Blog ENI : Toute la veille numérique !
🐠 -25€ dès 75€ 
+ 7 jours d'accès à la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Debian GNU/Linux - Services réseau
  3. Services réseau
Extrait - Debian GNU/Linux - Services réseau (DHCP, DNS, Apache, CUPS, NFS, Samba, Puppet, Nagios...) (Nouvelle édition)
Extraits du livre
Debian GNU/Linux - Services réseau (DHCP, DNS, Apache, CUPS, NFS, Samba, Puppet, Nagios...) (Nouvelle édition) Revenir à la page d'achat du livre

Services d’administration système

Introduction

Nous allons voir dans ce chapitre quels sont les outils disponibles pour mieux gérer son parc informatique, premièrement en standardisant ces installations de machines, ce qu’on appelle une phase d’industrialisation, puis adopter des outils pour avoir une vision globale de son système d’information, et enfin mettre l’accent sur la sécurité de son réseau afin de garantir le bon fonctionnement du parc informatique.

Industrialisation

La phase d’industrialisation permet de rationaliser et optimiser le parc informatique en appliquant des règles strictes et égales définies par groupe de machines.

C’est un processus qui nous permet de garantir un modèle d’installation type, et de garder des machines à jour dans son système d’information.

Ce système déploie donc des fichiers, des correctifs, des paquets d’installation en fonction de groupes définis par le serveur. On peut, par exemple, regrouper les ordinateurs par services d’entreprise et appliquer des correctifs différents sur chacun des groupes.

L’intérêt premier est d’économiser du temps sur le support effectué sur de simples mauvaises configurations. On va gagner également beaucoup de temps à l’installation des machines, en créant des modèles types avec des fichiers de réponses automatiques. Ainsi, le temps requis pour l’administrateur est réduit quasiment à zéro pour l’installation des machines, car celle-ci se fait de manière automatique.

Le concept d’industrialisation peut être résumé par le schéma de fonctionnement suivant :

images/05ei01.png

Nous allons voir comment réaliser cela.

1. Installation par le réseau

Le service PXE (Preboot eXecution Environment), est un système disponible dans le BIOS de l’ordinateur permettant de démarrer depuis la carte réseau de celui-ci.

Cette option n’est donc pas toujours disponible en fonction de la version de votre BIOS, ou parfois il est nécessaire de l’activer dans les options du BIOS.

Le but du service va être de lancer une image système depuis le réseau.

Voyons comment ce service fonctionne :

a. Fonctionnement PXE

Le service PXE, une fois démarré depuis le BIOS, va lancer une requête DHCP depuis la carte réseau afin d’obtenir une adresse IP. Il est nécessaire d’avoir donc un serveur DHCP fonctionnel sur le réseau pour l’obtention de cette adresse IP.

Une fois l’adresse IP obtenue, le service PXE va chercher l’adresse d’un serveur TFTP (Trivial File Transfert Protocol) qui doit être définie dans la configuration DHCP.

Une fois trouvé le serveur TFTP...

Surveiller le système

Pour s’assurer que le parc informatique fonctionne bien, il est important de surveiller les systèmes qui le composent. Il est possible d’obtenir des alertes dès qu’un dysfonctionnement apparaît, ou alors de pouvoir regarder un élément du système d’information sur la durée à l’aide de graphiques. Il est également possible d’enregistrer des alertes de sécurité pour connaître les tentatives d’intrusion sur le réseau local.

La surveillance du système se fait avec des outils de supervision (monitoring) qui sont des processus automatiques définis par l’administrateur système afin de l’alerter dès qu’un processus est dysfonctionnel.

Ces outils gèrent des scripts exécutés dans des routines répétitives, puis les centralisent pour donner une vue d’ensemble à l’administrateur.

La surveillance du système est un ensemble de concepts permettant de superviser les éléments d’un système d’information avec différents moyens :

  • Avec le protocole SNMP (Simple Network Management Protocol).

  • En analysant les journaux système.

  • En écoutant sur des ports réseau.

  • En interrogeant directement les applications avec les protocoles qu’elles utilisent.

Le protocole SNMP s’utilise beaucoup pour la supervision. En effet, il permet de gérer des équipements réseau, de superviser et de diagnostiquer des problèmes à distance. Il a été développé pour surveiller des équipements à distance.

