TuxWin - Linux

Problème d'accents sur Apache

Pierre — Mon, 19 May 2008 11:08:00 +0200

Pour palier de façon simple à l'affichage des caractères accentués dans sur un serveur LAMP il suffit d'éditer le fichier php.ini et de décommenter la ligne :

default_charset = "iso-8859-1"

MSSQL avec PHP5 sous LAMP

Pierre — Mon, 19 May 2008 10:46:00 +0200

Petit tuto pour se connecter à une base SQL sous LAMP

La distibution utilisé est une Debian 4

Il faut installer les outils pour les packages Debian :

apt-get install build-essential debhelper

Télécharger les sources pour PHP5 :

apt-get source php5

Obtenir les dépendances pour construire le package PHP5 :

apt-get build-dep php5

Ensuite il faut se rendre dans le répertoire PHP5 qu'on vient de télécharger :

cd php5-x.x.x/debian

Dans ce répertoire il faut éditer le fichier modulist et ajouter mssql MSSQL en dessous de mysql MySQL

Ensuite il faut éditer le fichier rules et ajouter –with-mssql=shared,/usr \ en dessous de –with-mysql=shared,/usr \

Ensuite il faut éditer le fichier control et ajouter ça à la fin :

Package: php5-mssql
Architecture: any
Depends: ${shlibs:Depends}, ${misc:Depends}, ${php:Depends}, php5-common (= ${Source-Version})
Description: MSSQL module for php5
This package provides a module for MSSQL using FreeTDS.
PHP5 is an HTML-embedded scripting language. Much of its syntax is borrowed
from C, Java and Perl with a couple of unique PHP-specific features thrown
in. The goal of the language is to allow web developers to write
dynamically generated pages quickly.

ensuite il faut se rendre un cran au dessus au niveau des dossiers et lancer :

dpkg-buildpackage

Cette commande compile et crée le package debian PHP5-mssql.deb

Ensuite il faut installer le package :

dpkg -i php5-mssql.deb

Et voilà le support de SQL Server est disponible sur un serveur LAMP

Exemple de connection avec mssql_connect :

$con = mssql_connect('IP' , 'User' , 'password') ;

Toutes les fonctions mssql sont reprises à cette adresse

Problème de config.inc.php

Pierre — Tue, 06 May 2008 15:24:00 +0200

Deux petits problèmes souvent rencontrés lors de changement de serveur ou de mot de passe mysql pour phpmyadmin

Lorsque que l'on change de serveur ou de mot de passe de la base mysql généralement on pense bien à modifier les fichiers de config d'apache et de php mais on oublie souvent de changer le config.inc.php pour phpmyadmin donc on va voir cela dans les deux cas :

Changement de serveur :

Il faut éditer le fichier config.inc.php de phpmyadmin et ensuite il faut localisé le paramètre suivant :

$cfg['Servers'][$i]['host'] = 'serveur';

Et donc il faut changer le paramètre "serveur"

Changement de mot de passe base :

Il faut éditer le fichier config.inc.php de phpmyadmin et ensuite il faut localisé le paramètre suivant :

$cfg['Servers'][$i]['password'] = 'password;

Et donc là il faut changer le paramètre "password"

Virtual hosts

Pierre — Tue, 15 Apr 2008 16:18:00 +0200

Voici une petite explication sur le fichier virtual hosts d'apache2

La question en ce qui concerne souvent le virtual hosts est comment heberger plusieurs sites avec des différents noms de domaines sur Apache2, donc on va voir ça.

Les Virtual Hosts sont des fichiers de configuration d’Apache2 qui indiquent au serveur où faire pointer la demande du nom de domaine ou de l'adresse IP qu’il reçoit.

Un site = un Virtual Host

Apache2 va rechercher les Virtual Hosts dans /etc/apache2/sites-available/ et /etc/apache2/sites-enabled/.

Le 1er répertoire contient le fichier Virtual Host et le second contient le lien symbolique au fichier.

Exemple :

On va créer un fichier qui s'apellera monsite1 dans /etc/apache2/sites-available/

Exemples de virtual host:

NameVirtualHost www.tuxwin.net
<VirtualHost www.tuxwin.net>
ServerAdmin pierre@tuxwin.net
DocumentRoot /var/www/monsite1/
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/monsite1/>
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
</Directory>
</VirtualHost>

NameVirtualHost www.tuxwin.net --> site par défaut.
<VirtualHost www.tuxwin.net> --> nom de domaine à surveiller.
ServerAdmin pierre@tuxwin.net -->l’email inscrit dans les messages d’erreur envoyés au client du serveur.
DocumentRoot /var/www/monsite1/-->racine du site.
<Directory /var/www/monsite1/> --> pareil que document root.
La directive Options indique ce qui est autorisé dans le répertoire
Indexes permet de lister le répertoire si aucun fichier prédéfini du style de index.html ou autre n’est présent.
FollowSymLinks permet de suivre les liens symboliques présent dans le répertoire (utile par exemple quand on a mis un lien pour accéder à son gestionnaire de base de données).
Multiviews permet l’affichage dans la langue du navigateur.
AllowOverride valorisé à None passe outre le .htaccess
Order définit l’ordre de lecture des droits
Allow from all permet que le serveur soit accessible de partout.

Maintenant on va rajouter le lien symbolique dans le répertoire /etc/apache2/sites-enabled/.
Donc il faut taper en ligne de commande:
a2ensite monsite1

Si on veux désactiver le site on tape a2disite monsite1

Pour plus d'info aller faire un tour sur la docs d'apache2

Fail2Ban

Pierre — Sun, 13 Apr 2008 13:42:00 +0200

Comment lutter contre les attaques brutes forces avec Fail2ban

Fail2ban lit les logs de divers serveurs (ssh, apache, ftp,...) à la recherche d'erreurs d'authentification répétées et ajoute une règle iptables pour bannir l'adresse IP de la source.
Vous pouvez télécharger fail2ban pour votre distribution à cette adresse

Pour l'installation c'est du classique il faut comme prérequis python par contre.

Après installation pour configurer fail2ban il faut éditer le fichier /etc/fail2ban/jail.conf

Par exemple pour configurer fail2ban pour le service SSH :

enabled = true
port = ssh,sftp
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

Il indique, par ordre, l'activation, les ports à bloquer avec les règles iptables, le nom du filtre (expression régulière) associé, le fichier de log à lire, le nombre maximal de tentatives.

Un certain nombre de services disposent de tels blocs de configuration, vous pouvez les activer en passant si besoin false à true.

Site officiel

Iperf

Pierre — Fri, 08 Feb 2008 16:26:00 +0100

Petit tuto sur l'installation et l'utilisation Iperf

Installation

Certaines distibutions linux intègre déja Iperf dans leurs sources lists par défaut donc dans ce cas lancer la commande pour installer Iperf (sous Fedora:yum install iperf)
Sinon vous pouvez télécharger les binaires sur le site officiel : http://dast.nlanr.net/

Utilsation

Iperf doit être lancé sur deux machines se trouvant de part et d’autre du réseau à tester. La première machine lance Iperf en “mode serveur” (avec l’option -s), la seconde en “mode client” (option -c). Par défaut le test réseau se fait en utilsant le protocole TCP (mais il est également possible d’utiliser le mode UDP avec l’option -u).

Pour lancer Iperf sur le serveur:

 iperf -s

Pour lancer Iperf sur le client:

 iperf -c @IP serveur

Sur un réseau local vous devriez donc obtenir une valeur proche de 100 Mbits/sec suivant vos équipements

Exemples pour un serveur FTP:

Côté serveur :

 iperf -s -u-p 21

Côté client :

 iperf -c @IP serveur -u -p 21 -l 8k -t 600 -f m

Sans option supplémentaire, le client Iperf va envoyer toutes les secondes pendant 10mn sur le port 21 du serveur un paquet de 8k.

