1 D éploiement, M ise à jour, D urcissement de solutions libres sur un réseau Louis Nicolas ARSON Soutenance EFREI – Stage technique I2 le Jeudi 4 Aout

2 Plan Présentation d'Aptoa Ma mission Description & environnement. Pourquoi réaliser cette étude ? Le déploiement Fondamentaux Le boot des hôtes par le réseau Choix de Debian L'outil FAI [technique] Configuration du serveur Configuration des clients Résumé Durcissement Conclusion Présentation Aptoa - Ma mission - Le déploiement - L'outil FAI - Durcissement - Conclusion

3 Présentation Aptoa Le groupe Altitude : Fig : Synergie du groupe Altitude Présentation Aptoa - Ma mission - Le déploiement - L'outil FAI - Durcissement - Conclusion

4 Présentation Aptoa L'entreprise Aptoa : SSII orientée « Système et Réseaux » Marque commerciale crée en 2004 Origine : CSI (Conseil Service Informatique) 1990 Agence de Rouen, travaillant sur toute la Normandie. 3 Axes majeures 58 salariés Un directeur Une assistante de direction Deux commerciaux 54 Ingénieurs/techniciens Fig : Les 3 axes majeurs d'Aptoa Présentation Aptoa - Ma mission - Le déploiement - L'outil FAI - Durcissement - Conclusion

5 Ma mission Description & Environnement Le but d'aptoa : Pouvoir bénéficier de méthodes d'installation et configuration de poste de travail « Linux » sur un réseau. Ma mission : Rédiger des méthodes d'installation automatiques (déploiement) de poste de travail Linux. Rédiger une méthodes pour mettre à jour ces postes. Rédiger une méthode pour durcir (configurer) les postes. Environnement : Trois ordinateurs en réseau local (laboratoire) + Internet. Présentation Aptoa - Ma mission - Le déploiement - L'outil FAI - Durcissement - Conclusion

6 Ma mission Pourquoi réaliser cette étude ? Rester ouvert aux nouvelles technologies venant du monde « Libre ». Volonté de pouvoir répondre à des offres « postes de travail Libre ». Enrichir des compétences diverses sur les environnements « Linux ». (aussi bien du coté serveur que client) Pouvoir proposer plus de services, et outils au clients. Présentation Aptoa - Ma mission - Le déploiement - L'outil FAI - Durcissement - Conclusion

7 Déploiement : Fondamentaux Le déploiement est l'installation automatique de systèmes d'exploitations sur des ordinateurs en réseau. Matériel : Un serveur d'installation configuré. Un(des) client(s) à installer. Un réseau. Le déroulement en 3 étapes : Un client boot sur un média (disquette, cdrom ou carte réseau) Echange d'information avec le serveur d'installation. L'installeur du système d'exploitation se lance. Présentation Aptoa - Ma mission - Le déploiement - L'outil FAI - Durcissement - Conclusion

8 Déploiement : Le boot des hôtes par le réseau La méthode classique : BIOS boot séquence : -Disquette -CD-Rom -Disque dur ON - Démarage de l'installation PXE : Preboot eXecution Environment Crée par Intel Option des cartes réseaux (universel aujourd'hui) Permet le boot de l'ordinateur sur le réseau. Lancement de l'installation, juste après le boot. La méthode Boot Réseau : BIOS boot séquence : -Disque dur -Network (PXE activé) ON - Démarage de l'installation - Active le choix de la séquence Choisir (network) Présentation Aptoa - Ma mission - Le déploiement - L'outil FAI - Durcissement - Conclusion

9 Serveur - Boot + F12. - Active la séquence de boot : Choisir réseau - Requête DHCP - Serveur DHCP : reconnaîssance de - Attribution d'une IP, gateway... + envoie fichier : 01:02:03:04:05:06 IP= ;DNS= ;... Client - Réception des informations et du fichier pxelinux.0 (pxe linux bootloarder) - Requête TFTP au serveur. Req TFTP. Déploiement : Le boot des hôtes par le réseau : PXE Présentation Aptoa - Ma mission - Le déploiement - L'outil FAI - Durcissement - Conclusion

10 - Identification dans l'espace TFTP grâce à l'IP du client. en hexa C0A80032) - Envoi des fichiers contenus dans le fichier de configuration. vmlinuz (noyau) + initrd.(image de boot) - Décompression et lecture du noyau, - Chargement des modules - Montage des partition NFS d'installation. ServeurClient Req mountd NFS - Autorisation de monter le répertoire d'installation. NFS=Ok. - Validation du fichier de configuration. - Début de l'installation. Déploiement : Le boot des hôtes par le réseau : PXE Présentation Aptoa - Ma mission - Le déploiement - L'outil FAI - Durcissement - Conclusion

11 Debian : Distribution « internationnale » Distribution « non-commerciale » Organisation à but non lucratif Un millier de développeur répartis sur la planète. Réputé très stable. 11 architectures (Intel, PowerPc, Amd64, Sparc...) Déploiement : Outils utilisable pour Debian : FAI (fichiers de configuration) m23 (Serveur web, gestion de clients simple) System Imager (clonage d'un poste) Choix de l'outil : FAI (Fully Automatic Installation) Raisons : mise à jour régulièrement, 4 ans de développement, très complet. Déploiement : Le choix « Debian » Présentation Aptoa - Ma mission - Le déploiement - L'outil FAI - Durcissement - Conclusion

