ADMINISTRATION DES RESEAUX INFORMATIQUES SOUS LINUX INSTITUT SUPERIEUR D’INFORMATIQUE ET DE GESTION ADMINISTRATION DES RESEAUX INFORMATIQUES SOUS LINUX Par WILFRED MUSHAGALUSA Me Ir en Génie-Informatique Copy left ANNEE 2012 – 2013 PROMOTION : L2 INFORMATIQUE DE GESTION

INTRODUCTION ET GENERALITES Linux ou GNU/Linux est un système d'exploitation libre fonctionnant avec le noyau Linux. C'est une implémentation libre du système UNIX respectant les spécifications POSIX. Ce système est né de la rencontre entre le mouvement du logiciel libre et le modèle de développement collaboratif et décentralisé via Internet. Son nom vient du créateur du noyau Linux, Linus Torvalds. Linux est le système le plus utilisé sur les super-ordinateurs et les smartphones. Sur les serveurs informatiques, le marché est partagé avec les autres Unix et Windows. Il est largement utilisé comme système embarqué dans les appareils électroniques : télévision, modem, GPS, etc. Il reste en revanche minoritairement utilisé sur sa plate-forme d'origine, les ordinateurs personnels. Le système avec toutes ses applications est distribué sous la forme de distributions Linux comme Ubuntu, Red Hat Enterprise Linux, Debian et Slackware.

Richard Stallman, initiateur du projet GNU visant à écrire un système d'exploitation entièrement libre Le 27 septembre 1983, Richard Stallman dévoile dans la pure tradition hacker son projet de développer un système d'exploitation compatible Unix appelé GNU[1], en invitant la communauté hacker à le rejoindre et participer à son développement. Cette annonce succède à la « guerre » déclarée par Symbolics au laboratoire d'intelligence artificielle du Massachusetts Institute of Technology (MIT) et à la disparition de la communauté hacker Lisp. Il annonce que le système pourra être utilisé et partagé librement par tous comme c'est le cas avec l'éditeur de texte Emacs. Concrètement il relate l'effort à accomplir, dont on distingue déjà en 1985 certaines pièces maîtresses : le compilateur GCC finalisé dès juin 1984, une version GNU Emacs compatible UNIX, etc. L'effort sera opiniâtrement poursuivi, et au début des années 1990, le projet GNU possède une version utilisable de presque tous les éléments d'un système d'exploitation avec une interface en mode texte : outre ceux cités précédemment, un shell, des bibliothèques logicielles, les commandes Unix, les outils de développement. Mais il manque l'élément central, le noyau de système d'exploitation. Le projet GNU initie alors en 1990 le projet de production d'un noyau nommé Hurd.

Selon Thomas Bushnell, architecte initial du projet Hurd, l'idée initiale était d'adapter le noyau BSD 4.4-lite, et avec le recul « il est parfaitement clair pour moi que celui-ci aurait magnifiquement réussi et la face de l'informatique en aurait été changée ». Stallman confirmera plus tard que l’université de Californie travaillait à combler les parties manquantes pour transformer BSD en un système d’exploitation complet et librement redistribuable. Malgré une collaboration étroite avec les hackers de Berkeley et leur leader Keith Bostic, le code propriétaire d'AT&T mélangé au code BSD n'est pas supprimé, si bien que Stallman décide, à la place, d'utiliser le micro-noyau Mach. Celui-ci s'avère difficile à faire progresser. Le travail du projet GNU forme aujourd'hui une part importante d'un système d'exploitation actuel fondé sur le noyau Linux. Une querelle sémantique a, pour cette raison, éclaté ces dernières années concernant l'appellation GNU/Linux afin de faire référence au système dans son intégralité.

