Beruflich Dokumente
Kultur Dokumente
Sommaire
Unit 1 : Administration des utilisateurs et des
groupes.3
Unit 2:
Unit 1
Administration des utilisateurs
et des groupes
Utilisateurs
Chaque utilisateur qui utilise le systme doit tre connu de
celui-ci par un nom et, ventuellement, un mot de passe.
Un utilisateur doit appartenir un ou plusieurs groupes
d'utilisateurs pour tre autoris utiliser le systme.
Il existe plusieurs mthodes d'identification et de contrle des
utilisateurs, nous ne parlerons ici que de la mthode la plus
simple mettant en oeuvre les fichiers /etc/passwd et
/etc/group.
Les utilisateurs et les groupes sont reprs dans le systme
par des numros : uid pour le numro d'utilisateur (User
IDentifier) et gid pour le numro de groupe (Group IDentifier).
Le numro est unique pour un utilisateur ou un groupe donn.
Hirarchie de comptes
Root
super utilisateur
les permissions daccs ne sont pas appliques sur lui
il peut faire tous
compte pour ladministrateur du systme
comptes ordinaires
Enregistrer un utilisateur:
/etc/passwd
Un utilisateur est caractris par une ligne dans le fichier /etc/password.
Une ligne est forme par les champs suivants :
login:passwd:uid:gid:comment:home:shell
Enregistrer un utilisateur
/etc/passwd
Exemple :
root:x:0:0:root:/root:/bin/bash
kmaster:x:500:500:kmaster:/home/kmaster:/bin/bash
/etc/shadow
Le fichier /etc/passwd est public (toute
personne qui a un compte sur la machine
peut le lire).
Pour contrecarrer cette faille, certains
systmes ont introduit le fichier
/etc/shadow
/etc/shadow
Une ligne /etc/shadow est compose des champs
suivants:
Nom de login
mot de passe crypt
Nombre de jours couls depuis le 1er janvier 1970 jusqu'au dernier
changement de mot de passe
Nombre de jours durant lesquels le mot de passe est encore valide
Nombre de jours aprs lesquels le mot de passe doit tre chang
Nombre de jours avant l'expiration du mot de passe impliquant
l'avertissement de l'utilisateur
Nombre de jours aprs l'expiration provoquant la desactivation du
compte
Numro du jour depuis le 1er janvier 1970 partir duquel le compte
a t dsactiv
Champs rserv
10
/etc/shadow
Exemple :
kmaster:
$1$zBvl.scX$hkqgDvBu40EqpAEwZfZZ
Q0:11493:0:99999:7:::
le mot de passe en cours a t mis en place le
11493e jour aprs le 1/1/1970 (date de
rfrence),
il pourra nouveau tre chang 0 jour aprs
cette date
il devra obligatoirement tre modifi avant le
99999e jour aprs la date de cration (autant dire
qu'il n'expire jamais...).
11
/etc/skel
Aprs la cration dun compte utilisateur,
tous les fichiers de /etc/skel sont copis
dans le rpertoire personnel de cet
utilisateur.
On place dans ce rpertoire les fichiers
dont tous le monde doit en avoir une copie
12
La commande su
La commande su permet de changer
lidentit de lutilisateur courant.
Syntaxe su [[-] utilisateur]
Utilisateur est lutilisateur dont on veut prendre
lidentit
Si aucun utilisateur nest spcifi, le
changement se fait vers lutilisateur root
13
-G liste
fixe l'appartenance de l'utilisateur une liste de groupes secondaires
(sparateur , sans espace)
-s shell
par dfaut, attribution du shell par dfaut bash
-c commentaire
-d rep. Personnel
par dfaut dans le rpertoire /home
-e date-expiration
fixe la date d'expiration du compte (format MM/JJ/AA)
-m pour crer le rpertoire personnel
-k rep-skel
recopie le contenu de rep-skel dans le rp. personnel, par dfaut
/etc/skel
14
commande useradd
Pour examiner les valeurs par dfaut
appliques par useradd :
commande useradd -D ou
diter /etc/default/useradd
GROUP=100
identifiant du groupe primaire
HOME=/home
racine des rp. personnels
INACTIVE=-1
(nb de jours avant destruction du
compte)
EXPIRE=
nb de jours avant expiration du mot de
passe
SHELL=/bin/bash shell de connexion attribu au
compte
SKEL=/etc/skel
fichiers recopis par dfaut dans
chaque rp. personnel
15
16
bash:> id
uid=501(stage1) gid=501(stage1) groups=501(stage1), 504(stagiaire)
Commande chfn
Cette commande permet d'indiquer dans le
champ numro 5 du fichier /etc/passwd
diffrentes informations sur un utilisateur
17
18
19
Les groupes
Un groupe est un ensemble d'utilisateurs.
Chaque utilisateur doit faire partie au
moins d'un groupe.
Dans /etc/passwd chaque utilisateur
possde un groupe par dfaut, prcis par
son identifiant gid dans ce fichier.
L'appartenance au groupe primaire n'tant
pas exclusive, tout utilisateur peut faire
partie de plusieurs autres groupes.