Exemple de test en utilisant le protocole UDP

Côté serveur:

 iperf -s -u

Côté client:

 ipert -c <adresse IP du serveur> -u -b 512k

Ce couple de commandes va générer un test avec un flux réseau UDP de 512 Kbits/sec.

Pour plus d'info aller sur le site officiel

Routage statique sur linux Debian

Pierre — Fri, 08 Feb 2008 11:39:00 +0100

Petit tuto pour mettre interconnecter deux réseaux IP avec une Debian 4

Schéma fonctionnel :

Configuration des cartes réseaux :

les interfaces réseaux sont définies dans le fichier /etc/network/interfaces. Ce fichier comprend tout d’abord la définition des interfaces, puis les routes statiques si besoins. La configuration de ce fichier pour cet exemple donne ça :

auto eth1
iface eth1 inet static
address 192.168.0.129
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.103 (eth2)

auto eth0
iface eth0 inet static
address 192.168.8.1
netmask 255.255.255.0
network 192.168.8.0
broadcast 192.168.8.255

Activation du routage :

Pour que le routage entre les interfaces eth0 et eth1 deviennent effectif, il faut modifier le fichier /etc/sysctl.conf en y ajoutant le paramètre ou en décochant la case :

net.ipv4.conf.default.forwarding=1

Pour vérifier si vos routes sont bonnes:
faites route -n

Pour ajouter une route :
route add X.X.X.X mask 255.255.255.0 X.X.X.X

Pour ajouter une route statique dans /etc/network/interfaces la syntaxe est :
up route add -net X.X.X.X netmask 255.255.255.0 gw X.X.X.X

Ejecter une Bande avec Unix

Pierre — Fri, 28 Dec 2007 14:05:00 +0100

Commande pour éjecter une bande après sauvegarde avec Unix

Etant un peu fénéant et après l'avoir réalisé sur mes serveurs Windows je me suis attaquer au "problème" d'éjecter une bande sur Unix.

Après quelques petites recherches voici la ligne de code :

      tctl -f /dev/rmt0 offline

Bien sur /dev/rmt0 correspond à mon cas.

Tsclient sur OpenSuse

Pierre — Fri, 28 Dec 2007 13:56:00 +0100

Petit tuto pour installer Tsclient pour OpenSuse

Le RPM ne marchant pas chez moi (j'ai une OpenSuse 10.1) je vous donne une méthode pour installer Tsclient qui est quand même plus conviviale que rdesktop.

Tout d'abord il faut installer GCC le compiler qui va bien, une install par yast fera l'affaire

Télécharger le paquet source ici

Se rendre où on la télécharger, en ligne de commande sur le compte root :

il faut dézippez l'archive:

tar -xvzf tsclient-0.148.tar.gz

Se rendre dans le dossier sortie de l'archive:

cd tsclient-0.148
./configure
make
make install

Voilà vous pouvez maintenant vous servir de Tsclient

Sauve Mysql en PHP

Pierre — Mon, 05 Nov 2007 14:34:00 +0100

Comment sauvegarder une grosse base de données Mysql en PHP

Les bases de données Mysql atteignent parfois et mêmes souvent des tailles trop volumineuses pour être sauvegarder ou restaurer en utilisant PhpMyAdmin. Par défaut PHP est configuré avec un timeout de 30 secondes ce qui est un peu court pour les fichiers de bases de données de grosse taille (max_execution_time).

Donc voici deux petits scripts en PHP pour sauvegarder et restaurer des bases de données SQL

Paramètres

HOSTNAME : nom du serveur SQL
LOGIN : login utilisateur
PASSWORD : mot de passe utilisateur
BDDNAME : nom de la base de données

Sauvegarde.php
<?
echo "Votre base est en cours de sauvegarde.......<br \>";
system("mysqldump host=HOSTNAME user=LOGIN password=PASSWORD BDDNAME > backup.sql");
echo "Compression du fichier.....<br \>";
system("gzip backup.sql");
echo "Votre base est sauvegardé et compressé.";
?>

Restauration.php
<?
echo "Décompression du fichier.....<br \>";
system("gunzip backup.sql.gz");
echo "Votre base est en cours de restauration......<br \>";
system("mysql host=HOSTNAME user=LOGIN password=PASSWORD BDDNAME < backup.sql");
echo "Votre base est restauré.";
?>

Pour des raisons de syntaxe il faut rajouter -- devant host, user et password

Serveur OpenSSH

Pierre — Fri, 31 Aug 2007 17:30:00 +0200

Tuto simplifiée pour l'installation du serveur OpenSSH

Pour installer le serveur OpenSSH, installer le package nommé “openssh-server”. Nous allons utiliser la solution en ligne de commande, pour se faire, ouvrez un terminal en mode superutilisateur (Applications, Accessoires, Terminal).

Installation

apt-get install openssh-server

Vous pouvez dès à présent vérifier que votre serveur fonctionne en utilisant le client SSH mais avant, installer le si il n’est pas présent sur votre système :

apt-get install openssh-client

Vous devez pour vous connecter sur un serveur SSH avoir un compte UNIX sur ce même serveur. Si vous avez un compte nommé “user” avec comme mot de passe “password” et que votre serveur est joignable soit via l’adresse 192.168.0.100 ou serverssh.example.com vous devrez alors saisir les commandes suivantes sur votre client :

ssh -l user 192.168.0.100

user@192.168.0.100’s password:

ssh -l user serverssh.example.com

user@serverssh.example.com’s password:

Saisissez le mot de passe “password” (dans mon exemple) à chaque fois que vous voyez “password :” ce qui signifie que le serveur est en attente de votre mot passe afin de vérifier que le compte et le mot de passe existent. Pour modifier ce fichier vous pouvez utiliser un éditeur de texte graphique comme Gedit (Applications > Accessoires > Éditeur de texte) ou alors un éditeur en ligne de commande comme “vim”.

Paramétrage

Vous pouvez très bien utiliser la configuration du serveur SSH telle qu’elle est fournie ou alors la modifier pour qu’elle corresponde plus à vos exigences. Le fichier de configuration se trouve comme tout (presque) fichier de configuration dans le répertoire /etc. Le chemin exacte est /etc/ssh/ et se nomme sshd_config.

Parmi les différentes choses que vous pouvez faire, vous pouvez changer le port d’écoute du serveur (22 par défaut), demander au serveur de ne répondre qu’aux requêtes arrivant sur une adresse bien précise, autoriser ou non la connexion en “root” (administrateur), autoriser ou non les mots de passe vide… Toute ligne commençant par un # est considérée comme un commentaire, ce qui veut dire qu’il vous faudra enlever ce # pour que la ligne soit prise en compte lors de la lecture du fichier par le serveur.

Port 22 : vous pouvez changer ce numéro mais attention à ne pas prendre un numéro de port déjà utilisé par un autre service fonctionnant sur le serveur et surtout il faudra en informer les clients. La commande susmentionné plus haut deviendra ssh -l user -p XX 192.168.0.100

ListenAddress 0.0.0.0 : Si vous laissez cette option en l’état, votre serveur SSH sera joignable sur toutes les adresses qu’il possède. Si vous voulez qu’il n’attende les requêtes que sur une seul adresse ou carte réseau, vous devriez lui spécifier l’adresse à la place de 0.0.0.0. Ex : ListenAddress 192.168.0.100

PermitRootLogin yes : En laissant cette option avec la valeur “yes”, vous permettez l’accès à votre serveur via le compte “root” qui je vous le rappel est le compte administrateur du serveur. Si vous vous occupé d’un PC “sensible” préféré la connexion au serveur via un autre compte utilisateur et désactiver l’option en mettant la valeur “no”

PermitEmptyPasswords no : Cette option vous protège des accès utilisateurs qui auraient eu la mauvaise idée de créer des comptes sans mot de passe ce qui n’est absolument pas sécurisé même sur un PC personnel. Laisser cette option telle qu’elle est afin d’empêcher quiconque de se connecter sur votre serveur quand se compte sera dépourvu de mot de passe.

