Cours administration et sécurité des réseaux

Cours administration et sécurité des réseaux, tutoriel & guide de travaux pratiques en pdf.

I. Gestion des comptes utilisateurs
1. Introduction
2. Les attributs d’un fichier
3. Création de comptes utilisateurs
3.1. Principe de base
3.2. Script de création des comptes
3.3. Options de la commande adduser
3.3.1. Les commentaires
3.3.2. Le répertoire de base
3.3.3. Le shell utilisé
3.3.4. Les groupes
3.3.5. Spécification de l’UID
3.3.6. Date d’expiration
4. Modification d’un compte utilisateur
4.1. La commande usermod
4.2. La commande chage
4.3. La commande passwd
5. Suppression d’un compte utilisateur
6. La gestion des groupes
6.1. Création d’un groupe
6.2. Modification d’un groupe
6.3. Suppressions d’un groupe
7. Arrêt momentané des connexions
8. Message du j our
9. Gestion des quotas
9.1. Introduction
9.2. Processus de mise en place des quotas
9.3. Attribution des quotas
9.3.1. Quotas d’un utilisateur
9.3.2. Quotas d’un groupe
9.3.3. Période de grâce
9.3.4. Attribution des quotas à plusieurs utilisateurs
9.4. Consultation des quotas
II. La séquence de démarrage du système
1. Principe de la séquence de démarrage
2. LILO
2.1. Les arguments du démarrage
2.2. Le fichier /etc/lilo.conf
2.3. Le mot clé password
3. Le processus init
4. Les scripts de démarrage
5. L’arrêt du système
6. Le redémarrage du système
III. Configuration de l’interface réseau
1. La commande ifconfig
2. Structure des fichiers /etc/hosts et /etc/networks
3. Détermination du nom de l’interface
4.Vérification de l’interface avec ifconfig
5. Affectation un masque de sous -réseau
6. Affectation de l’adresse bro adcast
7. Autres options
7.1. Activer et désactiver l’interface
7.2. ARP et trailers
7.3. Metric
7.4. MTU
7.5. Mode promiscuous
8. Configuration permanente
9. Linuxconf
IV. Configuration du routage
1. Configuration générale du routage
2. Table de routage minimale
3. Création d’une table de routage statique
3.1. Ajouter des routes statiques
3.2. Ajouter des routes statiques à l’amorçage
4. Les protocoles de routage internes
4.1. Le protocole RIP
4.2. RIP version 2
4.3. OSPF : Open Shortest Path First
5. Les protocoles de routage externe
5.1. EGP : Exterior Gateway Protocol
5.2. BGP : Border Gateway Protocol
5.3. Choisir un protocole de routage
6. gated : Gateway Routing Daemon
7. Configurer gat ed
7.1. Exemple de fichier /etc/gated.conf
7.1.1. Configuration d’une machine
7.1.2. Configuration d’une passerelle interne
7.1.3. Configuration d’une passerelle externe
V. Configuration du DNS
1. Le fichier /etc/hosts
2. BIND : Ber keley Internet Name Domain
3. Configurer le résolveur
4. Initialisation des données du DNS
4.1. Les fichiers de la base de données
4.1.1. Les enregistrements SOA (Start Of Authority)
4.1.2. Les enregistrements NS (Name Server)
4.1.3. Les enregistrements d’adresse et d’alias
4.1.4. Les enregistrements PTR (Pointer)
4.1.5. Les données de la zone racine
4.2. Le fichier de configuration de BIND
4.3. Les abréviations
4.4. Démarrage d’un serveur- maître primaire
4.5. Démarrage d’un serveur- esclave
4.6. Les champs de l’enregistrement SOA
4.7. Gestion de plusieurs domaines
5. Gestion d es sous -domaines
6. La sécurité
6.1. Restriction des requêtes
6.1.1. Restriction sur toutes les requêtes
6.1.2. Restriction des requêtes concernant une zone
6.2. Contrôle des transferts de zones
6.2.1. Limitation globale du transfert
6.2.2. Limitation du transfert à une zone
6.3. Exécution de BIND par un utilisateur sans privilège
7. La commande nslookup
7.1. Recherche de différents types de données
7.2. Réponses faisant autorité
7.3. Changement de serveur
7.4. Visualisation des paquets de requête et de réponse
7.5. Recherche à la manière d’un serveur de noms
7.6. Transferts de zone
VI. Le courrier électronique
1. Introduction
2. La structure d’un message
3. Principe de livraison des mails
4. Le routage du courrier
5. Sendmail
5.1. Les fonctions de sendmail
5.2. Le démon sendmail
5.3. Configuration de sendmail
5.3.1. Configurer le mail local
5.3.2. Configurer le mail distant
5.3.3. Agir comme serveur relais
5.3.4. Options supplémentaires
5.4. Sendmail et les alias
5.5. Utilisation d’un .forward personnel
5.6. Configuration de la sécurité
5.6.1. Les commandes vrfy et expn.
5.6.2. Restriction d’accès à la file des messages.
5.6.3. Forcer l’identification du client
5.6.4. Message d’invite de sen dmail
5.6.5. Contrôler les connexions SMTP avec TCP Wrappers