La liste des groupes est donne par le
fichier /etc/group
20
Le fichier /etc/group
Le fichier de dclaration des groupes /etc/group
contient une ligne par groupe dans un format
similaire au fichier /etc/passwd.
Une ligne de ce fichier comporte les champs
suivants, spars par des caractres `:' :
nom du groupe
mot de passe du groupe
numro du groupe (gid)
liste des utilisateurs appartenant au groupe spars par
des virgules
Par exemple :
actrices:*:400:sandra,meg,michelle
21
Commandes utiles
Pour lister tous les groupes d'un utilisateur :
groups nom_login
groupadd
nom_groupe
modifier un groupe
22
Processus dinitialisation
utilisateur
/etc/profile
$HOME/.bash_profile
$HOME/.bashrc
/etc/bashrc
[user@host pwd]$
$HOME/.bash_logout
23
newgroup
La commande newgrp permet un
utilisateur de changer son groupe courant.
Par exemple :
bash$ newgrp actrices
bash$ id
uid=500 (sandra) gid=400 (actrices) groups=500(sandra),100(users),
400(actrices)
Unit 2
Les droits daccs
25
Il y a donc 9 combinaisons possibles utilisateuropration. C'est pourquoi les protections sont codes
sur 9 bits.
26
27
28
lecture : 4,
criture : 2,
excution : 1,
pas de permission : 0.
29
umask nombre_en_base_8
Par dfaut unix affecte les droits max sur
les fichiers normaux et les rpertoires :
Rp 777 (rwxrwxrwx)
Fichier normal 666 (rw-rw-rw-)
droits_max - masque
30
Changement de propritaire et de
groupe
Sans les uid et les gid les droits daccs
nauraient aucun sens.
La commande chown permet de changer
le propritaire
chown utilisateur fichier1 [fichier2 ]
Unit 3
Dmarrage et arrt du
systme
32
33
Test de la mmoire
Test la prsence du clavier
Test la prsence des disques durs, lecteurs de CDROM
IDE
34
35
LILO
Programme qui permet de gnrer et d'installer
le programme de dmarrage du noyau
syntaxe lilo [-v] [-v] [-c config_file] [-t]
-v
-c
-t
: mode verbeu
: utilisation du fichier de configuration autre que /etc/lilo.conf
: test uniquement
36
/etc/lilo.conf
Exemple
boot = /dev/hda
map=/boot/map
message=/boot/lilo.msg
timeout = 30
# linux
image = /boot/vmlinuz
root = /dev/hda1
label = linux
# dos
other = /dev/hda4
table = /dev/hda
label = dos
Cet exemple installe le chargeur LILO sur le secteur de dmarrage principal du
disque dur (MBR) et autorise un dlai de 3 secondes pour choisir le systme
dmarrer.
Si l'utilisateur ne prend pas la main dans le temps imparti, c'est le premier
systme qui sera choisi. A moins de taper sur la touche tab, ce qui donne les
diffrentes possibilits pour dmarrer.
37
Options lilo.conf
Boot : endroit o lilo va sinstaller.
message : le nom dun fichier qui contient le message
affich avant le prompt
prompt : permet lilo de demander le systme lancer
chaque dmarrage
default : spcifie la configuration par dfaut
timeout : permet de fixer un dlai au del duquel lilo lance
la premire configuration dfinie dans lilo.conf
image : chemin complet sur le noyau de linux charger
label : nom de la configuration tel quil doit tre saisie
linvite de lilo
38
Lilo.conf options-2
root : nom complet du fichier spcial de priphrique
contenant le systme de fichier racine.
Append : options par dfaut passer au noyau
read-only : le systme de fichier racine est mont en
lecture
seule
other : partition sur laquelle le secteur de boot de lautre
systme est install
table : disque dur contenant la table des partitions utilise
par lautre systme (other)
loader : permet de passer la main au chargeur du systme
password : mot de passe entrer pour dmarrer cette
image
restricted : mot de passe demand si lutilisateur veut
passer des options au noyau
39
40
Amorage du noyau
Limage compresse du noyau est charge en
mmoire par lilo
Le noyau se dcompresse lui mme est dmarre
dtecte le hardware
passe en mode multiuser, multitache
dmarre le networking
monte la partition racine
41
Le processus init
Ce programme est le premier processus
lanc par le noyau. Il est charg de
dmarrer les processus systmes et d'en
relancer certains lorsqu'ils se terminent, et
ce durant la totalit du fonctionnement du
systme.
Sa configuration s'effectue dans le
fichier /etc/inittab.
42
Le fichier /etc/inittab
Ce fichier contient des lignes respectant le format
suivant :
code:niveau:action:commande
43
Le fichier /etc/inittab
La notion de niveau d'excution permet de spcifier des
configurations d'excution diffrentes. Un standard existe
et est rsum dans la table ci-dessous. Il est possible de
spcifier plusieurs niveaux lorsque la commande associe
doit tre lance diffrents niveaux d'excution.
Niveau
0
1
se
2
3
rseaux
4
5
6
Description
Arrt de la machine
mode mono-utilisateur, seul le super-utilisateur peut
connecter
mode multi-utilisateurs, avec peu de services rseaux
mode multi-utilisateurs, avec tous les services
(mode par dfaut)
dfinissable par l'utilisateur
dmarrage de X11 au boot
redmarrage de la machine
44
Le fichier /etc/inittab
Le champ action dfinit la manire d'excuter la commande
du champ commande.
Le tableau ci-aprs prsente les actions les plus courantes :
Action
respawn
wait
once
boot
ignor)
Bootwait
off
initdefault
sysinit
bootwait
ctrlaltdel
powerfail
(dfaut
Description
relance la commande lorsqu'elle se termine
attend la fin de la commande avant de continuer
la commande est excute une fois
la commande est excute au dmarrage du systme (le champ niveau est
comme ci-dessus avec attente
ne rien faire (permet de conserver la ligne pour une utilisation future)
permet de spcifier le niveau d'excution par dfaut
la commande est excute au dmarrage avant celles des directives boot et
la commande est excute lorsque l'utilisateur tape les trois caractres <CTRL><ALT>-<SUPPR> sur le clavier
la commande est excute lorsque le processus init reoit le signal SIGPWR
d'alimentation)
45
Le rpertoire /etc/rc.d
Ce rpertoire contient les scripts utiliss pour l'initialisation du
systme. Ils sont prvus pour dmarrer les diffrents services
et processus et effectuer quelques vrifications de
configuration.
La table suivante prsente les diffrents scripts :
Niveau
Description
rc.sysinit
excut une fois au dmarrage pour initialiser le systme
rc script de gestion du niveau d'excution. Il le reoit en
paramtre.
rc.local
script utilis pour les initialisations particulires la machine
init.d rpertoire contenant les scripts d'initialisation des soussystmes
rc0.d, rc1.d, rc2.d, rc3.d rpertoires contenant des liens sur les scripts du rpertoire
rc4.d, rc5.d et rc6.d
init.d devant tre lancs un niveau d'excution particulier
46
Le rpertoire /etc/rc.d
Le fichier rc.sysinit ralise les oprations suivantes :
Ces scripts sont des liens symboliques sur les fichiers de dmarrage des
sous-systmes du rpertoire init.d.
Le lien reprend le nom du fichier d'origine prcd de la lettre S et d'un
nombre pour les scripts de dmarrage ou de K et d'un nombre pour les
scripts d'arrt du sous-systme.
La valeur numrique permet de spcifier l'ordre d'excution des scripts.
47
ntsysv
Chkconfig
serviceconf
...
48
Commande chkconfig
Cette commande permet la gestion des
services :
49
50
51
L'arrt du systme
Ne pas arrter brutalement le systme.
La procdure d'arrt permet :
Exemple
Unit 4
Les packages
53
Gestion de packages
Combinaison dans un mme fichier (rpm)
54
55
options
v : mode bavard
h : affiche 50 marques (hash marks)
--nodeps : sans tenir compte des dpendances
56
Dsinstallation de RPM
Pour dsinstaller un RPM, on utilise la
commande
rpm -e nom_package
options:
--nodeps : ignore les dpendances
57
RPM querying
Pour connatre le contenu dun RPM install
syntaxe de base
rpm -q [ nom_package ]
options :
58
taille
checksum MD5
Permissions, type
propritaire
groupe
syntaxe de base
rpm -V nom_package
options
59
Outils graphiques
kpackage
gnorpm
up2date
Unit 5
Gestion des
priphriques
61
62
Description
accs la mmoire physique
accs la mmoire du noyau
priphrique vide
accs aux ports d'entres/sorties
gestion de la souris (peut tre un lien sur le fichier effectif)
les terminaux virtuels (de 0 63)
les ports sries
pseudos terminaux matres
pseudos terminaux esclaves
ports parallles
port joystick
les lecteurs de disquettes (fd0 est le lecteur standard)
les disques durs et les cdroms IDE
les disques durs SCSI
les cdroms SCSI
les lecteurs de bandes SCSI
63
64
65
exemples
ls al /dev/hda
brw-rw---- 1 root disk 3, 0 Apr 28 2000 /dev/hda
ls al /dev/hdb
brw-rw---- 1 root disk 3, 64 Apr 28 2000 /dev/hdb
66
NB
Pour pouvoir utiliser un priphrique, la
prsence du fichier et du pilote de ce
priphrique est ncessaire.
67
68
69
Conseil
Si votre /dev est endommag vous ne
pouvez plus utiliser MAKEDEV.
Pour lutilisation de mknod, vous devez
connatre le type le majeur et le mineur
dun priphrique ce qui nest pas
vident.
Pour ne pas avoir des Pbs penser faire
une copie de /dev.
ls -al /dev > /mnt/liste_fichiers_priph
Unit 6
Systme de
fichier
71
72
73
Systme de fichiers
Linux structure ces donnes dans des
systmes de fichiers rsidant sur
diffrentes partitions
Chaque partition peut contenir au plus un
systme de fichiers
Un systme de fichiers ne peut stendre
sur plusieurs partitions.
74
75
super bloc
Inode (Index node)
bloc dindirection (simple, double, triple)
bloc de donnes (data block)
76
Super bloc
Le premier bloc dun SF, plusieurs copies
sont disponibles (8193, 16385, )
contient les informations gnrales sur le
SF
77
Inodes
256 octets (4 par blocs de 1024 octets)
Un inode contient les informations sur un fichier :
78
Bloc donnes
Contient des donnes dun fichier
Le fichier peut tre un rpertoire, dans ce
cas les donnes sont la liste des noms de
fichiers de ce rpertoire et leurs inodes
79
80
Donc ...
Les plus importants composants dun SF
sont les inodes et les blocs data
Un SF est satur si
Pas dinode libre ou
Pas de bloc data libre
81
Cration de partition
La cration dune partition est faite par
fdisk
Syntax : fdisk [device disque]
Importantes commandes de fdisk
82
Cration dun SF
La cration dun SF est faite avec mke2fs
Dfinie le super bloc et la table dinodes
Syntaxe
mke2fs b 1024 i 4096 c /dev/hda6
83
Monter un SF
Utiliser la commande mount :
Il faut prciser
84
ext2
defaults
11
/mnt/cdrom iso9660
noauto,ro,user
00
/mnt/floppy
msdos
noauto,user
/mountpoint
ext2
defaults
85
Options de montage
On utilis plusieurs options
auto
montage automatique (mount a )
noauto
ne pas monter automatiquement
user
users sont autoriss monter ce SF
owner
idem auto sauf que lutilisateur doit tre le
propritaire
ro lecture seul
rw
lecture/ecriture
86
Dmonter un SF
Le SF ne doit pas tre en utilisation :
vrifier avec fuser
Des fichiers ouverts
Des programmes entrains de sexcuter
Des rpertoires actifs
umount /dev/cdrom
umount /mnt/cdrom
87
Commandes utiles
df : affiche la place libre en termes de blocs et
dinodes sur chacune des partitions montes.
fsck : rparation des SFs
ln : cration de liens
du : montre lusage dun rpertoire
mtools (mdir, mcopy, mdel, mformat, ) permet
dutiliser les SFs msdos sans les monts.
Fichier de configuration /etc/mtools.conf
Unit 7
Gestion de quota
89
Quotas
Quota permet de limiter loccupation de
lespace disque pour les utilisateurs et les
groupes
on peut limiter le nombre de blocs et/ou
dinodes quun utilisateur ou un groupe
peut utiliser
les quotas sont sont dfinies par Systme
de fichier
90
91
Implmentation de quota en
Linux
Le support de quota est compil avec le noyau
grep i quota /boot/config_version, rpm qa |grep quota
pas de dmon ncessaire
92
Activation de quota
Modifier /etc/fstab
/dev/hda2
11
/dev/cdrom
/dev/fd0
/dev/hda6
/
/mnt/cdrom iso9660
/mnt/floppy
/mountpoint ext2
ext2
defaults,userquota,grpquota
noauto,ro,user
msdos
noauto,user
defaults
Remonter la partition
# mount -o remount,usrquota,grpquota /
activer quota
# quotaon
00
00
00
93
Configuration du quota
Raliser par la commande edquota
fait appel lditeur par dfaut ($EDITOR)
94
Informations quota
La commande quota
infos sur le quota dun utilisateur
peut tre excuter par tous utilisateur
un utilisateur ne peut visualiser que son quota
repquota
infos sur les quotas de tous les utilisateurs et
groupes
uniquement root peut lexcuter
Unit 8
Scheduling
96
Scheduling
Automatiser les taches de routine
lancement automatique des taches des
moments spcifiques
le dmon crond fait le scheduling pour les
fichiers conrontab
la commande anacron excute les jobs
anacron
le dmon atd est responsable dexcuter
les jobs soumets par les commandes at ou
batch
97
cron
Les jobs sont configurs dans des fichiers crontab
Syntaxe dune ligne
[minute][heur][jour-du-moi][moi][jour-de-semaine][job]
98
cmd1
0,30
cmd2
0,30
8-18
cmd3
*/5
cmd4
12
13
cmd5
49
23
16
cmd6
15
cmd7
32
14
cmd8
99
Commandes crontab
Un utilisateur peut modifier son crontab,
mais il ne peut pas signaler crond ce
changement
avec la commande crontab (SUID root)
cest possible
syntaxe
crontab -l
crontab -r
crontab -e
100
Crontab systme
Le fichier crontab du systme est /etc/crontab
le rpertoire cronatb systme est /etc/cron.d
tous les fichiers de ce rpertoire sont lu par crond
syntaxe
on peut dfinir des variables denvironnement
spcifier luid sous lequel la commande va tre excuter
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
01 * * * * root run-parts /etc/cron.hourly
02 4 * * * root run-parts /etc/cron.daily
22 4 * * * root run-parts /etc/cron.weekly
42 4 1 * * root run-parts /etc/cron.monthly
101
at
La commande at excute une commande
un moment donne.
# at 4am
ps aux
^d
# at -f bshfile 16:00 + 3 days
102
annuler un job
$at -d job
$atrm job
permission dutilisation de at
/etc/at.allow
/etc/at.deny
103
batch
Excute une commande quand le systme
et moins charg
$batch
echo la charge est minime
^d
Unit 9
Syslog
105
106
Le principe
Par dfaut les fichiers de log se trouvent
dans /var/log.
Le fichier de configuration de syslog est
dans /etc/syslog.conf.
Par mesure de scurit, il est d'usage de
mettre le rpertoire /var/log dans une
partition propre (afin d'viter qu'une
saturation de ce rpertoire n'entrane un
arrt du systme tout entier).
107
Le principe
Les fichiers de log sont les suivants :
108
L'installation
Par dfaut il est install avec la plupart des
distributions, mais au cas ou, peut probable
ou il faut l'installer :
sysklogd-.....rpm utilisez la dernire
version.
Normalement il est lanc au dmarrage de
la machine. Si cela n'est pas le cas vous
pouvez le lancer avec la commande
/etc/rc.d/init.d/syslog start.
109
Configuration
La configuration de syslog se fait dans le
fichier /etc/syslog.conf.
Pensez aprs toute modification faire relire ce
fichier de conf (killall -HUP syslogd).
110
Catgories de service
Les diffrentes catgories de service sont :
auth ou security
Authpriv
logs
Cron
Daemon
Ftp
Kern
Lpr
Mail
News
Syslog
User
cours
Uucp
111
Liste de svrite
7
6
5
debug
info
notice
warning ou warn
err
crit
alert
4
3
2
1
emerg ou panic
Messages de dbogage
Messages d'information
Messages un peu plus importants
que les messages info
Messages d'avertissement
Messages d'erreur
Situation critique
Situation critique ncessitant une
intervention immdiate
Systme inutilisable
Unit 10
Les processus
113
114
115
Processus parent
Chaque processus peut crer lui-mme de
nouveaux processus, qui se nomment
alors processus enfants.
Pour que les enfants connaissent leur
origine, le systme leur communique le
numro d'identification de leur processus
parent.
Cas particulier : init
116
117
118
119
/usr/lib/ICAClient/wfcmgr.bin
soffice &
120
Statut
Un processus est dot dun statut :
Running : processus qui se droule l'arrire
plan.
Done : fin normale du processus, un message
au niveau du Shell indique que le processus
s'est termin.
Stopped : processus temporairement
suspendue.
Terminated: le processus a t oblig d'arrter
son excution la suite d'un signal.
121
122
Exemple
$ rpm -Va > liste-RPM.txt
Ctrl + Z
[1]+ Stopped
rpm -Va >liste-RPM.txt
$ jobs -l
[1]+ 1162 Arrt
rpm -Va >liste-RPM.txt
$ bg %1
[1]+ rpm -Va >liste-RPM.txt &
$ jobs -l
[1]+ 1162 Running
rpm -Va >liste-RPM.txt
&
123
Exemple :
$ jobs -l
[1]+ 1162 Running
rpm -Va >liste-RPM.txt &
$ fg %1
rpm -Va >liste-RPM.txt
124
Exemple :
125
TIME COMMAND
0 : 00 bash
0 : 00 bash
0 : 00 bash
0 : 00 ps
126
Commande ps
PID : Lidentificateur du processus,
TTY : indique quel terminal est associ le
processus.
TIME : indique depuis combien de temps le
processus utilise les ressources du
microprocesseur.
COMMAND : prcise la commande dont
l'tat est dcrit par PID, TTY, STAT et TIME.
127
Commande ps
Loption x permet dafficher les processus
non attachs un terminal.
Exemple
$ ps -x
PID TTY STAT TIME COMMAND
240 ? S 0:01 /usr/X11R6/bin/fvwm2
246 ? S 0:00 /usr/X11/bin/xautolock -corners ++++ -time 5 -locker /usr/X
247 ? S 0:00 /usr/X11/bin/unclutter -idle 3
253 ? S 0:00 /usr/local/bin/Periodic
254 ? S 7:34 emacs --background grey79 -geometry 80x58+-4+-11
257 p0 S 0:00 bash
258 p2 S 0:00 bash
259 p1 S 0:00 bash
128
Commande ps
STAT : indique l'tat dans lequel se trouve
le processus.
Sleep (S): processus endormi,
Run (R) : processus en cours d'excution.
129
Commande ps
Options
ax : affiche tous les processus de la machine de tous les
utilisateurs,
aux : affiche les utilisateurs associs chaque processus,
Vous verrez alors plusieurs colonnes s'ajouter :
"USER" qui indique quel utilisateur appartient le
processus.
"%CPU" indique en pourcentage les ressources du
microprocesseur utilises par le processus.
"%MEM" montre en pourcentage les ressources en
mmoire vive utilises par le processus.
"RSS" donne rellement la mmoire utilise en kilobytes
par le processus.
"START" indique l'heure laquelle le processus a t lanc.
130
131
Arrter un processus
Les principaux signaux :
132
Unit 11
RESEAUX
133
Configuration
La configuration du rseau sous Linux peut tre effectue
lors de l'installation ou a posteriori en modifiant les fichiers
concerns.
Le fichier /etc/sysconfig/network contient les variables :
NETWORKING : initialise "yes" pour valider l'utilisation du
rseau
FORWARD_IPV4 : initialise "no" pour empcher le transfert
automatique des paquets
HOSTNAME : contient le nom complet de la machine
GATEWAYDEV : interface d'accs la passerelle
GATEWAY : adresse IP de la passerelle
134
Configuration
Pour chaque interface, il faut construire, dans le rpertoire
network-scripts un fichier ifcfg-<nom> o nom est remplac par
le nom de l'interface utilise :
ethN pour la Nime interface rseau
135
Les commandes
adresse Ethernet
adresse IP
adresse de diffusion
masque de rseau
le nombre de paquets reus et transmis
les connexions rseau actives et en attente
les tables de routage
des statistiques sur l'interface
les tables de translation d'adresse
136
Les fichiers
Le fichier /etc/hosts contient une liste d'adresses IP associes aux noms des
machines. C'est le moyen le plus simple d'effectuer la rsolution de noms pour un
petit rseau.
Le fichier /etc/host.conf spcifie le mode de rsolution des noms de machines. Il
contient les lignes suivantes :
Option
Description
spcifie l'ordre d'utilisation des diffrents moyens de rsolution de
noms :
order
- hosts : fichier /etc/hosts
- bind : serveur de noms DNS
- nis : Network Information Service
nospoof
valid par la valeur on, cela permet de dtecter les tentatives
d'usurpation d'adresse IP.
Alert
valid par la valeur on, cela permet d'enregistrer, via syslog, les
tentatives d'usurpation d'adresse IP.
Multi
valid par la valeur on, cela permet d'affecter plusieurs adresses IP
au mme hte dans le fichier /etc/hosts
Trim
permet d'enlever le nom de domaine en argument avant d'effectuer
une recherche dans le fichier /etc/hosts
137
Les fichiers
Le fichier /etc/resolv.conf permet de configurer la partie DNS de la
rsolution de noms. Ce fichier contient :
Option
Domain
Nameserver
Search
Description
spcifie le nom de domaine de la machine
donne une adresse IP d'un serveur de nom ; il est possible
de spcifier trois serveurs de noms
liste les noms de domaines chercher
138
Applications rseau
DNS
Une machine Linux peut tre configure en serveur de noms DNS. Elle pourra rpondre
aux requtes des autres machines du rseau pour la rsolution des noms en adresse IP.
SaMBa
SaMBa est l'mulation d'un serveur LAN MANAGER et permet de fournir des disques et
des imprimantes partags des PC sous Windows. La partie cliente existe et permet
une machine Linux de se connecter un disque ou une imprimante partags.
SENDMAIL
Sendmail est un logiciel de transport de courrier lectronique. Il gre l'envoi et la
rception du courrier en fonction des caractristiques des adresses donnes. Il s'occupe
du routage et de la modification ventuelle des adresses pour permettre au message
d'arriver destination. Sendmail peut grer des listes de diffusion de courrier.
NFS
Le systme NFS permet de partager des disques et des imprimantes travers le rseau. Il
existe deux parties dans NFS, la partie serveur qui consiste exporter une partie de son
systme de fichiers vers les machines clientes et la partie cliente qui consiste attacher
les systmes de fichiers comme s'ils faisaient partie du systme local.
NIS
NIS est une base de donnes qui permet de diffuser et de contrler les fichiers
d'administration importants. La gestion s'effectue sur un domaine possdant un nom
unique sur le rseau.
Introduction au service
NFS
Le service NFS (Network
File System),
permet le partage d'un
systme de fichiers sur un
rseau Linux
140
Gnralits
Il s'agit du protocole standard de partage
rseau entre machines Unix, cr par SUN
vers 1980.
Il comprend l'ajout de fonctionnalits
supplmentaires (dans la couche session
au dessus de TCP/IP), les RPC =(Remote
Procedure Calls)
141
Gnralits
Donc une machine joue le rle de serveur
de fichiers. Elle est appele serveur NFS,
et
on dit qu'elle exporte tout (arborescence
racine /) ou partie de son systme de fichiers,
en le partageant par une liste de stations
accessibles par rseau,
en installant toutefois des restrictions d'accs.
142
Gnralits
Comme toute ressource extrieure doit
tre intgre dans le systme de fichiers
Linux, cet accs ne pourra tre permis
qu' l'aide d'un processus de montage :
une partie de l'arborescence d'une machine
Linux "serveur", est exporte ce qui lui
permet d'tre intgr dans le systme de
fichiers d'une machine Linux "cliente".
143
Gnralits
L'utilisateur peut monter cette
arborescence exporte par le serveur, sur
un point de montage, de faon tout--fait
semblable au
montage de systmes de fichiers des
divers priphriques.
Le montage peut s'effectuer en cours de
session de travail par la commande
interactive mount.
144
Gnralits
Mais dans un cadre de travail stable, il est
souhaitable de monter la ressources NFS
au dmarrage.
Il suffit pour cela d'inclure la description du
montage sur une ligne de /etc/fstab.