Subsystem sftp /usr/lib/openssh/sftp-server : Cette ligne vous permettra d’utiliser le serveur sftp inclut dans le package openssh-server. Commenter cette ligne pour désactiver le serveur sftp.

Openvpn, VPN SSL

Pierre — Thu, 30 Aug 2007 17:27:00 +0200

Petit tuto sur la mise en place d'un VPN SSL avec Openvn

Introduction

Le but est de créer un tunnel entre le client et le serveur pour que le client situé dans le réseau externe accède à mon réseau local.

Pour une communiquer avec un poste de mon LAN, le client passera donc par le tunnel jusqu’au serveur OpenVPN et sera ensuite routé sur mon LAN.

Installation

Avec OpenVPN, la notion de client et de serveur n’existe pas étant donné que c’est le même logiciel qui peut faire office de client ou de serveur. Dans mon cas, le serveur est installé sur une Debian 4 et les clients sont sous Windows XP ou Vista.

Installation du serveur sur Debian

OpenVPN

Paquet à installer :

apt-get install openvpn

OpenVPN permet à l’aide de l’outil « liblzo1 » de compresser les données passant dans le tunnel VPN pour limiter l’utilisation de la bande passante.

apt-get install liblzo1

OpenSSL

Pour sécuriser le tunnel VPN, OpenVPN utilise le programme OpenSSL :

apt-get install openssl

Installation des client sous Windows XP et Vista

Une version de OpenVPN avec interface graphique est disponible sur le site openvpn.se :

http://openvpn.se/download.html

La version stable actuelle est basée sur OpenVPN 2.0.9 et gui 1.0.3:

openvpn-2.0.9-gui-1.0.3-install.exe

Lancez l’installation en gardant les options par défaut. Lorsque l’on va vous demander d’installation un nouveau composant sur le système, faites « continuer ». Il s’agit de la carte réseau virtuelle « TAP-Win32 Adapter V8 ».

Il est possible de télécharger l’interface graphique en français:

openvpn-gui-1.0.3-fr.exe

Remplacer le fichier “C:\Program Files\OpenVPN\bin\openvpn-gui.exe” par celui que vous venez de télécharger.

Création de certificats et de clés

La partie la plus compliquée et la plus fastidieuse dans la mise en place d’un serveur OpenVPN concerne la génération des clés et des certificats. OpenVPN est livré avec plusieurs scripts permettant de générer plus facilement les clés et les certificats pour OpenSSL. Sous Linux ces scripts sont enregistrés dans le dossier « easy-rsa » :

cd /usr/share/doc/openvpn/examples/easy-rsa/

Sous Windows:

cd C:\Program Files\OpenVPN\easy-rsa

La manipulation suivante est réalisée sur le serveur, donc sous Linux pour moi.

Initialisation

Avant d’utiliser les scripts, il faut éditer le fichier « vars » pour initialiser les variables par défaut indiquées à la fin de ce fichier. Par exemple :

export KEY_COUNTRY=FR
export KEY_PROVINCE=France
export KEY_CITY=Valence
export KEY_ORG=homeunix
export KEY_EMAIL=”pierre@email.fr”

Une fois le fichier modifié, il faut initialiser les variables pour les scripts :

. ./vars

Le script suivant, permet de créer ou de réinitialiser le sous-dossier « keys » :

./clean-all

Création du certificat de l’autorité de certification (CA)

Le script suivant permet de créer dans « keys » le certificat principal du serveur « ca.crt » et la clé correspondante « ca.key » :

./build-ca

Pour les questions, la plupart des champs sont renseignés par défaut sauf le « Common Name » qu’il faut renseigner manuellement.

Création du certificat et de la clé pour le serveur OpenVPN

Le script suivant permet de créer dans « keys » le certificat « homeunix.crt » et la clé « homeunix.key » pour le serveur VPN nommé par exemple « homeunix » :

./build-key-server homeunix

Pour les questions, tous les champs sont renseignés par défaut sauf le « Common Name » qu’il faut renseigner manuellement. De plus il n’est pas nécessaire de renseigné le champ « password ».

Création du certificat et de la clé pour un client OpenVPN

Le script suivant permet de créer dans « keys » le certificat « user_pierre.crt » et la clé « user_pierre.key » pour le client VPN nommé par exemple « user_pierre» :

./build-key user_pierre

ATTENTION : il faut renouveler cette opération pour chaque client. Pour les questions, tous les champs sont renseignés par défaut sauf le « Common Name » qu’il faut renseigner manuellement. Exemple « pierre ». Chaque « Common Name » de chaque client doit être différent. Il n’est pas obligatoire de renseigné le champ « password ».

Création du paramètre Diffie Hellman

Le script suivant permet de créer dans « keys » le fichier « dh1024.pem » :

./build-dh

Création de la clé spéciale pour éviter les attaques dites “Man in the middle”

Attention : sur la ligne suivante, il n’y a pas d’espace entre les -

openvpn - -genkey - -secret keys/ta.key

Résumé des certificats et des clés Serveur

Le serveur a besoin de 5 fichiers:

Certificat du serveur de certification (CA) OpenSSL: ca.crt (non secret)
Clé du serveur de certification (CA) OpenSSL: ca.key (secret)
Certificat du serveur OpenVPN: homeunix.crt (non secret)
Clé du serveur OpenVPN: homeunix.key (secret)
Paramètre Diffie Hellman: dh1024.pem (non secret)
Clé d’autorisation pour accès au démon: ta.key (secret)

Ces 6 fichiers sont à copier sur le serveur OpenVPN dans /etc/openvpn/ :

cp ./keys/ca.crt /etc/openvpn/
cp ./keys/ca.key /etc/openvpn/
cp ./keys/homeunix.crt /etc/openvpn/
cp ./keys/homeunix.key /etc/openvpn/
cp ./keys/dh1024.pem /etc/openvpn/
cp ./keys/ta.key /etc/openvpnClient

Le client a besoin de 4 fichiers, à copier dans « C :\Program Files\OpenVPN\config », ces fichiers servant à l’authentification du client via OpenSSL :

Certificat du serveur de certification (CA) OpenSSL: ca.crt (non secret) Certificat du client OpenVPN: user_fred.crt (non secret) Clé du client OpenVPN: user_fred.key (secret) Clé spéciale contre attaque MITM: ta.key (secret)

Configuration Serveur

Création d’un utilisateur avec des droits limités pour OpenVPN

Pour limiter les risques d’attaques sur OpenVPN, il est important que le processus d’OpenVPN fonctionne sur un utilisateur n’ayant aucun droit sur le système. Souvent, l’utilisateur « nobody » est utilisé par défaut, mais il est encore plus sécurisant de faire tourner chaque processus avec un utilisateur différent. Donc, pour le processus OpenVPN, nous allons créer l’utilisateur « openvpn » :

groupadd openvpn
useradd -d /dev/null -g openvpn -s /bin/false openvpn

Fichier de configuration du serveur

Par défaut OpenVPN est fourni avec plusieurs fichiers d’exemples enregistrés dans le dossier :

/usr/share/doc/openvpn/examples/sample-config-files/

Pour configurer le serveur, je suis parti du fichier d’exemple « server.conf.gz », qu’il faut donc décompresser et mettre en place dans « /etc/openvpn » :

cd /usr/share/doc/openvpn/examples/sample-config-files/
gunzip server.conf.gz
cp server.conf /etc/openvpn/

Il suffit ensuite d’adapter ce fichier en fonction des besoins. La seule contrainte que je dispose est de vouloir faire passer le tunnel par un firewall d’entreprise. Ainsi j’ai choisi de passer en https (tcp et port 443). Voici donc la configuration de mon serveur:

Ports en écoute
port 443

TCP or UDP server?
proto tcp

==> port 443 + tcp = HTTPS

Type d’interface réseau virtuelle créée
dev tun

Nom des fichiers servant à l’authentification des clients via OpenSSL
ca ca.crt
cert homeunix.crt
key homeunix.key This file should be kept secret

dh dh1024.pem

tls-auth .ta.key 0

Adresse du réseau virtuel (Le serveur aura l’adresse 10.8.0.1)
server 10.8.0.0 255.255.255.0