5.6.6. Lutter contre les attaq ues de déni de service
5.6.7. Utilisation d’un shell restreint
VII. NFS
1. Introduction
2. Configuration de NFS
3. Exp ortati on d’un système de fichiers.
3.1. Règles d’exportation des systèmes de fichiers
3.2. Exportation simple d’un système de fichiers
4. Montage d’un système de fichiers
5. Les options d’exportation
6. Les options de montage
6.1. Les arguments généraux
6.2. Les arguments spécifiques
7. Le montage permanent
8. La résolution des liens symboliques
VIII. NIS
1. Introduction
2. Les notions de maîtres, esclaves et clients
3. Fondements de la gestion NIS
3.1. Installation du serveur NIS maître
3.2. Configuration des clients NIS
3.3. Ajout d’un serveur NIS esclave
4. Les commandes-clients
4.1. ypmatch
4.2. ypcat
4.3. ypwhich
4.4. yppasswd
IX. LPD
1. Introduction
2. Le fichier /etc/printcap
3. Sécurité avec LPD
4. Utilisation de LPD
4.1. Envoyer une requête d’impression
4.2. Gestion du démon d’impression
4.3. Consultation de la file d’attente
4.4. Suppression d’un requête
X. DHCP
1. Introduction
2. Le fichier dhcpd.conf
XII. APACHE.
1. Introduction.
2. Premier lancement du serveur Web.
3. Un véritable site.
3.1. Interprétation du code HTML.
3.2. Chargement automatique du fichier index.html.
3.3. Gestion de plusieurs répertoires.
3.4. Utilisation des CGI.
3.5. Remarque.
4. Gestion de plusieurs sites.
XIII. SQUID.
1. Introduction.
2. Protocoles utilisés.
3. Configuration matérielle.
4. Installation et mise en route.
5. Contourner SQUID.
6. Configuration de SQUID.
6.1. Ports de communication.
6.2. Taille du cache.
6.3. Emplacement du cache et de l’historique.
6.4. Support de programmes externes.
6.5. Timeouts
6.6. Contrôles d’accès.
6.7. Paramètres administratifs.
6.8. Vérification de la connexion.
7. Configuration avancée .
7.1. Bannir des sites.
7.2. Interdire le téléchargement de fichier exécutables.
7.3. Authentification des utilisateurs.
XIV. IPCHAINS.
1. Introduction.
2. Choix d’une politique de filtrage.
3. Rejeter ou refuser un paquet.
4. Filtrage des paquets entrants.
4.1. Filtrage d’adresse source distante.
4.1.1. Spoofing d’adresses source et adresses illégales.
4.1.2. Bloquer le s sites problématiques.
4.1.3. Limiter les paquets entrants à des hôtes sélectionnés.
4.2. Filtrage local d’adresses destination.
4.3. Filtrage de port source distant.
4.4. Filtrage de port destination local.
4.5. Filtrage de l’état de connexion TCP.
4.6. Sondes et balayages.
4.6.1. Balayages généraux de ports.
4.6.2. Balayages ciblés de ports.
4.7. Attaques par déni de service.
4.7.1. TCP et SYN flooding.
4.7.2. Ping flooding.
4.7.3. UDP flooding.
4.7.4. Bombes ICMP- redirect.
4.7.5. Autres attaques par déni de service.
5. Filtrage de paquets sortants.
5.1. Filtrage d’adresse source locale.
5.2. Filtrage d’adresse de destination distante.
5.3. Filtrage de port source local.
5.4. Filtrage de port destination distant.
5.5. Filtrage de l’état des connexions TCP sortantes.
6. Services réseau privés/publics.
7. Construction d’un firewall.
7.1. Le programme ipchains.
7.2. Initialisation du firewall.
7.2.1. Les constantes symboliques.
7.2.2. Supprimer les règles existantes.
7.2.3. Définir la politique par défaut.
7.2.4. Activer l’interface loopback.
7.2.5. Le spoofing et les mauvaises adresses source.
7.3. Filtrage des messages d’état et de contrôle ICMP.
7.3.1. Messages d’erreur d’état et de contrôle.
7.3.2. Messages de contrôle ping Echo Request et Echo Reply .
7.4. Protection des services sur les ports TCP sans privilège.
7.4.1. Interdire les connexions Open Window.
7.4.2. Interdire les connexions X Window.
7.4.3. Interdire les connexions au serveur SOCKS.
7.5. Protection des services sur les ports UDP sans privilège.
7.6. Activation des services Internet de base.
7.6.1. Permettre DNS.
7.6.2. Filtrer les identifications.
7.7. Activer des services TCP courants.
7.7.1. Le courrier éle ctronique.
7.7.2. Accéder aux services Usenet.
7.7.3. Le service telnet
7.7.4. Le service ssh
7.7.5. Le service ftp
7.7.6. Les services Web
7.7.7. Le service finger
7.7.8. Le service whois
7.7.9. Le service gopher
7.7.10. Le service WAIS
7.8. Habiliter les services UDP courants
7.8.1. Le programme traceroute
7.8.2. Accéder à un serveur DH CP
7.8.3. Accéder à un serveur Network Time
7.9. Journaliser des paquets entrants refusés
7.10. Refuser l’accès aux sites problématique
7.11. Activer l’accès au réseau local
7.12. Installer le firewall
Bibliographie

