L`administration de machines

Transcription

Gestion de parc informatique
Guilhem BORGHESI
Master 2 Informatique IL
14 octobre 2008
INTRODUCTION

Connaître les bases de l'Admin. UNIX
 Système
(Sécurité, Gestion utilisateurs,…)
 Réseaux (Architecture, Matériels)

Recettes de cuisine, mais pas exhaustif
Master 2 Informatique
G. BORGHESI - Octobre 2008
2
SOMMAIRE









Installation de serveurs
Gestion des utilisateurs
Outils logiciels d’administration
Travail en équipe
Sauvegarde
Sécurité des matériels
Scripts
Réseau
Sécurité
3
Installation de serveurs
4
Attention danger !
Plus d'utilisateurs simultanés
 Plus de contraintes
 Plus de risques


Donc plus délicat !
5
Matériels
Evolutifs
 Connu et compatible avec l’OS
 Bien dimensionnédonc il faut faire un
Cahier des Charges !


Sous garantie, longtemps…
6
OS
Doit répondre au CDC
 Etre choisi pour sa qualité technique
 Etre sécurisé et maintenu

7
Installation du serveur
Choix de l'OS
 Configuration BIOS
 Partitionnement optimal
 Optimisation du noyau
 Installation des logiciels minimaux

8
Le noyau : détails
www.kernel.org
 Numérotation du noyau :

 2.X.Y:
X pair : version stable
 X impair : version de développement
 Y : Version de la branche

9
Personnaliser le noyau

Quel noyau dans distribution ?


uname -a
Comment remplacer votre noyau ?
 Récupérez
la dernière version
 cd /usr/src/linux
 Lancement de l’interface de configuration
(make menuconfig)
10
L'interface de configuration
11
Choisir les options du noyau

Deux modes :


En Modules
Inclus dans
le noyau
12
Après l'install
Rechercher les mises à jour
 Mettre les softs requis pour les users
 Phase de tests,
 Phase de pré-exploitation,
 Enfin, phase d'exploitation !


Ensuite, on a plus qu'à attendre la panne !
13
Gestion des utilisateurs
14
Qui sont les utilisateurs ?
Important de connaître son public
 Une seule méthode : allez au CONTACT !

 Meilleure
perception des besoins
 Meilleure perception de l’informaticien
 Donc meilleurs résultats !
15
Le contact avec les utilisateurs
Fournissez de la documentation
 Provoquez des réunions
 Organisez des formations
 Préférez le téléphone au mail
 N’hésitez pas à allez voir les gens !


Soyez disponible et COMMUNICANT !
16
Pourquoi des comptes ?
Serveur de données
 Serveur de mails
 Serveur ftp
 Serveur d'application
 Serveur Web

17
Création des comptes
Avec la commande adduser
 Il faut répondre aux questions :

 Quel
identité ?
 Quel passwd ?
 Quel groupe ?
 Quels droits ?
18
Les utilisateurs

Le root
 Tous
les droits
 Gère le système

Les autres
 Dans
leur répertoire maison : /home/schmitt
 Droits restreints

Nécessité de créer un autre compte pour le root
19
root = gardien de la paix

Problèmes courants :




Espace disque dépassé : du
Mot de passe faible : john
Utilisation illicite de la machine : lsof, nessus
Attention, zone dangereuse…
Vous n'avez pas tous les droits !
20
Caractéristiques d'un compte
Identification unique : id
 Authentification : login/passwd

 Fichier
/etc/passwd et /etc/shadow
Espace disque unique
 Personnages humains ou non
 Droit d'accès : ls –al, chmod, chown,…

21
Les fichiers essentiels

/etc/passwd
<nom>:x:<uid>:<gid>:<gecos>:<home>:<shell>
marcel:x:340:1000:marcel david:/users/marcel:/bin/bash

/etc/shadow
marcel:ZFfzqfeESGEZ:12456:

/etc/group
root:*:0:
bin:*:1:root,daemon
users:*:1000:
22
Droits et devoirs

Etablissement d’une charte
 http://turing.u-strasbg.fr/activation/charte.php

Utilisateur
 PEUT
: Utiliser les ressources pleinement
 DOIT : Respecter la propriété intellectuelle
 DOIT : Etre identifié clairement

Administrateur
 PEUT
: Etablir des procédures de surveillance
 DOIT : Confidentialité des informations
 DOIT : Fournir les outils aux utilisateurs
23
Gestion des programmes
24
Les démons
Services en tâche de fond
 Attend un signal pour se réveiller
 Exemples :

 Réseau
: NFS, NIS, Apache
 Système : Cron, Syslogd

2 méthodes de lancement : inetd vs init.d
25
Fichiers de démarrage ou runlevels
6 niveaux de démarrage = 6 états
 Etats :