Maintain a record of client <-> virtual IP address associations in this file. If OpenVPN goes down or is restarted, reconnecting clients can be assigned the same virtual IP address from the pool that was previously assigned.
ifconfig-pool-persist ipp.txt

Push routes to the client to allow it to reach other private subnets behind the server. Remember that these private subnets will also need to know to route the OpenVPN client address pool (10.8.0.0/255.255.255.0) back to the OpenVPN server.
push “route 192.168.1.0 255.255.255.0″

Les clients peuvent se voir
client-to-client
keepalive 10 120

Activation de la compression
comp-lzo

uset et group pour le processus
user openvpn
group openvpn

Ces lignes permettent de rendre persistante la connexion
persist-key
persist-tun

Output a short status file showing current connections, truncated and rewritten every minute.
status openvpn-status.log

Niveau de log
verb 1

Démarrage du serveur OpenVPN

La commande suivante permet de démarrer ou redémarrer le serveur :

/etc/init.d/openvpn restart

Ne pas hésiter à regarder dans les logs que tout c’est bien passé :

tail -100 /var/log/syslog

En cas de problème, et pour trouver l’origine de celui-ci il faut augmenter le niveau des logs en changeant le paramètre « verb » du fichier de configuration :

verb 3 : Suffisamment de logs dans la plupart des cas.
verb 9 : Énormément de logs.

Bien vérifier également que le processus tourne sous l’utilisateur « openvpn »

ps aux | grep openvpn

Pour finir, si tout c’est bien passé l’interface « tun0 » doit apparaître dans la configuration du réseau :

ifconfig … tun0 Lien encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet adr:10.8.0.1 P-t-P:10.8.0.2 Masque:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:100 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

Client Windows

Installation

L’installation ne pose aucun problème. Un simple avertissement lors de la création de l’interface.

Fichier de configuration du client

Pour éditer le fichier, il est possible de faire un clic droit sur l’icône « OpenVPN » situé à gauche de l’heure et de choisir l’option « Éditer la configuration ». Le fichier se trouve sous « C:\Program Files\OpenVPN\config\client.ovpn ». Voici l’exemple d’un fichier de configuration d’un client

client
dev tun
proto tcp
remote pierre.homeunix.net 443
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert user_pierre.crt
key user_pierre.key
tls-auth ta.key 1
comp-lzo
verb 3

Lancement du client graphique Windows

Pour lancer la connexion, il suffit de faire un clic droit sur l’icône « OpenVPN » situé dans le systray et de choisir l’option « Connecter ».

Si tout se passe bien, une fenêtre affichant les logs doit s’afficher. Selon la couleur de l’icône le statu de la connexion est différent:

vert: la connexion est fonctionnelle, jaune: il y a un problème (regarder les logs), rouge: connexion désactivée.

Une fois la connexion établie, il doit être possible de pinguer le serveur soit sur son adresse virtuelle (ex : 10.8.0.1 dans notre cas) soit sur son adresse réelle (ex : 192.168.1.209).

Routage

A cet instant le tunnel VPN SSL est operationnel. Cependant le client OpenVPN ne peut pas encore se connecter aux machines situés dans le réseau local.

Activation du routage sur le serveur OpenVPN

Pour cela, il faut activer le forwarding avec la commande suivante :

echo 1 > /proc/sys/net/ipv4/ip_forward

La commande suivante, permet de vérifier que le forwarding est bien activé :

cat /proc/sys/net/ipv4/ip_forward

Pour que la modification soit prise en compte au redémarrage, modifier le fichier /etc/sysctl.conf pour avoir:

net.ipv4.conf.default.forwarding=1

Pour info, sous Debian Etch le fichier /etc/network/options avec ip_forward=yes n’est plus d’actualité. Cette option fonctionne toujours mais vous obtiendrez un jolie message : /etc/network/options is deprecated (see README.Debian of netbase)..

Configuration des postes du réseau local

Actuellement, les clients OpenVPN connaissent l’existence du réseau 192.168.1.0/24 en passant par le serveur 10.8.0.1. Cependant les postes du réseau local ne connaissent pas le réseau 10.8.0.0/24.

Mon serveur VPN est à l’adresse 192.168.1.2, il faut ajouter une route manuellement sur chaque poste du réseau avec la commande suivante sous Windows :

C:\>route add 10.8.0.0 mask 255.255.255.0 192.168.1.2 -p

Pour ajouter une route sous Linux, il faut utiliser la commande suivante :

route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.1.2

Configuration de la gateway

Pour éviter de devoir ajouter manuellement sur chaque poste du réseau une route, il faut ajouter une route statique au niveau de la passerelle. Ainsi lorsqu’un utilisateur du LAN souhaite communiquer avec un noeud situé dans le réseau 10.8.0.0/24, il contacte sa gateway qui redirige le paquet sur le serveur OpenVPN.

Enfin dans le cas où le serveur se situe dans un réseau privé, et est donc derrière un NAT, il faut penser à faire la correspondance entre le port et le serveur sur la gateway. Dans mon cas il faut faire correspondre le port 443 au serveur 192.168.1.209.

Partage de fichiers sous Windows XP SP2

Par défaut, seuls les utilisateurs de son propre réseau peuvent accéder aux dossiers partagés. Il faut donc configurer le firewall pour permettre aux utilisateurs du réseau 10.8.0.0/24 d’accéder à ces partages.

Pure-FTPD

Pierre — Mon, 27 Aug 2007 17:15:00 +0200

Petit tuto sur l'installation et la configuration d'un serveur FTP et rappel sur le protocole

Introduction

Pure-ftpd est un serveur ftp libre, sécurisé, de qualité et répondant aux standard du protocole FTP. Il tourne sur de nombreux systèmes tel que Linux, FreeBSD, NetBSD, AIX, …..

Il possède de nombreux atouts tels que le “chroot” des répertoires, le choix des ports pour le téléchargement passif, le support du FXP (transfert entre deux serveurs FTP), le réglage de la bande passante, le support des ratios, le support de ldap / mysql / postgreSQL / SSL pour l’authentification, et bien d’autres choses encore.

Rappel

Le protocole FTP (File Transfer Protocol) est, comme son nom l’indique, un protocole de transfert de fichiers. Celui-ci a été créé en 1971, et à cette époque on ne se souciait guère de la sécurité des données. De nos jours le protocole FTP est très répandu et sa lacune envers la sécurité persiste. En effet par défaut toutes les données passent en clair sur le réseau (nom d’utilisateur/mot de passe et données).

Le protocole FTP agit au niveau de la couche 7 du modèle OSI, il est base sur un modèle client serveur avec authentification via nom d’utilisateur/mot de passe et écoute par défaut sur les ports 20 (données) et 21 (commandes).

Ftp et la sécurité

Nous avons vu que les données transitent en clair sur le réseau, cela signifie qu’une personne mal intentionnée peut récupérer très aisément des noms d’utilisateurs/mot de passe.

Voici donc quelques précautions à prendre lorsque vous mettez en place un serveur FTP (nous exclurons ici le fait que le serveur soit directement vulnérable) :

Éviter d’implémenter un serveur FTP dans un réseau non commuté (un réseau contenant des Hubs).
Éviter d’implémenter un serveur FTP sur un serveur comportant des services critiques (DNS, MAIL…).
Éviter d’implémenter un serveur FTP sur un serveur comportant des données critiques/confidentielles.
Bloquer le compte root afin qu’il ne puisse pas se connecter au serveur FTP.

Solutions adoptables pour renforcer la sécurité :

L’utilisation d’utilisateurs virtuels (Voir ci-dessous).
Combiner le FTP avec le système de cryptage SSL/TLS.

