Linux administration ii-parti
-
Upload
sehla-zayen -
Category
Technology
-
view
42 -
download
0
Transcript of Linux administration ii-parti
Préparé par:
Mme sehla Loussaief Zayen
S E R V I C E S A D M I N I S T R A T I O N 1
PLAN
* SERVEUR APACHE
* SERVEUR SMTP
* CACHING ONLY NAMESERVER
* SERVEUR NFS
* SERVEUR CIFS
* SERVEUR FTP
S E R V I C E S A D M I N I S T R A T I O N 2
Module 1
Service Web encapsulé dans SSL
S E R V I C E S A D M I N I S T R A T I O N 3
Service Web encapsulé dans SSL
Sécurisation d'un serveur Apache avec le
chiffrement
Personnalisation d'un certificat auto-signé
Génération d'une requête de signature de
certificat
S E R V I C E S A D M I N I S T R A T I O N 4
Apache avec SSL
/etc/httpd/conf/httpd.conf
#vi /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /path/to/www.example.com.cert
SSLCertificateKeyFile /path/to/www.example.com.key
S E R V I C E S A D M I N I S T R A T I O N 5
Génération de certificat x.509
Autosigné
#genkey --days 365 server.example.com
(FQDN)
---> place le certificat sous /etc/pki/tls/certs/*.crt
---> place la clé sous /etc/pki/tls/private/*.key
Affichage du contenu du certificat
#openssl x509 -in server.crt -text
S E R V I C E S A D M I N I S T R A T I O N 6
Génération d'une requête de signature de
certificat (CSR)
#genkey --genreq 365 server.example.com
→ /etc/pki/tls/certs/server.example.com.0.csr
#openssl x509 -text < /etc/pki/tls/certs/server*.csr
Envoyer la requête à une CA puis recevoir le certificat
et l'intégrer dans la config de Apache
S E R V I C E S A D M I N I S T R A T I O N 7
Ajout d'une CA à Firefox
Firefox → edition → préférences →
avancé → chiffrement → autorité →
importer le certificat
S E R V I C E S A D M I N I S T R A T I O N 8
Module 2
Configuration supplémentaire du serveur
Web
S E R V I C E S A D M I N I S T R A T I O N 9
Configuration supplémentaire de
Apache
Hébergement virtuel basé sur le nom
Contenu CGI dynamique
Authentification des utilisateurs Web
Sécurité Web SELinux
S E R V I C E S A D M I N I S T R A T I O N 10
Name based virtual Hosting
Listen 80
NameVirtualHost 192.168.0.1:80
<VirtualHost 192.168.0.1:80>
DocumentRoot /var/www/html/example.com
ServerName www.example1.com
ServerAlias www
ServerAdmin [email protected]
</VirtualHost>
<VirtualHost 192.168.0.1:80>
DocumentRoot /var/www/html/example.org
ServerName www.example2.org
ScriptAlias /cgi-bin/ /var/www/cgi-bin/
</VirtualHost>
S E R V I C E S A D M I N I S T R A T I O N 11
Authentification des utilisateurs
Apache #vi /etc/httpd/conf/httpd.conf
<VirtualHost 192.168.0.1:80>
DocumentRoot /var/www/html/example.org
ServerName www.example2.org
<Directory /var/www/html/example.org>
AuthName "Fichiers réservés"
AuthType basic
AuthUserFile /etc/httpd/.htpasswd
Require valid-user
</Directory>
</VirtualHost>
#htpasswd -mc /etc/httpd/.htpasswd user
S E R V I C E S A D M I N I S T R A T I O N 12
Authentification des utilisateurs
Apache via LDAP
#vi /etc/httpd/conf/httpd.conf
LDAPTrustedGlobalCert CA_BASE64 /certs/certfile.der
<VirtualHost 192.168.0.1:80>
DocumentRoot /var/www/html/example.org
ServerName www.example2.org
<Directory /var/www/html/example.org>
AuthName "Fichiers réservés"
AuthType basic
AuthBasicProvider ldap
AuthLDAPURL “ldap://fqdn/prefix” TLS
Require valid-user
</Directory>
</VirtualHost>
S E R V I C E S A D M I N I S T R A T I O N 13
Apache et contextes SElinux #semanage dontaudit off
#semange port -l | grep httpd
#semange port -a -t httpd_port_t -p tcp 777
#semanage fcontext -a -t httpd_sys_content_t
'/virtual(/.*)?'
