dune faon univoque. La ressource peut tre un chier, un serveur etc. La syntaxe dun URL est protocole://nom.du.serveur[:port]/chemin/vers/ressource. Quand est donn seulement un nom de machine et que le protocole est http://, cela quivaut retirer lventuel chier intitul index.html du serveur par dfaut. utilisateur unique (single user) tat du systme dexploitation, ou mme un systme dexploitation en soi, qui nautorise qu un seul utilisateur la fois de se connecter et dutiliser le systme. valeurs discrtes Valeurs non continues ou qui ne se suivent pas, comme sil existait une sorte d espace entre deux valeurs conscutives. variables Chanes utilises dans les chiers Makefile pour tre remplaces par leur valeur chaque fois quelles apparaissent. Elles sont gnralement dnies au dbut du chier Makefile et sont utilises pour simplier le Makefile et la gestion de larborescence des chiers source. De manire plus gnrale, en programmation, les variables sont des mots qui font rfrence dautres entits (nombres, chanes, tableaux de valeurs, etc.) qui sont susceptibles de varier au cours de lexcution du programme. variables denvironnement Partie de lenvironnement dun processus. Les variables denvironnement sont directement visibles depuis le shell. Voir aussi : processus. verbeux Pour les commandes, le mode verbeux fait que la commande va afcher sur la sortie standard (ou erreur) toutes les actions engages et les rsultats de ces actions. Les commandes offrent parfois un niveau de volubilit , ce qui signie que la quantit dinformation fournie peut tre contrle. VESA Video Electronics Standards Association (Association pour les Standards des matriels Vido lectroniques) : association de normes de lindustrie 289
Annexe A. Glossaire oriente vers larchitecture. Elle est lauteur de la norme SVGA, par exemple. visionneuse (pager) Programme prsentant un chier texte page cran par page cran, et proposant des facilits de dplacement et de recherche dans ce chier. Nous vous conseillons less. vole ( la) On dit quune action est ralise la vole lorsquelle est faite en mme temps quune autre sans que lon sen rende compte ou sans quon lait explicitement demand. WAN : rseau tendu Wide Area Network : rseau large porte. Ce rseau, bien que similaire au rseau local (LAN), connecte des ordinateurs sur un rseau qui nest pas reli physiquement aux mmes brins, et sont spars par une large distance.
290
Index
Appletalk, 225 applications outils de dpannage, 260 tuer les, 258 tuer les programmes rcalcitrants, 258 ARCNet, 224 ATM, 229 carte graphique nVidia 3D OpenGL, 259 chargeur de dmarrage double amorage (dual-boot), 253 chargeur de dmarrage rinstaller, 252 classe rseau, 209 commandes tar, 247 console basculer vers une autre, 256 cble null modem, 239 parallle, 239 PLIP, 239 DECNet, 229 DHCP, 217 disquette de dmarrage, 243 Master Boot Record, 253 DNS, 217 documentation, 3 MandrakeLinux, 5 DOS, 41 dmarrage niveau dexcution diffrents, 251 systme bloqu, 250 systme de chier, 250 eth0, 215 Ethernet carte, 215 FDDI, 229
291
chier restorer aprs suppression, 255 Frame Relay, 230 GRUB rinstaller, 252 IMAP, 83 internationalisation, 3 IP adresse, 208 routage, 211 IPX, 235 ISDN, 221 LILO rinstaller, 252 MacOS, 42, 46 Mandrakeclub, 1 Mandrakeexpert, 1 Mandrakelinux listes de diffusion, 1 Mandrakesecure, 1 Mandrakestore, 2 mode Rescue, 243 MySQL, 119 NetRom, 235 NIS, 127 openGL carte graphique nVidia 3D, 259 OS/2, 49 paire torsade, 241 paquetage, 2 passerelle, 29 Pierre Pingus, 8 PLIP, 222 POP, 83 portables, 259 PPP, 222, 223 problme, 243, 260 lordinateur est lent, 259 systme de chier, 254 programmation, 3
292
projets R&D, 3 Reine Pingusa, 8 RFC, 206 routage, 211 rseau conguration, 207 cble, 238 masque, 209 Network Information System, 127 priv, 210 rseautique, 203 Samba, 236 sauvegarde, 244 Master Boot Record, 253 restaurer, 249 tar, 247, 248 serveur Network Information System, 127 serveur x tuer, 256 services remise du courrier, 83 super-bloc rpar, 254 system request, 257 systme de chier rpar un super-bloc, 254 TCP/IP, 206 Token Ring, 237 utilisateurs gnriques, 8 WaveLan, 238 Webmin, 51 Windows 3.11, 41 windows NT/2000, 37 windows 95/98, 33 windows XP, 32 X, 251 conguration, 251 X.25, 238
293
294

