Arnaud FREY

Transcription

Arnaud FREY

Gestion de parcs
Arnaud FREY
Introduction
• Connaître les bases de l’administration
Unix.
- Système
- Gestion des utilisateurs
- Sécurité
- Réseaux (architecture, matériels, ...)
2
Sommaire
• Installation d’un serveur
• Administration d’un serveur
• Outils logiciels d’administration
• Outils de partage
• Travail en équipe
• Sécurité du matériel
• Le réseau
• La sécurité
3
Installation d’un serveur
Préambule
• Avant l’achat du serveur, se poser les
bonnes questions
➡ Etablir un cahier des charges!
• OS
- Doit répondre au cahier des charges
- choisi pour sa qualité technique
- être sécurisé et maintenu!
5
Préambule
• Matériel
- évolutif
- connu et compatible avec l’OS
- bien dimensionné
- garantie (différentes formules)
6
Etapes de l’installation
• Choix de l’OS
• Configuration BIOS
• Partitionnement optimal
• Optimisation du noyau
• Installation des logiciels minimaux
7
Partitionnement
• Linux requiert au minimum 2 partitions
- / : racine du système
‣
minimum 500 Mo
‣
la taille dépend de ce qu’on veut faire
- swap : espace d’échange mémoire/disque
‣
2 x taille de la mémoire (RAM)
‣
peut être répartis sur 2 disques pour plus d’efficacité
• Il est recommandé de séparer /home
8
Partitionnement
• Maxi 4 partitions primaires sur PATA/SATA
• Sinon, utiliser les partitions étendues
• Pour voir la liste des partitions du disque
- commande fdisk
• Utilitaire de partitionnement
- Partition Magic
- Gparted (gratuit)
9
Le noyau Linux
• www.kernel.org
• Numérotation du noyau
- 2.X.Y
‣
X pair : version stable
‣
X impair : version de développement
‣
Y : version de la branche
• Trouver la version installée : uname -a
10
Le noyau Linux
• Comment mettre à jour le noyau?
• 2 méthodes
- par paquet (Debian, ...)
- par les sources, en recompilant
11
Le noyau Linux
• Recompilation d’un noyau
- récupérer les sources
- cd /usr/src/linux
- lancement de l’interface de configuration
‣
make menuconfig
12
Le noyau Linux
• L’interface de configuration
13
Le noyau Linux
• Choisir les options du noyau
- intégrées
au noyau
- en module
14
Après l’installation
• Rechercher les mises à jour
• Installer les softs requis pour les utilisateurs
• Phase de tests, (stabilité, charge, ...)
• Phase de pré-exploitation
• Enfin phase d’exploitation
15
Administration d’un
serveur
Administration
• Sommaire
- Documentation
- Communication
- Gestion des utilisateurs
- Gestion des programmes
- Gestion des fichiers
- Gestion des disques
- Sauvegarde
17
Documentation
• L’admin ne sais pas tout!
• Comment trouver de la documentation
- commande man (10 sections différentes)
Section
Contenu
1
Les commandes utilisateurs
2
Les appels système
3
La bibliothèque C
4
Les fichiers spéciaux : les périphériques
5
Les formats de fichiers
6
Les jeux
7
Divers
8
Les commandes d’administration et de maintenance
9
Le noyau
N
Les commandes TCL/TK
18
Documentation
• Site internet de la distribution
• L’option --help des commandes
• Documentation des paquages
- /usr/doc ou /usr/share/doc
• Howto
- répertoire doc/howto du CD-ROM
• FAQ (Frequently Asked Questions)
- répertoire doc/FAQ du CD-ROM
19
Communication
• Pour informer les utilisateurs
- commandes shell
‣
mail
‣
write
‣
talk
‣
wall (write all)
- Messages automatiques
‣
/etc/motd
20
Communication
• Fournir de la documentation
• Provoquer des réunions
• Organiser des formations
• Ne pas hésiter à aller voir les gens
• Etre disponible et communiquant
21
Gestion des utilisateurs
• Pourquoi des comptes?
- Serveur de données
- Serveur de mail
- Serveur FTP
- Serveur d’applications
- Serveur web
22
• Le root (administrateur)
- tous les droits
- gère le système