Gestion des comptes utilisateurs

Introduction

La gestion des comptes utilisateurs est l’un des travaux absolument essentiels dévolu aux administrateurs. Gérer les utilisateurs et les mots de passe sont une tâche de base à laquelle tout administrateur doit attacher une attention particulière car une mauvaise gestion peut gravement affaiblir la sécurité d’un système.
Même dans le cas d’un système offrant des services réseau ne nécessitant pas la gestion de plusieurs utilisateurs, comme le DNS par exemple, il est essentiel de disposer d’au moins un compte autre que celui réservé à l’administrateur du système (root). L’utilisation du compte root doit être limitée à des tâches spécifiques qui ne peuvent pas être réalisées sous l’identité d’un utilisateur normal. Lorsqu’une personne est connectée à un système UNIX sous l’identité ro ot, il a le droit d’effectuer toutes les opérations sans aucune contrainte. Une utilisation abusive de cette identité peut corrompre complètement l’intégrit é du système par le biais de fausses manœuvres. Tout administrateur système doit toujours disposer du compte root pour réaliser les tâches administratives critiques mais également d’un compte utilisateur traditionnel afin d’effectuer de petits travaux n’exigeant pas de privilèges particuliers.

Les attributs d’un fichier

Une modification ou un effacement du fichier /etc/securetty peut engendrer une faille dans le système. Théoriquement, seul l’administrateur a les autorisations suffisantes pour effacer ou pour modifie r ce fichier. Néanmoins, la sécurité d’un système consiste à placer le plus de barrières possibles de manière à ralentir autant qu’il se peut le processus d’effraction.
Le fichier /etc/securett y doit donc être protégé contre les risques d’effacement ou de modification. Les commandes UNIX traditionnelles ne permettent pas la sécurisation d’un fichier particulier. De nombreux concepteurs de systèmes UNIX ont apporté leurs extensions de manière à offrir plus de sécurité. Le système Linux ne fait pas exception à cette règle et propose une commande permettant de sécuriser un fichier. Il s’agit de la commande chattr. Elle possède de nombreuses options dont une protégeant un fichier contre les modifications et l’effacement. Voici un exemple de sécurisation du fichier /etc/securetty :
[root@p200 /etc]# chattr +i securetty
Comme le montre la session interactive suivante, lorsqu’un fichier possède l’attribut i, même l’administrateur système ne peut le supprimer :

Création de comptes utilisateurs

Principe de base

En la qualité de root, il est possible d’ajouter des utilisateurs au système par le biais de la commande adduser. La version minimale de cette commande consiste à donner en paramètre le nom de l’utilisateur à créer.
[root@p200 /root]# adduser jfc
Les options de la commande adduser permettent de peaufiner le processus de création d’un nouvel utilisateur. La création d’un nouveau compte utilisateur par le biais de la version simplifiée de la commande donne des valeurs par défaut aux options qui ne sont pas spécifiées. C’est ainsi que le compte de l’utilisateur ne peut pas être immédiatement employé aucun mot de passe valide n’y a été associé. L’administrateur du système doit alors employer la commande passwd pour donner un mot de passe valide au nouvel utilisateur créé. Voici un exemple d’attribution d’un mot de passe à un compte utilisateur :
[root@p200 /root]# passwd jfc
Changing password for user jfc
New UNIX password:
Retype new UNIX password:
Passwd: all authentication tokens updated successfully

Script de création des comptes

Dans un contexte scolaire où il y a de nombreux comptes utilisateurs à créer au même moment, la procédure qui vient d’être mentionnée peut s’avérer très lourde. Non seulement il faut employer la commande adduser pour créer un compte utilisateur mais également la commande passwd pour attribuer un mot de passe à l’utilisateur créé. Cette modification du mot de passe impose de dactylographier deux fois le mot de passe. Afin de rendre le processus de création d’un utilisateur moins lourd, il est possible de préciser un argument à la commande passwd de sorte qu’elle puisse accepter directement un mot de passe.

Cours gratuitTélécharger le cours complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *