Préparé par:

Mme sehla Loussaief Zayen

S E R V I C E S A D M I N I S T R A T I O N 1

PLAN

* SERVEUR APACHE

* SERVEUR SMTP

* CACHING ONLY NAMESERVER

* SERVEUR NFS

* SERVEUR CIFS

* SERVEUR FTP

S E R V I C E S A D M I N I S T R A T I O N 2

Module 1

Service Web encapsulé dans SSL

S E R V I C E S A D M I N I S T R A T I O N 3

Service Web encapsulé dans SSL

Sécurisation d'un serveur Apache avec le

chiffrement

Personnalisation d'un certificat auto-signé

Génération d'une requête de signature de

certificat

S E R V I C E S A D M I N I S T R A T I O N 4

Apache avec SSL

/etc/httpd/conf/httpd.conf

#vi /etc/httpd/conf.d/ssl.conf

SSLCertificateFile /path/to/www.example.com.cert

SSLCertificateKeyFile /path/to/www.example.com.key

S E R V I C E S A D M I N I S T R A T I O N 5

Génération de certificat x.509

Autosigné

#genkey --days 365 server.example.com

(FQDN)

---> place le certificat sous /etc/pki/tls/certs/*.crt

---> place la clé sous /etc/pki/tls/private/*.key

Affichage du contenu du certificat

#openssl x509 -in server.crt -text

S E R V I C E S A D M I N I S T R A T I O N 6

Génération d'une requête de signature de

certificat (CSR)

#genkey --genreq 365 server.example.com

→ /etc/pki/tls/certs/server.example.com.0.csr

#openssl x509 -text < /etc/pki/tls/certs/server*.csr

Envoyer la requête à une CA puis recevoir le certificat

et l'intégrer dans la config de Apache

S E R V I C E S A D M I N I S T R A T I O N 7

Ajout d'une CA à Firefox

Firefox → edition → préférences →

avancé → chiffrement → autorité →

importer le certificat

S E R V I C E S A D M I N I S T R A T I O N 8

Module 2

Configuration supplémentaire du serveur

Web

S E R V I C E S A D M I N I S T R A T I O N 9

Configuration supplémentaire de

Apache

Hébergement virtuel basé sur le nom

Contenu CGI dynamique

Authentification des utilisateurs Web

Sécurité Web SELinux

S E R V I C E S A D M I N I S T R A T I O N 10

Name based virtual Hosting

Listen 80

NameVirtualHost 192.168.0.1:80

<VirtualHost 192.168.0.1:80>

DocumentRoot /var/www/html/example.com

ServerName www.example1.com

ServerAlias www

ServerAdmin root@www.example1.com

</VirtualHost>

<VirtualHost 192.168.0.1:80>

DocumentRoot /var/www/html/example.org

ServerName www.example2.org

ScriptAlias /cgi-bin/ /var/www/cgi-bin/

</VirtualHost>

S E R V I C E S A D M I N I S T R A T I O N 11

Authentification des utilisateurs

Apache #vi /etc/httpd/conf/httpd.conf

<VirtualHost 192.168.0.1:80>

DocumentRoot /var/www/html/example.org

ServerName www.example2.org

<Directory /var/www/html/example.org>

AuthName "Fichiers réservés"

AuthType basic

AuthUserFile /etc/httpd/.htpasswd

Require valid-user

</Directory>

</VirtualHost>

#htpasswd -mc /etc/httpd/.htpasswd user

S E R V I C E S A D M I N I S T R A T I O N 12

Authentification des utilisateurs

Apache via LDAP

#vi /etc/httpd/conf/httpd.conf

LDAPTrustedGlobalCert CA_BASE64 /certs/certfile.der

<VirtualHost 192.168.0.1:80>

DocumentRoot /var/www/html/example.org

ServerName www.example2.org

<Directory /var/www/html/example.org>

AuthName "Fichiers réservés"

AuthType basic

AuthBasicProvider ldap

AuthLDAPURL “ldap://fqdn/prefix” TLS

Require valid-user

</Directory>

</VirtualHost>

S E R V I C E S A D M I N I S T R A T I O N 13

Apache et contextes SElinux #semanage dontaudit off

#semange port -l | grep httpd

#semange port -a -t httpd_port_t -p tcp 777

#semanage fcontext -a -t httpd_sys_content_t

'/virtual(/.*)?'