0
: Arrêt de la machine
 1 : Démarrage mono utilisateur
 2-5 : Niveaux personnalisables
 6 : Redémarrage de la machine

Par défaut, Debian = 2 et Fedora = 3
26
Démarrage de démons : init.d
Scripts shell dans /etc/init.d (debian)
 Lancent des processus de /usr/…
 Avec des arguments : start, stop, reload
 Pour le boot, tout est dans /etc/rcX.d

 Commence
par S pour lancer
 Commence par K pour arrêter
27
Démarrage des démons : inetd

Inetd : Super-démon
 Réservé
aux services réseaux
 Lance un démon à la demande

Exemple : /etc/inetd.conf
ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l

Limite la consommation des ressources
28
Configuration
Dans /etc/…
 Edition du fichier de configuration

 Exemple
: /etc/apache/httpd.conf
User
www-data
Group
www-data
ServerRoot
/users/www
DocumentRoot /users/www/htdocs
29
Redémarrage
Indispensable après un changement
 Plusieurs méthodes :

 kill
–HUP pid
 kill -9 pid
 /etc/init.d/daemon restart (ou reload)

Mais surtout pas de REBOOT !!
30
Installation par sources
Récupération des sources
 Rangement dans /usr/local
 Compilation

 ./configure
[options]
 make
 make
install
31
Installation par le réseau

Binaires avec Debian
 apt-cache
search “package”
 apt-get update
 apt-get install nedit

D’autres : Gentoo,FreeBSD, Fedora,
Mandriva, ...
32
Outils logiciels d'administration
33
DHCP

Configuration auto d'interface réseaux
 Adresse
IP
 Passerelle
 Masque de sous-réseau
 Serveur DNS
 Nom de domaine



Bail limité
Sécurité : distribution par adresse MAC
Serveur : PC, routeur ou switch/routeur
34
Synchronisation
Tout le monde à la même heure !
 Pourquoi ?

 Datation
des fichiers
 Comparaison des logs
 Tâches programmées

Très simple à configurer
35
NTP

Juste une ligne dans ntp.conf :
server ntp.u-strasbg.fr
Jusqu'à 15 niveaux de serveurs
 Chaque niveau fait "serveur" pour la
couche inférieure
 Attention, il ne faut pas se synchroniser
sur la couche 1 !

36
Logs
Traces des événements système
 Démon syslogd
 Inscrit :

 Origine
du message
 Niveau de gravité (info, debug, avertissement)
Sont dans /var/log mais peuvent être
délocalisés…
 Obligation légale

37
La planification
Cron : Planification de tâches
 Exemple : /etc/crontab

#mrtg
0-55/5 * * * * root /usr/bin/mrtg /etc/mrtg/mrtg.cfg
Minutes, heures, jours, mois, num de jour, proprio, programme et argument
38
L’impression
CUPS
 Connaît tous les pilotes standards
 Interface de configuration sur port 631

 Simple
 Complète
 Documentée
39
Les outils de partage
40
LDAP : annuaire centralisé 1/2
Permet d'éviter une authentification locale
 Données stockées sous la forme d’arbre
 Nécessite un serveur primaire LDAP
 Possibilité de doubler le serveur primaire

 Réplication
d’annuaire
41
LDAP 2/2

Prend le relais si le compte n'existe pas
 Hiérarchisation

faites avec /etc/nsswitch.conf
Plusieurs questions en terme de sécurité :
 Accès
au serveur LDAP
 Mise en place de SSL
 Mise à jour des données
42
NFS : partage de données (1/2)
Le serveur exporte des répertoires
 Le client monte des répertoires distants
 Transparent pour l'utilisateur
 Se base sur les RPC (Remote Procedure Call)


Sur le serveur : /etc/exports
/users ro,access=130.79.7.10
43
NFS : Partage de données (2/2)

Sur le client : /etc/fstab
turing:/users /users nfs defaults
0
1
Accès aux fichiers se fait par l'UID !
 Quels répertoires partager ?

 Homes
des utilisateurs
 Exécutables rajoutés
 Documentation
44
Les postes de travail
45
Stations de travail








- Administration complexe
- Installation longue
- Fragilité des composants
- Coût élevé
- Volumineux et bruyant
+ Confort utilisateur plus important
+ Puissance de calcul local conservée
+ Charge réseau minimale
46
Portables








- Administration complexe
- Installation longue
- Fragilité des composants
- Coût très élevé
- Nomadisme pose des problèmes de sécurité
+ Confort utilisateur plus important
+ Puissance de calcul local conservée
+ Charge réseau minimale
47
Terminaux X








- Faible puissance de calcul local
- Charge réseau plus importante
- Pb de périphériques (CDROM, son, USB)
+ Besoins d'administration = /dev/null
+ Configuration rapide
+ Robustesse élevée
+ Moins cher mais il faut un serveur
+ Silence total
48
Travail en équipe
Inventaire

