Administration Système Linux M1 Informatique PDF

Summary

Ce document est un document d'enseignement sur l'administration système Linux. Il explique le super-utilisateur, le processus de démarrage, d'arrêt et de redémarrage et comprend des extraits de fichier inittab et des descriptions de l'exécution du processus init. Le document semble adressé aux étudiants de première année en informatique.

Full Transcript

Administration Système Linux – M1 Informatique - UBO

Administration système Linux

L. Nana

L. Nana 1
 Administration Système Linux – M1 Informatique - UBO

Plan
! Le super-utilisateur
! Processus de démarrage, d’arrêt et de
redémarrage
! Tâches d’administration du système Linux

L. Nana 2
 Administration Système Linux – M1 Informatique - UBO

Super utilisateur
! Accès sans restriction à l’ensemble du système
(commandes, fichiers).
! Nom d’utilisateur : root.
! Groupe des super utilisateurs : 0.
! Plusieurs modes de connexion au compte « root »:
– Mono-utilisateur : toute personne connectée a
automatiquement les privilèges du super utilisateur.
– Multi-utilisateurs :
! Connexion directe en tant que « root » : pas recommandé.
! Exécution de la commande su sans option.

L. Nana 3
 Administration Système Linux – M1 Informatique - UBO

Super utilisateur (suite)
! Répertoire des commandes et programmes nécessaires à
l’administrateur système : /etc.
! Potentiel de suppression accru, par exemple:
– Possibilité de modifier le mot de passe d’un utilisateur sans connaître son
ancien mot de passe.
– Montage et démontage de systèmes de fichiers.
– Suppression de tout fichier ou répertoire.
– Arrêt de l’entièreté du système.
=> Nécessité d’utiliser le compte administrateur avec
précaution et uniquement lorsqu’il est utile pour
effectuer une tâche donnée.
! Possibilité d’augmenter les restrictions sur l’utilisation du
compte administrateur, par exemple:
– Modification de su pour vérifier que son utilisateur appartient au groupe 0.
– Utilisation d’un terminal sécurisé : connexion comme « root » acceptée par le
terminal uniquement s’il est désigné comme sécurisé dans /etc/securetty.
L. Nana 4
 Administration Système Linux – M1 Informatique - UBO

Processus de démarrage, d’arrêt
et de redémarrage
! Procédure de démarrage (« Boot »)
! Quelques aspects importants
! Arrêt et redémarrage

L. Nana 5
 Administration Système Linux – M1 Informatique - UBO

Procédure de démarrage (« Boot »)
! Procédure consistant à mettre en marche un ordinateur à
partir de l’état d’arrêt ou éteint.
! Lorsque l’ordinateur est allumé, il active le code résident
(BIOS ou autre) en mémoire centrale (carte CPU).
! Principales phases :
– Le code résident :
! Exécute les auto-tests.
! Sonde le bus pour le dispositif de démarrage.
! Lit le programme de démarrage (GRUB, LILO, …) à partir du
dispositif de démarrage.
– Le programme de démarrage lit le noyau et lui passe le contrôle.
– Le noyau
! Identifie et configure les matériels (root, « swap », décharge (dump)).
! Initialise le système et lance les processus système.
! Conduit le système au mode mono-utilisateur si nécessaire.
! Exécute les scripts de démarrage appropriés.
! Conduit le système au mode multi utilisateurs.
L. Nana 6
 Administration Système Linux – M1 Informatique - UBO

Quelques aspects importants

! Le noyau
! Scripts de démarrage
! Le processus init
! Fichier inittab
! Mode mono utilisateur

L. Nana 7
 Administration Système Linux – M1 Informatique - UBO

Le noyau
! Son chemin : /boot
! A son démarrage, affiche normalement sa taille et
la quantité de mémoire physique restante après son
chargement.
! Une fois chargé, reste en mémoire tout au long de
l’exécution du système et occupe habituellement
une taille fixe en mémoire.
! Gère les mémoires physique et virtuelles.

L. Nana 8
 Administration Système Linux – M1 Informatique - UBO

Les scripts shell de démarrage
! Tâches usuelles:
– Positionnement du nom de la machine (hostname).
– Positionnement de la zone de temps.
– Vérification de la consistance du système de fichiers.
– Montage des partitions du disque système.
– Configuration de l’interface réseau.
– Mise en route de la gestion des comptes et des quotas, etc.
! Localisations et noms
– Localisation : /etc, /etc/rc.d, /etc/rc.d/rcn.d, n = 0..6
– Noms:
! fichiers commencent par rc (rc.local, …) dans ces répertoires.
! fichiers commençant par Km ou Sm (m entier) dans les répertoires
/etc/rc.d/rcn.d
– Le numéro n dans rcn.d est le niveau d’exécution.
– Les fichiers Km… et Sm… contenus dans ces répertoires sont en réalité des liens
symboliques vers des scripts système sous /etc/rc.d/init.d
– Les lettres K et S indiquent si un service particulier doit être interrompu ou démarré.
– Leurs numéros m donnent l’ordre dans lequel ils sont lancés.

L. Nana 9
 Administration Système Linux – M1 Informatique - UBO

Processus init
! Init: Premier programme exécuté par le noyau (processus 1)
– Lancé en tâche de fond à la dernière phase du démarrage.
– Prend en charge toutes les autres opérations qui doivent être exécutées lors du
démarrage du système.
– Recherche une liste d’instructions dans le fichier script nommé
/etc/rc.d/rc.sysinit et l’exécute.
– Lit le fichier /etc/inittab et configure le système en fonction de son contenu.
! Le fichier est traité ligne par ligne.
! Chaque ligne définit une action à entreprendre.
– Les tâches à entreprendre sont groupées en niveaux d’exécution (l’organisation
dépend de la distribution). On a pour Fedora :
! 0 : nommé halt et permet d’arrêter le système.
! 1 : mono-utilisateur
! 2 : multi-utilisateur sans service réseau
! 3 : multi-utilisateur avec service réseau
! 4 : inutilisé. Peut être configuré pour un amorçage personnalisé
! 5 : mode réseau multi-utilisateur avec session X active. C’est le plus courant
! 6 : permet de rédémarrer le système.
– Le répertoire rc.d contient une série de répertoires correspondant à chaque niveau
d’exécution.
L. Nana 10
 Administration Système Linux – M1 Informatique - UBO

Le fichier inittab
! Syntaxe d’une entrée dans le fichier:
id:niveau-d-exécution:mode:commande
! Description:
– id : chaîne de 4 caractères maximum identifiant de façon unique l’entrée.
– niveau-d-exécution : niveau d’exécution dans lequel l’action doit être
entreprise. Si ce champ est vide, le traitement est possible à tous les
niveaux.
– Mode : définit la fréquence et la manière d’exécuter la commande du
dernier champ. Les principales possibilités sont :
! sysinit : La commande correspondante n’est lancée qu’au démarrage du
système. On attend la fin du processus enfant.
! wait : attente de l’exécution de la commande. Le travail se fait par un
processus enfant synchrone.
! off: la commande du dernier champ ne doit pas être exécutée.
! respawn: redémarre le processus à chaque fois qu’il meurt.
! powerfail : cette entrée et sa commande ne sont traitées que si le processus init
a obtenu un signal SIGPWR.
! initdefault : détermine l’état particulier dans lequel le système devra se trouver
à l’affichage de l’invite d’ouverture de session.
– commande: spécifie la commande shell à exécuter.
L. Nana 11
 Administration Système Linux – M1 Informatique - UBO

Extrait de fichier inittab
id:5:initdefault:
# Initialisation du système.
si::sysinit:/etc/rc.d/rc.sysinit
l0:0:wait:/etc/rc.d/rc 0
l1:1:wait:/etc/rc.d/rc 1
l2:2:wait:/etc/rc.d/rc 2
l3:3:wait:/etc/rc.d/rc 3
l4:4:wait:/etc/rc.d/rc 4
# au niveau 5, ce qui suit va exécuter tous les scripts
# du répertoire rc5.d et démarrer une ouverture de session graphique
l5:5:wait:/etc/rc.d/rc 5
l6:6:wait:/etc/rc.d/rc 6
# Capture de CTRL-ALT-DELETE
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
…
# Exécuter gettys aux niveaux standards
1:2345:respawn:/sbin/mingetty tty1
2:2345:respawn:/sbin/mingetty tty2
3:2345:respawn:/sbin/mingetty tty3
4:2345:respawn:/sbin/mingetty tty4
5:2345:respawn:/sbin/mingetty tty5
6:2345:respawn:/sbin/mingetty tty6
# Exécuter xdm au niveau 5
x:5:respawn:/etc/X11/prefdm -nodaemon