• Les autres
- droits restreints
- gèrent leur répertoire /home/toto
• Nécessite la création d’un autre compte
pour root
23
root = gardien de la paix
• Les problèmes courants
- espace disque dépassé
- mot de passe faible (ex: julie)
- utilisation illicite de la machine
• Attention, l’administrateur n’a pas tous les
droits dans les répertoires perso!
24
• Les fichiers de configuration
- /etc/passwd
‣
format
✦
‣
login:pass:UID:GID:comment:home:shell
accessible par tout le monde mais modifiable uniquement par l’admin
- /etc/shadow
‣
‣
format
✦
login:pass:a:b:c:d:e:f:g
✦
a,b,c,d,e,f,g gèrent le changement de mots de passe
accessible uniquement par l’administrateur
25
- /etc/group
‣
format
✦
group:pass:GID:member1,member2,...
‣
Un utilisateur peut faire partie de plusieurs groupes mais aura
toujours un groupe de référence (utilisé pour la création de
nouveaux fichiers).
‣
Pour changer le groupe de référence :
✦
commande newgrp
26
• UID entre 0 et 100 réservés au système
• Dans un parc, il est judicieux d’avoir le
même UID pour un utilisateur donné
- gestion centralisée (NIS, LDAP, AD, ...)
- manuellement, définir une stratégie
27
• Les commandes utiles
- useradd, usermod, userdel
- groupadd, groupmod, groupdel
- pwck (vérifie le fichier /etc/passwd)
- grpck (vérifie le fichier /etc/group)
- shadowconfig (active/désactive les mots de passe cachés)
28
- finger : donne des infos sur un utilisateur
- passwd : permet de modifier un mot de passe
- su : permet de changer de compte
- sudo : lancer une commande en tant que root
- id : donne les UID et GID d’un utilisateur
- groups : donne la liste des groupes d’un u.
- vipw et vigr pour éditer les fichiers passwd et
groups
29
• fichiers de configuration
- /etc/skel/ contient la liste des fichiers
automatiquement ajoutés dans le répertoire
d’un nouvel utilisateur
‣
.bash_profile (exécuté à la connexion)
‣
.bashrc (contient les alias + définition de fonctions)
✦
utilisé en interactif (connexion avec un terminal)
✦
s’exécute s’il existe le script /etc/bashrc ou /etc/bash.bashrc
‣
.bash_logout (exécuté à la déconnection, ex:purge du /tmp)
‣
.Xdefaults (définit les ressources utilisées par les applications
graphiques)
30
• Droits et devoirs
• Droits utilisateur
- PEUT utiliser les ressources pleinement
- DOIT respecter la propriété intelectuelle
- DOIT être identifié clairement
31
• Droits Administrateur
- PEUT établir des procédures de surveillance
- DOIT garder la confidentialité des informations
- DOIT fournir les outils aux utilisateurs
• Etablissement d’une charte
- ex: http://www-crc.u-strasbg.fr/securite/charte-osiris.html
32
Gestion des programmes
• Linux offre plusieurs niveaux de
fonctionnement
• A chaque niveau correspond un état
• Commande init pour changer de niveau
- exemple : init 6
33
• Les niveaux (runlevels)
Niveau
Utilisation conventionnelle
0
Utilisé pour arrêter le système
1
Niveau associé au mode maintenance (mono-utilisateur)
2,3,4,5
Niveaux multi-utilisateurs personnalisables
6
Utilisé pour redémarrer le système
7,8,9
Niveaux à définir par l’utilisateur
Par défaut, Débian=2, Fedora=3
34
• Le démarrage des démons : init.d
- scripts shell dans /etc/init.d (debian)
- lance des processus de /usr/...
- avec des arguments start, stop, restart, ...
- pour les ≠ niveaux, tout est dans /etc/rcX.d
‣
commence par S pour lancer le script
‣
commence par K pour arrêter le script
35
• Cas particulier : inetd
• Inetd : super-démon
- réservé aux services réseaux
- lance un démon à la demande
• Exemple : /etc/inetd.conf
-
ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l
• Limite la consommation des ressources