Naissance du noyau Linux Linus Torvalds, initiateur, et aujourd’hui coordinateur du noyau Linux En 1991, les compatibles PC dominent le marché des ordinateurs personnels et fonctionnent généralement avec les systèmes d'exploitation MS-DOS, Windows ou OS/2. Les PC basés sur le microprocesseur Intel 80386, vendus depuis 1986, commencent à être abordables. Mais les systèmes grand public restent attachés à la compatibilité avec les anciens processeurs 16 bits d'Intel et exploitent mal les capacités 32 bits et l'unité de gestion mémoire du 80386. C'est cette année que l’étudiant finlandais Linus Torvalds, indisposé par la faible disponibilité du serveur informatique UNIX de l’université d'Helsinki, entreprend le développement d’un noyau de système d'exploitation, qu’on appellera plus tard le « noyau Linux ». Linus désire alors surtout comprendre le fonctionnement de son ordinateur fondé sur un Intel 80386. Linus Torvalds fait son apprentissage avec le système d’exploitation Minix. Comme le concepteur de Minix — Andrew Tanenbaum — refuse d’intégrer les contributions visant à améliorer Minix, Linus décide de programmer un remplaçant de Minix. Il commence par développer un simple émulateur de terminal, qu’il utilise pour se connecter via un modem au serveur informatique de son université. Après l’ajout de diverses fonctionnalités dont un système de fichiers compatible avec celui de Minix, Linus oriente son projet vers quelque chose de plus ambitieux : un noyau aux normes POSIX. À ce noyau, il adapte de nombreux composants disponibles du système d’exploitation GNU pour obtenir un système d’exploitation plus complet.

Le 26 août 1991, il annonce sur le forum Usenet news:comp. os Le 26 août 1991, il annonce sur le forum Usenet news:comp.os.minix qu'il écrit un système d'exploitation, mais en tant que « hobby, qui ne sera pas grand et professionnel comme gnu ». Le 5 octobre 1991, il annonce la disponibilité d’une ébauche de la version 0.02 de son noyau, la version 0.01 ayant eu une diffusion plus que confidentielle Enfin en février 1992, la version 0.12 est diffusée sous la Licence publique générale GNU (GNU GPL) à la place de la licence ad hoc qui interdisait jusque-là la redistribution commerciale. Depuis, des centaines de passionnés et des entreprises de toutes tailles participent au projet, dont Linus Torvalds est toujours le coordinateur. Eric Raymond décrit dans l'essai La Cathédrale et le Bazar (2001) le modèle de développement du noyau Linux et d’une partie des logiciels libres. Initialement appelé Freax par son créateur, le projet trouve son nom définitif grâce à Ari Lemmke, administrateur du serveur FTP ftp.funet.fi, qui héberge le travail de Linus Torvalds dans un répertoire nommé Linux. C’est la première apparition d’un terme composé à partir de « Linus » et « UNIX », qui deviendra par la suite une marque déposée au nom de Linus Torvalds. Le manchot Tux, dessiné par Larry Ewing en 1996, devient la mascotte du projet.

C’est dans le monde des serveurs informatiques que Linux a eu le plus d’impact, notamment avec le très populaire LAMP. Sur les serveurs, Linux a souvent été utilisé pour remplacer d’autres systèmes de Type Unix ou éviter l'achat de licences Windows NT et se retrouve être un des acteurs majeurs. Dès 2003, Microsoft semble faire appel lui-même en partie à Linux. Dans les systèmes embarqués, Linux est fréquemment utilisé avec les outils uClibc et BusyBox qui ont été développés pour le matériel particulièrement limité en capacité mémoire. Le fait de pouvoir compiler le noyau Linux avec des options spécialement adaptées au matériel cible donne aux développeurs de nombreuses possibilités d’optimisation.

La différence essentielle de Linux par rapport à d’autres systèmes d’exploitation concurrents — comme Mac OS, Microsoft Windows et Solaris — est d’être un système d’exploitation libre, apportant quatre libertés aux utilisateurs, définies par la licence Licence publique générale GNU (GPL), les rendant indépendants de tout éditeur et encourageant l’entraide et le partage Les quatre libertés, qui sont d’« utiliser le logiciel sans restriction », d’« étudier le logiciel », de le « modifier pour l’adapter à ses besoins » et de le « redistribuer sous certaines conditions précises » Certaines licences sont fondées sur le principe du copyleft, c’est-à- dire sur le principe de réciprocité : une œuvre dérivée d’un logiciel sous copyleft doit à son tour être libre. C’est le cas de la licence libre la plus utilisée, notamment par le noyau Linux lui-même : la licence GNU GPL écrite par Richard Stallman.

