ZongoWiki

Bind: pas mal d'erreur au niveau du fichier de zone

On peut découper en:

• authentification: prouver qui on est
  • PAM
  • /etc/passwd et /etc/shadow
  • serveur radius
  • NIS
• autorisations: quotas, droits
• confidentialité
  • encryption: 3DES, blowfish, etc.
• intégrité: la donnée reçue est bien celle envoyée
  • MD5, PGP…
• traçabilité
  • logs
  • certificats

Ou bien en types de menaces:

• menaces externes
• menaces internes

Il y a un site qui recense toutes les failles de sécurité connues: http://www.cert.org/

Concept de la roue de la sécurité:

secure → monitor → test → improve → secure → …

Ce qu'on va faire:

• sécuriser grub
• sudo: gestion des droits par utilisateur

aptitude install sudo

Configurer:

visudo

On a un fichier qui par défaut n'a qu'une seule ligne non commenté:

root    ALL=(ALL) ALL

• qui = root: quel utilisateur?
• où = ALL: machine, réseau
• en tant que = (ALL): comme quel profil?
• quoi = ALL: quels logiciels peuvent être exécutés?

Nous allons créer un utilisateur sysadmin (password: password) à qui nous allons donner le droit d'utiliser apt-get.

adduser sysadmin

cf. ¹⁾

En temps que root:

visudo

Pour que sysadmin puisse installer des packages, il faut ajouter une ligne:

sysadmin ALL=(root) /usr/bin/apt-get, /usr/bin/aptitude

Ensuite, s'identifier en tant que sysadmin et taper:

sudo apt-get install vrms

La première fois qu'on utilise sudo, il y a un avertissement:

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

Ensuite, il faut taper le mot de passe de l'utilisateur sysadmin, puis la commande s'exécute.

Pour que sudo ne demande pas le mot de passe quand on l'utilise, modifier la ligne concernant sysadmin /etc/sudoers avec la commande visudo de la manière suivante:

sysadmin        ALL= (root)     NOPASSWD: /usr/bin/apt-get, /usr/bin/aptitude

Ajoutons un utilisateurs wwwadmin, l'administrateur des services web, et donnons lui les droits de démarrer ou arrêter le serveur apache, ainsi que l'utilisation de la commande apache2ctl.

wwwadmin        ALL=(root)      NOPASSWD: /etc/init.d/apache2, /usr/sbin/apache2ctl

On peut créer des groupes d'utilisateurs, des groupes de machines et des groupes de commandes.

User_Alias      ADMIN = sysadmin, admin

Ensuite, on y fait appel de la sorte:

ADMIN        ALL=(root)        /etc/init.d/networking restart

• installer xfce
• s'arranger pour pouvoir lancer synaptic

On voudrait xorg plutôt que xfree86

• modifier /etc/apt/sources.list et ajouter etch

deb http://192.168.2.254:9999/debian etch main
deb-src http://192.168.2.254:9999/debian etch main

• installer les packages suivants:

sudo aptitude install xserver-xorg xfonts-base xbase-clients

• problème: il veut mettre à jour des libs comme libc6: on le fait ici, mais c'est un peu craignos pour un environnement de production
• ensuite, installer xfce4:

sudo aptitude install xfce4

• démarrer

startx

• dans /etc/apt/sources.list, commenter les 2 lignes se rapportant à etch

J'ai dû mal répondre aux questions de debconf pour xorg parce qu'il a rajouté une ligne qu'il faut commenter dans la section du clavier:

#       Option          "XkbVariant"    "be"

et redémarrer le serveur X pour que ça tourne bien.

sudo aptitude install synaptic

Si j'essaie de lancer /usr/sbin/synaptic en tant qu'utilisateur linux, il me donne une erreur disant qu'il faut être root.

Avec visudo, rajouter un ligne pour pouvoir utiliser synaptic comme utilisateur linux

linux   ALL=(root)      /usr/sbin/synaptic

Et pour lancer synaptic, taper en console dans X:

sudo /usr/sbin/synaptic&

On peut également créer un launcher avec comme commande

sudo /usr/sbin/synaptic

Pour que l'utilisateur puisse rebooter ou éteindre l'ordinateur en sortant de sa session XFCE, il faut ajouter /usr/sbin/xfsm-shutdown-helper

linux   ALL=(root)      /usr/sbin/xfsm-shutdown-helper