#retorcon -RFv /virtual
# semanage fcontext -a -t httpd_sys_script_exec_t
'/cgi-bin(/.*)?'
#retorcon -RFv /cgi-bin
S E R V I C E S A D M I N I S T R A T I O N 14
Apache et variables Booléennes
SElinux
#getsebool -a
#semanage boolean -l
#setsebool -P httpd_enable_cgi off
S E R V I C E S A D M I N I S T R A T I O N 15
Module 3
Configuration SMTP de base
S E R V I C E S A D M I N I S T R A T I O N 16
Configuration SMTP de base
Configuration de base de la messagerie
Configuration du serveur Intranet
S E R V I C E S A D M I N I S T R A T I O N 17
Configuration de base de la messagerie
MUA
MTA: potfix, sendmail, Exim
MDA: MTA possède son propre MDA, fetchmail
Mailstore: /var/spool/mail/login
TOUT USER MAIL EST UN USER SYSTEME
#useradd login
S E R V I C E S A D M I N I S T R A T I O N 18
Agent MTA postfix Fichier de configuration principal:
/etc/postfix/main.cf
Editable par
#vi
ou
#postconf -e “....=....”
Par défaut accepte les emails en provenance
de loopback
#vi /etc/postfix/main.cf
inet_interfaces=all
/var/log/maillog
#mailq (Liste des Emails sortant)
S E R V I C E S A D M I N I S T R A T I O N 19
Agent MTA postfix Vi /etc/postfix.main.cf
inet_interfaces=... (écoute sur ces interfaces)
myorigin=.. (mail locaux proviennent de ce domaine)
mydestination=.. (Emails sur ces domaines délivrés
au MDA)
mynetworks=... (autorisés à relayer via cet MTA)
relayhost=.. (ce hôte relaye tt le courier sortant)
S E R V I C E S A D M I N I S T R A T I O N 20
Configuration Intranet Serveur Mail Entrant
[root@server2 ~] #vi /etc/postfix/main.cf
inet_interfaces=all
myorigin=domain2.example.com
mydestination=domain2.example.com
local_transport=local:$myhostname
relayhost=[smtp.domain2.example.com]
Serveur Mail NULL
[root@desktop2 ~] #vi /etc/postfix/main.cf
inet_interfaces=all
myorigin=domain2.example.com
relayhost=[smtp.domain2.example.com]
local_transport=”error:local delivery disabled”
S E R V I C E S A D M I N I S T R A T I O N 21
/etc/aliases
#useradd usermail
#usermod -s /sbin/nologin usermail
#passwd usermail
#vi /etc/aliases
usermail: administrateur
#newaliases
#mail administrateur@serverx
---> /var/spool/mail/usermail
S E R V I C E S A D M I N I S T R A T I O N 22
Module 4
Serveur DNS cache uniquement
Cachingonly Mail Server
S E R V I C E S A D M I N I S T R A T I O N 23
Serveur DNS
S E R V I C E S A D M I N I S T R A T I O N 24
Recherche DNS
/etc/resolv.conf
nameserver 193.95.66.10
nameserver 195.55.30.45
S E R V I C E S A D M I N I S T R A T I O N 25
Record Resource DNS
A: résolution directe IPV4
AAAA: résolution directe IPV6
CNAME: canonical name (alias)
PTR: résolution inverse (IPV4/IPV6)
MX: serveur de messagerie sur un domaine
NS: serveur de nom sur un domaine
SOA: Start Of Authority
S E R V I C E S A D M I N I S T R A T I O N 26
Résolution de nom
$dig www.yahoo.fr
; <<>> DiG 9.7.3-P3 <<>> www.yahoo.fr
…......