• Pas adapté pour un service régulier (web)
36
• Configuration des démons dans /etc/...
• Exemple de fichier de configuration
- /etc/apache2/apache2.conf
user
www-data
group
www-data
ServerRoot
/var/www
DocumentRoot
/var/www/htdocs
37
• Redémarrage du démon indispensable
après modification du fichier de conf :
• Plusieurs méthodes
- kill -HUP pid
- /etc/init.d/daemon restart (ou reload)
• Mais pas de reboot!
38
Comment installer un nouveau programme?
• Installation par paquet
- Commande apt-get, rpm selon la distribution
- ex : Debian, Ubuntu
‣
apt-get update (mise à jour des paquets disponibles)
‣
apt-cache search paquet (recherche du paquet)
‣
apt-get install apache2
39
• Installation par sources
- récupérer les sources
- les ranger à l’endroit désiré (/usr/local)
- les compiler
‣
./configure [options]
(vérifie les librairies de compilations)
‣
make
(compilation des binaires)
‣
make install
(installation des binaires)
40
L’arborescence Unix
Gestion des fichiers
• Différents types de fichiers
- répertoires
- fichiers ordinaires
- fichiers spéciaux de type périphérique
• Tout est fichier!
42
• Répertoires fondamentaux
- /home : données utilisateur
- /bin , /usr/bin : commandes utilisateur
- /dev : contient les fichiers des périphériques
- /etc : contient les fichiers de données ainsi que
les fichiers de configuration du système
- /mnt : répertoire proposé pour le montage
43
- /proc : utilisé par le système pour gérer les
processus
- /sbin : commandes réservées à l’administrateur
- /boot : contient le noyau de démarrage (vmlinuz)
- /tmp : répertoire des fichiers temporaires
- /root : répertoire de connexion de l’admin
44
- /usr : principalement le répertoire des
commandes du système
‣
/usr/bin : commandes de base
‣
/usr/X11R6 : système X-window (environnement graphique)
‣
/usr/include : fichiers d’en-tête nécessaires à la programmation en C
‣
/usr/lib : contient des bibliothèques (équivalent aux dll)
‣
/usr/man : manuels
‣
/usr/src : fichiers sources du noyau
‣
/usr/doc : documentation
45
- /var : contient les fichiers des services
‣
/var/cron : commandes du service cron
‣
/var/log : logs du système et des services linux
‣
/var/mail : boites aux lettre des utilisateurs
‣
/var/run : fichiers contenant les PID des services actifs
‣
/var/spool/... : fichiers de données
46
• Les types de fichiers
- la commande file donne des infos sur le type
- sinon : ls -l fichier
‣
-rwxr-xr-- 1 pierre 11606 2008-09-04 ...
-
fichier ordinaire
d
répertoire
c
périphérique en mode caractère (liaison série)
b
périphérique en mode bloc (disque par ex.)
l
lien symbolique
p
tube nommé (IPC)
s
socket nommée (IPC)
47
• 3 catégories de droits
- propriétaires
- membre du groupe
- autres utilisateurs
• 3 droits (read, write et execute)
48
• Attention aux droits d’endossement!
- exemple : -rwsr-sr-x 1 pierre ...
- un utilisateur peut exécuter ce fichier au nom
du propriétaire ou du groupe (ou des 2 comme
ici)
- si le propriétaire est root, ceci est très risqué
49
• Gérer l’arborescence
- ls -l
- du : estimation de l’espace occupé
- find : recherche dans une arborescence
- chmod : modifie les droits d’un fichier
- chgrp : modifie le groupe d’un fichier
- chown : modifie le propriétaire d’un fichier
50
Gestion des disques
• Monter un système de fichier
- rattacher la racine d’un arbre d’un système de
fichier à un répertoire du système de fichier
déjà actif.
- commande mount
- démonter avec umount
• Le système mémorise les paramètres de
montage des FS dans /etc/fstab
51
Gestion des disques
• Exemple :
- mount /dev/hda2 /home
• Différents type de File System
- ext2 : standard linux
- msdos : FAT16
- vfat : FAT32