L. Nana 12
 Administration Système Linux – M1 Informatique - UBO

!
Mode mono-utilisateur
Pour entrer dans ce mode:
– telinit S
– Paramétrage du noyau à single (ou S ou 1) à l’aide du GRUB.
! Accès réseau, X et multi utilisateurs désactivés.
! Basculement automatique dans le niveau d’exécution par défaut
lorsqu’on quitte le mode mono utilisateur (exit).
! Le shell :
– Toujours bash dans ce mode.
– S’exécute comme « root ».
– Permet de réaliser des tâches de maintenance ou de secours:
! Positionner la date,
! Changement du mot de passe sur un système.
! Réaliser des copies de sauvegarde.
! Vérifier la consistance du système de fichiers (fsck).
! Réparer des fichiers de configuration ou d’autres types, ….
! Les partitions :
– Seule la partition root est habituellement montée.
– Montage manuel des autres partitions, pour utiliser les programmes ne résidant pas
dans la partition root.
L. Nana 13
 Administration Système Linux – M1 Informatique - UBO

Arrêt et redémarrage de Linux

! Introduction
! Différents modes

L. Nana 14
 Administration Système Linux – M1 Informatique - UBO

Introduction
! Implication des utilisateurs importante :
– L’arrêt provoque la mort de tous les processus utilisateurs, or
certaines tâches nécessitent des jours voire des semaines pour se
terminer.
– Les utilisateurs doivent disposer du maximum de temps possible
pour se préparer à l’arrêt.
! Nécessité de l’arrêt et du redémarrage :
– Résolution de problèmes de récupération mémoire des
environnements graphiques tels que X11 après une durée de
fonctionnement longue.
– Prise en compte de l’installation de logiciels système ou de
changements au niveau du matériel.
– Résolution de certains dysfonctionnements de matériels ou
logiciels.
– Sauvegarde complète de systèmes de fichiers (système ramené
dans le mode mono-utilisateur).
L. Nana 15
 Administration Système Linux – M1 Informatique - UBO

Méthodes d’arrêt et de
redémarrage
! Arrêt logiciel.
! Redémarrage
! Mise hors tension et rallumage éventuel : non
conseillé
– Des corruptions de disques peuvent survenir, car les
buffers de disques n’ont pas été écrits sur les disques.
– Peut toutefois être la seule solution lorsque aucune
entrée du clavier n’est prise en compte.

L. Nana 16
 Administration Système Linux – M1 Informatique - UBO

Arrêt logiciel
! Très souvent quand une maintenance matérielle est
planifiée, ou chaque fois que la machine doit être arrêtée.
! 2 possibilités de commandes:
– shutdown –h temps [message]
! Temps : en valeur relative (p. ex. +5 pour 5mn) ou absolu (format HH:MM,
sur 24h) ou now (équivaut à +0).
! Message :
– Recommandé (chaîne de caractères entre guillemets).
– Brève explication de la raison de l’arrêt et précision de l’instant où la machine sera à
nouveau opérationnelle.
– halt (faire précéder par exemple de la commande wall pour
l’avertissement des utilisateurs).
! Tous les processus sont tués puis le contenu des buffers du
disque est écrit sur ce disque (commande sync). Le
processeur est enfin arrêté.
L. Nana 17
 Administration Système Linux – M1 Informatique - UBO

Redémarrage
! Nécessaire en cas de modification :
– Du système d’exploitation (p. ex., changement de
paramètres du noyau Linux).
– De certaines applications logicielles (installation ou
mise à jour).
! Commande :
– shutdown avec l’option –r ou
– halt + reboot

L. Nana 18
 Administration Système Linux – M1 Informatique - UBO

Tâches d’Administration du
système Linux
! Quelques utilitaires importants
! Droits des fichiers et répertoires
! Utilisateurs, groupes et mots de passe
! La sécurité
! Aspects réseaux
! Système de fichiers
! Messagerie
! Gestion de disques et périphériques
! Sauvegarde et restauration
! Automatisation de tâches
! Gestion des performances
L. Nana 19
 Administration Système Linux – M1 Informatique - UBO

Quelques utilitaires importants
! man
! info (comme man, avec plus de détail)
! su
! ps
! find
! grep, awk
! df/du
! editeur vi (ou emacs)
! Shell bash (/bin/bash)
L. Nana 20
 Administration Système Linux – M1 Informatique - UBO

Consultation du manuel : les sections
Contenu Section
Commandes utilisateur 1
Appels système 2
Fonctions des bibliothèques C et autres 3
Fichiers, pilotes (drivers) et matériels 4
Fichiers de configuration 5
Jeux 6
Commandes diverses 7
Commandes d’administration 8
Commandes de maintenance 8
Commandes locales 1

Documentation en ligne: https://linux.die.net/man
Documentation debian: https://manpages.debian.org
L. Nana 21
 Administration Système Linux – M1 Informatique - UBO

Commande ps
Option Rôle
-a Affiche tous les processus impliquant des terminaux (a => autres)
-e Affiche l’environnement et les arguments (e => environnement)
-l Long « listing » (l => listing)
-u Affiche les informations utilisateurs (u => utilisateur)
-x Inclue les processus sans terminaux

Entête Signification
%CPU Taux d’utilisation du processeur (temps CPU/ temps utilisateur
SZ Taille totale du processus (code + données + pile, en pages de
1024 octets)
RSS Taille résidente totale en Ko du processus
STAT État du processus
TIME Temps cumulé utilisateur + système

L. Nana 22
 Administration Système Linux – M1 Informatique - UBO

Commande find
! Utilisation :
find « répertoire » « critères et actions »
! Critères:
-atime n : le fichier a été accédé n jours avant.
-mtime n : le fichier a été modifié n jours avant.
-size n : le fichier a exactement la taille n (en blocs de 512 octets).
-type c : type de fichier (f pour fichier ordinaire, d pour répertoire, etc.).
-name expression-regulière : (p.ex. ‘*.c’).
-user usr : le propriétaire du fichier est usr.
-perm p : les droits d’accès du fichier sont p.

! Actions :
-print : affiche le chemin.
-exec cmd : exécute la commande cmd. ( {} peut être utilisé pour représenter
le fichier en cours de traitement; tous les arguments suivant cmd, jusqu’au
‘;’ sont considérés comme les arguments de cmd).

L. Nana 23
 Administration Système Linux – M1 Informatique - UBO

Tâches d’Administration du
système Linux
! Quelques utilitaires importants
! Droits des fichiers et répertoires
! Utilisateurs, groupes et mots de passe
! La sécurité
! Aspects réseaux
! Système de fichiers
! Messagerie
! Gestion de disques et périphériques
! Sauvegarde et restauration
! Automatisation de tâches
! Gestion des performances
L. Nana 24
 Administration Système Linux – M1 Informatique - UBO

Permissions
! chgrp nouveau_groupe fichier/répertoire
! chown nouveau_titulaire[: nouveau_groupe]
fichier/repertoire
! Permissions spécifiques :
– s : le bit suid prend les droits de celui qui possède le fichier
et les transfère au programme qui les sollicite plutôt qu’à
l’utilisateur.
– t : les utilisateurs du répertoire auquel il s’applique peuvent
avoir les droits de lecture et d’écriture dans le répertoire,
mais ne peuvent supprimer ou renommer que les fichiers qui
leur appartiennent.
– Positionnement à l’aide de chmod comme les permissions
usuelles.
L. Nana 25
 Administration Système Linux – M1 Informatique - UBO

Tâches d’Administration du
système Linux
! Quelques utilitaires importants
! Droits des fichiers et répertoires
! Utilisateurs, groupes et mots de passe
! La sécurité
! Aspects réseaux
! Système de fichiers
! Messagerie
! Gestion de disques et périphériques
! Sauvegarde et restauration
! Automatisation de tâches
! Gestion des performances
L. Nana 26
 Administration Système Linux – M1 Informatique - UBO

Utilisateurs, groupes et mots de
passe
! Utilisateurs.
! Groupes.
! Fichier /etc/passwd.
! Fichier /etc/shadow.
! Création de comptes utilisateurs.
! Suppression de comptes utilisateurs.
! Réalisation de modifications.
L. Nana 27
 Administration Système Linux – M1 Informatique - UBO