Principales distributions Linux Archlinux BackTrack (basée sur Ubuntu) Debian Fedora Gentoo Mageia Linux Mint (basée sur Ubuntu) openSUSE SUSE Linux Enterprise (basée sur openSUSE) Red Hat Enterprise Linux Slackware Ubuntu (basée sur Debian)

RESPONSABILITE DE L’ADMINISTRATEUR Trois grandes familles de tâches incombent à l’administrateur LINUX : gérer le système, les services et la sécurité. Surveiller et assurer la bonne marche du système au quotidien : Surveiller les ressources (disque, mémoire, CPU, etc.) Planifier l’ajout de ressources. Administrer les services déployés : Gérer les utilisateurs Installer et configurer les applications Planifier les migrations Prévoir et gérer les incidents et les intrusions (tâches transversales) : Installer les correctifs de sécurité Durcir le système et les applications Mettre en œuvre un plan de sauvegarde Superviser le système et les applications

GESTION DES UTILISATEURS ET GROUPES Utilisateur Root Pour réaliser les tâches d’administration, on utilise le compte traditionnellement appelé « Root » (à ne pas confondre avec la racine de l’arborescence qui porte le même nom). De ce point de vue, le système de gestion des droits à la mode LINUX est plutôt primitif, un utilisateur spécial dispose des droits lui permettant d’accéder à l’intégralité du système. Tous les autres utilisateurs sont soumis au système de gestion des permissions d’accès. Il est donc assez difficile, sous Linux, de déléguer l’administration d’un sous-système à des utilisateurs. L’utilisateur Root c’est le seul utilisateur qui a le UID et GID égale à Zéro (0). C’est ce caractère qui lui confère un accès complet au système. Les attributs qui caractérisent un utilisateur LINUX sont : Un nom de connexion (login) Un mot de passe (password) Un identifiant numérique unique (UID) Un groupe primaire (GID) Un commentaire (appelé Gecos) Le répertoire principal de l’utilisateur (home directory) Un interpréteur de commande (shell) par défaut

La gestion des utilisateurs est l’une des premières tâches que doit exécuter un administrateur système. - Création d’un utilisateur : useradd christian Supprimer un utilisateur : userdel –r christian (-r demande la suppression de son arborescence) Useradd –g users kamga (crée l’utilisateur kamga) Groupadd kamga (crée le groupe kamga) Usermod -g kamga john (intègre l’utilisateur john au groupe kamga) Groupdel kamga (supprime le groupe kamga) Passwd kamga (définit le mot de passe pour l’utilisateur kamga : le système vous invitera à entrer l’ancien mot de passe, le nouveau et la confirmation) Passwd –d kamga (supprime le mot de passe de l’utilisateur kamga. Desormais, lors de l’ouverture de session avec le login kamga, aucun mot de passe ne sera requis) Passwd –l kamga (verouille le compte de l’utilisateur kamga) Passwd kamga (l’utilisateur kamga peut à nouveau ouvrir une session sur le système).

GESTION DES FICHIERS ET SYSTEMES DES FICHIERS Sous linux, tout est fichier (programme, répertoire, périphérique, etc) Les fichiers sont organisés sous forme d’arborescence : / usr var home dev log Named

COMMANDES DES RESEAUX

INSTALLATION ET CONFIGURATION D’UN DNS Apt-get install bind9 C’est le serveur DNS le plus utilisé sur internet BIND : Berkley Internet Name Daemon Configuration serveur Maitre BIND9 va être configuré comme serveur maître pour le domaine isig.local. Fichier de zone Pour ajouter une zone, et faire de BIND9 un serveur maître : Editer le fichier named.conf.local : [...]   zone « isig.local" { type master; file "/etc/bind/db.isig.local"; };

