Arnaud FREY
Transcription
Arnaud FREY
Gestion de parcs Arnaud FREY Introduction • Connaître les bases de l’administration Unix. - Système - Gestion des utilisateurs - Sécurité - Réseaux (architecture, matériels, ...) 2 Sommaire • Installation d’un serveur • Administration d’un serveur • Outils logiciels d’administration • Outils de partage • Travail en équipe • Sécurité du matériel • Le réseau • La sécurité 3 Installation d’un serveur Préambule • Avant l’achat du serveur, se poser les bonnes questions ➡ Etablir un cahier des charges! • OS - Doit répondre au cahier des charges - choisi pour sa qualité technique - être sécurisé et maintenu! 5 Préambule • Matériel - évolutif - connu et compatible avec l’OS - bien dimensionné - garantie (différentes formules) 6 Etapes de l’installation • Choix de l’OS • Configuration BIOS • Partitionnement optimal • Optimisation du noyau • Installation des logiciels minimaux 7 Partitionnement • Linux requiert au minimum 2 partitions - / : racine du système ‣ minimum 500 Mo ‣ la taille dépend de ce qu’on veut faire - swap : espace d’échange mémoire/disque ‣ 2 x taille de la mémoire (RAM) ‣ peut être répartis sur 2 disques pour plus d’efficacité • Il est recommandé de séparer /home 8 Partitionnement • Maxi 4 partitions primaires sur PATA/SATA • Sinon, utiliser les partitions étendues • Pour voir la liste des partitions du disque - commande fdisk • Utilitaire de partitionnement - Partition Magic - Gparted (gratuit) 9 Le noyau Linux • www.kernel.org • Numérotation du noyau - 2.X.Y ‣ X pair : version stable ‣ X impair : version de développement ‣ Y : version de la branche • Trouver la version installée : uname -a 10 Le noyau Linux • Comment mettre à jour le noyau? • 2 méthodes - par paquet (Debian, ...) - par les sources, en recompilant 11 Le noyau Linux • Recompilation d’un noyau - récupérer les sources - cd /usr/src/linux - lancement de l’interface de configuration ‣ make menuconfig 12 Le noyau Linux • L’interface de configuration 13 Le noyau Linux • Choisir les options du noyau - intégrées au noyau - en module 14 Après l’installation • Rechercher les mises à jour • Installer les softs requis pour les utilisateurs • Phase de tests, (stabilité, charge, ...) • Phase de pré-exploitation • Enfin phase d’exploitation 15 Administration d’un serveur Administration • Sommaire - Documentation - Communication - Gestion des utilisateurs - Gestion des programmes - Gestion des fichiers - Gestion des disques - Sauvegarde 17 Documentation • L’admin ne sais pas tout! • Comment trouver de la documentation - commande man (10 sections différentes) Section Contenu 1 Les commandes utilisateurs 2 Les appels système 3 La bibliothèque C 4 Les fichiers spéciaux : les périphériques 5 Les formats de fichiers 6 Les jeux 7 Divers 8 Les commandes d’administration et de maintenance 9 Le noyau N Les commandes TCL/TK 18 Documentation • Site internet de la distribution • L’option --help des commandes • Documentation des paquages - /usr/doc ou /usr/share/doc • Howto - répertoire doc/howto du CD-ROM • FAQ (Frequently Asked Questions) - répertoire doc/FAQ du CD-ROM 19 Communication • Pour informer les utilisateurs - commandes shell ‣ mail ‣ write ‣ talk ‣ wall (write all) - Messages automatiques ‣ /etc/motd 20 Communication • Fournir de la documentation • Provoquer des réunions • Organiser des formations • Ne pas hésiter à aller voir les gens • Etre disponible et communiquant 21 Gestion des utilisateurs • Pourquoi des comptes? - Serveur de données - Serveur de mail - Serveur FTP - Serveur d’applications - Serveur web 22 Gestion des utilisateurs • Le root (administrateur) - tous les droits - gère le système • Les autres - droits restreints - gèrent leur répertoire /home/toto • Nécessite la création d’un autre compte pour root 23 Gestion des utilisateurs root = gardien de la paix • Les problèmes courants - espace disque dépassé - mot de passe faible (ex: julie) - utilisation illicite de la machine • Attention, l’administrateur n’a pas tous les droits dans les répertoires perso! 