L`administration de machines
Transcription
L`administration de machines
Gestion de parc informatique Guilhem BORGHESI Master 2 Informatique IL 14 octobre 2008 INTRODUCTION Connaître les bases de l'Admin. UNIX Système (Sécurité, Gestion utilisateurs,…) Réseaux (Architecture, Matériels) Recettes de cuisine, mais pas exhaustif Master 2 Informatique G. BORGHESI - Octobre 2008 2 SOMMAIRE Installation de serveurs Gestion des utilisateurs Outils logiciels d’administration Travail en équipe Sauvegarde Sécurité des matériels Scripts Réseau Sécurité Master 2 Informatique G. BORGHESI - Octobre 2008 3 Installation de serveurs Master 2 Informatique G. BORGHESI - Octobre 2008 4 Attention danger ! Plus d'utilisateurs simultanés Plus de contraintes Plus de risques Donc plus délicat ! Master 2 Informatique G. BORGHESI - Octobre 2008 5 Matériels Evolutifs Connu et compatible avec l’OS Bien dimensionnédonc il faut faire un Cahier des Charges ! Sous garantie, longtemps… Master 2 Informatique G. BORGHESI - Octobre 2008 6 OS Doit répondre au CDC Etre choisi pour sa qualité technique Etre sécurisé et maintenu Master 2 Informatique G. BORGHESI - Octobre 2008 7 Installation du serveur Choix de l'OS Configuration BIOS Partitionnement optimal Optimisation du noyau Installation des logiciels minimaux Master 2 Informatique G. BORGHESI - Octobre 2008 8 Le noyau : détails www.kernel.org Numérotation du noyau : 2.X.Y: X pair : version stable X impair : version de développement Y : Version de la branche Master 2 Informatique G. BORGHESI - Octobre 2008 9 Personnaliser le noyau Quel noyau dans distribution ? uname -a Comment remplacer votre noyau ? Récupérez la dernière version cd /usr/src/linux Lancement de l’interface de configuration (make menuconfig) Master 2 Informatique G. BORGHESI - Octobre 2008 10 L'interface de configuration Master 2 Informatique G. BORGHESI - Octobre 2008 11 Choisir les options du noyau Deux modes : En Modules Inclus dans le noyau Master 2 Informatique G. BORGHESI - Octobre 2008 12 Après l'install Rechercher les mises à jour Mettre les softs requis pour les users Phase de tests, Phase de pré-exploitation, Enfin, phase d'exploitation ! Ensuite, on a plus qu'à attendre la panne ! Master 2 Informatique G. BORGHESI - Octobre 2008 13 Gestion des utilisateurs Master 2 Informatique G. BORGHESI - Octobre 2008 14 Qui sont les utilisateurs ? Important de connaître son public Une seule méthode : allez au CONTACT ! Meilleure perception des besoins Meilleure perception de l’informaticien Donc meilleurs résultats ! Master 2 Informatique G. BORGHESI - Octobre 2008 15 Le contact avec les utilisateurs Fournissez de la documentation Provoquez des réunions Organisez des formations Préférez le téléphone au mail N’hésitez pas à allez voir les gens ! Soyez disponible et COMMUNICANT ! Master 2 Informatique G. BORGHESI - Octobre 2008 16 Pourquoi des comptes ? Serveur de données Serveur de mails Serveur ftp Serveur d'application Serveur Web Master 2 Informatique G. BORGHESI - Octobre 2008 17 Création des comptes Avec la commande adduser Il faut répondre aux questions : Quel identité ? Quel passwd ? Quel groupe ? Quels droits ? Master 2 Informatique G. BORGHESI - Octobre 2008 18 Les utilisateurs Le root Tous les droits Gère le système Les autres Dans leur répertoire maison : /home/schmitt Droits restreints Nécessité de créer un autre compte pour le root Master 2 Informatique G. BORGHESI - Octobre 2008 19 root = gardien de la paix Problèmes courants : Espace disque dépassé : du Mot de passe faible : john Utilisation illicite de la machine : lsof, nessus Attention, zone dangereuse… Vous n'avez pas tous les droits ! Master 2 Informatique G. BORGHESI - Octobre 2008 20 Caractéristiques d'un compte Identification unique : id Authentification : login/passwd Fichier /etc/passwd et /etc/shadow Espace disque unique Personnages humains ou non Droit d'accès : ls –al, chmod, chown,… Master 2 Informatique G. BORGHESI - Octobre 2008 21 Les fichiers essentiels /etc/passwd <nom>:x:<uid>:<gid>:<gecos>:<home>:<shell> marcel:x:340:1000:marcel david:/users/marcel:/bin/bash /etc/shadow marcel:ZFfzqfeESGEZ:12456: /etc/group root:*:0: bin:*:1:root,daemon users:*:1000: Master 2 Informatique G. BORGHESI - Octobre 2008 22 Droits et devoirs Etablissement d’une charte http://turing.u-strasbg.fr/activation/charte.php Utilisateur PEUT : Utiliser les ressources pleinement DOIT : Respecter la propriété intellectuelle DOIT : Etre identifié clairement Administrateur PEUT : Etablir des procédures de surveillance DOIT : Confidentialité des informations DOIT : Fournir les outils aux utilisateurs Master 2 Informatique G. BORGHESI - Octobre 2008 23 Gestion des programmes Master 2 Informatique G. BORGHESI - Octobre 2008 24 Les démons Services en tâche de fond Attend un signal pour se réveiller Exemples : Réseau : NFS, NIS, Apache Système : Cron, Syslogd 2 méthodes de lancement : inetd vs init.d Master 2 Informatique G. BORGHESI - Octobre 2008 25 Fichiers de démarrage ou runlevels 6 niveaux de démarrage = 6 états Etats : 0 : Arrêt de la machine 1 : Démarrage mono utilisateur 2-5 : Niveaux personnalisables 6 : Redémarrage de la machine Par défaut, Debian = 2 et Fedora = 3 Master 2 Informatique G. BORGHESI - Octobre 2008 26 Démarrage de démons : init.d Scripts shell dans /etc/init.d (debian) Lancent des processus de /usr/… Avec des arguments : start, stop, reload Pour le boot, tout est dans /etc/rcX.d Commence par S pour lancer Commence par K pour arrêter Master 2 Informatique G. BORGHESI - Octobre 2008 27 Démarrage des démons : inetd Inetd : Super-démon Réservé aux services réseaux Lance un démon à la demande Exemple : /etc/inetd.conf ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l Limite la consommation des ressources Master 2 Informatique G. BORGHESI - Octobre 2008 28 Configuration Dans /etc/… Edition du fichier de configuration Exemple : /etc/apache/httpd.conf User www-data Group www-data ServerRoot /users/www DocumentRoot /users/www/htdocs Master 2 Informatique G. BORGHESI - Octobre 2008 29 Redémarrage Indispensable après un changement Plusieurs méthodes : kill –HUP pid kill -9 pid /etc/init.d/daemon restart (ou reload) Mais surtout pas de REBOOT !! Master 2 Informatique G. BORGHESI - Octobre 2008 30 Installation par sources Récupération des sources Rangement dans /usr/local Compilation ./configure [options] make make install Master 2 Informatique G. BORGHESI - Octobre 2008 31 Installation par le réseau Binaires avec Debian apt-cache search “package” apt-get update apt-get install nedit D’autres : Gentoo,FreeBSD, Fedora, Mandriva, ... Master 2 Informatique G. BORGHESI - Octobre 2008 32 Outils logiciels d'administration Master 2 Informatique G. BORGHESI - Octobre 2008 33 DHCP Configuration auto d'interface réseaux Adresse IP Passerelle Masque de sous-réseau Serveur DNS Nom de domaine Bail limité Sécurité : distribution par adresse MAC Serveur : PC, routeur ou switch/routeur Master 2 Informatique G. BORGHESI - Octobre 2008 34 Synchronisation Tout le monde à la même heure ! Pourquoi ? Datation des fichiers Comparaison des logs Tâches programmées Très simple à configurer Master 2 Informatique G. BORGHESI - Octobre 2008 35 NTP Juste une ligne dans ntp.conf : server ntp.u-strasbg.fr Jusqu'à 15 niveaux de serveurs Chaque niveau fait "serveur" pour la couche inférieure Attention, il ne faut pas se synchroniser sur la couche 1 ! Master 2 Informatique G. BORGHESI - Octobre 2008 36 Logs Traces des événements système Démon syslogd Inscrit : Origine du message Niveau de gravité (info, debug, avertissement) Sont dans /var/log mais peuvent être délocalisés… Obligation légale Master 2 Informatique G. BORGHESI - Octobre 2008 37 La planification Cron : Planification de tâches Exemple : /etc/crontab #mrtg 0-55/5 * * * * root /usr/bin/mrtg /etc/mrtg/mrtg.cfg Minutes, heures, jours, mois, num de jour, proprio, programme et argument Master 2 Informatique G. BORGHESI - Octobre 2008 38 L’impression CUPS Connaît tous