DNS (Suite) Utiliser le fichier d'une zone existante comme modèle : sudo cp /etc/bind/db.local /etc/bind/db.isig.local Editer le nouveau fichier pour la zone (/etc/bind/db.isig.local), Changer localhost par le FQDN de votre serveur, en laissant le point "." supplémentaire à la fin. Changer 127.0.0.1 par l'adresse IP du serveur de nom et root.localhost par une adresse mail valide, mais avec un point "." à la place de l'arobase "@". Laisser également le point à la fin. Créer un enregistrement de type hôte A pour le serveur de nom ns.isig.local : ; ; BIND data file for local loopback interface $TTL 604800 @ IN SOA ns.isig.local. admin.isig.local. ( 1 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL @ IN NS ns.isig.local. ns IN A 192.168.1.10 box IN A 192.168.1.10

DNS (Suite) sudo service bind9 restart (redemarre le service DNS) Zone inversée Maintenant que notre fichier de zone est configuré et que les adresses IP sont résolues, une zone de recherche inversée est requise. Une zone de recherche inversée permet au DNS de convertir une adresse en nom. Editer /etc/bind/named.conf.local et ajouter les lignes suivantes : zone "1.168.192.in-addr.arpa" { type master; notify no; file "/etc/bind/db.192"; }; Remplacer 1.168.192 par les trois premiers octets (si vous êtes en classe C) de votre réseau dans l'ordre inversé. Remplacer également le nom du fichier de zone db.192 par le nom approprié. Créer maintenant le fichier db.192 depuis un fichier existant : sudo cp /etc/bind/db.127 /etc/bind/db.192

Editer le fichier /etc/db Editer le fichier /etc/db.192 et changer comme nous l'avons fait précédemment le nom de domaine et l'adresse mel : ; ; BIND reverse data file for local loopback interface $TTL 604800 @ IN SOA ns.isig.local. admin.isig.local. ( 2 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL @ IN NS ns. 10 IN PTR ns.isig.local.

DNS (Suite) sudo service bind9 restart Test de DNS Ping isig.local Nslookup isig.local - named-checkzone isig.local /etc/bind/db.isig.local named-checkzone isig.local /etc/bind/db.192 Pour tester la recherche inversée, l'utilitaire dig peut être utilisé : dig 1.168.192.in-addr.arpa. AXFR Vous devriez voir en sortie console la résolution de 1.168.192.in-addr.arpa. par votre serveur de nom.

Installation et configuration d’un serveur DHCP Installation Apt-get install dhcp3-server Configuration Vous devrez certainement changer la configuration par défaut en éditant le fichier /etc/dhcp/dhcpd.conf pour la faire correspondre à vos besoins et configurations particulières ou pour d’autres version /etc/dhcp3/dhcp.conf Vous aurez également besoin d'éditer le fichier /etc/default/dhcp3-server pour spécifier les interfaces que dhcpd (le démon de dhcp3-server) devra écouter. Par défaut, il écoute l'interface eth0 Les interfaces réseaux de votre serveur doivent être configurées obligatoirement en adresses IP statiques

DHCP (Suite) Editer le fichier /etc/dhcp/dhcpd.conf : # Sample /etc/dhcpd.conf # (add your comments here) default-lease-time 600; max-lease-time 7200; option subnet-mask 255.255.255.0; option broadcast-address 192.168.1.255; option routers 192.168.1.254; option domain-name-servers 192.168.1.1, 192.168.1.2; option domain-name « isig.local"; option ntp-servers 192.168.1.254;  subnet 192.168.1.0 netmask 255.255.255.0 { range 192.168.1.10 192.168.1.100; range 192.168.1.150 192.168.1.200;}

