Table of Contents
Correction de l'examen du module administration
Bind: pas mal d'erreur au niveau du fichier de zone
Qu'est-ce que la sécurité?
On peut découper en:
- authentification: prouver qui on est
- PAM
- /etc/passwd et /etc/shadow
- serveur radius
- NIS
- autorisations: quotas, droits
- confidentialité
- encryption: 3DES, blowfish, etc.
- intégrité: la donnée reçue est bien celle envoyée
- MD5, PGP…
- traçabilité
- logs
- certificats
Ou bien en types de menaces:
- menaces externes
- menaces internes
Il y a un site qui recense toutes les failles de sécurité connues: http://www.cert.org/
Concept de la roue de la sécurité:
secure → monitor → test → improve → secure → …
Ce qu'on va faire:
- sécuriser grub
- sudo: gestion des droits par utilisateur
sudo
aptitude install sudo
Configurer:
visudo
On a un fichier qui par défaut n'a qu'une seule ligne non commenté:
root ALL=(ALL) ALL
- qui = root: quel utilisateur?
- où = ALL: machine, réseau
- en tant que = (ALL): comme quel profil?
- quoi = ALL: quels logiciels peuvent être exécutés?
Nous allons créer un utilisateur sysadmin (password: password) à qui nous allons donner le droit d'utiliser apt-get.
adduser sysadmin
cf. 1)
En temps que root:
visudo
Pour que sysadmin puisse installer des packages, il faut ajouter une ligne:
sysadmin ALL=(root) /usr/bin/apt-get, /usr/bin/aptitude
Ensuite, s'identifier en tant que sysadmin et taper:
sudo apt-get install vrms
La première fois qu'on utilise sudo, il y a un avertissement:
We trust you have received the usual lecture from the local System Administrator. It usually boils down to these three things: #1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility.
Ensuite, il faut taper le mot de passe de l'utilisateur sysadmin, puis la commande s'exécute.
Pour que sudo ne demande pas le mot de passe quand on l'utilise, modifier la ligne concernant sysadmin /etc/sudoers avec la commande visudo de la manière suivante:
sysadmin ALL= (root) NOPASSWD: /usr/bin/apt-get, /usr/bin/aptitude
Ajoutons un utilisateurs wwwadmin, l'administrateur des services web, et donnons lui les droits de démarrer ou arrêter le serveur apache, ainsi que l'utilisation de la commande apache2ctl.
wwwadmin ALL=(root) NOPASSWD: /etc/init.d/apache2, /usr/sbin/apache2ctl
On peut créer des groupes d'utilisateurs, des groupes de machines et des groupes de commandes.
User_Alias ADMIN = sysadmin, admin
Ensuite, on y fait appel de la sorte:
ADMIN ALL=(root) /etc/init.d/networking restart
Exercice
- installer xfce
- s'arranger pour pouvoir lancer synaptic
xfce
On voudrait xorg plutôt que xfree86
- modifier /etc/apt/sources.list et ajouter etch
deb http://192.168.2.254:9999/debian etch main deb-src http://192.168.2.254:9999/debian etch main
- installer les packages suivants:
sudo aptitude install xserver-xorg xfonts-base xbase-clients
- problème: il veut mettre à jour des libs comme libc6: on le fait ici, mais c'est un peu craignos pour un environnement de production
- ensuite, installer xfce4:
sudo aptitude install xfce4
- démarrer
startx
- dans /etc/apt/sources.list, commenter les 2 lignes se rapportant à etch
J'ai dû mal répondre aux questions de debconf pour xorg parce qu'il a rajouté une ligne qu'il faut commenter dans la section du clavier:
# Option "XkbVariant" "be"
et redémarrer le serveur X pour que ça tourne bien.
sudo et synaptic
sudo aptitude install synaptic
Si j'essaie de lancer /usr/sbin/synaptic en tant qu'utilisateur linux, il me donne une erreur disant qu'il faut être root.
Avec visudo, rajouter un ligne pour pouvoir utiliser synaptic comme utilisateur linux
linux ALL=(root) /usr/sbin/synaptic
Et pour lancer synaptic, taper en console dans X:
sudo /usr/sbin/synaptic&
On peut également créer un launcher avec comme commande
sudo /usr/sbin/synaptic
Pour que l'utilisateur puisse rebooter ou éteindre l'ordinateur en sortant de sa session XFCE, il faut ajouter /usr/sbin/xfsm-shutdown-helper
linux ALL=(root) /usr/sbin/xfsm-shutdown-helper