24 Gestion des utilisateurs • Les fichiers de configuration - /etc/passwd ‣ format ✦ ‣ login:pass:UID:GID:comment:home:shell accessible par tout le monde mais modifiable uniquement par l’admin - /etc/shadow ‣ ‣ format ✦ login:pass:a:b:c:d:e:f:g ✦ a,b,c,d,e,f,g gèrent le changement de mots de passe accessible uniquement par l’administrateur 25 Gestion des utilisateurs - /etc/group ‣ format ✦ group:pass:GID:member1,member2,... ‣ Un utilisateur peut faire partie de plusieurs groupes mais aura toujours un groupe de référence (utilisé pour la création de nouveaux fichiers). ‣ Pour changer le groupe de référence : ✦ commande newgrp 26 Gestion des utilisateurs • UID entre 0 et 100 réservés au système • Dans un parc, il est judicieux d’avoir le même UID pour un utilisateur donné - gestion centralisée (NIS, LDAP, AD, ...) - manuellement, définir une stratégie 27 Gestion des utilisateurs • Les commandes utiles - useradd, usermod, userdel - groupadd, groupmod, groupdel - pwck (vérifie le fichier /etc/passwd) - grpck (vérifie le fichier /etc/group) - shadowconfig (active/désactive les mots de passe cachés) 28 Gestion des utilisateurs - finger : donne des infos sur un utilisateur - passwd : permet de modifier un mot de passe - su : permet de changer de compte - sudo : lancer une commande en tant que root - id : donne les UID et GID d’un utilisateur - groups : donne la liste des groupes d’un u. - vipw et vigr pour éditer les fichiers passwd et groups 29 Gestion des utilisateurs • fichiers de configuration - /etc/skel/ contient la liste des fichiers automatiquement ajoutés dans le répertoire d’un nouvel utilisateur ‣ .bash_profile (exécuté à la connexion) ‣ .bashrc (contient les alias + définition de fonctions) ✦ utilisé en interactif (connexion avec un terminal) ✦ s’exécute s’il existe le script /etc/bashrc ou /etc/bash.bashrc ‣ .bash_logout (exécuté à la déconnection, ex:purge du /tmp) ‣ .Xdefaults (définit les ressources utilisées par les applications graphiques) 30 Gestion des utilisateurs • Droits et devoirs • Droits utilisateur - PEUT utiliser les ressources pleinement - DOIT respecter la propriété intelectuelle - DOIT être identifié clairement 31 Gestion des utilisateurs • Droits Administrateur - PEUT établir des procédures de surveillance - DOIT garder la confidentialité des informations - DOIT fournir les outils aux utilisateurs • Etablissement d’une charte - ex: http://www-crc.u-strasbg.fr/securite/charte-osiris.html 32 Gestion des programmes • Linux offre plusieurs niveaux de fonctionnement • A chaque niveau correspond un état • Commande init pour changer de niveau - exemple : init 6 33 Gestion des programmes • Les niveaux (runlevels) Niveau Utilisation conventionnelle 0 Utilisé pour arrêter le système 1 Niveau associé au mode maintenance (mono-utilisateur) 2,3,4,5 Niveaux multi-utilisateurs personnalisables 6 Utilisé pour redémarrer le système 7,8,9 Niveaux à définir par l’utilisateur Par défaut, Débian=2, Fedora=3 34 Gestion des programmes • Le démarrage des démons : init.d - scripts shell dans /etc/init.d (debian) - lance des processus de /usr/... - avec des arguments start, stop, restart, ... - pour les ≠ niveaux, tout est dans /etc/rcX.d ‣ commence par S pour lancer le script ‣ commence par K pour arrêter le script 35 Gestion