Fichier contenant :
 Marque
et type
#
série
 Emplacement physique
 # facture et livraison
 Garantie (date et numéro)

Mise à jour indispensable !
50
Les outils logiciels d’inventaire
Tableur
 PHP / MySQL (GLPI)
 FileMaker
 Softs sur Internet

51
La gestion des tickets (1/2)
Permet de gérer le temps des admins
 Pour régler les problèmes en équipe
 Permet une meilleure efficacité
 Créé une base de connaissance
 Fait des statistiques sur les travaux

52
La gestion des tickets (2/2)

Les outils :
 Mantis
 GLPI
 Développement
maison
 Un autre helpdesk…
53
Agendas partagés
Meilleure collaboration de travail
 Accès rapide aux RV des autres
 Plusieurs outils :

 Sunbird
 Google calendar
 Développement web
…


perso
Microsoft Outlook
Softs de sondage : doodle, studs, …
54
Plan de reprise d’activité (PRA)






Dans les grandes structures
Procédures à suivre en cas de problème
Évite les mauvaises manipulations
Permet une pérennité de l’information
Impose une documentation à jour
Impose également un parc homogène
55
Les scripts
Pourquoi ?
Automatiser des taches répétitives
 Permettre la planification
 Rassembler plusieurs fonctionnalités


Au final
gagner du temps !
57
Comment ?

Avec le shell : bash, csh, …
#!/bin/bash
du –sk /users/* >> /users/occupation_dd

Avec du PERL
#!/usr/bin/perl
open (FILE, "/users/occupation_dd");
while <FILE> {print $_;}
close FILE;

Avec d'autres langages…
58
Un exemple en PERL
#!/usr/bin/perl
opendir (USERS,"/users");
while ($nom= readdir(USERS)) {
$flag=0;
recherche_passwd();
if ($flag eq 0) {print "$nom doit etre efface !\n";}
}
sub recherche_passwd {
open (PASSWD, "/etc/passwd");
while (<PASSWD>) {
/^(\w+).*/;
$nom_passwd=$1;
if ($nom eq $nom_passwd){$flag=1;}
if ($nom eq "."){$flag=1;}
if ($nom eq ".."){$flag=1;}
if ($nom eq "lost+found"){$flag=1;}
}
close PASSWD;
}
closedir USERS;
59
Sauvegardes
Indispensable
Récupérer des données détruites
 Une part de la politique de sécurité
 Plusieurs possibilités techniques

61
Les types de sauvegarde
Complète
 Incrémentale
 Combinée

62
Les choix techniques
Sur bande (DAT, DLT)
 Sur disque
 Sur robot
 Par le réseau

63
Les logiciels
dd ou tar.gz
 Bacula
 Amanda
 Time Navigator (payant)
 une multitude d'autres…

64
Sécurité des matériels
RAID

Organisation pour protéger les données
RAID 1 : Miroir
 RAID 5 : Dispatching

66
Sauvegarde électrique

Rien de tout cela ne marche sans la fée !

Pour les serveurs stratégiques :
 Alimentation
redondante
 Prises séparées
 Onduleurs (en KVa)
67
Redondance de serveurs

Par un système maître/esclave
 Partage
d’adresse IP
 Partage des données

Par des serveurs virtuels
 Linux
Virtual Server
 VMWare ESX
68
Climatisation
Devient indispensable à partir de quelques
serveurs
 Coût élevé
 Très bruyant
 Va devenir incontournable à l’avenir…

69
Réseau
Les interfaces

Représentent plusieurs choses :
 interface
physique (carte Ethernet, modem)
 interface virtuelle
 tunnel
Nommage : eth0, eth1, …
 Pour les connaître : ifconfig

71
Configuration manuelle

D'abord la carte :
ifconfig eth1 130.79.7.34 netmask 255.255.255.0

Ensuite le GW :
route add default gw 130.79.7.254

Et pour vérifier :
ifconfig –a
netstat -nr
72
Ifconfig
eth0
lo
Lien encap:Ethernet HWaddr 00:01:02:F6:87:7D
inet adr:130.79.44.197 Bcast:130.79.44.255 Masque:255.255.255.192
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1663192 errors:0 dropped:0 overruns:1 frame:0
TX packets:1090057 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:100
RX bytes:2287288057 (2.1 GiB) TX bytes:74559051 (71.1 MiB)
Interruption:5 Adresse de base:0xe800
Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:723535 errors:0 dropped:0 overruns:0 frame:0
TX packets:723535 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3201204888 (2.9 GiB) TX bytes:3201204888 (2.9 GiB)
73
Configuration permanente

Dans un fichier :