- smb : FS réseau utilisant le protocole SMB (MS)
- nfs : FS réseau de SUN
- iso9660 : FS des CD-ROM
52
Gestion des disques
• Gérer l’espace disque
- l’admin se doit de contrôler l’usage des disques
- df : affiche l’espace libre des FS montés
- du : affiche le nombre de blocs de 1Ko utilisés
- find : permet de chercher des fichiers selon ≠
critères dont celui de la taille et de la date
‣
ex : find /home -size +10M -atime +90 -print
recherche les fichiers de plus de 10Mo et dont le dernier accès
remonte à plus de 90 jours
53
Gestion des disques
• Gérer les file systèmes
- mkfs : pour créer un système de fichier
- fsck : contrôle et répare un système de fichier
corrompu
‣
en général, exécuté automatiquement tous les X démarrages
- du et df : gèrent l’espace disque
- fuser : identifie les activités en cours sur disque
- lsof : liste les fichiers ouverts
- tune2fs : modifie les paramètres ajustables d’un
système de fichier.
54
Gestion des disques
• Mettre en place des quotas
- Limite automatiquement le nombre de fichiers
ou le nombre de blocs d’un utilisateur ou d’un
groupe sur le disque
- sur certaines distributions, nécessite un paquage
supplémentaire
- mise en place d’une limite “hard” (maximum) ou
“soft” (franchissable pendant n jours, 7 en gal)
55
Gestion des disques
• Comment faire?
- ajouter l’attribut userquota ou grpquota ou
les 2 pour le système de fichier concerné dans
/etc/fstab
- créer un fichier quota.user pour les utilisateurs
ou quota.group pour les groupes à la racine du
système de fichier
- éditer les quotas avec edquota
- s’assurer que la commande quotaon figure dans
les scripts de démarrage du système
56
Gestion des disques
• Gestion des quotas au quotidien
- utiliser la commande quota pour afficher les
valeurs courantes
- repquota pour la synthèse d’un disque
- quotacheck pour vérifier la cohérence des
tables des quotas
57
Sauvegarde
• Différents types de sauvegarde
- sauvegarde de fichiers et d’arborescence
‣
commandes tar, cpio et pax
- sauvegarde physique des disques
‣
commande dd
- sauvegarde incrémentale
‣
commande dump et restore
58
Sauvegarde
• D’autres commandes
- mt : pour se positionner sur une bande
- touch : met la date et l’heure d’un fichier à la
dernière modification
- gzip/gunzip : compression, décompression
- rsync : synchronisation de fichiers
- find, du, df
59
Sauvegarde
• Scripts de sauvegarde à heure fixe
- lorsque le système est peu chargé
- quand le FS est au repos
- la nuit dans la plupart des cas
60
Sauvegarde
• Progiciels de sauvegarde
- outils plus élaborés (plus facil à utiliser)
- prise en charge de systèmes hétérogènes
• Les commerciaux
- ARCserve, Acronis Tru Image, Symantec Backup
• Les libres
- Amanda, BackupPC
61
Sauvegarde
• Supports de sauvegarde
- bandes magnétiques
- CD, DVD, BlueRay
‣
attention à le durée de vie d’une dizaine d’année
- disques dur
‣
attention à la technologie : éviter les disque flash!
• Pas de support fiable
- solution : multiplier les supports
62
Sauvegarde
• La sauvegarde nécessite de la discipline et
de la rigueur
• Etablir un plan de sauvegarde
- Que faut-il sauvegarder?
- Avec quelle fréquence?
- Combien de temps conserver les sauvegardes?
- A quel endroit? En combien d’exemplaire?
- Quel est le support le plus approprié?
63
Sauvegarde
- Quels sont les besoins, en capacité?
- Combien de temps max doit durer la
sauvegarde?
- Combien de temps prévoit-on pour restaurer
un fichier ou un système de fichier?
- Sauvegarde automatique ou manuelle?
- Quelle est la méthode la plus appropriée?
64
Automatiser
• Pour quoi faire?
- sauvegarde régulière
- mise à jour du système