Comptes utilisateurs
! Nom d’utilisateur et identificateur (UID) uniques dans le
domaine.
! Nom d’utilisateur :
– Composé de lettres, de chiffres et éventuellement de caractères
spéciaux suivants: ‘.’, ‘-’, ‘_’. Le 1er caractère ne doit être ni un
chiffre, ni le caractère ‘-’. Le caractère ‘.’ n’est pas conseillé.
– Très souvent basé sur le nom de famille.
– Certains standards n’autorisent par défaut que des noms formés de
lettres minuscules et de chiffres et commençant par une lettre.
! UID :
– Entier compris entre 0 et 32767 ( jusqu’à 65534 sur certains
systèmes).
– Par convention, UID < 500 (ou 1000) réservés aux comptes
systèmes. Par exemple: 0 (root), 1 (bin), 2 (daemon).
– UID de personnes >= 500 (ou 1000).
– Réutilisation d’UID non conseillée, même lorsqu’un utilisateur
quitte le système.
L. Nana 28
 Administration Système Linux – M1 Informatique - UBO

Groupes
! Chaque utilisateur appartient au moins à un
groupe et au plus à 16 groupes.
! Fichier des groupes valides : /etc/group.
– Forme des entrées :
work:x:15:nom1, nom2, …, nomn
– Syntaxe :
NomGroupe:MotPasseGroupeCrypté:IdDuGroupe:ListeMembres
– Identificateurs de groupe :
! Entiers distincts compris entre 0 et 32767 ( jusqu’à 65534 sur
certains systèmes).
! Valeurs < 500 (ou 1000) réservées aux groupes systèmes.

! Fichier d’administration de groupe:
L. Nana
/etc/gshadow 29
 Administration Système Linux – M1 Informatique - UBO

Fichier /etc/passwd
! Contient la liste des utilisateurs reconnus par le
système.
! Forme des entrées :
bcohen:x:543:501: Benoît Cohen, stagiaire M2:/home/bcohen:/bin/csh
! Description :
– Premier champ: nom d’utilisateur.
– Deuxième : mot de passe; contient un x; vrai mot de passe gardé dans /etc/shadow.
– Troisième : Id de l’utilisateur (UID).
– Quatrième : Id du Groupe par défaut (celui dont il est membre lorsqu’il se
connecte).
– Cinquième :
! Pas de syntaxe définie.
! Généralement utilisé pour des informations personnelles relatives à
l’utilisateur (nom complet, téléphone, etc.).
– Sixième : Chemin du répertoire racine de l’utilisateur.
– Septième : Shell de connexion de l’utilisateur.
L. Nana 30
 Administration Système Linux – M1 Informatique - UBO

Fichier /etc/shadow
! Lisible uniquement par l’administrateur système,
contrairement à /etc/passwd.
! Forme des entrées :
fm:56WerER:543:14:180:10:60::
! Description des champs:
– 1 : nom d’utilisateur.
– 2 : mot de passe crypté (13 à 24 caractères).
– 3 : nombre de jours entre la dernière date de modification du mot de passe et le
01/01/1970.
– 4 : durée minimale, en jours, avant modification du mot de passe.
– 5 : durée de validité, en jours, du mot de passe.
– 6 : nombre de jours, avant expiration du mot de passe, pendant lesquels un message
d’avertissement est envoyé à l’utilisateur.
– 7 : nombre de jours entre l’expiration du mot de passe et la désactivation du compte
(pour la sécurité).
– 8 : nombre de jours à partir du 1/1/1970 après lesquels le compte ne pourra plus
être utilisé (mise en place de comptes temporaires, …).
– 9 : inutilisé.

L. Nana 31
 Administration Système Linux – M1 Informatique - UBO

Création de groupes et de
comptes utilisateurs
! Commandes principales et outils
! Création manuelle
! Fonctionnement des scripts de création

L. Nana 32
 Administration Système Linux – M1 Informatique - UBO

Commandes principales et outils
! Comptes utilisateurs
– Création d’un compte: useradd ou adduser
– Modification: usermod
– Suppression: userdel
– Création de plusieurs utilisateurs: newusers
– Modification d’un ensemble de mots de passes: chpasswd
! Groupes
– Création: groupadd
– Suppression : groupdel
– Modification : groupmod
– Création d’un mot de passe et éventuellement d’un
administrateur : gpasswd.
! Outils graphiques: system-config-users (Fedora).
L. Nana 33
 Administration Système Linux – M1 Informatique - UBO

Création manuelle de compte
! Édition des fichiers /etc/passwd et /etc/shadow.
! Edition des fichiers /etc/group et /etc/gshadow.
! Création d’un répertoire racine pour l’utilisateur.
! Copie des fichiers de configuration dans ce
répertoire racine
! Mise à jour des droits de propriété et du groupe
sur le répertoire racine et les fichiers de
configuration.
! Positionnement d’un mot de passe initial pour ce
compte.
! Éventuellement, positionnement du quota.
L. Nana 34
 Administration Système Linux – M1 Informatique - UBO

Création manuelle de comptes (suite)
! Éviter dans la mesure du possible l’édition manuelle de
/etc/passwd, /etc/shadow, /etc/group et /etc/gshadow
– Risque de corruption du fichier => risque de sécurité.
! En cas d’édition manuelle :
– Faire une copie de sauvegarde du fichier avant sa modification.
– La séquence d’ouverture, d’écriture et de fermeture du fichier doit se faire
en 3 lignes de commandes successives : restriction de la durée d’ouverture
à celle absolument nécessaire.
– Vérifier la consistance des entrées des fichiers (commande pwck pour
/etc/passwd et grpck pour /etc/group).
! vipw (vigr): version spéciale de vi qui fait une copie de
/etc/passwd (resp. /etc/group) qui est alors éditée.
– Lorsque cette copie est faite, le fichier passwd est verrouillé ( personne
d’autre ne peut l’exécuter pendant son édition).
– Après la fin des modifications, la consistance de l’entrée « root » est
vérifiée avant de sauvegarder la copie dans /etc/passwd.
L. Nana 35
 Administration Système Linux – M1 Informatique - UBO

Gestion des quotas
! Prérequis: paquetage de gestion des quotas installé.
! Procédure en 4 étapes:
– Mise à jour des options dans /etc/fstab pour autoriser
les quotas sur les systèmes de fichiers visés (options
usrquota et/ou grpquota)
– Remontage des systèmes de fichiers (commande
mount)
– Création de la base de données de quotas sur les
systèmes de fichiers et génération de la table
d’utilisation du disque (commande quotacheck)
– Édition du fichier de quota
! Groupe : edquota –g nomgroupe
! Utilisateur : edquota –u nomutilisateur
L. Nana 36
 Administration Système Linux – M1 Informatique - UBO

Fonctionnement des scripts de
création de comptes
! Sélection automatique d’un UID et d’un GID pour
un nouveau compte.
! Positionnement du répertoire racine : par
convention, ces répertoires portent le nom de
connexion de l’utilisateur.
! Shell de connexion par défaut : Bourne again shell
(bash).
! Fichiers de configuration par défaut sous /etc/skel

L. Nana 37
 Administration Système Linux – M1 Informatique - UBO

Fichiers de configuration
Shell Script exécuté à la Script exécuté à chaque
connexion démarrage de shell
Shell de Bourne (sh).profile aucun
C shell (csh).login.cshrc
TC shell (tcsh).login.tcshrc
Korn shell (ksh).profile.kshrc
Bourne Again shell (bash).profile.bashrc

Fichier Utilisation.exrc Positionnement des options de l’éditeur vi.emacs_pro Positionnement des options d’emacs.newsrc Spécification des « newsgroups » souhaités.Xdefaults Spécification des configurations X Windows.xinitrc Spécification de l’environnement X Windows initial

L. Nana 38
 Administration Système Linux – M1 Informatique - UBO

Tâches d’Administration du
système Linux
! Quelques utilitaires importants
! Droits des fichiers et répertoires
! Utilisateurs, groupes et mots de passe
! La sécurité
! Aspects réseaux
! Système de fichiers
! Messagerie
! Gestion de disques et périphériques
! Sauvegarde et restauration
! Automatisation de tâches
! Gestion des performances
L. Nana 39
 Administration Système Linux – M1 Informatique - UBO

La sécurité
! Sécurité et responsabilités
! Principaux points sensibles
! Attaques
! Surveillance du système
! Audits de sécurité
! Logiciels et organismes de sécurité

L. Nana 40
 Administration Système Linux – M1 Informatique - UBO

Sécurité et responsabilités
! Un ordinateur peut être considéré sûr si l’on peut lui faire
confiance ainsi qu’à son logiciel.
! Responsabilité partagée entre propriétaires, administrateur,
utilisateurs du système et toute personne se déplaçant dans la
salle qui l’héberge.
! La politique de sécurité doit être définie par les propriétaires du
système :
– Qui peut accéder physiquement aux machines.
– Qui reçoit des comptes sur ces machines.
– Comment sont gérées les infractions de sécurité.
– Plans de traitement des urgences.
! Responsabilité des utilisateurs:
– Adhérer à la politique de sécurité.
– Ne pas compromettre la sécurité (p.ex. partage des mots de passe).
! La responsabilité d’installation et de maintenance d’un système
sûr incombe à l’administrateur système.
L. Nana 41
 Administration Système Linux – M1 Informatique - UBO

Principaux points sensibles

! Sécurité physique: aspect le plus critique.
! Comptes.
! Réseaux.