;; QUESTION SECTION:
;www.yahoo.fr. IN A
;; ANSWER SECTION:
www.yahoo.fr. IN CNAME rc.yahoo.com.
rc.yahoo.com. IN CNAME src.g03.yahoodns.net.
src.g03.yahoodns.net. IN A 77.238.184.150
;; Query time: 43 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Tue Jun 2 19:37:33 2015
;; MSG SIZE rcvd: 106
S E R V I C E S A D M I N I S T R A T I O N 27
Configuration du caching only
nameserver #Vi /etc/named.conf
options {
listen-on port 53 {127.0.0.1; 192.168.0.1;};
listen-on-v6 port 53 { ::1; };
directory "/var/named";
allow-query { localhost; };
forwarders {192.168.0.254;};
};
#service named restart
S E R V I C E S A D M I N I S T R A T I O N 28
Module 5
Partage de fichiers avec NFS
S E R V I C E S A D M I N I S T R A T I O N 29
Serveur NFS
Configuration du serveur NFS
Considérations sur le client NFS
S E R V I C E S A D M I N I S T R A T I O N 30
Concepts NFS
Network File System: permet le partage et l'accès à des
fichiers sur le réseau
Fichier de configuration : /etc/exports
/repertoire clientautorisés(droit d'accès à l'import)
Exemple:
/var/ftp/pub 192.168.0.24(ro) 127.0.0.1(rw)
/export/home *.example.com(rw,no_root_squash)
RootSquashing : Transformer un root distant en
nfsnobody sur le serveur
S E R V I C E S A D M I N I S T R A T I O N 31
Concepts NFS
Rafraichir l'état des exports
#exportfs -r
ou
Service nfs restart
Affichage la liste des exports
#exportfs -v
Dépendance avec rpcbind
S E R V I C E S A D M I N I S T R A T I O N 32
Côté Client
Affichage des répertoires exportés
#showmount -e servernfs.example.com
Montage d'un répertoire exporté
#mount servernfs.example.com:/rep /ptmontage
#Vi /etc/fstab
servernfs:/rep /ptmontage nfs defaults 0 0
#mount -a
S E R V I C E S A D M I N I S T R A T I O N 33
Module 6
Partage de fichiers avec CIFS
S E R V I C E S A D M I N I S T R A T I O N 34
Partage de fichiers avec CIFS
common Internet File System
Clients CIFS
Principes de base de la configuration
CIFS
Partages CIFS collaboratifs
S E R V I C E S A D M I N I S T R A T I O N 35
Accès aux partages CIFS
Accès graphique
#smbclient -L server.example.com -N
#smbclient //server/share -U user
smb>
#mount -t cifs //server/share -o
username=user
#Vi /etc/fstab
//server/share /ptmontage cifs defaults 0 0
S E R V I C E S A D M I N I S T R A T I O N 36
Configuration serveur CIFS
/etc/samba/smb.conf
[global]
workgroup= EXAMPLE
hosts allow= 192.168.0.
[homes]
[printers]
S E R V I C E S A D M I N I S T R A T I O N 37
Configuration serveur CIFS
/etc/samba/smb.conf
[shareEXample]
path= /data
comment= exporte data
browseable= no | yes
public= no | yes
valid users= joe, @developper
Writable=no | yes
Write list= @developper
S E R V I C E S A D M I N I S T R A T I O N 38
Utilisateurs CIFS
# useradd joe
#usermod -s /sbin/nologin joe
#smbpasswd -a joe
S E R V I C E S A D M I N I S T R A T I O N 39
CIFS et SElinux
#semanege fcontext -a -t samba_share_t '/shared(/.*)?'
#restorecon -vFR /shared
samba_enable_home_dirs:exporte les répertoires
personnels vers d'autres SEs
use_samba_home_dirs:permet de monter des répertoires
distant et de les utilser comme répertoires personnels
#setsebool -P samba_enable_home_dirs off
S E R V I C E S A D M I N I S T R A T I O N 40
Chapitre 7
Partage de fichiers FTP
S E R V I C E S A D M I N I S T R A T I O N 41
Zone de dépôt FTP
#vi /etc/vsftpd/vsftpd.conf
anon_upload_enable = yes
chown_upload = yes
chown_username= daemon
anon_umask = 077
S E R V I C E S A D M I N I S T R A T I O N 42
FTP et SElinux
Contexte des fichiers/ Répertoires
---> public_content_t
---> public_content_rw_t
Variables booléennes
#setsebool -P allow_ftp_anon_write on
S E R V I C E S A D M I N I S T R A T I O N 43