les pilotes standards Interface de configuration sur port 631 Simple Complète Documentée Master 2 Informatique G. BORGHESI - Octobre 2008 39 Les outils de partage Master 2 Informatique G. BORGHESI - Octobre 2008 40 LDAP : annuaire centralisé 1/2 Permet d'éviter une authentification locale Données stockées sous la forme d’arbre Nécessite un serveur primaire LDAP Possibilité de doubler le serveur primaire Réplication d’annuaire Master 2 Informatique G. BORGHESI - Octobre 2008 41 LDAP 2/2 Prend le relais si le compte n'existe pas Hiérarchisation faites avec /etc/nsswitch.conf Plusieurs questions en terme de sécurité : Accès au serveur LDAP Mise en place de SSL Mise à jour des données Master 2 Informatique G. BORGHESI - Octobre 2008 42 NFS : partage de données (1/2) Le serveur exporte des répertoires Le client monte des répertoires distants Transparent pour l'utilisateur Se base sur les RPC (Remote Procedure Call) Sur le serveur : /etc/exports /users ro,access=130.79.7.10 Master 2 Informatique G. BORGHESI - Octobre 2008 43 NFS : Partage de données (2/2) Sur le client : /etc/fstab turing:/users /users nfs defaults 0 1 Accès aux fichiers se fait par l'UID ! Quels répertoires partager ? Homes des utilisateurs Exécutables rajoutés Documentation Master 2 Informatique G. BORGHESI - Octobre 2008 44 Les postes de travail Master 2 Informatique G. BORGHESI - Octobre 2008 45 Stations de travail - Administration complexe - Installation longue - Fragilité des composants - Coût élevé - Volumineux et bruyant + Confort utilisateur plus important + Puissance de calcul local conservée + Charge réseau minimale Master 2 Informatique G. BORGHESI - Octobre 2008 46 Portables - Administration complexe - Installation longue - Fragilité des composants - Coût très élevé - Nomadisme pose des problèmes de sécurité + Confort utilisateur plus important + Puissance de calcul local conservée + Charge réseau minimale Master 2 Informatique G. BORGHESI - Octobre 2008 47 Terminaux X - Faible puissance de calcul local - Charge réseau plus importante - Pb de périphériques (CDROM, son, USB) + Besoins d'administration = /dev/null + Configuration rapide + Robustesse élevée + Moins cher mais il faut un serveur + Silence total Master 2 Informatique G. BORGHESI - Octobre 2008 48 Travail en équipe Inventaire Fichier contenant : Marque et type # série Emplacement physique # facture et livraison Garantie (date et numéro) Mise à jour indispensable ! Master 2 Informatique G. BORGHESI - Octobre 2008 50 Les outils logiciels d’inventaire Tableur PHP / MySQL (GLPI) FileMaker Softs sur Internet Master 2 Informatique G. BORGHESI - Octobre 2008 51 La gestion des tickets (1/2) Permet de gérer le temps des admins Pour régler les problèmes en équipe Permet une meilleure efficacité Créé une base de connaissance Fait des statistiques sur les travaux Master 2 Informatique G. BORGHESI - Octobre 2008 52 La gestion des tickets (2/2) Les outils : Mantis GLPI Développement maison Un autre helpdesk… Master 2 Informatique G. BORGHESI - Octobre 2008 53 Agendas partagés Meilleure collaboration de travail Accès rapide aux RV des autres Plusieurs outils : Sunbird Google calendar Développement web … perso Microsoft Outlook Softs de sondage : doodle, studs, … Master 2 Informatique G. BORGHESI - Octobre 2008 54 Plan de reprise d’activité (PRA) Dans les grandes structures Procédures à suivre en cas de problème Évite les mauvaises manipulations Permet une pérennité de l’information Impose une documentation à jour Impose également un parc homogène Master 2 Informatique G. BORGHESI - Octobre 2008 55 Les scripts Pourquoi ? Automatiser des taches répétitives Permettre la planification Rassembler plusieurs fonctionnalités Au final gagner du temps ! Master 2 Informatique G. BORGHESI - Octobre 2008 57 Comment ? Avec le shell : bash, csh, … #!/bin/bash du –sk /users/* >> /users/occupation_dd Avec du PERL #!/usr/bin/perl open (FILE, "/users/occupation_dd"); while <FILE> {print $_;} close FILE; Avec d'autres langages… Master 2 Informatique G. BORGHESI - Octobre 2008 58 Un exemple en PERL #!