L. Nana 42
 Administration Système Linux – M1 Informatique - UBO

Sécurité physique
! Inhibition du vol et du vandalisme :
– S’assurer que le bâtiment et/ou la salle hébergeant
l’ordinateur sont sûrs.
– Sites publics:
! Fixation des machines sur les tables ou insertion dans un système de
sécurité.
! Présence d’un administrateur ou d’une autre personne de confiance
sur le site aux horaires d’ouverture.
! Contrôle de l’environnement :
– S’assurer de la présence d’extincteurs et de protections pour éviter
par exemple que des tasses de café soient versées sur le clavier, etc.
! Limiter l’accès aux composants du système.
! Restreindre l’accès aux supports de sauvegarde.

L. Nana 43
 Administration Système Linux – M1 Informatique - UBO

Comptes

! Vulnérabilité :
– Authentification
– Permissions
! Solutions
– Renforcement de l’authentification.
– Restriction des comptes et des permissions.

L. Nana 44
 Administration Système Linux – M1 Informatique - UBO

Mots de passe
! Première ligne de défense interne.
! Algorithme de cryptage sous Linux : DES (Data
Encryption Standard).
! /etc/passwd, /etc/shadow, /etc/group, /etc/gshadow
: fichiers très importants dans le système.
– Droits de modification de /etc/passwd => possibilité de
modification de son propre UID à 0 (privilèges Super utilisateur).
– De même accès au groupe des supers utilisateurs => possibilité de
modifier le fichier /etc/passwd, etc.
! Authentification : Red Hat Linux utilise PAM
(Pluggable Authentication Modules).
L. Nana 45
 Administration Système Linux – M1 Informatique - UBO

Shell restreint
! Shell restreint : rsh
! L’utilisateur ne peut pas :
– Changer le répertoire courant.
– Modifier la valeur de la variable d’environnement PATH
– Utiliser les noms de commandes comportant des slashs.
– Rediriger des sorties avec > ou >>

! Possibilité d’empêcher que le shell restreint soit
utilisable à travers le réseau :
– Implique l’exécution de la commande tty par le script shell
pour s’assurer que l’utilisateur est bien attaché au terminal
physique et non à un port réseau.

L. Nana 46
 Administration Système Linux – M1 Informatique - UBO

Compte avec Shell restreint
! Exemple de mise en œuvre:
– Compte avec Shell restreint et répertoire spécial contenant
uniquement les programmes que le Shell restreint pourrait
exécuter.
! Ne sont pas des « remèdes à tout » :
– Les fournitures de programmation permettant la création
d’un autre shell peuvent annuler les restrictions du Shell
restreint.
– Exemple: Si le shell restreint exécute une commande qui
utilise man pour lire des pages, l’utilisateur peut utiliser man
pour lancer un éditeur qui peut démarrer un nouveau shell
non restreint.

L. Nana 47
 Administration Système Linux – M1 Informatique - UBO

Permissions
! Utilisation de umask pour modifier les
droits par défaut sur les fichiers et
répertoires créés.
! Possibilité d’utiliser les bits s et t.
! Contrôle des programmes SUID et SGID

L. Nana 48
 Administration Système Linux – M1 Informatique - UBO

Programmes SUID et SGID
! Possibilité d’exploitation des programmes « root » pour
donner les droits à quelqu’un qui ne les a pas.
=> Nécessité de restreindre les droits de lecture.
! Sont normalement sous des répertoires connus (/bin, /sbin,
/etc, /usr/sbin, /usr/etc, …). Important:
– d’examiner ceux qui apparaissent en dehors.
– de faire la recherche des programmes SUID du root juste après le
démarrage du système afin de comparer aux résultats ultérieurs.
! Recherche des programmes :
– SUID
! Du root: find / -user root –perm -004000 –print
! D’un système de fichier: find /nomdusystème -xdev –perm -004000 –exec ls –l {} \;
– SUID et SGID d’un répertoire : find répertoire –type f –a \(–perm -
004000 –o perm -002000 \) –exec ls –l {} \;

L. Nana 49
 Administration Système Linux – M1 Informatique - UBO

Sécurité réseau
! Vulnérabilité:
– écoutes indiscrètes.
– fournitures réseau avec des trous potentiels de sécurité
! Solutions basées sur le contrôle et l’enregistrement
des accès.
! Cas particuliers:
– UUCP (Unix-to-Unix-CoPy system)
– X-Window

L. Nana 50
 Administration Système Linux – M1 Informatique - UBO

Écoutes indiscrètes
! Transmission d’informations sensibles (mots de passe, UID) lors
de la demande de services.
! Réduction par cryptage de l’information et/ou l’utilisation d’un
programme d’authentification (Kerberos, etc.).
! Les fichiers /etc/hosts.equiv,.rhosts et /etc/passwd contrôlent si
l’accès est donné à rlogin, rcp, et rsh.
– /etc/hosts.equiv contient une liste de machines qui sont considérées sûres
ou équivalentes à la machine.
– Certains systèmes utilisent /etc/hosts.allow et /etc/hosts.deny plutôt qu’un
unique fichier /etc/hosts.equiv.
– Le fichier.rhosts contient une liste de machines hôtes qui ont le droit
d’accéder à un compte utilisateur spécifique.

L. Nana 51
 Administration Système Linux – M1 Informatique - UBO

Contrôle et enregistrement de traces
! Commande finger : peut être utilisée par tout
utilisateur pour savoir qui est connecté sur une
machine donnée, combien de temps il est resté inactif
et quel est son nom complet.
! Des « wrappers » TCP enregistrent et contrôlent les
accès internet à tftp, ftp, telnet, shells distants, rlogin,
finger, exec et talk.
– Des restrictions d’accès peuvent être positionnées individuellement
pour chaque service.
– L’enregistrement inclus : le nom du service, si la connexion était
acceptée ou refusée, le nom de la machine distante, et la
date/estampille.
=> Peut servir pour dissuader les intrusions et pour tracer les accès
non autorisés.
L. Nana 52
 Administration Système Linux – M1 Informatique - UBO

UUCP
! Utilisé principalement pour :
– Envoyer des courriel et des news entre systèmes
distants.
– Transférer des fichiers entre systèmes Linux.
– Exécuter des commandes distantes.
! Possibilité d’exécuter UUCP sans mot de passe :
– Utilisation du SUID sur uucp.
– Laisse toutefois un compte ouvert sur le système.

=> nécessite une attention en matière de sécurité.
L. Nana 53
 Administration Système Linux – M1 Informatique - UBO

X Window
! Le serveur X a le contrôle total de l’affichage.
! Un client peut prendre le contrôle du clavier,
exécuter des commandes et peut même tuer les
fenêtres d’autres clients.
! Il y a principalement 4 contrôles d’accès dans X
Window dont un basé sur la machine hôte et les
autres sur les clients.
! Les stations X peuvent, indépendamment des
comptes de connexion et des mots de passe,
exécuter des programmes de façon transparente
sur d’autres machines hôtes sur le réseau.

L. Nana 54
 Administration Système Linux – M1 Informatique - UBO

Attaques
! Attaques de refus de services
! Bogues programmés
– Portes dérobées
– Chevaux de Troie
– Virus
– Bactéries
– Bombes logicielles
– Salamis
– Vers

L. Nana 55
 Administration Système Linux – M1 Informatique - UBO

Attaques de refus de services
! Attaques par lesquelles un utilisateur prend une
part importante des ressources partagées du
système de telle sorte qu’il n’y en ait plus assez
pour les autres.
! Linux leur est particulièrement vulnérable.
! Nature : accidentelle ou intentionnelle.
! Conséquences : dégradation ou arrêt de tous les
services.