Intro aux utilisateurs virtuels

Dans le cas ou une personne mal intentionnée arrive a récupérer le nom d’utilisateur/mot de passe d’un utilisateur (ceci est désastreux dans le cas du compte root), celui-ci aura accès au serveur FTP mais pire encore celui-ci pourra le cas échéant se connecter physiquement ou via SSH sur la machine !!!

La notion d’utilisateurs virtuels est très simple, il s’agit d’un utilisateur pouvant se connecter uniquement via FTP. Toutes connexions locales, SSH… lui seront refusées. Cependant les utilisateurs doivent posséder un UID/GID pour que le système puisse savoir si celui-ci a le droit de lire/écrire tel fichier/répertoire…

La méthode utilisée est la suivante :

Les utilisateurs possèdent l’UID d’un utilisateur système existant, celui-ci est souvent nommé ftpuser et en général ne possède pas de shell (ni de mot de passe). Il est évidemment possible de créer un utilisateur virtuel possédant le même UID que votre utilisateur système courant (afin de garder les mêmes accès). Le même principe est utilise pour le GID.
Chaque utilisateur virtuel possède un profil unique contenant ses limites de bande passante, ses quotas, ses horaires d’accès…

Dans le cas où vous créez un utilisateur virtuel possédant le même nom d’utilisateur/UID que votre utilisateur système, il peut être intéressant de ne pas mettre le même mot de passe (changez une lettre ou un chiffre).

Installation

Nous allons procéder à l’installation de PureFTPd via les sources, cependant vous pouvez tout à fait l’installer via un système de packages (portage, dpkg, rpm…).

La première étape consiste à récupérer les sources sur le site officiel :

ftp://ftp.pureftpd.org/pub/pure-ftpd/releases/

Une fois téléchargé, la procédure d’installation est la suivante :

tar jxvf pure-ftpd-x.x.xxx.tar.bz2
cd pure-ftpd-x.x.xxx
./configure –option1 –option2 …
make install-strip

Par défaut, les binaires seront installés dans /usr/local/(bin|sbin). Des options sont utilisables, la liste complète est disponible en tapant :

./configure –help

Lancement du serveur

Un utilisateur/groupe système doit être crée afin que les utilisateurs virtuels puissent avoir une identité sur le système

Voici les 2 lignes nécessaires à la création de cet utilisateur/groupe :

groupadd ftpgroup
useradd -g ftpgroup -d /dev/null -s /bin/false ftpuser

L’utilisateur système ftpuser se pourra jamais se connecter au système (home directory et shell invalide).

PureFTPd se lance de cette manière :

/usr/local/sbin/pure-ftpd -option1 arg1 -option2 arg2 -option3 ….

Gestion des utilisateurs virtuels

Le fichier contenant les utilisateurs virtuels se nomme /etc/pureftpd.passwd, et voici son organisation :

Un utilisateur par ligne : <account>:<mot de passe>:<uid>:<gid>:<gecos>:<home directory>:<upload bandwidth>:<download bandwidth>:<upload ratio>:<download ratio>:<max number of connections>:<files quota>:<size quota>:<authorized local Ips>:<refused local Ips>:<authorized client IPs>:<refused client Ips>:<time restrictions> Les champs <account>, <mot de passe>, <uid>, <gid> et <home directory> sont obligatoires.

PureFTPd utilise la base de compte /etc/pureftpd.pdb qui est une version “compilée” de /etc/pureftpd.passwd.

Tout comme pour les utilisateurs système, il est possible d’ajouter/modifier/effacer un utilisateur à la main directement dans le fichier, cependant l’utilisation des commandes suivantes facilite cette tâche : La commande pure-pw permet d’administrer le serveur, elle s’utilise de la manière suivante :

pure-pw action (options)

Voici les différentes actions possibles :

useradd Ajouter un utilisateur virtuel.
usermod Modifier un utilisateur virtuel.
userdel Supprimer un utilisateur virtuel.
passwd Modifier le mot de passe d’un utilisateur virtuel.
show Afficher le profil d’un utilisateur virtuel.
list Lister tous les utilisateurs virtuels.
mkdb Recréer la base de données PureFTPd (/etc/pureftpd.pdb)

Les utilisateurs virtuels

Nous allons voir comment créer et gérer des utilisateurs virtuels.

Voici la syntaxe de la commande d’ajout d’utilisateur :

pure-pw useradd nom d’utilisateur options (-m)

A chaque ajout d’un utilisateur il faut recréer la base de données PureFTPd avec la commande :

pure-pw mkdb

L’ajout de l’option ‘-m’ lors de la création de l’utilisateur recrée automatiquement la base de données (plus besoin de taper ‘pure-pw mkdb’).

Exemple :

pure-pw useradd user1 -u ftpuser -g ftpgroup -d /ftp/ -y 3 -m

Cet exemple crée un utilisateur user1 ayant l’UID de ftpuser, le GID de ftpgroup, comme répertoire personnel /ftp/ (chroote) ainsi que trois connexions simultanées au maximum.

La commande suivante permet d’afficher les informations relatives à un utilisateur virtuel :

pure-pw show nom d’utilisateur

La commande suivante permet de lister tous les utilisateurs virtuels du système :

pure-pw list

Administration du serveur

La commande pure-ftpwho permet de lister les utilisateurs actuellement connectés au serveur ainsi que leurs actions.

La commande pure-mrtg info permet de exporter un fichier MRTG (Graphique) sur l’utilisation du serveur.

Le fichier de log des transferts est spécifié au démarrage du serveur, par exemple si vous lancez le serveur de cette manière :

pure-ftpd -option -option -O clf:/var/log/pureftpd.log

Intégration de suse dans AD

Pierre — Sun, 26 Aug 2007 19:00:00 +0200

Bon et bien voici un mini-tutoriel pour authentifier des clients linux sur un domaine 2003 et incorporer ces machines dans le domaine 2003.

Installer le client kerberos

Cela se fait simplement avec Yast dans les services réseaux. ATTENTION DE METTRE LE NOM DU DOMAINE PAR DEFAUT ET NOM DU DOMAINE DNS EN MAJUSCULE.

tester l’authentification kerberos : tapez kinit Administrateur et si vous recevez un ticket tout va bien !

Installer Samba

Via le client samba dans les service réseaux de Yast ça n’a jamais bien fonctionner chez moi alors je vous renvoie aux fichiers de configuration.

Voici les paramètres à mettre au minimum dans /etc/samba/smb.conf

''__Supposons que le domaine 2003 s’appelle DOMAINE.2003

(global)

; nom du domaine sous sa forme NT4

workgroup = DOMAINE

; indication que l’on travaille avec de l’active directory

security = ads

; nom DNS Du domaine 2003

realm = DOMAINE.2003

; les comptes du domaine 2003 se retouveront avec un uid de 10000 à 20000 dans ;/etc/passwd

idmap uid = 10000-20000

idmap gid = 10000-20000

; le shell par défaut pour les utilisateurs du doamien 2003

termplate shell = /bin/bash

; l’endroit où sera créé leur homedir (%U == nom de l’utilisiateur)

template homedir = /home/%U

; * signifie qu’il essaiera de se connecter au server 2003 qu’il trouvera sinon on peut mettre son ip

password server = *

; en test il est intéressant de le mettre à yes pour voir directement à la connexion ;graphique(xdm) les utilisateurs du domaine 2003

; en production no est préférable

winbind enum users = yes /no

; utile si vous n’avez qu’un seul domaine 2003

winbind use default domain = yes

On peut ensuite ajouter la machine linux au domaine 2003 avec la commande :

net ads join -U Administrateur__''

ATTENTION CHAQUE MACHINE LINUX QUE VOUS JOIGNER AU DOMAINE DOIT AVOIR UN NOM UNIQUE

A ce stade vous pouvez voir la machine linux dans votre active directory sous 2003 !

Winbind

Winbind va permettre de récupérer les comptes utilisateurs 2003. Installer-le via Yast

(module samba-winbind) relancez samba : rcsmb restart
relancez winbind : rswinbind restart

tapez wbinfo -uet vous verrez normalement vos utilisateurs 2003

modifier le fichier /etc/nsswitch.conf afin que l’authentification tienne compte de winbind

passwd : compat winbind group : compat winbind

tapez getent passwd et vous verrez vos utilisateurs 2003 dans /etc/passwd avec uid >= 10000

Login graphique (xdm)

Pour pouvoir vous logguez en mode graphique il faut impértativement avoir une homedir, il faut donc qu’elle se crée automatiquement au premier login pour les utilisateurs 2003

rajouter la ligne dans le fichier /etc/pam.d/xdm

session required pam_mkhomedir.so skel =/etc/skel umask=0077

Essayez de vous logguez en mode graphique

Remarques

En cas de problème : Vérifier que tous les service requis tournent (smb, winbind) et au pire relancez ces services (voir plus haut)

Pour accèder au réseau local (icone sur le bureau)

vérifier que nmb tourne : rcnmb restart
désactiver le firewall de suse dans Yast

Commandes linux

Pierre — Mon, 13 Aug 2007 18:39:00 +0200

Voici un petit panel de commandes linux, bien sur elles n'y sont pas toutes !!

Se déplacer dans un répertoire

cd.. : Remonte d’un niveau
cd/ : Retourne à la racine
cd- : Retourne au répertoire précédent

Lister les fichiers d’un répertoire

ls -l : Permet de lister les attributs des fichiers
ls -d : Affiche uniquement les répertoires
ls -a : Liste tous les fichiers du répertoire y compris les fichiers cachés.
ls -m : Affiche les fichiers en les séparant par une virgule.
ls -t : Affiche les fichiers par date.
ls -lu : Affiche les fichiers par date du dernier accès et indique la date.
ls -F : Affiche les fichiers par type
ls -S : Affiche les fichiers triés par ordre de taille décroissante.
ls -X : Affiche les fichiers par type d’extension
ls -r : Affiche les fichiers en ordre alphabétique inverse
ls -alR / : Affiche tous les fichiers d’un système
ls -alR |grep doc : Affiche tous les fichiers contenant doc

Copier un fichier ou un répertoire

cp : Demande s’il peut écraser le nom de fichier : répondre par Oui(y) ou Non (n)
cp -i : Avertit de l’existence d’un fichier du même nom et demande s’il peut ou non le remplacer.
cp -l : Permet de faire un lien en “dur” entre le fichier source et sa copie
cp -s : Permet de faire un lien “symbolique” entre le fichier source et sa copie
cp -p : Permet lors de la copie de préserver toutes les informations concernant le fichier.
cp -r : Permet de copier de manière récursive l’ensemble d’un répertoire et de ses sous répertoires
cp -b : Permet comme l’option -i de s’assurer que la copie n’écrase pas un fichier existant : le fichier écrasé est sauvegardé, seul le nom du fichier est modifié et cp ajoute un tilde(~) à la fin du nom de fichier

Supprimer des fichiers et répertoires

rm -d : Permet de supprimer un répertoire qu’il soit plein ou non
rm -r : Permet de supprimer un répertoire et ses sous répertoires
rm -f : Permet de supprimer les fichiers protégés en écriture et répertoires sans confirmation
rmdir : Supprime un répertoire
rmdir -p rep1/rep2/rep : Supprime le répertoire et ses sous répertoires associés

Créer des répertoires

mkdir : Crée un répertoire
mkdir -p rep1/rep2/rep3 :Crée un répertoire et ses sous répertoires associés

Recherche, analyse, modification de contenus

find / : Chercher a partir de la racine du fichier en cours
find -name : Spécifier un nom de fichier
find -print : Afficher le résultat a l’écran
find, locate et which :Retrouver un fichier
diff : Affichage des différences entre fichiers
cmp : Comparaison binaire
cat et more : Voir un fichier
sort : Tri des lignes
df : Emplacement du montage des systèmes de fichiers (partitions) et l’espace restant sur chacun d’eux
Sed : Permet d’appliquer des commandes sur un fichier et d’afficher le résultat (sans modification du fichier)
du : Donne la place du disque utilisée par le répertoire courant
wc : Comptage des mots, lignes ou caractères
file : Donne le type de fichier
grep -c : Trouver une expression rationnelle dans un fichier: (grep) donne le nombre de fois où l’expression rationnelle a été trouvée dans le fichier:
grep -n : Pour rechercher des expressions rationnelles commençant par un tiret

Autres commandes

pwd : Où suis-je ?
man (et nom de la commande): Rechercher des informations sur une commande.
which : Permet de connaître le chemin d’un exécutable
mdir : Affiche la liste des fichiers d’une disquette MS-Dos
mkmode : Crée un nom de fichier temporaire unique
emacs, joe : Éditer un fichier
ln : UNIX permet de créer plusieurs liens sur un même fichier avec la commande
who : Liste les utilisateurs connectés sur la station
free : Mémoire utilisée
clear : Efface l’écran
touch : Met à jour les dates d’accès des fichiers
logout : Permet de fermer son compte utilisateur
logname : Permet de savoir sous quel nom on est logué
tar : Archivage de données : la commande
q : quitte

Lister les fichiers d’un répertoire

ls -l : Permet de lister les attributs des fichiers
ls -d : Affiche uniquement les répertoires
ls -a : Liste tous les fichiers du répertoire y compris les fichiers cachés.
ls -m : Affiche les fichiers en les séparant par une virgule.
ls -t : Affiche les fichiers par date.
ls -lu : Affiche les fichiers par date du dernier accès et indique la date.
ls -F : Affiche les fichiers par type
ls -S : Affiche les fichiers triés par ordre de taille décroissante.
ls -X : Affiche les fichiers par type d’extension
ls -r : Affiche les fichiers en ordre alphabétique inverse
ls -alR / : Affiche tous les fichiers d’un système
ls -alR |grep doc : Affiche tous les fichiers contenant doc

Copier un fichier ou un répertoire

cp : Demande s’il peut écraser le nom de fichier : répondre par Oui(y) ou Non (n)
cp -i : Avertit de l’existence d’un fichier du même nom et demande s’il peut ou non le remplacer.
cp -l : Permet de faire un lien en “dur” entre le fichier source et sa copie
cp -s : Permet de faire un lien “symbolique” entre le fichier source et sa copie
cp -p : Permet lors de la copie de préserver toutes les informations concernant le fichier.
cp -r : Permet de copier de manière récursive l’ensemble d’un répertoire et de ses sous répertoires
cp -b : Permet comme l’option -i de s’assurer que la copie n’écrase pas un fichier existant : le fichier écrasé est sauvegardé, seul le nom du fichier est modifié et cp ajoute un tilde(~) à la fin du nom de fichier

Supprimer des fichiers et répertoires

rm -d : Permet de supprimer un répertoire qu’il soit plein ou non
rm -r : Permet de supprimer un répertoire et ses sous répertoires
rm -f : Permet de supprimer les fichiers protégés en écriture et répertoires sans confirmation
rmdir : Supprime un répertoire
rmdir -p rep1/rep2/rep : Supprime le répertoire et ses sous répertoires associés

Créer des répertoires

mkdir : Crée un répertoire
mkdir -p rep1/rep2/rep3 :Crée un répertoire et ses sous répertoires associés

Démarrage, Redémarrage et Arrêt

startx : demarrer Xwindows sous linux
reboot : redémarre de la machine
shutdown -r : arrête et redémarrer (rebooter).
shutdown -h : arrêter proprement linux.
exit : Déconnexion de l’utilisateur courant

Monter, démonter un système de fichiers

La commande mount est utilisée par linux dès son démarrage. Elle permet de monter un système de fichiers. Ce montage est parfois effectué automatiquement grâce au fichier de configuration /etc/fstab. Ce fichier contient tout ce que linux doit monter lors de son démarrage, mount n’est accessible que par root.