/usr/bin/perl opendir (USERS,"/users"); while ($nom= readdir(USERS)) { $flag=0; recherche_passwd(); if ($flag eq 0) {print "$nom doit etre efface !\n";} } sub recherche_passwd { open (PASSWD, "/etc/passwd"); while (<PASSWD>) { /^(\w+).*/; $nom_passwd=$1; if ($nom eq $nom_passwd){$flag=1;} if ($nom eq "."){$flag=1;} if ($nom eq ".."){$flag=1;} if ($nom eq "lost+found"){$flag=1;} } close PASSWD; } closedir USERS; Master 2 Informatique G. BORGHESI - Octobre 2008 59 Sauvegardes Indispensable Récupérer des données détruites Une part de la politique de sécurité Plusieurs possibilités techniques Master 2 Informatique G. BORGHESI - Octobre 2008 61 Les types de sauvegarde Complète Incrémentale Combinée Master 2 Informatique G. BORGHESI - Octobre 2008 62 Les choix techniques Sur bande (DAT, DLT) Sur disque Sur robot Par le réseau Master 2 Informatique G. BORGHESI - Octobre 2008 63 Les logiciels dd ou tar.gz Bacula Amanda Time Navigator (payant) une multitude d'autres… Master 2 Informatique G. BORGHESI - Octobre 2008 64 Sécurité des matériels RAID Organisation pour protéger les données RAID 1 : Miroir RAID 5 : Dispatching Master 2 Informatique G. BORGHESI - Octobre 2008 66 Sauvegarde électrique Rien de tout cela ne marche sans la fée ! Pour les serveurs stratégiques : Alimentation redondante Prises séparées Onduleurs (en KVa) Master 2 Informatique G. BORGHESI - Octobre 2008 67 Redondance de serveurs Par un système maître/esclave Partage d’adresse IP Partage des données Par des serveurs virtuels Linux Virtual Server VMWare ESX Master 2 Informatique G. BORGHESI - Octobre 2008 68 Climatisation Devient indispensable à partir de quelques serveurs Coût élevé Très bruyant Va devenir incontournable à l’avenir… Master 2 Informatique G. BORGHESI - Octobre 2008 69 Réseau Les interfaces Représentent plusieurs choses : interface physique (carte Ethernet, modem) interface virtuelle tunnel Nommage : eth0, eth1, … Pour les connaître : ifconfig Master 2 Informatique G. BORGHESI - Octobre 2008 71 Configuration manuelle D'abord la carte : ifconfig eth1 130.79.7.34 netmask 255.255.255.0 Ensuite le GW : route add default gw 130.79.7.254 Et pour vérifier : ifconfig –a netstat -nr Master 2 Informatique G. BORGHESI - Octobre 2008 72 Ifconfig eth0 lo Lien encap:Ethernet HWaddr 00:01:02:F6:87:7D inet adr:130.79.44.197 Bcast:130.79.44.255 Masque:255.255.255.192 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1663192 errors:0 dropped:0 overruns:1 frame:0 TX packets:1090057 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:100 RX bytes:2287288057 (2.1 GiB) TX bytes:74559051 (71.1 MiB) Interruption:5 Adresse de base:0xe800 Lien encap:Boucle locale inet adr:127.0.0.1 Masque:255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:723535 errors:0 dropped:0 overruns:0 frame:0 TX packets:723535 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:0 RX bytes:3201204888 (2.9 GiB) TX bytes:3201204888 (2.9 GiB) Master 2 Informatique G. BORGHESI - Octobre 2008 73 Configuration permanente Dans un fichier : /etc/network/interfaces avec Debian /etc/sysconfig/network-scripts/ifcfg-eth0 avec Fedora, Mandriva Exemple avec Debian : auto eth0 iface eth0 inet static address 130.79.44.197 netmask 255.255.255.192 network 130.79.44.192 broadcast 130.79.44.255 gateway 130.79.44.254 Master 2 Informatique G. BORGHESI - Octobre 2008 74 Les ports Chaque service réseau ouvre un port Certains sont réservés : /etc/services Exemples : http = 80 https = 443 ftp = 21 ssh = 22 Master 2 Informatique G. BORGHESI - Octobre 2008 75 Commandes de survie ifconfig : configuration de la carte réseau route : affichage des routes actives ping : test de connectivité traceroute : test de transit réseau netstat : affiche des infos réseaux tcpdump : sniffe le trafic sur le réseau Master 2 Informatique G. BORGHESI - Octobre 2008 76 Les services réseaux connus DNS smtp DHCP http ftp NFS ssh samba LDAP CUPS Master 2 