L. Nana 56
 Administration Système Linux – M1 Informatique - UBO

Formes d’attaques de refus de services
! Attaques détruisant ou endommageant les ressources du
système :
– Évitement possible par limitation de l’accès aux comptes et fichiers
cruciaux pour éviter leur effacement et en s’assurant que le système est
physiquement sûr.
! Attaques sous forme de surcharge du système, p. ex. par
l’exécution d’un nombre important de processus
simultanés :
– Évitement possible par limitation du nombre de processus qu’un
utilisateur unique peut exécuter (variable MAXUPROC)
– Solution inapplicable pour un utilisateur connecté en tant que super
utilisateur.
– Autres exemples :
! Partitions remplies (quotas, du - recherche de répertoires contenant le plus de
données, find avec option -size pour recherche de fichiers de taille importante,
etc),
! Remplissage de tous les « inodes » utilisés pour stocker les informations sur
les fichiers p.ex. par création de fichiers vides (df avec l’option -i pour
afficher le nombre d’inodes libres), etc.
L. Nana 57
 Administration Système Linux – M1 Informatique - UBO

Portes dérobées
! Origine :
– Moyens de contourner les permissions et d’acquérir les droits du super
utilisateur.
– Les utilisateurs s’en servent pour contrôler et tester des programmes.
– Sont souvent retirés avant que le programme ne soit délivré au client, mais
pas toujours.
– Peuvent également fournir un point d’entrée au système si le mot de passe
« root » est perdu ou corrompu, p.ex. en cas de besoin de réparer ou de
remplacer le fichier de mots de passe.
! Problème : utilisables par toute personne qui les trouve.
! Heureusement existence d’autres alternatives:
– Par exemple, en cas de corruption ou de perte du mot de passe root,
possibilité de redémarrer en mode mono-utilisateur pour réparer le fichier
de mot de passe.
– Création d’une entrée alias du root dans le fichier de mots de passes.
– Groupe de “sudoers” ayant les droits d’administration sur le système.

L. Nana 58
 Administration Système Linux – M1 Informatique - UBO

Chevaux de Troie
! Section de code, cachée dans un autre programme, qui réalise
une fonction dissimulée.
! Exemples :
– Programme distribué à travers le réseau et censé dessiner une tortue et qui, lors de son
utilisation, efface l’ensemble des fichiers du répertoire racine de l’utilisateur.
– Programme qui imite un login normal, mais enregistre le mot de passe que l’utilisateur saisit,
puis se termine et affiche la fenêtre de connexion normale.

! Portent très souvent le nom de certaines commandes de base du
système telles que ls pour entraîner les utilisateurs à les
exécuter.
! Souvent placés dans le répertoire racine ou le répertoire bin de
l’utilisateur.
! Précautions :
– Mettre le répertoire racine plutôt vers la fin de PATH, etc.
– Utiliser le chemin absolu plutôt que le chemin relatif, en particulier pour le compte root.
– Ne pas donner les droits d’écriture à d’autres personnes que le root dans les sous-répertoires de
son PATH.

L. Nana 59
 Administration Système Linux – M1 Informatique - UBO

Virus
! Portion de code qui s’introduit dans un
programme et le modifie.
! Dépend du programme qu’il modifie:
– S’exécute uniquement lorsque ce dernier s’exécute.
– Se reproduit alors et infecte d’autres programmes
(altération ou destruction de données stockées).
! Il existe des logiciels de recherche et de
destruction de virus.

L. Nana 60
 Administration Système Linux – M1 Informatique - UBO

Bactérie
! Également connue sous le nom de « lapin »
! Programme qui n’altère pas directement le
système, mais qui s’auto réplique jusqu’à
monopoliser le processeur, la mémoire ou
l’espace disque.
! Forme d’attaque de refus de service.

L. Nana 61
 Administration Système Linux – M1 Informatique - UBO

Bombe logicielle
! Forme de cheval de Troie utilisable pour
libérer un virus ou une bactérie.
! Provoque une action non autorisée :
– à une date, un instant spécifié (bombe dite
temporelle), ou
– lorsqu’une condition particulière devient
satisfaite (bombe logique).

L. Nana 62
 Administration Système Linux – M1 Informatique - UBO

Salami
! Supprime de petites portions de données.
! Peut être particulièrement dangereux :
– Dommage entraîné faible: peut être attribué à
une « coupure » engendrée par le système.
– Possibilité de dégâts de grande ampleur avant
détection.

L. Nana 63
 Administration Système Linux – M1 Informatique - UBO

Les vers
! Programmes indépendants se déplaçant d’ordinateur en
ordinateur, à travers le réseau (reproduction par auto
copie).
! Pas de modification de données et ni d’autres programmes,
mais possibilité de :
– S’accaparer des ressources système au cours de leur reproduction,
– Transporter des virus, des bactéries ou des bombes logicielles.
! « Grand Vers de l’Internet » des années 1988 :
– Origine du renforcement de la vigilance en matière de sécurité
informatique.
– Exploitation des portes dérobées dans Sendmail pour sa
reproduction.
– Détecté grâce à une faiblesse dans son code qui l’a poussé à se
comporter comme une bactérie sur certains systèmes.
! Protection similaire à celle utilisée contre les autres
« cassures » du système.
L. Nana 64
 Administration Système Linux – M1 Informatique - UBO

Surveillance du système

! Fichiers de traces
! Commandes
! Programmes

L. Nana 65
 Administration Système Linux – M1 Informatique - UBO

Fichiers de traces
! acct, savacct et usracct: créés aux emplacements voulus à
la compilation du noyau si l'option « comptabilité de
processus » a été choisie.
– acct contient les commandes exécutées par tous les utilisateurs sur
le système.
– Doit être activé manuellement avec la commande accton
– Problème potentiel de taille : sauvegarde d’un résumé par
commande du fichier acct dans savacct
– usracct stocke l'information par utilisateur
– La commande /usr/sbin/sa utilise ces fichiers pour donner les
commandes exécutées.
! /var/log/lastlog : date de connexion la plus récente de
chaque utilisateur. La commande /usr/bin/lastlog permet
d'afficher ces informations.
! /var/log/utmp: dates de connexion des utilisateurs.
! /var/log/wtmp: dates de connexion et de déconnexion des
utilisateurs, arrêts et redémarrages du système.
L. Nana 66
 Administration Système Linux – M1 Informatique - UBO

Quelques commandes pour la
surveillance
! finger, who et users : informations sur les utilisateurs
(utilisent /var/log/utmp).
! ps : informations plus complètes sur les utilisateurs
(processus d’utilisateurs non connectés).
! last: affichage du contenu de /var/log/wtmp en
commençant par les connexions les plus récentes
(possibilité de terminal ou d’utilisateurs spécifiques en
argument).
! lastb: comme last, mais pour les connexions ratées ou
incorrectes (utilise /var/log/wtmp).
! lastcomm: affichage du contenu de acct.
! w: sorte de combinaison de who et ps : affiche la liste des
utilisateurs connectés, leur durée d’inactivité, les
commandes qu’ils exécutent.
L. Nana 67
 Administration Système Linux – M1 Informatique - UBO

Exemple de programme de
surveillance : syslog
! Outil de trace « généraliste » initialement
développé pour Sendmail.
! Utilise le fichier /etc/syslog.conf qui précise:
– Quels messages traiter.
– Le traitement : enregistrement dans un fichier, envoi à
des utilisateurs, passage à d’autres daemon syslog sur
d’autres systèmes.
– Une priorité est associé à chaque message :
! emerg : condition d’imminence telle que l’arrêt du système.
! alert : quelquechose qui doit être corrigé immédiatement.
! crit: condition critique telle qu’une erreur matérielle.
! Etc.
L. Nana 68
 Administration Système Linux – M1 Informatique - UBO

Audits de sécurité
! Vérification du système pour la détection de problèmes potentiels de
sécurité.
– Comptes sans mot de passe.
– Comptes expirés ou dormants.
– Comptes inhabituels ajoutés au système.
– Fichiers sans propriétaire.
– UID et GID dupliqués.
– Modifications de droits.
– Programmes SUID et SGID, en particulier ceux qui ont le SUID root.
– Copies de programmes systèmes basiques à des emplacements bizarres,
i.e. possibilité de chevaux de Troie.
– Fichiers.rhosts à des emplacements bizarres.
– Modifications des fichiers du noyau.
– Nouvelles commandes ajoutées.
– Changements non autorisés à un système de fichier.
– Activité système inhabituelle.
! Possibilité d’automatisation au moins partielle, mais risque d’intrusion
sur les programmes correspondants.
L. Nana 69
 Administration Système Linux – M1 Informatique - UBO