des programmes • Cas particulier : inetd • Inetd : super-démon - réservé aux services réseaux - lance un démon à la demande • Exemple : /etc/inetd.conf - ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l • Limite la consommation des ressources • Pas adapté pour un service régulier (web) 36 Gestion des programmes • Configuration des démons dans /etc/... • Exemple de fichier de configuration - /etc/apache2/apache2.conf user www-data group www-data ServerRoot /var/www DocumentRoot /var/www/htdocs 37 Gestion des programmes • Redémarrage du démon indispensable après modification du fichier de conf : • Plusieurs méthodes - kill -HUP pid - /etc/init.d/daemon restart (ou reload) • Mais pas de reboot! 38 Gestion des programmes Comment installer un nouveau programme? • Installation par paquet - Commande apt-get, rpm selon la distribution - ex : Debian, Ubuntu ‣ apt-get update (mise à jour des paquets disponibles) ‣ apt-cache search paquet (recherche du paquet) ‣ apt-get install apache2 39 Gestion des programmes • Installation par sources - récupérer les sources - les ranger à l’endroit désiré (/usr/local) - les compiler ‣ ./configure [options] (vérifie les librairies de compilations) ‣ make (compilation des binaires) ‣ make install (installation des binaires) 40 L’arborescence Unix Gestion des fichiers • Différents types de fichiers - répertoires - fichiers ordinaires - fichiers spéciaux de type périphérique • Tout est fichier! 42 Gestion des fichiers • Répertoires fondamentaux - /home : données utilisateur - /bin , /usr/bin : commandes utilisateur - /dev : contient les fichiers des périphériques - /etc : contient les fichiers de données ainsi que les fichiers de configuration du système - /mnt : répertoire proposé pour le montage 43 Gestion des fichiers - /proc : utilisé par le système pour gérer les processus - /sbin : commandes réservées à l’administrateur - /boot : contient le noyau de démarrage (vmlinuz) - /tmp : répertoire des fichiers temporaires - /root : répertoire de connexion de l’admin 44 Gestion des fichiers - /usr : principalement le répertoire des commandes du système ‣ /usr/bin : commandes de base ‣ /usr/X11R6 : système X-window (environnement graphique) ‣ /usr/include : fichiers d’en-tête nécessaires à la programmation en C ‣ /usr/lib : contient des bibliothèques (équivalent aux dll) ‣ /usr/man : manuels ‣ /usr/src : fichiers sources du noyau ‣ /usr/doc : documentation 45 Gestion des fichiers - /var : contient les fichiers des services ‣ /var/cron : commandes du service cron ‣ /var/log : logs du système et des services linux ‣ /var/mail : boites aux lettre des utilisateurs ‣ /var/run : fichiers contenant les PID des services actifs ‣ /var/spool/... : fichiers de données 46 Gestion des fichiers • Les types de fichiers - la commande file donne des infos sur le type - sinon : ls -l fichier ‣ -rwxr-xr-- 1 pierre 11606 2008-09-04 ... - fichier ordinaire d répertoire c périphérique en mode caractère (liaison série) b périphérique en mode bloc (disque par ex.) l lien symbolique p tube nommé (IPC) s socket nommée (IPC) 47 Gestion des fichiers • 3 catégories de droits - propriétaires - membre du groupe - autres utilisateurs • 3 droits (read, write et execute) 48 Gestion des fichiers • Attention aux droits d’endossement! - exemple : -rwsr-sr-x 1 pierre ... - un utilisateur peut exécuter ce fichier au nom du propriétaire ou du groupe (ou des 2 comme ici) - si le propriétaire est root, ceci est très risqué 49 Gestion des fichiers • Gérer l’arborescence - ls -l - du : estimation de l’espace occupé - find : recherche dans une arborescence - chmod : modifie les droits d’un fichier - chgrp : modifie le