12 L'outil FAI [Technique] Situation Sur le serveur : Service DHCP Service TFTP Service NFS Service FTP Fig : Installation des services du serveur Présentation Aptoa - Ma mission - Le déploiement - L'outil FAI - Durcissement - Conclusion

13 l /home/debmirror/ drwxr-xr-x debian drwxr-xr-x debian-security Les sources d'installation : l /etc/fai/ -rw-r--r-- fai.conf -rw-r--r-- make-fai-nfsroot.conf -rw-r--r-- sources.list Espace de configuration du serveur : ls /usr/lib/fai/nfsroot/ bin dev fai initrd media opt root srv tmp var boot etc home lib mnt proc sbin sys usr Racine d'installation montable par NFS (env 250 Mo) : Script de génération L'outil FAI [Technique] Configuration du serveur Présentation Aptoa - Ma mission - Le déploiement - L'outil FAI - Durcissement - Conclusion

14 l usr/local/share/fai drwxr-xr-x class drwxr-xr-x debconf drwxr-xr-x disk_config drwxr-xr-x files drwxr-xr-x package_config drwxr-xr-x scripts Espace de configuration des clients : Définition des classes : L'outil FAI [Technique] Configuration des clients : L'espace de configuration Présentation Aptoa - Ma mission - Le déploiement - L'outil FAI - Durcissement - Conclusion

15 more package_config/GNOME PACKAGES install gnome-desktop-environment gdm evince mozilla-firefox mozilla-firefox-locale-fr-fr mozilla-locale-fr evolution gftp PACKAGES remove gnome-games epiphany-browser PACKAGES aptitude GRUB grub lilo- PACKAGES aptitude LILO lilo grub- L'outil FAI [Technique] Configuration des clients : Les paquets à installer Présentation Aptoa - Ma mission - Le déploiement - L'outil FAI - Durcissement - Conclusion

16 ls files/root/EQUIPE/ ROUGE BLEU more files/root/EQUIPE/ROUGE #Je suis dans l'équipe ROUGE ! ;-) more files/root/EQUIPE/BLEU #Je suis dans l'équipe BLEU ! ;-) Les scripts sont rangés par classe : ls scripts/ROUGE/ 12-fcopy ls scripts/BLEU/ 12-fcopy #! /bin/sh fcopy -iM /root/EQUIPE Les scripts 12-fcopy de BLEU et 12-fcopy ROUGE sont identiques : L'outil FAI [Technique] Configuration des clients : Les scripts de configuration Le client rouge aura le fichier /root/EQUIPE tel que : more /root/EQUIPE #Je suis dans l'équipe ROUGE ! ;-) Présentation Aptoa - Ma mission - Le déploiement - L'outil FAI - Durcissement - Conclusion

17 Installation entièrement automatisée Installation sans surveillance et rapide (moins de 15 min) Booter sur disquette ou sur la carte réseau Le noyau d'installation peut utiliser des modules Toute la configuration commune est partagée par tous les clients Les fichiers de log pour toutes les installations sont sauvegardés sur le serveur d'installation Les scripts Shell, perl, expect et cfengine sont supportés Accès à un miroir Debian via NFS, FTP ou HTTP Système flexible grâce au concept de classes Détection de matériel automatique Autres : Controle de l'installation par ssh Deux terminaux virtuels complémentaires sont disponibles pendant l'installation Supporte les clients sans disque Support de LILO et GRUB L'outil FAI [Technique] Résumé Aller à Cfegine Présentation Aptoa - Ma mission - Le déploiement - L'outil FAI - Durcissement - Conclusion

18 Durcissement : Principe : Sécuriser le poste client pour que l'utilisateur (ou un attaquant) ne puisse pas compromettre un poste client ou le réseau. Actions : Installer le dernier noyau. (éventuellement avec patch de sécurité) Configurer l'interface graphique. (gnome, kde...) Configurer les services externe (http, nfs, ftp...) Interdire les consoles (terminaux) Présentation Aptoa - Ma mission - Le déploiement - L'outil FAI - Durcissement - Conclusion

19 J'ai aimé : Travailler sur Linux. Me documenter. Réaliser des maquettes Travaillé dans une PME SSII Le contexte « d'étude » J'ai regretté : Le contexte « d'étude » Le temps passé à rédiger. Conclusion Présentation Aptoa - Ma mission - Le déploiement - L'outil FAI - Durcissement - Conclusion

20 Conclusion Bilan le 4 Aout 2005 : 3 Méthodes rédigés (installation & mise à jour de Debian, Fedora et Suse) 1 Méthodes d'administration cfengine. Tests & rédaction du « durcissement » en cours. Expériences : Développement des mes compétences personnelles sur Linux. (Documentation importante.) Rédaction de méthodes. Questions ? Présentation Aptoa - Ma mission - Le déploiement - L'outil FAI - Durcissement - Conclusion

21 (plus) Administration Cfengine : Serveur d'administration réseau Linux. Scripts de configuration sur le serveur. Mise à jours des clients automatique ou Mise à jours des clients en mode PUSH Actions : Modification de fichiers Suppression de fichiers/répertoires Ajout de fichiers/répertoires Exécution de commandes shell Configuration service. Surveillance des fichiers... Retour