Logiciels et organisations de
sécurité
! Tiger : logiciel libre pour la vérification de
moyens de compromission du « root ».
! SATAN (Security Administration Tool for
Analyzing Networks) : vérification de l’hôte
Internet et de la sécurité du réseau, domaine
public.
! ANSSI: Agence Nationale de la Sécurité des
Systèmes d’Information.
! CIAC (Computer Incident Advisory Capability),
Computer Emergency Response Team

L. Nana 70
 Administration Système Linux – M1 Informatique - UBO

Tâches d’Administration du
système Linux
! Quelques utilitaires importants
! Droits des fichiers et répertoires
! Utilisateurs, groupes et mots de passe
! La sécurité
! Aspects réseaux
! Système de fichiers
! Messagerie
! Gestion de disques et périphériques
! Sauvegarde et restauration
! Automatisation de tâches
! Gestion des performances
L. Nana 71
 Administration Système Linux – M1 Informatique - UBO

Aspects réseaux

! Serveur de Nom de Domaine
! Configuration réseau de base
! Interface Ethernet
! Guide de configuration réseau

L. Nana 72
 Administration Système Linux – M1 Informatique - UBO

Serveur de Noms de Domaine
(DNS)
! But : recherche de l’ordinateur ayant un nom ou
une adresse donnée.
! Nécessité de configurer la machine locale pour lui
permettre d’accéder au serveur de nom local.
! Fichier /etc/nsswitch.conf : gère l’utilisation du
DNS.
! Fichier /etc/resolv.conf : indique
– le domaine local,
– d’autres domaines que l’on souhaite consulter et
– la liste des serveurs de noms que l’on souhaite contacter lorsque
l’on cherche les adresses internet de machines.
L. Nana 73
 Administration Système Linux – M1 Informatique - UBO

Configuration réseau de base
! Des logiciels de configuration existent.
! Nécessité toutefois de comprendre quels fichiers
sont impliqués afin de les éditer manuellement en
cas de besoin.
! La configuration du logiciel réseau nécessite les
informations suivantes :
– Nom complet de la machine, p.ex. lepouldu.univ-brest.fr.
– Adresse IP de la machine.
– Masque du sous-réseau si le réseau utilise des sous-réseaux.
– Adresse de diffusion.
– Routeur par défaut de la machine.
– Adresse du port de « boucle arrière » (loopback).
– Adresse IP d’au moins un serveur de nom si « BIND » est utilisé.
L. Nana 74
 Administration Système Linux – M1 Informatique - UBO

Adresse IP de la machine
! 4 octets séparés par des points, par exemple
« 193.52.16.45 ».
! Dans le cas d’un réseau de classe C, le
dernier octet est le numéro unique de la
machine dans le réseau.
! Les 3 premiers octets identifient le réseau

L. Nana 75
 Administration Système Linux – M1 Informatique - UBO

Masque du sous-réseau
! Indique quels octets de l’adresse
représentent le sous-réseau et la machine.
! Par convention, donné en hexadécimal, par
exemple 0xffffff00 (soit 255.255.255.0 –
forme également utilisée) pour un réseau de
classe C
! Adresse du sous-réseau obtenue par un
« ET » logique entre le masque et l’adresse
de la machine.
L. Nana 76
 Administration Système Linux – M1 Informatique - UBO

Adresse de diffusion
! Adresse nécessaire pour atteindre toutes les autres
adresses du réseau.
! Liée au fonctionnement par diffusion du réseau
Ethernet.
! Toute adresse ayant l’octet machine à 255 est par
défaut interprétée comme adresse de diffusion
=> Adresse diffusion = adresse du sous-réseau + 255

L. Nana 77
 Administration Système Linux – M1 Informatique - UBO

Routeur
! Ordinateur dédié avec au moins deux interfaces.
! Décode et transmets les paquets de la couche
réseau entre différents réseaux.
! Routage : statique, dynamique ou intermédiaire.
! Routage dynamique : basé sur un « daemon » qui
communique avec d’autres « daemons » pour
s’informer sur la manière d’atteindre les machines
du réseau.

L. Nana 78
 Administration Système Linux – M1 Informatique - UBO

Port de « boucle arrière »
! Interface réseau réservée utilisée par les
machines pour faciliter la communication
interprocessus.
! Permet à une machine de s’envoyer des
paquets pour des raisons de tests.
! Utilisé par la commande ifconfig pour la
configuration et le test.
! Toute machine utilisant TCP/IP a 127.0.0.1
comme adresse de « boucle arrière ».
L. Nana 79
 Administration Système Linux – M1 Informatique - UBO

BIND
! Implémentation de DNS
! Utilise le fichier /etc/hosts qui fournit :
– L’adresse du port de boucle arrière
– L’adresse IP de la machine
! Exemple de contenu
127.0.0.1 localhost loghost
193. 52.16.45 lepouldu lepouldu.univ-brest.fr

L. Nana 80
 Administration Système Linux – M1 Informatique - UBO

Interface Ethernet
! Au moins une dans chaque station de travail
! Adresse carte Ethernet = Adresse IP
! Possibilité d’avoir plusieurs interfaces, par exemple pour les
routeurs.
! Interface primaire référencée par eth0 sous Linux.
! Configuration à l’aide de la commande ifconfig:
ifconfig interface [famille] options | adresse action...
– Interface : interface ethernet à configurer
– Famille : spécifie le protocole à configurer
! Très souvent positionné à la valeur inet (i.e. niveau IP)
! Autres niveaux envisageables, mais rares : matériel, autres protocoles.
– Adresse : adresse IP de l’interface Ethernet
– Options :
! up (activation) ou down (désactivation)
! netmask adr (masque du sous-réseau), etc..
L. Nana 81
 Administration Système Linux – M1 Informatique - UBO

Guide de configuration réseau
! Éditer le fichier /etc/hosts pour ajouter l’adresse IP (voir exemple BIND).
! Mettre à jour /etc/services (définit les correspondances entre les numéros de
ports et les services).
! Éditer le fichier /etc/netmasks et ajouter une entrée pour le réseau avec son
masque : p.ex. pour le réseau 193. 52, masque 255.255.0.0.
! Créer un fichier /etc/resolv.conf avec un contenu ayant la forme suivante :
nameserver adresseipserveurdenom1
nameserver adresseipserveurdenom2
search nomdomaine.univ-brest.fr
! Dans /etc/nsswitch.conf changer les entrées des hôtes sous la forme :
Hôte: fichiers dns
! Spécifier l'ordre de recherche DNS dans /etc/host.conf
Par défaut, « order hosts, bind » recherche dans /etc/hosts, puis DNS.
! Mettre à jour les paramètres réseau dans /etc/sysconfig/network
! Redémarrer l’ordinateur.

L. Nana 82
 Administration Système Linux – M1 Informatique - UBO

Tâches d’Administration du
système Linux
! Quelques utilitaires importants
! Droits des fichiers et répertoires
! Utilisateurs, groupes et mots de passe
! La sécurité
! Aspects réseaux
! Système de fichiers
! Messagerie
! Gestion de disques et périphériques
! Sauvegarde et restauration
! Automatisation de tâches
! Gestion des performances
L. Nana 83
 Administration Système Linux – M1 Informatique - UBO

Le système de fichiers NFS
! Introduction
! Fonctionnement
! Administration

L. Nana 84
 Administration Système Linux – M1 Informatique - UBO

Introduction
! NFS : Network File System
! Initialement développé, dans les années 80, par
Sun Microsystems comme moyen de créer un
système de fichiers pour des clients sans disque.
! Fournit un accès distant à un système de fichier
partagé à travers le réseau :
– Possibilité de « monter », sur la machine A, un système de
fichier résidant sur la machine B.
– Pour l’utilisateur de la machine A, tout se passe comme si le
système de fichier monté à partir de B, réside sur A.
=> Transparence à l’utilisateur.

L. Nana 85
 Administration Système Linux – M1 Informatique - UBO

Fonctionnement de NFS
! Première fonction : exportation ou montage de
répertoires sur d’autres machines, sur ou à partir
d’un réseau local.
! Utilise une architecture client/serveur :
– Un programme client qui accède aux systèmes de fichiers
partagés en les « montant » à partir des machines « serveurs
NFS » qui les hébergent. Les systèmes de fichiers montés
sont intégrés dans l’arborescence de répertoires.
– Un programme serveur qui rend les systèmes de fichiers
accessibles à d’autres machines et,
– Un protocole de montage leur permettant de communiquer.
Il facilite les fonctions permettant aux clients NFS d’attacher
des arborescences de répertoires à un point de montage dans
le système de fichier local.