groupe d’un fichier - chown : modifie le propriétaire d’un fichier 50 Gestion des disques • Monter un système de fichier - rattacher la racine d’un arbre d’un système de fichier à un répertoire du système de fichier déjà actif. - commande mount - démonter avec umount • Le système mémorise les paramètres de montage des FS dans /etc/fstab 51 Gestion des disques • Exemple : - mount /dev/hda2 /home • Différents type de File System - ext2 : standard linux - msdos : FAT16 - vfat : FAT32 - smb : FS réseau utilisant le protocole SMB (MS) - nfs : FS réseau de SUN - iso9660 : FS des CD-ROM 52 Gestion des disques • Gérer l’espace disque - l’admin se doit de contrôler l’usage des disques - df : affiche l’espace libre des FS montés - du : affiche le nombre de blocs de 1Ko utilisés - find : permet de chercher des fichiers selon ≠ critères dont celui de la taille et de la date ‣ ex : find /home -size +10M -atime +90 -print recherche les fichiers de plus de 10Mo et dont le dernier accès remonte à plus de 90 jours 53 Gestion des disques • Gérer les file systèmes - mkfs : pour créer un système de fichier - fsck : contrôle et répare un système de fichier corrompu ‣ en général, exécuté automatiquement tous les X démarrages - du et df : gèrent l’espace disque - fuser : identifie les activités en cours sur disque - lsof : liste les fichiers ouverts - tune2fs : modifie les paramètres ajustables d’un système de fichier. 54 Gestion des disques • Mettre en place des quotas - Limite automatiquement le nombre de fichiers ou le nombre de blocs d’un utilisateur ou d’un groupe sur le disque - sur certaines distributions, nécessite un paquage supplémentaire - mise en place d’une limite “hard” (maximum) ou “soft” (franchissable pendant n jours, 7 en gal) 55 Gestion des disques • Comment faire? - ajouter l’attribut userquota ou grpquota ou les 2 pour le système de fichier concerné dans /etc/fstab - créer un fichier quota.user pour les utilisateurs ou quota.group pour les groupes à la racine du système de fichier - éditer les quotas avec edquota - s’assurer que la commande quotaon figure dans les scripts de démarrage du système 56 Gestion des disques • Gestion des quotas au quotidien - utiliser la commande quota pour afficher les valeurs courantes - repquota pour la synthèse d’un disque - quotacheck pour vérifier la cohérence des tables des quotas 57 Sauvegarde • Différents types de sauvegarde - sauvegarde de fichiers et d’arborescence ‣ commandes tar, cpio et pax - sauvegarde physique des disques ‣ commande dd - sauvegarde incrémentale ‣ commande dump et restore 58 Sauvegarde • D’autres commandes - mt : pour se positionner sur une bande - touch : met la date et l’heure d’un fichier à la dernière modification - gzip/gunzip : compression, décompression - rsync : synchronisation de fichiers - find, du, df 59 Sauvegarde • Scripts de sauvegarde à heure fixe - lorsque le système est peu chargé - quand le FS est au repos - la nuit dans la plupart des cas 60 Sauvegarde • Progiciels de sauvegarde - outils plus élaborés (plus facil à utiliser) - prise en charge de systèmes hétérogènes • Les commerciaux - ARCserve, Acronis Tru Image, Symantec Backup • Les libres - Amanda, BackupPC 61 Sauvegarde • Supports de sauvegarde - bandes magnétiques - CD, DVD, BlueRay ‣ attention à le durée de vie d’une dizaine d’année - disques dur ‣ attention à la technologie : éviter les disque flash! • Pas de support fiable - solution : multiplier les supports 62 Sauvegarde • La sauvegarde nécessite de la discipline et de la rigueur • Etablir un plan de sauvegarde - Que faut-il sauvegarder? - Avec quelle fréquence? - Combien de temps conserver les sauvegardes? - A quel endroit? En combien d’exemplaire? - Quel est le support le plus approprié? 