DHCP (Suite) Le serveur DHCP assignera au client une adresse IP comprise entre 192.168.1.10 et 192.168.1.100 ou entre 192.168.1.150 et 192.168.1.200 pour une durée de 600 secondes. Le client peut spécifier une période de temps spécifique, dans ce cas, le temps d'allocation maximum est de 7200 secondes. Le serveur va également informer le client qu'il doit utiliser : un masque de sous réseau à 255.255.255, une adresse de multi-diffusion à 192.168.1.255, une adresse de routeur/passerelle à 192.168.1.254, des serveurs DNS à 192.168.1.1 et 192.168.1.2, un suffixe DNS ubuntu-fr.lan, un serveur de temps. Si vous devez spécifier un serveur WINS pour vos clients Windows, vous devez inclure l'option netbios-name-servers : option netbios-name-servers 192.168.1.1;

DHCP (suite) Configuration : Adresses IP fixes uniquement Dans ce cas, l'adresse IP que reçoit le client est toujours la même. Pour cela il suffit d'ajouter une directive host dans la définition du subnet. Pour chaque client, il faut donner son adresse fixe en fonction de son adresse MAC. deny unknown-clients;  subnet 192.168.1.0 netmask 255.255.255.0 { host client1 { hardware ethernet DD:GH:DF:E5:F7:D7; fixed-address 192.168.1.20; } host client2 { hardware ethernet 00:JJ:YU:38:AC:45; fixed-address 192.168.1.21; }} L'option deny unknown-clients interdit l'attribution d'une adresse IP à une station dont l'adresse MAC est inconnue du serveur. Pour trouver l'adresse MAC d'une interface réseau, il faut taper la commande : ifconfig | grep HWaddr

SAMBA EN TANT QUE CONTROLEUR PRINCIPAL DE DOMAINE (PDC) SAMBA vient de la danse brésilienne LA SAMBA. Son slogan : « WINDOWS DANSERA LA SAMBA ». Un contrôleur de Domaine sous Windows ; c’est un WINDOWS SERVEUR + ACTIVE DIRECTORY Un contrôleur Principal de Domaine suppose qu’il y a plusieurs contrôleurs de domaine dans un réseau et un seul contrôleur de domaine assure le principal. Il est authentifie donc les autres domaines. Sous LINUX, SAMBA assure le contrôleur Principal de domaine car il permet l’authentification et l’identification des utilisateurs LINUX sous WINDOWS, Solaris, MACOS c’est-à-dire il permet aux utilisateurs déclarés en LINUX d’ouvrir des sessions sur les autres plateformes ou environnement OS.

SAMBA EN TANT QUE CONTROLEUR PRINCIPAL DE DOMAINE (SUITE) #-------------------------------# # Option general du serveur #  [global]  # Nom du groupe de travail ou du domaine workgroup = isig.local  # nom de la machine (= hostname) netbios name = DRCServerPDC  # Nom qui apparait lors du parcours reseau (%h = hostname) server string = %h  # Activation du cryptage des mots de passe encrypt passwords = true  # Mode authentification # - share = ok pour tous # - user = oblige d'avoir un compte sur le serveur samba # - domain = pour joindre un domain security = user  

SAMBA EN TANT QUE CONTROLEUR PRINCIPAL DE DOMAINE (SUITE) [quote]passdb backend = smbpasswd[/quote] # Traitement des utilisateurs anonymes map to guest = Bad User  # Liste des utilisateurs non valides ; invalid users = toto  # Pour pouvoir synchroniser l'horloge des clients sur celle du serveur time server = Yes  # Option de connection socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 ; hosts allow = 192.168.1. EXCEPT 192.168.1.200 ; hosts deny = ALL  # Configuration des logs du serveur log file = /var/log/samba/%m.log  # Taille maximal des logs (en kb) max log size = 1000

SAMBA EN TANT QUE CONTROLEUR PRINCIPAL DE DOMAINE (SUITE) #------------------------------------------# # Option pour un controleur de domaine #  # L'option ci-dessous definit Samba comme le Contrôleur de domaine # principal (maitre). Ceci permet a Samba de collectionner les listes # de partages entre les sous-reseaux domain master = yes  # Le niveau d'OS indique l'importance de ce serveur en tant que # candidat au role de controleur principal lorsqu'une election # est provoquee os level = 33  # L'option ci-dessous indique samba de forcer une election de controleur # de domaine au demarrage, et lui donne ainsi une petite chance de gagner # lors de cette election preferred master = yes  