L. Nana 86
 Administration Système Linux – M1 Informatique - UBO

Fonctionnement de NFS (suite)
! Point de montage : répertoire ou sous-répertoire vide, créé
comme emplacement d’attachement d’un système de fichier
distant.
! Pour monter un système de fichiers à partir d’un serveur NFS,
un utilisateur doit avoir un compte sur la machine sur laquelle il
réside:
– Le client NFS transmet l’UID et le GID du processus demandant le
montage au serveur NFS.
– Le serveur valide la requête.
! Le protocole de montage permet au serveur de donner des droits
d’accès distants à un ensemble restreint de clients via le contrôle
d’exportation.
! Il existe un service de montage et de démontage automatiques
de système de fichier : l’automonteur.

L. Nana 87
 Administration Système Linux – M1 Informatique - UBO

Administration du système de
fichiers NFS
! Démons NFS
! Exportation de systèmes de fichiers
! Montage de systèmes de fichiers distants
! L’automonteur

L. Nana 88
 Administration Système Linux – M1 Informatique - UBO

Démons du système de fichiers NFS
! Démons et services associés généralement
lancés lors du démarrage.
! Principaux démons NFS :
– rpc.nfsd: gère les requêtes clients provenant de
systèmes distants.
– rpc.mountd: gère les requêtes de montage et de
démontage provenant de systèmes distants.
– rpc.portmapper: effectue le mapping des
requêtes NFS au démon approprié.

L. Nana 89
 Administration Système Linux – M1 Informatique - UBO

Exportation de systèmes de fichiers
! Un système de fichiers ou un sous-ensemble de ce dernier
peut être exporté.
! Le répertoire parent et les sous-répertoires d’un système de
fichiers exporté ne peuvent l’être.
! Configuration du démarrage automatique de NFS: outils
de configuration tels que chkconfig, ntsysv ou system-
config-nfs.
! Démarrage (arrêt) manuel de NFS: /etc/rc.d/init.d/nfs
start (stop)
! Configuration du serveur NFS: fichier /etc/exports
! Commande /usr/sbin/exportfs :
– Avec l'option -r : export basé sur /etc/exports
– exportation temporaire de fichiers déterminés possible.
L. Nana 90
 Administration Système Linux – M1 Informatique - UBO

Fichier /etc/exports
! Entrées sous la forme: /fichier/systeme votrehote (options)
*.votredomaine.com (options) 193.14.55.0 (option)
– Traduit ici le partage de l'arborescence /fichier/systeme par 3 clients
– L'astérisque permet à tous les hôtes du domaine d'accéder à l'arborescence.
– La dernière adresse correspond à une adresse de sous réseau et permet à
toutes ses machines d'accéder au système de fichiers.
– Options : rw ( accès en lecture et écriture), ro (en lecture seule), async
(données écrites conformément aux instructions du serveur et non du
client), sync (données écrites au fur et à mesure de leur réception), hide
(ne permet pas d'afficher d’autres systèmes de fichiers montés).

! Exemple de fichier /etc/exports
/usr/local votrehote(ro,show)
/home/jkennedy *.votredomaine.com(rw,hide,sync)

L. Nana 91
 Administration Système Linux – M1 Informatique - UBO

Montage de systèmes de fichiers distants

! Un client NFS peut monter tout système de
fichiers ou une portion d’un système de fichiers
qui est exporté par un serveur NFS.
! Impossible de monter un système de fichier à
partir d’une machine l’ayant monté à partir d’un
serveur NFS.
! Montage manuel : commande mount.
! showmount : donne les informations de montage
pour un serveur NFS.

L. Nana 92
 Administration Système Linux – M1 Informatique - UBO

Fichier /etc/fstab
! Fournit des options et des points de montage
prédéterminés au système.
! Permet de monter automatiquement ou
manuellement des systèmes de fichiers avec un
minimum de saisie.
! Syntaxe similaire à celle des montages locaux,
avec en plus précision du nom de l'hôte distant
avant le nom du système de fichier
! Exemple:
hotedistant:/usr/local /usr/local nfs nfsvers=3,ro 0 0

L. Nana 93
 Administration Système Linux – M1 Informatique - UBO

L’automonteur
! Objectif : plus de flexibilité dans le montage.
! Utilise un fichier auto.master de correspondances pour
contrôler le montage.
! Fournit un démon automount qui reçoit les requêtes RPC
du système de fichiers NFS.
! A la réception d’une requête, l’automonteur
– Envoie une demande de montage pour ce système de fichiers et le
monte dans une zone nouvelle, puis
– Crée un lien symbolique qui pointe sur le chemin du répertoire
dans cette nouvelle zone.
! Avantage : systèmes de fichiers montés lorsqu’ils sont
nécessaires => maintien les montages NFS au minimum.
! Possibilité de paramétrage pour démonter des systèmes de
fichiers après une période d’inactivité spécifiée.

L. Nana 94
 Administration Système Linux – M1 Informatique - UBO

Automonteur (suite)
! 3 types de correspondances :
– Maître:
! Liste de correspondances directes et indirectes utilisées par
l’automonteur.
! 1ère à être lue par l’auto monteur.
– Directe :
! Informations sur les systèmes de fichiers automontés.
! Sorte d’abréviation du fichier /etc/fstab.
– Indirecte:
! Sont les plus courantes
! Informations sur les systèmes de fichiers automontés.
! Utilisables pour monter plusieurs systèmes de fichiers sous le
même répertoire.
! Utilisés pour des répertoires locaux dont les sous répertoires
sont montés à partir de stations distantes.

L. Nana 95
 Administration Système Linux – M1 Informatique - UBO

Correspondance maître
! Exemple :
#Mount Point Map Name Map options
/home /etc/auto.name -intr,nosuid
/- /etc/auto.direct -ro,intr
! Première colonne : point de montage et indication
sur la nature directe (symbole /-) ou indirecte.
! Deuxième colonne : où trouver les
correspondances.
! Troisième colonne :
– Liste des options relatives à l’ensemble des correspondances.
– Des options peuvent être annulées par les entrées spécifiques à une
correspondance.
! Pour plus de précisions consulter le manuel Linux.
L. Nana 96
 Administration Système Linux – M1 Informatique - UBO

Correspondance indirecte
! Fournit le nom de chaque répertoire local, le
système associé et le répertoire à monter
! Exemple de correspondance indirecte pour la
configuration du répertoire /home :
bigfoot –rw,intr stomp:/home/bigfoot
dracula –rw,intr castle:/home/dracula
quasimod –rw,intr church:/home/quasimod
! Dans l’exemple :
– Premier champ : sous répertoire de /home où le système
de fichier est monté.
– Deuxième champ: options
– Troisième champ: nom de la machine à partir duquel le
système de fichiers est monté + chemin du système de
fichiers sur cette machine.
L. Nana 97
 Administration Système Linux – M1 Informatique - UBO

Tâches d’Administration du
système Linux
! Quelques utilitaires importants
! Droits des fichiers et répertoires
! Utilisateurs, groupes et mots de passe
! La sécurité
! Aspects réseaux
! Système de fichiers
! Messagerie
! Gestion de disques et périphériques
! Sauvegarde et restauration
! Automatisation de tâches
! Gestion des performances
L. Nana 98
 Administration Système Linux – M1 Informatique - UBO

Messagerie
! Agents de messagerie
! Listes de diffusion
! Filtres de messagerie
! Serveurs de messagerie

L. Nana 99
 Administration Système Linux – M1 Informatique - UBO

Agents de messagerie
! Agents d’Utilisation de Messages (MUA – Mail
User Agents) :
– Programmes de compositions et de lecture de messages.
– Exemples : pine, elm, MH, mail, exmh, Eudora, etc.
! Agents de Livraison de Messages (MDA – Mail
Delivery Agents):
– Programmes responsables de la livraison effective des
messages à l’utilisateur.
– Exemples :
! /bin/mail : chargé de mettre les messages dans le fichier
« mailbox » local de l’utilisateur.
! uux : chargé de la livraison de messages UUCP.
! procmail : pour le filtrage avancé de messages avant livraison.