63 Sauvegarde - Quels sont les besoins, en capacité? - Combien de temps max doit durer la sauvegarde? - Combien de temps prévoit-on pour restaurer un fichier ou un système de fichier? - Sauvegarde automatique ou manuelle? - Quelle est la méthode la plus appropriée? 64 Automatiser • Pour quoi faire? - sauvegarde régulière - mise à jour du système - statistiques d’utilisation des ressources - ... 65 Automatiser • Cron - le démon crond exécute des commandes pour des utilisateurs à des moments donnés - exécution en environnement réduit ‣ HOME ‣ LOGNAME ‣ SHELL (par défaut /bin/sh) ‣ PATH (par défaut /bin:/usr/bin) 66 Automatiser • Le fichier crontab - le fichier de configuration des tâches à exécuter - on le crée avec un éditeur de texte - on peut rediriger le résultat des commande avec la variable MAILTO - crontab -e pour éditer son fichier - crontab -l pour lister le contenu de son fichier - crontab -r pour supprimer son fichier 67 Automatiser • Syntaxe - # minutes heures jours_du_mois mois jour_de_la_semaine commande 0 21 * * */5 12 3,8,15 3-10 toutes les 5 minutes le 3, le 8 et le 15 du mois * who * touch .profile de mars à octobre 68 Automatiser • En plus de fichiers crontab personnels le système possède un fichier général /etc/crontab • Différence : 1 champ supplémentaire qui désigne l’identité du propriétaire du processus qui exécutera la commande - 01 * * * * root run-parts /etc/cron-hourly 69 Outils logiciels d’administration Synchronisation • Tout le monde à la même heure • Pourquoi? - datation des fichiers - comparaison des logs - tâches programmées • Très simple à configurer 71 Synchronisation • NTP • configuration : 1 ligne dans /etc/ntp.conf - server ntp.u-strasbg.fr • Jusqu’à 15 niveaux de serveurs • Chaque niveau fait “serveur” pour le niveau inférieur • Attention à ne pas se synchroniser sur le niveau 1 72 LOGS • Trace des événements système • Démon syslogd • Inscrit: - Origine du message - Niveau de gravité (info, avertissement, debug, ...) • Se trouvent dans /var/log • Obligation légale 73 Impression • CUPS • Connaît tous les pilotes standards • Interface de configuration sur ports 631 - Simple - Complète - Documentée 74 Outils de partage Partage de mot de passe • Permet d’éviter une authentification locale - Pas d’utilisateur à gérer sur la machine x • Nécessite un serveur de “domaine” NIS - problème de vulnérabilité (serveur central) • Possibilité de doubler le serveur primaire 76 Partage de mot de passe • Les comptes NIS et locaux peuvent cohabiter - hiérarchisation via le fichier /etc/nsswitch.conf • On précise le serveur via /etc/yp.conf • Pose des problèmes de sécurité • Cet outil cède sa place à LDAP, Kerberos, RADIUS, plus sécurisés 77 Partage de données • NFS (Network File System) • Le serveur exporte des répertoires • Le client monte des répertoires distants • Transparent pour l’utilisateur • Basé sur les RPC (Remote Procedure Call) • Configuration côté serveur : /etc/exports /users 130.79.92.0/255.255.255.0(ro,no_subtree_check) 78 Partage de données • Configuration côté client : /etc/fstab turing:/users /users nfs defaults 0 1 • L’accès aux fichiers se fait par l’UID • Quels répertoires partager? - home des utilisateurs - exécutables rajoutés - documentation 79 Les postes de travail Stations de travail Administration complexe Installation longue Fragilité des composants Coûts élevé Encombrant et bruyant Confort des utilisateurs plus important Puissance de calcul local conservée Charge réseau minimale 81 Portables Administration complexe Installation longue Fragilité des composants Coût très