#retorcon -RFv /virtual

# semanage fcontext -a -t httpd_sys_script_exec_t

'/cgi-bin(/.*)?'

#retorcon -RFv /cgi-bin

S E R V I C E S A D M I N I S T R A T I O N 14

Apache et variables Booléennes

SElinux

#getsebool -a

#semanage boolean -l

#setsebool -P httpd_enable_cgi off

S E R V I C E S A D M I N I S T R A T I O N 15

Module 3

Configuration SMTP de base

S E R V I C E S A D M I N I S T R A T I O N 16

Configuration SMTP de base

Configuration de base de la messagerie

Configuration du serveur Intranet

S E R V I C E S A D M I N I S T R A T I O N 17

Configuration de base de la messagerie

MUA

MTA: potfix, sendmail, Exim

MDA: MTA possède son propre MDA, fetchmail

Mailstore: /var/spool/mail/login

TOUT USER MAIL EST UN USER SYSTEME

#useradd login

S E R V I C E S A D M I N I S T R A T I O N 18

Agent MTA postfix Fichier de configuration principal:

/etc/postfix/main.cf

Editable par

#vi

ou

#postconf -e “....=....”

Par défaut accepte les emails en provenance

de loopback

#vi /etc/postfix/main.cf

inet_interfaces=all

/var/log/maillog

#mailq (Liste des Emails sortant)

S E R V I C E S A D M I N I S T R A T I O N 19

Agent MTA postfix Vi /etc/postfix.main.cf

inet_interfaces=... (écoute sur ces interfaces)

myorigin=.. (mail locaux proviennent de ce domaine)

mydestination=.. (Emails sur ces domaines délivrés

au MDA)

mynetworks=... (autorisés à relayer via cet MTA)

relayhost=.. (ce hôte relaye tt le courier sortant)

S E R V I C E S A D M I N I S T R A T I O N 20

Configuration Intranet Serveur Mail Entrant

[root@server2 ~] #vi /etc/postfix/main.cf

inet_interfaces=all

myorigin=domain2.example.com

mydestination=domain2.example.com

local_transport=local:$myhostname

relayhost=[smtp.domain2.example.com]

Serveur Mail NULL

[root@desktop2 ~] #vi /etc/postfix/main.cf

inet_interfaces=all

myorigin=domain2.example.com

relayhost=[smtp.domain2.example.com]

local_transport=”error:local delivery disabled”

S E R V I C E S A D M I N I S T R A T I O N 21

/etc/aliases

#useradd usermail

#usermod -s /sbin/nologin usermail

#passwd usermail

#vi /etc/aliases

usermail: administrateur

#newaliases

#mail administrateur@serverx

---> /var/spool/mail/usermail

S E R V I C E S A D M I N I S T R A T I O N 22

Module 4

Serveur DNS cache uniquement

Cachingonly Mail Server

S E R V I C E S A D M I N I S T R A T I O N 23

Serveur DNS

S E R V I C E S A D M I N I S T R A T I O N 24

Recherche DNS

/etc/resolv.conf

nameserver 193.95.66.10

nameserver 195.55.30.45

S E R V I C E S A D M I N I S T R A T I O N 25

Record Resource DNS

A: résolution directe IPV4

AAAA: résolution directe IPV6

CNAME: canonical name (alias)

PTR: résolution inverse (IPV4/IPV6)

MX: serveur de messagerie sur un domaine

NS: serveur de nom sur un domaine

SOA: Start Of Authority

S E R V I C E S A D M I N I S T R A T I O N 26

Résolution de nom

$dig www.yahoo.fr

; <<>> DiG 9.7.3-P3 <<>> www.yahoo.fr

…......