Commande d’administration système Linux

at : Commande permettant de lancer une autre commande ou un processus en différé.
cron : Outil logiciel disponible sous Unix permettant de lancer périodiquement les processus indiqués dans la crontab.
crontab : table contenant des commandes qui doivent être exécutées périodiquement. C’est le programme cron qui lance la commande. Les périodes peuvent être des heures (cron.hourly), des jours (cron.daily), des semaines (cron.weekly) ou des mois (cron.monthly).
chmod : Placer les droits d’utilisation des fichiers
chown : Désigner l’utilisateur et le groupe propriétaire des fichiers
adduser : Ajouter un utilisateur
passwd : Spécifier ou modifier un mot de passe
chfn : Décrire un utilisateur
userdel : Supprimer un utilisateur
mount : Utiliser votre CD-ROM, votre lecteur de disquette
shutdown -h : Arrêter le système
mkbootdisk (device /dev/fd0 2.2.13-4.mdk): Crée une disquette de Boot
lilo -u : Désinstalle LILO

Messages systèmes

cat /proc/interrupts : Affiche les IRQ utilisés
cat /proc/ioports : Affiche les ports I / O utilisés
cat /proc/dma : Affiche l’utilisation des canaux DMA
cat /proc/pci : Affiche l’utilisation des ports PCI

Gestion des processus

top : permet de suivre les ressources que le processus utilise
ps : permet de connaître les processus actifs à un moment donné
pstree : permet d’afficher les processus sous forme d’arborescence et donc de voir leurs interdépendances
kill : Permet de tuer un processus en court : syntaxe kill option PID.

Pour tuer le processus, je peux d’abord faire unps -ax pour connaître le numero du PID et ensuite si par exemple le PID est 3600, je peux tuer la connexion en faisant : root@localhost/root# kill 3600

Dhcp sous fedora

Pierre — Fri, 10 Aug 2007 18:48:00 +0200

Petit tuto sur l'installation d'un serveur Dhcp sous Fedora

Installation

Lancez la commande suivante en root :

 yum install dhcp

Configuration

On va ensuite configurer le fichier /etc/dhcpd.conf (à adapter selon vos besoins) :

Options diverses

 ddns-update-style none;

 ignore client-updates;

 authoritative;

Adresse du reseau et son masque

 subnet 192.168.0.0 netmask 255.255.255.0

Les clients auront cette adresse comme passerelle par defaut

 option routers 192.168.0.1;

Masque de sous-reseau

 option subnet-mask 255.255.255.0;

On donne le nom du domaine

 option domain-name “test.lan”;

Adresse des serveurs DNS

 option domain-name-servers 212.27.53.252;

 option domain-name-servers 212.27.54.252;

La plage d’adresses disponible pour les clients

 range 192.168.0.2 192.168.0.200;

Et l’adresse utilisee pour la diffusion

 option broadcast-address 192.168.0.255;

Le bail a une duree de 86400 s par defaut, soit 24 h

 default-lease-time 86400;

On le laisse avec un maximum de 7 jours

 max-lease-time 604800;

Ici on indique que l’on veut toujours attribuer la meme adresse ip a une machine

(les XX:XX sont a remplacer par l’adresse mac)

host xblade {hardware ethernet XX:XX:XX:XX:XX:XX; fixed-address 192.168.0.175;}
host helios {hardware ethernet XX:XX:XX:XX:XX:XX; fixed-address 192.168.0.188;}

Il ne nous reste plus qu’à tester la config et démarrer le serveur :

 /etc/init.d/dhcpd configtest

 /etc/init.d/dhcpd start

En cas de problème, n’hésitez pas à consulter le log d’erreurs :

 cat /var/log/messages | grep dhcp

Test de la configuration

Pour tester votre serveur, branchez votre machine cliente sur le réseau et lancez la commande suivante si le système d’exploitation installé est un linux :

 dhclient

Ou sous Windows, dans une boite de dialogue DOS :

 ipconfig /release

Et si tout fonctionne bien, vous devriez récupérer une adresse ip et les adresses des serveurs DNS.

Gestion des droits sur linux

Pierre — Thu, 09 Aug 2007 18:50:00 +0200

Voici un petit récapitulatif des droits sur un système qui me tient à coeur

Linux est un système multi-utilisateur. Cela signifie que plusieurs personnes peuvent utiliser l’ordinateur simultanément (et pas uniquement les unes à la suite des autres), et que le système se charge de faire respecter la loi entre elles. Les ressources de la machine sont ainsi partagées équitablement, tant au niveau de la puissance de calcul qu’au niveau de la mémoire, du disque, des imprimantes… Cela implique une gestion avancée de la sécurité, qui est assurée par le noyau et par le système de fichiers.

Au niveau du noyau :chaque utilisateur est identifié de manière unique par un numéro (uid) dans le système. Ce numéro est utilisé pour vérifier les droits de l’utilisateur, autrement dit, ce qu’il peut faire. Les droits des utilisateurs comprennent la possibilité de lire ou écrire un fichier, d’accéder ou non à une ressource ou d’exécuter un programme. Il est également possible de créer un ou plusieurs “groupes” d’utilisateurs, et de donner des droits particuliers à ces groupes. Tous les utilisateurs qui font partie de ce groupe recevront les droits du groupe.
Au niveau système de fichier :chaque fichier linux est associé à un descripteur (i-node) qui contient un certains nombre de renseignement : identification du propriétaire, adresse des blocs utilisés par le fichier, sa taille en octets, son type, sa date de création … La commande linux : ls -l permet d’en avoir un aperçu des droits

  ls -l /mnt/multimedia/test.mp3

  -rwxrwxrwx 1 kernel users 3.8M jun 2 2001 /mnt/multimedia/test.mp3

Le Type de fichier :

C’est le “-” qui indique qu’il s’agit d’un fichier ordinaire. Linux distingue 4 types de fichiers :

Les fichiers ordinaires (-) : Se sont tous les fichiers courants, .txt, .doc, .mp3 .jpeg ou même sans extensions.
Les fichiers spéciaux (c ou b) : Se sont les fichiers associés aux périphériques ils sont localisés dans /dev/
Les répertoires (d) : Un répertoire est un fichier qui permet de référencer d’autres fichiers. Il est constitué d’une liste de couples (nom, index d’un i-node) qui permet d’accéder à un fichier à partir de son nom. Il possède en particuliers 2 couples : “.” lui-même et “..” son répertoire père. Petite exception pour / pour qui “.” et “..” font référence à lui-même.
Les liens (l) : Un lien permet d’accéder à un même fichier ou répertoire en utilisant un nom différent.

Les droits “classiques” :

Les droits “classiques” sont représentés par “rwxrwxrwx” de l’exemple plus haut. Vous remarquerez qu’il y’a 3 fois la même série de lettres : rwx. Les droits d’accès à un fichier vont être donnés :

Au propriétaire du fichier, à qui correspondent les 3 premières lettres. Dans mon exemple plus haut l’utilisateur était “kernel”.
A un des groupes auquel appartient le propriétaire (les 3 lettres du milieu), Dans mon exemple plus haut le groupe était “users”
A tous les autres utilisateurs (les 3 dernières lettre)

Ces droits se décomposent en 3 niveaux :

Accès en lecture (r) : les utilisateurs autorisés peuvent visualiser le fichier ou le répertoire, ils peuvent copier le fichier vers un autre répertoire (la copie devient alors leur propriété).
Accès en écriture (w) : les utilisateurs autorisés peuvent modifier le fichier ou le détruire. Dans le cas d’un répertoire ils peuvent manipuler (créer, copier, déplacer ou détruire) son contenu.
Accès en exécution (x) : les utilisateurs autorisés peuvent exécuter le fichier. Si vous êtes un nouvel arrivant sur la banquise, cette notion est très importante. Il n’y a pas de .exe sous linux/unix, pour s’exécuter un programme a besoin d’avoir le bit exécutable à 1.

Tous ces droits sont évidement géré par des bits codés dans l’i-node du fichier. Si le bit d’un des 9 champs est à 1 alors la lettre correspondante est affichée sinon c’est “-”. Quelques exemples :

-rwxr-xr-x : accès plein droit pour l’utilisateur, lecture/exécution pour les membres du groupe de l’utilisateur idem pour les autres.
-r——– : accès en lecture seule pour l’utilisateur et accès interdit aux reste du monde (sauf root, c’est qui root ?)

Comme vous le savez il n’y a pas de règle sans exception, dans notre cas l’exception c’est root, mais c’est qui root ? root c’est l’administrateur mais en réalité c’est “Dieu”. Il a à peu près tous les droits même celui du tuer le système. Vous devez donc être très gentil avec lui, sinon gare à sa colère. Si vous avez la possibilité de vous loguer en root, je vous conseille de limiter cela au tâches d’administration du système, une erreur est si vite arrivée.

La commande chmod :

La commande chmod permet de modifier les droits d’accès à un fichier. Un utilisateur ne peut modifier les droits que des fichiers qui lui appartiennent. Sauf root bien-sûr. Les droits sous linux sont repérés par une série de 3 valeurs octales. La première correspond au propriétaire, la seconde au groupe associé et la dernière au reste de la planète. Pour chaque catégorie d’utilisateur l’accès en lecture vaut à 4, l’accès en écriture vaut à 2 et l’accès en exécution 1. Quelques exemples :

Pour avoir -rwxrwxrwx sur test.mp3 je dois taper :

  chmod 777 test.mp3

Pour avoir -rwxr-xr-x sur test.mp3 je dois taper :

  chmod 755 test.mp3

Pour avoir -r——– sur test.mp3 je dois taper :

  chmod 400 test.mp3

Les droits spéciaux :

Trois fois trois font neuf, le compte est bon me direz-vous ? vous auriez tort, car en réalité c’est trois fois quatre qui font douze. Il existe sous linux des droits spéciaux. C’est ce qui permet par exemple que dans le répertoire /tmp auquel tout le monde a un accès plein droit, vous ne pouviez néanmoins supprimer les fichiers des autres utilisateurs.

Droits spéciaux sur les fichiers :

setuid :Un fichier exécutable par son propriétaire, peut être setuid. C’est à dire qu’il s’exécute avec les droits de son propriétaire et non ceux de celui qui le lance. C’est d’ailleurs parce que “passwd” est setuid que vous pouvez modifier votre mot de passe avec “passwd” (ecrire dans /etc/passwd ou /etc/shadow).
setgid : De la même façon, un exécutable peut être setgid, et s’exécuter avec les droits du groupe auquel il appartient.
sticky bit : Enfin, un exécutable peut être “sticky” : cela signifie qu’il reste en mémoire même après la fin de son exécution, pour pouvoir être relancé plus rapidement. Attention seul root peut positionner le sticky bit.

Droits spéciaux sur les répertoires :

Il n’y a pas de setuid pour les répertoires, en revanche,

setgid :Quand un répertoire est setgid, tous les fichiers créés dans ce répertoire appartiennent au même groupe que le répertoire. C’est utilisé par exemple quand plusieurs personnes travaillent sur un projet commun.
sticky bit :Quand on positionne le sticky bit pour un répertoire, un utilisateur ne peut effacer que les fichiers qui lui appartiennent dans ce répertoire. C’est ce qui est utilisé pour le répertoire /tmp

chmod :

La logique est la même que précédemment, il suffit de rajouter une 4 ème valeur octale, telle que setuid vaille 4, setgid vaille 2 et sticky bit vaille 1. Si vous ne souhaitez pas jouer avec les droits spéciaux, faites un chmod avec 3 chiffres (par défaut les droits spéciaux conserveront leurs valeurs). Mais si vous souhaitiez par exemple que le contenu du répertoire /mnt/projet appartienne au groupe propriétaire du répertoire mais qu’en sus chacun ne puisse que ses fichiers, vous pouvez taper :

  chmod 3777 /mnt/projet

Notez que c’est la colonne la plus à gauche qui code les droits spéciaux.

Mise en place d'un raid logiciel sur Debian

Pierre — Tue, 31 Jul 2007 18:47:00 +0200

Petit tuto pour réaliser un raid 5 sur Debian en comprenant le raid

Petit cours

Ce système nécessite impérativement un minimum de trois disques durs. Ceux-ci doivent généralement être de même taille, mais un grand nombre de cartes RAID modernes autorisent des disques de tailles différentes.

La capacité de stockage utile réelle, pour un système de n disques de capacité c identiques est de (n − 1).c. En cas d’utilisation de disques de capacités différentes, on utilisera dans la formule précédente la capacité minimale.

Ainsi, trois disques de 100 Go en RAID 5 offrent 200 Go utiles ; dix disques, 900 Go utiles.

Ce système allie sécurité (grâce à la parité) et bonne disponibilité (grâce à la répartition de la parité), même en cas de défaillance d’un des périphériques de stockage.

Un système RAID 5 doit donc absolument être vérifié et sauvegardé très périodiquement pour s’assurer que l’on ne risque pas de tomber sur ce genre de cas.

Avantages :

performances en lecture aussi élevées qu’en Raid 0, sécurité accrue
surcoût minimal (capacité totale de n-1 disques sur un total de n disques)

Inconvénients :

pénalité en écriture du fait du calcul de la parité
minimum de 3 disques

Installation

Créer une nouvelle partition

Seul les Options que je citerai devront être changées, le reste devra garder les valeurs par défaut. Bien sûr, les plus expérimentés choisiront la valeur qui leur semblera la meilleure.

/boot (Ici 1 Go), DEBUT DE L’ESPACE LIBRE ( Je suppose que le disque est vierge et que les partitions vont se suivre ).

SYSTEME DE FICHIER JOURNALISE : ext3

POINT DE MONTAGE : /boot

INDICATEUR D’AMORCAGE : Présent

(Très important: si vous ne sélectionnez pas l’option PRESENT dans l’indicateur d’amorçage pour la partition /boot, Grub ne pourra pas s’installer, et Ubuntu ne pourra démarrer)

Créer une nouvelle partition

Ici nous allons créer une partition de 1 Go qui sera utilisée pour la partition d’échange appelée SWAP.

UTILISER COMME : espace d’échange SWAP

INDICATEUR D’AMORCE : absent

(Seul la partition /boot a besoin d’un indicateur d’amorce pointant sur PRESENT).

Créer un nouvelle partition

Ici nous allons créer notre VOLUME RAID (toujours pour le 1er disque dur).

Taille : 16.2 Go

UTILISE COMME : Volume physique RAID INDICATEUR D’AMORCE : absent

Partitionnement du second disque dur

Pour ne pas créer un gros décalage entre les deux disques durs, nous allons créer une partition de 2 Go que l’on ne va pas formater afin d’équilibrer les partitions..

Créer une nouvelle partition

Ici nous allons créer une partition de 2 Go qui ne sera pas utilisée

UTILISER COMME : Ne pas utiliser

Créer un nouvelle partition

Ici également, nous allons créer un VOLUME RAID

Taille : 16.2 Go

UTILISE COMME : Volume physique RAID INDICATEUR D’AMORCE : absent

Partitionner les autres disques durs de la même manière

Menu principal

- Configurer le RAID LOGICIEL > oui

- Créer un périphérique Multidisque > RAID 5

Maintenant sélectionner les disques durs et appuyer sur entrée (dans mon cas il y en a 3) Ensuite sélectionner le disque de hot spare (dans mon cas il n’y en a qu’un)

Terminer

Dans le menu principal vous pouvez vous apercevoir qu’il existe maintenant un :

- Périphérique RAID5 de 36.4 Go

Considérez que ce PERIPHERIQUE RAID 5 est un DISQUE DUR de 36.4 Go et créez par exemple un point de montage / en ext3 puis démarrez l’installation….