élevé Nomadisme pose des problèmes de sécurité Confort des utilisateurs plus important Puissance de calcul local conservé Charge réseau minimale 82 Clients légers Faible puissance de calcul local Charge réseau plus importante Problème de périphériques (CDROM, son, USB) Besoin d’administration nul Configuration rapide Robustesse élevée Moins cher mais il faut un serveur Très silencieux 83 Travail en équipe Inventaire • Fichier contenant : - marque et type - numéro de série - emplacement physique - numéro de facture et livraison - garantie (date et numéro) • Mise à jour indispensable 85 Inventaire • Les outils logiciels - tableur - PHP/MySQL (GLPI) - FileMaker - Softs sur Internet 86 Gestion des tickets • Permet de gérer le temps des admins • Pour régler les problèmes en équipe • Permet une meilleure efficacité • Créer une base de connaissance • Fait des statistiques sur les travaux 87 Gestion des tickets • Les outils - Mantis - GLPI - Développement maison - Un autre helpdesk... 88 Plan de reprise • Une entreprise doit assurer la continuité de son activité - ses employés - ses outils informatiques • Analyser les vulnérabilités • Etablir les procédures à suivre en cas de problème ➡ rédaction d’un plan de reprise 89 Plan de reprise Évite les mauvaises manipulations (procédure oubliée, stress, ...) Impose une documentation à jour Nécessite de faire régulièrement des test de mise en situation 90 Sécurité du matériel RAID • Stocker des données sur plusieurs disques • Améliore la tolérance aux pannes et/ou les performances • Différents niveaux de RAID - RAID 0 ‣ les données sont réparties sur n disques ‣ augmentation des performances ‣ aucune tolérance aux pannes (0 disque) 92 RAID - RAID 1 (miroir) ‣ les données sont copiées sur n disques ‣ perte de performances ‣ tolérance aux pannes élevé (jusqu’à n-1 disques) - RAID 5 ‣ combine la répartition des données à une parité répartie ‣ gain de performance en lecture (idem RAID 0) ‣ tolérance de un disque en panne ‣ reconstruction longue (2h pour 300Go, 10h pour 1To) 93 Sauvegarde électrique • Aucun de ces système ne fonctionne s’il n’est pas alimenté • Pour les serveurs stratégiques - alimentation redondante - prises séparées (différents circuits) - onduleur (avec ou sans intervention sur site) 94 Redondance • Par un système maître/esclave - partage d’adresse IP - partage des données • Par des serveurs virtuels - Linux virtual Server - Xen - VMWare ESX 95 Climatisation • Devient indispensable à partir de quelques serveurs • Coût élevés • Très bruyant • Va devenir incontournable à l’avenir... 96 Le réseau Interfaces réseau • Représentent plusieurs choses - interface physique (carte ethernet, modem, ...) - interface virtuelle - tunnel • Nommage : eth0, eth1, ... • Pour les lister : ifconfig 98 Configuration réseau • Manuelle - donner d’abord une adresse à la carte ifconfig eth1 130.79.59.21 netmask 255.255.255.0 - configurer ensuite la passerelle route add default gw 130.79.59.254 - configurer la résolution de noms : /etc/resolv.conf search u-strasbg.fr nameserver 130.79.200.200 - pour vérifier la configuration ifconfig -a netstat -rn ping www.google.fr 99 Configuration réseau • Automatique : DHCP - adresse IP passerelle masque de sous-réseau serveur DNS nom de domaine • Bail limité • Sécurité : distribution par adresse MAC • Serveur : PC, routeur ou switch/routeur 100 Ifconfig 101 Configuration réseau • Configuration permanente - fichier /etc/network/interfaces (Debian, Ubuntu) - /etc/sysconfig/network-scripts/ifcfg-eth0 (Fedora, Mandriva) • Exemple (Debian) - auto eth0 iface eth0 inet static address 130.79.59.21 netmask 255.255.255.0 network 130.79.59.0 broadcast 