/etc/network/interfaces avec Debian
/etc/sysconfig/network-scripts/ifcfg-eth0 avec Fedora, Mandriva
Exemple avec Debian :
auto eth0
iface eth0 inet static
address 130.79.44.197
netmask 255.255.255.192
network 130.79.44.192
broadcast 130.79.44.255
gateway 130.79.44.254
74
Les ports
Chaque service réseau ouvre un port
 Certains sont réservés : /etc/services
 Exemples :

 http
= 80
 https = 443
 ftp = 21
 ssh = 22
75
Commandes de survie
ifconfig : configuration de la carte réseau
 route : affichage des routes actives
 ping : test de connectivité
 traceroute : test de transit réseau
 netstat : affiche des infos réseaux
 tcpdump : sniffe le trafic sur le réseau

76
Les services réseaux connus










DNS
smtp
DHCP
http
ftp
NFS
ssh
samba
LDAP
CUPS
77
La sécurité
Piratage ?

Prendre le contrôle d'une machine
 Relais
données (ftp warez, p2p)
 Préparer d'autres actions


Détruire / Voler les données d'une machine
Dégrader les performances d'une machine
 Deny
Of Service Attack
 Spam ?
79
Comment ?

Attaque externe
 Script
kid
 Attaque ciblée

Attaque interne
 Récupération
 Porte
passwd (sniff, imprudence)
ouverte
80
Qui sont-ils ?
Des plaisantins (pour voir)
 Des vandales (idéalistes et déterminés)
 Des compétiteurs (tableau de chasse)
 Des espions (pour l'argent)

81
Comment faire de la sécurité






Topologies
Mise à jour
Firewall
Formation des utilisateurs
Veille
Choix applicatifs
82
Topologies



Base de la sécurité
Multiples
Elles peuvent être simple :
Internet
Firewall
83
Topologies

Ou plus complexe :
INTERNET
IPv6
IPv4
84
Topologies


Attention aux contournements
Attention aux aberrations :
Internet
Firewall
85
La DMZ



Sert à isoler les serveurs sensibles
Protège mieux les machines faibles
Exemple :
DMZ
Internet
Firewall
Sous-réseau
utilisateurs
86
Mises à jour
Il y a des découvertes de failles régulières
 Différentes façons :

 Patches
 Apt-get
update / upgrade
 Compilation

Sans mise à jour pas de sécurité…
87
Des bases saines…

Faire de la sécurité physique
 Serveurs
isolés
 Boîtiers cadenassés

Etre vigilant
 Toujours
fermer les consoles
 Mots de passe recherchés (BIOS, login)
 Ne pas répondre aux enquêtes
 Ne JAMAIS donner un passwd !!
88
Un firewall
Machine bastion
 Un point de passage filtrant
 Pour protéger :

 données
 ressources
 réputation
89
Pour faire un firewall
Trouver un emplacement physique
 Trouver un emplacement réseau
 Sécuriser de la machine
 Configurer les services
 Brancher la machine au réseau

90
Filtrage de paquets

Avec Iptables sous linux
Par adresse IP
 Par adresse MAC
 Par service


Et ne pas oublier le v6 !
91
Filtrage iptables

Différentes chaînes :




INPUT
OUTPUT
FORWARD
Différentes politiques :




DROP
REJECT
ACCEPT
LOG
92
Formation aux utilisateurs

Des conseils à dispenser :
 Ne
pas donner son mot de passe
 Ne pas tenter de contourner les barrières
 Connaître les applications douteuses
 Mettre en place des solutions sûres

En résumé
Ne pas prendre d'initiatives en cas de doute !
93
Choix applicatif

Eviter les softs connus pour leurs défauts
 ftp
 tftp
 RPC
 De

nombreuses applis Win…
Souvent il y a un équivalent sécurisé !
94
Veille

S'informer :
 Magazines
papier
 Sites Web (Clubic, Slashdot, Hoaxbuster…)

Connaître parfaitement le domaine
 Environnement
…

physique…
et logiciel !
Il faut donc des outils pour faire cela !
95
Outils de surveillance

Environnement logiciel
 nmap
 nessus

Surveillance réseau
 arpwatch
 ntop
 mrtg
 snort
 nagios
96
CONCLUSION
Les pannes

Logicielles : logs + newsgroup + MAJ
Matérielles : contrat de garantie + sauvegardes
Électriques : double alimentation + onduleur
Humaines : Tickets + Procédures

Tout est « sous contrôle » !



98
Les amis de l'administrateur
Le man
 La documentation en ligne
 Les newsgroups
 La documentation papier
 d'autres administrateurs
 sinon il reste la chance !

99

L`administration de machines

Transcription

Documents pareils

Services INTERNET Formation Continue de l`ULP Guilhem BORGHES

Affaire T-75/13: Recours introduit le 8 février 2013 - EUR-Lex

MPL evo - Roche Diagnostics

TP2-Sécurité OS Linux - Faculté des Sciences Rabat

interview-linkedin