145
Gnralits
Aprs le montage, pour l'utilisateur sur la
machine cliente, la ressource est
accessible comme si elle rsidait sur un
priphrique local.
146
Installation
Les services portmap qui gre les
connexions RPC, et nfs doivent tre
installs.
packages portmap-version .. et nfs-utils
147
Installation
NFS, comme les autres services, se gre
avec un script plac dans /etc/rc.d/init.d/.
Voici pour lancer NFS (sur une distribution
de type RedHat)
# service portmap start
Starting portmapper: [OK]
# service nfs start
Starting NFS services: [OK]
Starting NFS quotas: [OK]
Starting NFS deamon: [OK]
Starting NFS mountd: [OK]
148
Le fichier /etc/exports.
Ce fichier ( crer s'il est absent) contient
la liste des exportations.
Sur chaque ligne, on prcise un rpertoire du
systme de fichiers,
suivi par la liste des machines distantes
clientes autorises les monter. Si cette liste
est vide, toutes les stations accessibles sont
autorises.
Et une liste doptions de montage
(r) (rw)
149
150
Options de partage
ro : droit de lecture uniquement
rw : lecture criture
root_squash :spcifie que le root de la
machine distante n'a pas les droits de root
sur le rpertoire partag
no_root_squash: spcifie que le root de la
machine sur laquelle le rpertoire est
mont a les droits de root sur le rpertoire
L'option root_squash est l'option par
dfaut.
151
152
153
NB!
L'option rw signifie en ralit que
l'utilisateur dont l'ID est 1001 (par
exemple...) sur le client NFS a les droits
d'criture sur les fichiers et les rpertoires
qui appartiennent l'utilisateur dont l'ID
est 1001 sur le serveur NFS.
Attention, ces utilisateurs n'ont pas
forcment le mme nom de compte Unix
et ne correspondent pas forcment aux
mmes personnes !
154
Automatisation du montage
155
Options de montage
ro : droit de lecture uniquement
rw : lecture criture
root_squash :spcifie que le root de la
machine distante n'a pas les droits de root
sur le rpertoire partag
no_root_squash: spcifie que le root de la
machine sur laquelle le rpertoire est
mont a les droits de root sur le rpertoire
L'option root_squash est l'option par
dfaut.
156
Fonctionnement de NIS
Le service NIS (Network
Information System),
permet de centraliser les
connexions sur un rseau
local
158
Gnralits
L'objectif central de tout serveur de
fichiers d'un rseau local est de permettre
aux utilisateurs du rseau de se connecter
au serveur de fichier sous un compte
centralis au niveau du rseau, et non pas
dfini machine par machine et aussi d'
accder ses fichiers (rpertoire
personnel, ...)
159
Gnralits
NIS maintient une base de donnes (ou
annuaire) centralise au niveau d'un
groupe de machines appel domaine NIS.
Ces informations sont alors stockes dans
le rpertoire /var/yp/nom-domaine, sous
forme d'un ensemble de fichiers binaires
appels cartes ou maps.
160
Gnralits
Les types d'informations que les stations "clientes",
viennent chercher sont essentiellement :
161
Gnralits
Les informations sont contenues dans 6
maps usuels, situs dans /var/yp/nomdomaine, et appels
hosts.byname, hosts.byaddr,
passwd.byname, passwd.byuid,
group.byname et group.bygid
.
162
Gnralits
Les applications NIS utilisent les fonctions
RPC =Remote Procedure Calls)
Les fonctions RPC sont gres par un
service appel portmap.
164
Installation
Le paquetage RPM installer est ypserv
Son installation va crer des fichiers dans :
/usr/sbin : les serveurs ypserv et rpc.yppasswd,
/etc/rc.d/init.d/: les scripts de contrle ypserv et
yppasswd des serveurs
/etc/ypserv.conf : le fichier de configuration du serveur
/var/yp, place des cartes et du fichier Makefile qui
permet leur gnration
/usr/lib/yp, autres excutables .
165
Lancement
Du ct serveur, les services lancer sont :
portmap,
ypserv (le serveur NIS)
et yppasswd (le service spcialis dans le changement
des mots de passe).
166
Configuration
1. Choisir un nom de domaine NIS,
167
Configuration
2. Dclaration du domaine NIS :
168
Configuration
3. Prciser les machines autorises
accder au service NIS :
169
Configuration
4. Prciser les informations que NIS doit grer
NB
Il est recommand de ne rien modifier d'autre sauf "si on
sait ce que l'on fait ...", car pour l'essentiel il a t
correctement paramtr lors de l'installation de la
distribution.
170
Configuration
5. Gnrer les cartes :
171
Configuration
6. Pour dfinir des rgles daccs
supplmentaires:
Editer le fichier /etc/ypserv.conf et indiquer
une rgle daccs comme ci-dessous :
# Host
: domain
#
192.168.0.
*
192.168.0.