130.79.59.255 gateway 130.79.59.254 102 Les ports réseau • Chaque service réseau ouvre un port • Certains sont réservés (voir /etc/services) • Exemple : - http : 80 - https : 443 - ftp : 21 - ssh : 22 103 Commandes réseau • ifconfig : configuration de la carte réseau • route : affichage des routes par actives • ping : test de connectivité • traceroute : test de transit réseau • netstat : affiche des infos réseau • tcpdump : analyse le trafic sur le réseau 104 Servies réseau • Les plus connus - DNS SMTP DHCP HTTP FTP - NFS SSH SAMBA LDAP CUPS 105 La sécurité Piratage • Prendre le contrôle d’une machine - relais données (ftp, warez, p2p, ...) - préparer d’autres actions • Détruire/voler les données d’une machine • Dégrader les performance d’une machine - Deny of service attack - Spam 107 Piratage • Comment? - attaque externe ‣ script kid ‣ attaque ciblée - attaque interne ‣ récupération de mots de passe (snif, imprudence) ‣ porte ouverte 108 Piratage • Qui sont ils? - des plaisantins (pour voir) - des vandales (idéalistes et déterminés) - des compétiteurs (tableau de chasse) - des espions (pour l’argent) 109 Sécuriser • Topologies réseau • Sécurité physique • Mises à jour • Pare feu • Formation des utilisateurs • Choix applicatifs • Veille technologique 110 Topologies • Base de la sécurité • Multiples topologies - simple 111 Topologies - ou complexe 112 Topologies • Attention aux contournements • Attention aux aberrations 113 Topologies • La DMZ - isole les serveurs sensibles - protège mieux les machines faibles • Exemple : 114 Sécurité physique • Serveurs isolés (accès contrôlé) • Boîtier cadenassé • Rester vigilant - toujours fermer les consoles - mot de passe fort - protéger l’accès au BIOS - ne JAMAIS donner le mot de passe 115 Mise à jour • Des failles sont découvertes régulièrement • Différentes façon de corriger - appliquer un patch - apt-get update/upgrade - recomplilation • Sans mise à jour, pas de sécurité 116 Pare feu • Point de passage filtrant • Pour protéger - les données - les ressources - la réputation 117 Pare feu • Pour faire un firewall - déterminer un emplacement physique - déterminer un emplacement réseau - sécuriser la machine - configurer les services - connecter la machine au réseau 118 Pare feu • Le filtrage de paquets - iptables sur Linux - filtrage par protocole - filtrage par port - filtrage par adresse IP - filtrage par adresse MAC • Ne pas oublier IPv6! 119 Pare feu Le filtrage iptables • Plusieurs chaînes - INPUT - OUTPUT - FORWARD ex : iptables • Différentes politiques - DROP REJECT ACCEPT LOG -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT 120 Formation • Conseils à dispenser aux utilisateurs - ne pas donner son mot de passe - ne pas tenter de contourner les barrières - connaître les applications douteuses - mettre en place des solutions sûres • En résumé : ne pas prendre d’initiatives en cas de doute! 121 Choix applicatifs • Eviter les outils connus pour leurs défauts - telnet - FTP - RPC - de nombreuses application win... • Souvent il existe un équivalent sécurisé - ex pour FTP : SFTP 122 Veille technologique • Rester informer - magazine papier - sites web spécialisés (clubic, hoaxbuster, hardware, ...) • Connaître parfaitement le domaine - environnement physique ... - ... et logiciel • Il faut des outils pour faire cela! 123 Veille technologique • Outils de surveillance Des commandes - nmap • Progiciels - arpwatch ntop nessus mrtg snort nagios 124 Conclusion Les pannes • Logicielles : logs + newsgroup + MAJ • Matérielles : garantie + sauvegarde • Électriques : double alim. + onduleur • Humaines : tickets + procédures (PRA) • Tout est sous contrôle! 126