- statistiques d’utilisation des ressources
- ...
65
Automatiser
• Cron
- le démon crond exécute des commandes pour
des utilisateurs à des moments donnés
- exécution en environnement réduit
‣
HOME
‣
LOGNAME
‣
SHELL (par défaut /bin/sh)
‣
PATH (par défaut /bin:/usr/bin)
66
Automatiser
• Le fichier crontab
- le fichier de configuration des tâches à exécuter
- on le crée avec un éditeur de texte
- on peut rediriger le résultat des commande avec
la variable MAILTO
- crontab -e pour éditer son fichier
- crontab -l pour lister le contenu de son fichier
- crontab -r pour supprimer son fichier
67
Automatiser
• Syntaxe
-
# minutes heures jours_du_mois mois jour_de_la_semaine commande
0
21
*
*
*/5 12 3,8,15 3-10
toutes les 5
minutes
le 3, le 8 et le
15 du mois
*
who
*
touch .profile
de mars à octobre
68
Automatiser
• En plus de fichiers crontab personnels le
système possède un fichier général
/etc/crontab
• Différence : 1 champ supplémentaire qui
désigne l’identité du propriétaire du
processus qui exécutera la commande
- 01 * * * * root run-parts /etc/cron-hourly
69
Outils logiciels
d’administration
Synchronisation
• Tout le monde à la même heure
• Pourquoi?
- datation des fichiers
- comparaison des logs
- tâches programmées
• Très simple à configurer
71
Synchronisation
• NTP
• configuration : 1 ligne dans /etc/ntp.conf
- server ntp.u-strasbg.fr
• Jusqu’à 15 niveaux de serveurs
• Chaque niveau fait “serveur” pour le niveau
inférieur
• Attention à ne pas se synchroniser sur le
niveau 1
72
LOGS
• Trace des événements système
• Démon syslogd
• Inscrit:
- Origine du message
- Niveau de gravité (info, avertissement, debug, ...)
• Se trouvent dans /var/log
• Obligation légale
73
Impression
• CUPS
• Connaît tous les pilotes standards
• Interface de configuration sur ports 631
- Simple
- Complète
- Documentée
74
Outils de partage
Partage de mot de passe
• Permet d’éviter une authentification locale
- Pas d’utilisateur à gérer sur la machine x
• Nécessite un serveur de “domaine” NIS
- problème de vulnérabilité (serveur central)
• Possibilité de doubler le serveur primaire
76
Partage de mot de passe
• Les comptes NIS et locaux peuvent
cohabiter
- hiérarchisation via le fichier /etc/nsswitch.conf
• On précise le serveur via /etc/yp.conf
• Pose des problèmes de sécurité
• Cet outil cède sa place à LDAP, Kerberos,
RADIUS, plus sécurisés
77
Partage de données
• NFS (Network File System)
• Le serveur exporte des répertoires
• Le client monte des répertoires distants
• Transparent pour l’utilisateur
• Basé sur les RPC (Remote Procedure Call)
• Configuration côté serveur : /etc/exports
/users 130.79.92.0/255.255.255.0(ro,no_subtree_check)
78
Partage de données
• Configuration côté client : /etc/fstab
turing:/users /users nfs defaults
0
1
• L’accès aux fichiers se fait par l’UID
• Quels répertoires partager?
- home des utilisateurs
- exécutables rajoutés
- documentation
79
Les postes de travail
Stations de travail
Administration complexe
Installation longue
Fragilité des composants
Coûts élevé
Encombrant et bruyant
Confort des utilisateurs plus important
Puissance de calcul local conservée
Charge réseau minimale
81
Portables
Administration complexe
Installation longue
Fragilité des composants
Coût très élevé
Nomadisme pose des problèmes de sécurité
Confort des utilisateurs plus important
Puissance de calcul local conservé
Charge réseau minimale
82
Clients légers
Faible puissance de calcul local
Charge réseau plus importante
Problème de périphériques (CDROM, son, USB)
Besoin d’administration nul
Configuration rapide
Robustesse élevée
Moins cher mais il faut un serveur
Très silencieux
83
Travail en équipe
Inventaire