1. À un instant T avec Nagios

Le logiciel Nagios est un logiciel de supervision open source qui permet d’informer les personnes concernées en temps réel de problèmes éventuels du système d’information.

Il est prévu pour fonctionner sur les systèmes d’exploitation Linux. Le logiciel Nagios n’est plus fourni avec Debian depuis la version Stretch. Il sera nécessaire d’obtenir les sources depuis le site officiel. Il existe des logiciels alternatifs cependant, qui sont disponibles avec Debian.

La version 4 date de la fin de l’année 2016.

C’est un logiciel très pratique, car il permet...

Éléments de sécurité

La sécurité d’un système d’information est primordiale, c’est devenu un enjeu majeur en informatique qui s’étend au niveau juridique, et donc concerne tous les acteurs du système d’information.

C’est pourquoi toutes les entreprises se dotent d’une charte informatique.

Plus un réseau est grand, plus il s’expose à des failles de sécurité.

C’est pourquoi il nous faut des outils pour analyser le système d’information, en plus des outils de supervision.

La distribution Debian est connue pour être sûre et stable, en ne déployant que des logiciels approuvés. Nous avons donc déjà une bonne base.

Il nous reste à nous munir de quelques outils pour s’assurer que notre système d’information est protégé.

1. Audit réseau

L’audit de son propre réseau est un bon moyen de vérifier son système d’information. Le but est donc d’analyser les ports TCP/IP ouverts et disponibles sur l’ensemble de nos machines.

Les ports TCP/IP sont une porte d’entrée de corruption. C’est donc le premier élément que nous allons étudier pour contrôler sa bonne sécurité.

Cela permet également de vérifier le bon fonctionnement de son pare-feu et des règles définies.

Pour ce faire, nous allons utiliser un logiciel open source qui s’utilise en ligne de commande et présente l’avantage d’être très pratique. Il se nomme Nmap.

Je rappelle cependant qu’il est déconseillé d’effectuer ce genre de requête en dehors de son propre réseau sous peine de poursuite judiciaire.

Le logiciel Nmap va nous permettre d’identifier les failles présentes sur notre réseau local afin de pouvoir changer la configuration des machines en fonction du niveau de sécurité attendu.

Commençons donc par installer le logiciel Nmap pour réaliser notre audit réseau. 

a. Installation du logiciel Nmap

Le logiciel Nmap est disponible depuis les dépôts logiciels de Debian en version 7.40 avec le paquet nmap.

# apt install nmap  
Les NOUVEAUX paquets suivants seront installés : 
liblinear3...

Quiz : Maîtrisez-vous les concepts d’administration de vos serveurs ?

  • Où se configure l’option PXE sur les ordinateurs ?

  • Le fichier /boot/grub/menu.cfg

  • Dans le BIOS

  • Sur le disque dur, dans le secteur MBR

  • Dans quel fichier faut-il déclarer les index de catalogues dans le logiciel Puppet ?

  • le fichier site.pp

  • le fichier init.pp

  • le fichier puppet.conf

  • Que permet de faire le logiciel Nagios ?

  • Créer des graphiques d’utilisation de service

  • Alerter quand un service ne fonctionne plus

  • Centraliser les journaux système

  • Quel protocole utilise le logiciel Cacti pour recevoir les informations des machines interrogées ?

  • Le protocole HTTP

  • Le protocole SNMP

  • Le protocole SSH

  • Où doit-on placer la brique logicielle Snort pour avoir un comportement optimal ?

  • Juste derrière le pare-feu

  • sur chaque machine cliente

  • Sur la passerelle de connexion Internet

  • Quel est le port par défaut utilisé par le logiciel Syslog-ng ?

  • Le port 443

  • Le port 514

  • Le port 993

  • À quoi sert le logiciel Nmap ?

  • Sécuriser un port d’une machine

  • Faire un audit d’une machine ou d’un réseau

  • Créer une connexion sécurisée

  • Avec quelle commande peut-on créer un pare-feu sur Debian ?

  • Avec la commande ip addr

  • Avec la commande iptables

  • Avec la commande ipcmk