Informatique G. BORGHESI - Octobre 2008 77 La sécurité Piratage ? Prendre le contrôle d'une machine Relais données (ftp warez, p2p) Préparer d'autres actions Détruire / Voler les données d'une machine Dégrader les performances d'une machine Deny Of Service Attack Spam ? Master 2 Informatique G. BORGHESI - Octobre 2008 79 Comment ? Attaque externe Script kid Attaque ciblée Attaque interne Récupération Porte passwd (sniff, imprudence) ouverte Master 2 Informatique G. BORGHESI - Octobre 2008 80 Qui sont-ils ? Des plaisantins (pour voir) Des vandales (idéalistes et déterminés) Des compétiteurs (tableau de chasse) Des espions (pour l'argent) Master 2 Informatique G. BORGHESI - Octobre 2008 81 Comment faire de la sécurité Topologies Mise à jour Firewall Formation des utilisateurs Veille Choix applicatifs Master 2 Informatique G. BORGHESI - Octobre 2008 82 Topologies Base de la sécurité Multiples Elles peuvent être simple : Internet Firewall Master 2 Informatique G. BORGHESI - Octobre 2008 83 Topologies Ou plus complexe : INTERNET IPv6 IPv4 Master 2 Informatique G. BORGHESI - Octobre 2008 84 Topologies Attention aux contournements Attention aux aberrations : Internet Firewall Master 2 Informatique G. BORGHESI - Octobre 2008 85 La DMZ Sert à isoler les serveurs sensibles Protège mieux les machines faibles Exemple : DMZ Internet Firewall Master 2 Informatique G. BORGHESI - Octobre 2008 Sous-réseau utilisateurs 86 Mises à jour Il y a des découvertes de failles régulières Différentes façons : Patches Apt-get update / upgrade Compilation Sans mise à jour pas de sécurité… Master 2 Informatique G. BORGHESI - Octobre 2008 87 Des bases saines… Faire de la sécurité physique Serveurs isolés Boîtiers cadenassés Etre vigilant Toujours fermer les consoles Mots de passe recherchés (BIOS, login) Ne pas répondre aux enquêtes Ne JAMAIS donner un passwd !! Master 2 Informatique G. BORGHESI - Octobre 2008 88 Un firewall Machine bastion Un point de passage filtrant Pour protéger : données ressources réputation Master 2 Informatique G. BORGHESI - Octobre 2008 89 Pour faire un firewall Trouver un emplacement physique Trouver un emplacement réseau Sécuriser de la machine Configurer les services Brancher la machine au réseau Master 2 Informatique G. BORGHESI - Octobre 2008 90 Filtrage de paquets Avec Iptables sous linux Par adresse IP Par adresse MAC Par service Et ne pas oublier le v6 ! Master 2 Informatique G. BORGHESI - Octobre 2008 91 Filtrage iptables Différentes chaînes : INPUT OUTPUT FORWARD Différentes politiques : DROP REJECT ACCEPT LOG Master 2 Informatique G. BORGHESI - Octobre 2008 92 Formation aux utilisateurs Des conseils à dispenser : Ne pas donner son mot de passe Ne pas tenter de contourner les barrières Connaître les applications douteuses Mettre en place des solutions sûres En résumé Ne pas prendre d'initiatives en cas de doute ! Master 2 Informatique G. BORGHESI - Octobre 2008 93 Choix applicatif Eviter les softs connus pour leurs défauts ftp tftp RPC De nombreuses applis Win… Souvent il y a un équivalent sécurisé ! Master 2 Informatique G. BORGHESI - Octobre 2008 94 Veille S'informer : Magazines papier Sites Web (Clubic, Slashdot, Hoaxbuster…) Connaître parfaitement le domaine Environnement … physique… et logiciel ! Il faut donc des outils pour faire cela ! Master 2 Informatique G. BORGHESI - Octobre 2008 95 Outils de surveillance Environnement logiciel nmap nessus Surveillance réseau arpwatch ntop mrtg snort nagios Master 2 Informatique G. BORGHESI - Octobre 2008 96 CONCLUSION Les pannes Logicielles : logs + newsgroup + MAJ Matérielles : contrat de garantie + sauvegardes Électriques : double alimentation + onduleur Humaines : Tickets + Procédures Tout est « sous contrôle » ! Master 2 Informatique G. BORGHESI - Octobre 2008 98 Les amis de l'administrateur Le man La documentation en ligne Les newsgroups La documentation papier d'autres administrateurs sinon il reste la chance ! Master 2 Informatique G. BORGHESI - Octobre 2008 99