;; QUESTION SECTION:

;www.yahoo.fr. IN A

;; ANSWER SECTION:

www.yahoo.fr. IN CNAME rc.yahoo.com.

rc.yahoo.com. IN CNAME src.g03.yahoodns.net.

src.g03.yahoodns.net. IN A 77.238.184.150

;; Query time: 43 msec

;; SERVER: 8.8.8.8#53(8.8.8.8)

;; WHEN: Tue Jun 2 19:37:33 2015

;; MSG SIZE rcvd: 106

S E R V I C E S A D M I N I S T R A T I O N 27

Configuration du caching only

nameserver #Vi /etc/named.conf

options {

listen-on port 53 {127.0.0.1; 192.168.0.1;};

listen-on-v6 port 53 { ::1; };

directory "/var/named";

allow-query { localhost; };

forwarders {192.168.0.254;};

};

#service named restart

S E R V I C E S A D M I N I S T R A T I O N 28

Module 5

Partage de fichiers avec NFS

S E R V I C E S A D M I N I S T R A T I O N 29

Serveur NFS

Configuration du serveur NFS

Considérations sur le client NFS

S E R V I C E S A D M I N I S T R A T I O N 30

Concepts NFS

Network File System: permet le partage et l'accès à des

fichiers sur le réseau

Fichier de configuration : /etc/exports

/repertoire clientautorisés(droit d'accès à l'import)

Exemple:

/var/ftp/pub 192.168.0.24(ro) 127.0.0.1(rw)

/export/home *.example.com(rw,no_root_squash)

RootSquashing : Transformer un root distant en

nfsnobody sur le serveur

S E R V I C E S A D M I N I S T R A T I O N 31

Concepts NFS

Rafraichir l'état des exports

#exportfs -r

ou

Service nfs restart

Affichage la liste des exports

#exportfs -v

Dépendance avec rpcbind

S E R V I C E S A D M I N I S T R A T I O N 32

Côté Client

Affichage des répertoires exportés

#showmount -e servernfs.example.com

Montage d'un répertoire exporté

#mount servernfs.example.com:/rep /ptmontage

#Vi /etc/fstab

servernfs:/rep /ptmontage nfs defaults 0 0

#mount -a

S E R V I C E S A D M I N I S T R A T I O N 33

Module 6

Partage de fichiers avec CIFS

S E R V I C E S A D M I N I S T R A T I O N 34

Partage de fichiers avec CIFS

common Internet File System

Clients CIFS

Principes de base de la configuration

CIFS

Partages CIFS collaboratifs

S E R V I C E S A D M I N I S T R A T I O N 35

Accès aux partages CIFS

Accès graphique

#smbclient -L server.example.com -N

#smbclient //server/share -U user

smb>

#mount -t cifs //server/share -o

username=user

#Vi /etc/fstab

//server/share /ptmontage cifs defaults 0 0

S E R V I C E S A D M I N I S T R A T I O N 36

Configuration serveur CIFS

/etc/samba/smb.conf

[global]

workgroup= EXAMPLE

hosts allow= 192.168.0.

[homes]

[printers]

S E R V I C E S A D M I N I S T R A T I O N 37

Configuration serveur CIFS

/etc/samba/smb.conf

[shareEXample]

path= /data

comment= exporte data

browseable= no | yes

public= no | yes

valid users= joe, @developper

Writable=no | yes

Write list= @developper

S E R V I C E S A D M I N I S T R A T I O N 38

Utilisateurs CIFS

# useradd joe

#usermod -s /sbin/nologin joe

#smbpasswd -a joe

S E R V I C E S A D M I N I S T R A T I O N 39

CIFS et SElinux

#semanege fcontext -a -t samba_share_t '/shared(/.*)?'

#restorecon -vFR /shared

samba_enable_home_dirs:exporte les répertoires

personnels vers d'autres SEs

use_samba_home_dirs:permet de monter des répertoires

distant et de les utilser comme répertoires personnels

#setsebool -P samba_enable_home_dirs off

S E R V I C E S A D M I N I S T R A T I O N 40

Chapitre 7

Partage de fichiers FTP

S E R V I C E S A D M I N I S T R A T I O N 41

Zone de dépôt FTP

#vi /etc/vsftpd/vsftpd.conf

anon_upload_enable = yes

chown_upload = yes

chown_username= daemon

anon_umask = 077

S E R V I C E S A D M I N I S T R A T I O N 42

FTP et SElinux

Contexte des fichiers/ Répertoires

---> public_content_t

---> public_content_rw_t

Variables booléennes

#setsebool -P allow_ftp_anon_write on

S E R V I C E S A D M I N I S T R A T I O N 43