• Fichier contenant :
- marque et type
- numéro de série
- emplacement physique
- numéro de facture et livraison
- garantie (date et numéro)
• Mise à jour indispensable
85
Inventaire
• Les outils logiciels
- tableur
- PHP/MySQL (GLPI)
- FileMaker
- Softs sur Internet
86
Gestion des tickets
• Permet de gérer le temps des admins
• Pour régler les problèmes en équipe
• Permet une meilleure efficacité
• Créer une base de connaissance
• Fait des statistiques sur les travaux
87
Gestion des tickets
• Les outils
- Mantis
- GLPI
- Développement maison
- Un autre helpdesk...
88
Plan de reprise
• Une entreprise doit assurer la continuité de
son activité
- ses employés
- ses outils informatiques
• Analyser les vulnérabilités
• Etablir les procédures à suivre en cas de
problème
➡ rédaction d’un plan de reprise
89
Plan de reprise
Évite les mauvaises manipulations
(procédure oubliée, stress, ...)
Impose une documentation à jour
Nécessite de faire régulièrement des test
de mise en situation
90
Sécurité du matériel
RAID
• Stocker des données sur plusieurs disques
• Améliore la tolérance aux pannes et/ou les
performances
• Différents niveaux de RAID
- RAID 0
‣
les données sont réparties sur n disques
‣
augmentation des performances
‣
aucune tolérance aux pannes (0 disque)
92
RAID
- RAID 1 (miroir)
‣
les données sont copiées sur n disques
‣
perte de performances
‣
tolérance aux pannes élevé (jusqu’à n-1 disques)
- RAID 5
‣
combine la répartition des données à une parité répartie
‣
gain de performance en lecture (idem RAID 0)
‣
tolérance de un disque en panne
‣
reconstruction longue (2h pour 300Go, 10h pour 1To)
93
Sauvegarde électrique
• Aucun de ces système ne fonctionne s’il
n’est pas alimenté
• Pour les serveurs stratégiques
- alimentation redondante
- prises séparées (différents circuits)
- onduleur (avec ou sans intervention sur site)
94
Redondance
• Par un système maître/esclave
- partage d’adresse IP
- partage des données
• Par des serveurs virtuels
- Linux virtual Server
- Xen
- VMWare ESX
95
Climatisation
• Devient indispensable à partir de quelques
serveurs
• Coût élevés
• Très bruyant
• Va devenir incontournable à l’avenir...
96
Le réseau
Interfaces réseau
• Représentent plusieurs choses
- interface physique (carte ethernet, modem, ...)
- interface virtuelle
- tunnel
• Nommage : eth0, eth1, ...
• Pour les lister : ifconfig
98
Configuration réseau
• Manuelle
- donner d’abord une adresse à la carte
ifconfig eth1 130.79.59.21 netmask 255.255.255.0
- configurer ensuite la passerelle
route add default gw 130.79.59.254
- configurer la résolution de noms : /etc/resolv.conf
search u-strasbg.fr
nameserver 130.79.200.200
- pour vérifier la configuration
ifconfig -a
netstat -rn
ping www.google.fr
99
• Automatique : DHCP
-
adresse IP
passerelle
masque de sous-réseau
serveur DNS
nom de domaine
• Bail limité
• Sécurité : distribution par adresse MAC
• Serveur : PC, routeur ou switch/routeur
100
Ifconfig
101
• Configuration permanente
- fichier /etc/network/interfaces (Debian, Ubuntu)
- /etc/sysconfig/network-scripts/ifcfg-eth0
(Fedora, Mandriva)
• Exemple (Debian)
-
auto eth0
iface eth0 inet static
address 130.79.59.21
netmask 255.255.255.0
network 130.79.59.0
broadcast 130.79.59.255
gateway 130.79.59.254
102
Les ports réseau
• Chaque service réseau ouvre un port
• Certains sont réservés (voir /etc/services)
• Exemple :
- http : 80
- https : 443
- ftp : 21
- ssh : 22
103
Commandes réseau
• ifconfig : configuration de la carte réseau
• route : affichage des routes par actives
• ping : test de connectivité
• traceroute : test de transit réseau
• netstat : affiche des infos réseau