L. Nana 100
 Administration Système Linux – M1 Informatique - UBO

Agents de messagerie (suite)
! Agents de Transport de messages (MTA –
Message Transport Agents):
– Également appelés agents de transfert de messages
(Message Transfert Agents).
– Gestion des procédures nécessaires au transport du
message d’un MUA à un MDA :
! Routage,
! Interprétation des alias
! Réécriture des adresses,
! Relayage de messages en provenance d’autres agents de
transfert
! Gestion de files de message (messages en attente pour une
livraison ultérieure, etc.)
– Rôle essentiel => partie où l’investissement de
l’administrateur est plus important.
– Agent de transfert prédominant sous Linux: sendmail.
L. Nana 101
 Administration Système Linux – M1 Informatique - UBO

Listes de diffusion
! Introduction
! Mise en œuvre
– Listes de diffusion simples
– Liste de diffusions plus complexes

L. Nana 102
 Administration Système Linux – M1 Informatique - UBO

Introduction aux listes de
diffusion
! Méthodes communément utilisées sous Linux :
– Alias dans l’agent de transfert de message (ATM).
– Serveur de listes (Majordomo, Sympa, etc.)
! Choix de la méthode dépendante de la taille et de
la complexité de la liste de messagerie:
– Alias dans l’ATM :
! Listes de diffusion de petite taille et ne changeant pas souvent
! Nécessité d’intervention humaine pour chaque changement.
– Serveur de liste :
! Fonctions de gestion de listes de diffusion en majorité
automatisées.
! Gestion de listes de diffusion de grande taille plus aisée.
L. Nana 103
 Administration Système Linux – M1 Informatique - UBO

Mise en œuvre de listes simples
avec Sendmail
! Utilisation des alias précédents.
! Trois adresses sont associées de façon usuelle à
une liste de diffusion :
– Alias pour la liste elle-même, par exemple listname
– listname-request: adresse pour la souscription, la demande
de retrait et la demande d’information sur la liste de
diffusion.
– owner-listname: adresse utilisée par sendmail pour retourner
les erreurs relatives à la liste. Pointe généralement sur la
même adresse que listname-request.
! Possibilité d’utiliser, dans certaines versions de
sendmail, un fichier pour les adresses de la liste et
la directive « include ».
L. Nana 104
 Administration Système Linux – M1 Informatique - UBO

Listes de diffusion plus complexes :
Majordomo
! Majordomo : ensemble de scripts en Perl pour
l’automatisation des tâches de gestion de listes de
diffusion.
! Avantages :
– Demandes de souscription gérées automatiquement et envoyées à
l’administrateur de la liste uniquement en cas d’erreur.
– Supporte des listes avec modérateur, où tous les messages sont
envoyés à un modérateur pour approbation avant leur envoi sur la
liste.
– Toutes les fonctions peuvent être prises en charges à travers la
messagerie : l’administrateur n’a pas besoin de se connecter sur la
machine où est stockée la liste.
– Possibilité d’archivage et de recherche automatiques de messages.
L. Nana 105
 Administration Système Linux – M1 Informatique - UBO

Filtres de messagerie
! Intérêt particulier pour des utilisateurs abonnés sur
plusieurs listes de diffusion.
! Généralement initialisés individuellement par chaque
utilisateur.
! 2 approches principales de filtrage :
– Archivage du message dans un fichier après réception dans la file
de message : possibilité de paramétrage d’agents d’utilisation de
messages tels que VM et pine pour un tel fonctionnement.
– Séparation des messages en plusieurs files de messages à leur
arrivée : approche utilisée par slocal (inclus dans le système de
messagerie MH) et par procmail.
! procmail : un des systèmes de filtrage les mieux connus

L. Nana 106
 Administration Système Linux – M1 Informatique - UBO

Serveur de messagerie
! Rôle et fonctionnement
! Avantages et inconvénients
! Configuration

L. Nana 107
 Administration Système Linux – M1 Informatique - UBO

Rôle et fonctionnement
! Serveur de messagerie : serveur central pour la
gestion de l’ensemble des messages en provenance
et à destination d’un réseau local.
! Les stations de travail du réseau transmettent tous
les messages au serveur central plutôt que
directement au destinataire.
! Le serveur central ré écrit l’en-tête des messages
sortant de telle sorte qu’ils apparaissent comme
s’il en était la source directe.
! Les messages reçus sont également dirigés
automatiquement vers, et stockés sur, le serveur
central.
L. Nana 108
 Administration Système Linux – M1 Informatique - UBO

Avantages et inconvénients
! Avantages :
– Simplification de l’adressage
– Centralisation de la file de messages
– Augmentation du niveau de sécurité : machines clientes isolées vis-
à-vis de l’extérieur.
– Configuration de la messagerie plus simple
– Transparence des modifications de routage vis-à-vis des stations
clientes.
! Inconvénients:
– Nécessité, pour le routeur, de connaître l’ensemble des utilisateurs
sur le réseau :
! Bien si comptes déjà centralisés à l’aide de NIS ou autre système de
partage de données.
! Autrement, complication de l’administration : comptes et alias tous
gérés sur le routeur.
– Problèmes éventuels de performance, en particulier pour un
nombre d’utilisateurs ou d’échanges de messages important : délai
de transport supplémentaire dû au routeur.
L. Nana 109
 Administration Système Linux – M1 Informatique - UBO

Configuration
! Création d’un fichier sendmail.cf sur le client :
indique à sendmail de transmettre tous les
messages via le routeur, et de réécrire les adresses.
! Création d’un enregistrement MX du DNS, pour
chaque machine cliente, pour la redirection vers le
routeur de tous les messages adressés au client.
! Modification de la configuration de sendmail sur
le routeur pour la réécriture de l’adresse dans les
message destinés aux clients.
! En cas de lecture de courrier à partir de stations
clientes, paramétrage de NFS pour le montage de
la file de message du routeur sur toutes les
machines clientes.
L. Nana 110
 Administration Système Linux – M1 Informatique - UBO

Tâches d’Administration du
système Linux
! Quelques utilitaires importants
! Droits des fichiers et répertoires
! Utilisateurs, groupes et mots de passe
! La sécurité
! Aspects réseaux
! Système de fichiers
! Messagerie
! Gestion de disques et périphériques
! Sauvegarde et restauration
! Automatisation de tâches
! Gestion des performances
L. Nana 111
 Administration Système Linux – M1 Informatique - UBO

Gestion de disques et
périphériques
! Introduction
! Connectivité du matériel

! Système d’interfaçage SCSI
! Connectivité du logiciel

! Convention usuelles de nommage de
fichiers matériels.
! Les imprimantes
L. Nana 112
 Administration Système Linux – M1 Informatique - UBO

Introduction
! Tout périphérique est vu sous Linux comme un
fichier spécial.
! 2 points à considérer pour l’ajout de matériel :
– Comment le connecter physiquement
– Comment l’utiliser : aspects logiciels (accès, etc.)

L. Nana 113
 Administration Système Linux – M1 Informatique - UBO

Connectivité du matériel
! Systèmes (PC, stations de travail) commercialisés,
pour la plupart, avec des interfaces standard: port
série, port parallèle, bus SCSI externe
=> Possibilité d’installer plusieurs périphériques sans
avoir besoin de logiciel ou matériel supplémentaire.
! Nécessité de carte d’interface ou de contrôleur pour
certains périphériques.
! Cartes d’interfaces commercialisées pour des types de
bus spécifiques
ÞImportance de la connaissance du type de bus supporté
par le système Linux visé.

L. Nana 114
 Administration Système Linux – M1 Informatique - UBO

Le système SCSI
! SCSI = Small Computer Standard Interface
! Assez générique pour s’appliquer à tout
type de matériel.
! 2 visions :
– Ensemble de paramètres physiques et
électriques définissant la structure d’un bus
parallèle normalisé qui interconnecte des
périphériques.
– Bus d’E/S permettant la communication entre
un périphérique et un contrôleur sur une station
hôte.
L. Nana 115
 Administration Système Linux – M1 Informatique - UBO

Le système SCSI (suite)
! Utilisé plus souvent sous Linux pour des disques.
! Possibilité de connexion de 8 matériels sur le bus
SCSI, contrôleur SCSI inclus.
– Les matériels SCSI sont connectés en série.
– Affectation d’un ID SCSI unique (target number), compris entre 0
et 7, à chaque matériel; ID 7 généralement affecté au contrôleur
SCSI.

! Évolutions
– Fast SCSI : modification du protocole SCSI permettant de doubler
la vitesse de transmission de données.
– Wide SCSI: permet la gestion de plus d’un octet de données
(jusqu’à 4) par transfert. Mise en œuvre par l’utilisation de
plusieurs câbles par matériel.
L. Nana 116
 Administration Système Linux – M1 Informatique - UBO

Connectivité du logiciel
! Pilote de matériel:
– Logiciel qui g