Guide D.administration Serveur Mandrakelinux 10.0

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Guide D.administration Serveur Mandrakelinux 10.0

Uploaded by

Copyright:

Available Formats

Guide dadministration serveur Mandrakelinux 10.

Copyright original Le rseau sous GNU/Linux, page 203

A propos de la scurit sous GNU/Linux, page 133

par Kevin Fenzi par Dave Wreski

The Linux Documentation Project TLDP (http://tldp.org)

Outils utiliss dans la conception de ce manuel

Table des mati` eres

Liste des tableaux

Liste des illustrations

1.1. Communiquer avec la communaut e Mandrakelinux

1.2. Rejoignez le Club

1.3. Acqu erir des produits Mandrakesoft

1.4. Contribuer ` a Mandrakelinux

3. Note des traducteurs

4. Conventions utilis ees dans ce manuel

Exemple format e inud ls -lta

Bus SCSI Once upon a time... Attention !

4.2. Conventions g en erales

4.2.2. Notations particuli` eres

4.2.3. Utilisateurs syst` eme g en eriques

Introduction aux assistants de conguration serveur et aux clients en mascarade

1. Assistants de conguration serveur

2. Clients derri` ere une passerelle

Chapitre 1. Les assistants de conguration

Chapitre 1. Les assistants de conguration

Chapitre 1. Les assistants de conguration

1.2. Conguration du serveur DHCP

1.3. Conguration du serveur DNS

1.4. Conguration du serveur mail : serveur Postx

Chapitre 1. Les assistants de conguration

1.5. Conguration de Samba

Chapitre 1. Les assistants de conguration

Chapitre 1. Les assistants de conguration

Chapitre 1. Les assistants de conguration

Chapitre 1. Les assistants de conguration

1.6. Conguration du serveur Web

1.7. Conguration du serveur FTP

Chapitre 1. Les assistants de conguration

1.8. Conguration du serveur de forums

1.9. Conguration du serveur mandataire (Proxy)

Chapitre 1. Les assistants de conguration

Chapitre 1. Les assistants de conguration

Chapitre 1. Les assistants de conguration

1.10. Conguration du serveur de temps

Chapitre 1. Les assistants de conguration

Chapitre 2. Congurer des clients de passerelle

2.1. Machine Linux

2.1.2. Sur une machine Mandrakelinux

Chapitre 2. Congurer des clients de passerelle

2.2. Machine Windows XP

2.3. Machine Windows 95 ou Windows 98

Chapitre 2. Congurer des clients de passerelle

Chapitre 2. Congurer des clients de passerelle

Chapitre 2. Congurer des clients de passerelle

Chapitre 2. Congurer des clients de passerelle

2.4. Machine Windows NT ou Windows 2000

Figure 2-6. Le dialogue de conguration de protocole sous Windows NT

Chapitre 2. Congurer des clients de passerelle

Chapitre 2. Congurer des clients de passerelle

Chapitre 2. Congurer des clients de passerelle

sauf si votre r eseau abrite un serveur DHCP ;

si vous poss edez un ou plus dun serveur WINS ;

la consultation LMHOSTS (Enable LMHOSTS lookup ).