• tcpdump : analyse le trafic sur le réseau
104
Servies réseau
• Les plus connus
-
DNS
SMTP
DHCP
HTTP
FTP
-
NFS
SSH
SAMBA
LDAP
CUPS
105
La sécurité
Piratage
• Prendre le contrôle d’une machine
- relais données (ftp, warez, p2p, ...)
- préparer d’autres actions
• Détruire/voler les données d’une machine
• Dégrader les performance d’une machine
- Deny of service attack
- Spam
107
Piratage
• Comment?
- attaque externe
‣
script kid
‣
attaque ciblée
- attaque interne
‣
récupération de mots de passe (snif, imprudence)
‣
porte ouverte
108
Piratage
• Qui sont ils?
- des plaisantins (pour voir)
- des vandales (idéalistes et déterminés)
- des compétiteurs (tableau de chasse)
- des espions (pour l’argent)
109
Sécuriser
• Topologies réseau
• Sécurité physique
• Mises à jour
• Pare feu
• Formation des utilisateurs
• Choix applicatifs
• Veille technologique
110
Topologies
• Base de la sécurité
• Multiples topologies
- simple
111
Topologies
- ou complexe
112
Topologies
• Attention aux contournements
• Attention aux aberrations
113
Topologies
• La DMZ
- isole les serveurs sensibles
- protège mieux les machines faibles
• Exemple :
114
Sécurité physique
• Serveurs isolés (accès contrôlé)
• Boîtier cadenassé
• Rester vigilant
- toujours fermer les consoles
- mot de passe fort
- protéger l’accès au BIOS
- ne JAMAIS donner le mot de passe
115
Mise à jour
• Des failles sont découvertes régulièrement
• Différentes façon de corriger
- appliquer un patch
- apt-get update/upgrade
- recomplilation
• Sans mise à jour, pas de sécurité
116
Pare feu
• Point de passage filtrant
• Pour protéger
- les données
- les ressources
- la réputation
117
Pare feu
• Pour faire un firewall
- déterminer un emplacement physique
- déterminer un emplacement réseau
- sécuriser la machine
- configurer les services
- connecter la machine au réseau
118
Pare feu
• Le filtrage de paquets
- iptables sur Linux
- filtrage par protocole
- filtrage par port
- filtrage par adresse IP
- filtrage par adresse MAC
• Ne pas oublier IPv6!
119
Pare feu
Le filtrage iptables
•
Plusieurs chaînes
- INPUT
- OUTPUT
- FORWARD
ex : iptables
• Différentes politiques
-
DROP
REJECT
ACCEPT
LOG
-A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
120
Formation
• Conseils à dispenser aux utilisateurs
- ne pas donner son mot de passe
- ne pas tenter de contourner les barrières
- connaître les applications douteuses
- mettre en place des solutions sûres
• En résumé : ne pas prendre d’initiatives en
cas de doute!
121
Choix applicatifs
• Eviter les outils connus pour leurs défauts
- telnet
- FTP
- RPC
- de nombreuses application win...
• Souvent il existe un équivalent sécurisé
- ex pour FTP : SFTP
122
Veille technologique
• Rester informer
- magazine papier
- sites web spécialisés (clubic, hoaxbuster, hardware, ...)
• Connaître parfaitement le domaine
- environnement physique ...
- ... et logiciel
• Il faut des outils pour faire cela!
123
Veille technologique
•
Outils de surveillance
Des commandes
- nmap
• Progiciels
-
arpwatch
ntop
nessus
mrtg
snort
nagios
124
Conclusion
Les pannes
• Logicielles : logs + newsgroup + MAJ
• Matérielles : garantie + sauvegarde
• Électriques : double alim. + onduleur
• Humaines : tickets + procédures (PRA)
• Tout est sous contrôle!
126

Arnaud FREY

Transcription

Documents pareils

PD-M426

Sauvegardes informatiques

565, Avenue du Prado 13008 Marseille Agence Marseille : +33 (0

La sauvegarde en ligne,

Solutions de sécurisation des données

How To – Linux

Acronis disk Director - Outils d`administration IT

Sécurisez vos données et vos mots de passes

Disc Stakka™ Imation

Plaquette TéléSauvegarde

cron Cheat Sheet by TME520