*
:Map
: passwd.byname
: passwd.byuid
:Security
: port
: port
172
173
Configuration
7. Relancer le serveur
service ypserv restart
Vrification
# ps ax | grep yp
root 550 ..... ypserv
root 823 ...... rpc.yppasswdd
175
Installation et lancement
Les paquetages installer sont d'abord
ypbind,
puis yp-tools
176
Configuration
1. Dans /etc/sysconfig/network, comme sur
le serveur il faut dclarer le nom du
domaine en ajoutant la ligne NISDOMAIN
= "ecole"
2. Editer /etc/yp.conf pour dclarer le
serveur NIS
domain ecole server nom_serveur
ypserver hostname
broadcast
177
Configuration
3. Editer /etc/nsswitch.conf, et veillez la
prsence active des lignes
passwd: files nis
group: files nis
hosts: files nis dns
Option de recherche
Source[ rponse=action]
178
Algorithme de recherche
Plusieurs sources dinformations peuvent tre proposes pour chaque
recherche. Les entres supportes sont :
files
nis
dns
Compact (compatibilit pour passwd et group avec ancienne version)
SUCCESS
UNAVAIL
NOTFOUND
TRAYAGAIN
Continue
return
179
Algorithme de recherche
Les actions par dfaut sont :
SUCCESS=return
UNAVAIL=continue
NOTFOUND=continue
TRYAGAIN=continue
180
Configuration
4. En ligne de commande, (re)lancer le
service client. On devrait obtenir 2
messages : recherche d'un domaine NIS,
puis tentative de liaison un serveur
NIS.
# service ypbind start
Binding to the NIS domain: [OK]
Listening for an NIS domain server:
nom_serveur ..
181
tests
#ypwhich
#ypcat passwd
182
Premire connexion
Login : user1
Passwd :*****
Last login:
No directory /home/user1
Logging in with home=/.
Bash->
Tout est normal user1 na pas de rpertoire
personnel sur la station.
NFS
telnet
183
Pbs clients
#service ypbind start
Binding to the nis domain [failed]
Listening for an nis domain server ypwhich:ne peut communiquer par
ypbind
#domainname
Le nom du domaine na pas t prcise
184
Pbs clients
#service ypbind start
Binding to the nis domain [OK]
Listening for an nis domain server ypwhich:ne peut communiquer par
ypbind
186
187
La thorie de la cryptographie
symtrique
188
189
L'tablissement d'une
connexion SSH
190
2.
3.
4.
5.
Une fois que le canal scuris est en place, le client va pouvoir envoyer
au serveur le login et le mot de passe de l'utilisateur pour vrification.
La canal scuris reste en place jusqu' ce que l'utilisateur se dloggue.
191
192
Installation et configuration de
SSH
Paquetages installer
Openssh
Openssh-server
Openssh-client
193
/etc/sshd_config
les lignes les plus importantes de ce fichier de configuration :
Port 22
Signifie que le serveur SSH coute sur le port 22, qui est le port par dfaut
de SSH.
Vous pouvez le faire couter sur un autre port en changeant cette ligne.
Vous pouvez aussi le faire couter sur plusieurs ports la fois en rajoutant
des lignes similaires.
Protocol 2
Signifie que votre serveur SSH accepte uniquement la version 2 du
protocole SSH.
C'est une version plus scurise que la version 1 du protocole. Seuls
certains vieux clients SSH ne savent faire que du SSH version 1.
Si vous voulez que le serveur accepte les deux protocoles, changez la ligne
en :
Protocol 2,1
194
/etc/sshd_config
Chemin sur les fichiers de clefs :
HostKey /etc/ssh_host_rsa_key
HostKey /etc/ssh/host_dsa_key
195
/etc/sshd_config
Authetification par clef public
RSAAuthentification no
PubkeyAuthentification yes
Options generales
PermitRootLogin no
strictModes yes
196
197
Authentification par cl
198
199
200
201
Le principe
Si on utilise un couple de cls publiques / prives,
et quon a crypt la cl prive avec une pass
phrase (configuration la plus sre).
202
ssh-agent La pratique
203
204
205
Utiliser SCP
pour transfrer le fichier test1.txt situ dans le rpertoire courant vers le home du
compte toto de la machine ordi1.exemple.org sur laquelle tourne un serveur SSH :
% scp toto@ordi2.exemple.org:test2.txt .
.
pour rcuprer tous les fichiers ayant l'extension .txt situs dans le rpertoire
/usr/local de la machine ordi2.exemple.org et l'crire dans le sous-rpertoire test-scp
du rpertoire courant :
% scp toto@ordi2.exemple.org:/usr/local/*.txt test-scp
206
207
Linuxconf
208
Webmin
Webmin est une interface Web pour l'administration d'un
systme Linux.
L'installation de cet outil est trs facile et ne ncessite
aucune compilation. Un simple script de mise en service
permet de saisir les paramtres ncessaires.
Il se lance partir d'un navigateur internet avec l'URL
suivante : http://nom_de_la_machine:10000 (par exemple,
http://localhost:10000 sur une machine locale).
Le login et le mot de passe demands la premire fois sont
ceux de l'administrateur (utilisateur "root").
il est possible de configurer des utilisateurs Webmin en leur
donnant les droits pour administrer quelques modules.
209
210
211
Disquette de rescue
mkbootdisk version_noyau
212
213