SAMBA EN TANT QUE CONTROLEUR PRINCIPAL DE DOMAINE (SUITE) # Activez ce qui suit si vous voulez activer des "logon scripts" domain logons = yes  # Nom du script qui est execute lorsque les utilisateurs se logue logon script = logon.bat  # Administrateur du domaine ; admin users = root @adm @dom-admin  # Utilisation de WINS pour la resolution des noms NETBIOS wins support = yes dns proxy = no  # Ordre de resolution des noms NETBIOS name resolve order = lmhosts wins host bcast  # Synchronisation des mots de passe samba avec les mots de passe Linux. # Ajouter ces options si l'on veut que l'utilisateur connecte sur un domaine # puisse changer son mdp [quote]unix password sync = Yes passwd program = /usr/bin/passwd %u[/quote] # Script bash qui permet a l'administrateur d'ajouter des # utlisateurs Unix / Samba depuis n'importe quels postes add user script = /usr/sbin/useradd -d /srv/samba/home/%u -G dom-users -s /bin/false -m %u  # Scrip bash qui permet un ajout automatique des machines # sur le serveur, au groupe dom-pc add machine script = /usr/sbin/useradd -d /dev/null -G dom-pc -s /bin/false -M %m$  

SAMBA EN TANT QUE CONTROLEUR PRINCIPAL DE DOMAINE (SUITE) #-----------------------------------------# # Option pour les partages de dossiers #  # Le partage ci-dessous apparaitra comme repertoire personnel # (et donc a son nom) pour l'utilisateur qui se connecte au serveur. # Samba remplacera automatiquement homes par le nom de l'utilisateur. [homes] comment = Home Directories browseable = no writable = yes  [netlogon] # Dossier contenant les scripts de execute par les clients apres leur authentification path = /srv/samba/netlogon read only = yes write list = @dom-admin

SAMBA EN TANT QUE CONTROLEUR PRINCIPAL DE DOMAINE (SUITE)  [public] # Partage du dossier public, visible et accessible par tout le monde comment = Repertoire public sur serveur writable = yes path = /srv/samba/public guest ok = yes  [private] # Partage du dossier private, visible et pas accessible # par tout le monde (seulement utilisateur du domaine authentifie) comment = Repertoire private du serveur path = /srv/samba/private valid users = @dom-users browseable = yes guest ok = no

SAMBA EN TANT QUE CONTROLEUR PRINCIPAL DE DOMAINE (SUITE ET FIN) Pour les machines clientes, il suffit de les integrés dans le domaine isig.local Particulièrement, sous WINDOWS 7 il faut créer deux clés de registre: HKLM\System\CurrentControlSet\Services\L anmanWorkstation\Parameters et ajoutez les valeurs suivantes: DWORD DomainCompatibilityMode = 1 DWORD DNSNameResolutionRequired = 0

TRAVAUX DE RECHERCHE SERVEUR RADIUS (sécurité via l’authentification dans un réseau WIFI) SERVEUR APACHE (Serveur Web pour l’hébergement des sites WEB) SERVEUR SSH (connexion en mode sécurisé) SERVEUR PROXY (limiter l’utilisation de la bande passante et d’accélérer l’accès aux pages web) FIREWALL SOUS LINUX (la protection d’un réseau local contre les intrus, il peut permettre aussi d’optimiser la bande passante en empêchant certaines machines de se connecter à internet). SERVEUR SENDMAIL ET POSTFIX (pour la messagerie électronique) SERVEUR NFS (permet de partager les fichiers en réseau local) SERVEUR PROFTPD (permet de charger et des décharger les fichiers en réseau local comme en réseau étendu). CONFIGURATION DU NAT (Joue le rôle de passerelle et permettent aux machines internes de ce connecter à internet avec les adresses IP privées.

MERCI THANK YOU