Vous êtes sur la page 1sur 220

MandrakeSecurity

Multiple Network Firewall


Guide de l’utilisateur

(http://www.MandrakeSoft.com)
MandrakeSecurity: Multiple Network Firewall; Guide de l’utilisateur
Publié 2002-06-15
Copyright © 2002 MandrakeSoft SA
par Camille Bégnis, Christian Roy, Fabian Mandelbaum, Joël Pomerleau, et Florin Grad
Table des matières
Préface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i
1. Notice légale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i
2. À propos de Mandrake Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i
2.1. Contacter la communauté Mandrake. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .i
2.2. Contribuez au projet Mandrake Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ii
2.3. Acquisition de produits Mandrake . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ii
3. Au sujet de ce guide d’installation et d’utilisation MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iii
4. Auteurs et traducteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iii
5. Note des traducteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv
6. Outils utilisés dans la conception de ce manuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv
7. Conventions utilisées dans ce manuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv
7.1. Conventions typographiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv
7.2. Conventions générales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v
1. Démarrage rapide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.1. Survol des opérations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2. Étapes préliminaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
2. Installation avec DrakX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2.1. Introduction au programme d’installation de Mandrake Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2.2. Choix de la langue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
2.3. Licence de la distribution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.4. Détection et configuration des disques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.5. Configuration de la souris . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.6. Configuration du clavier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.7. Création des partitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.8. Choix des partitions à formater . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.9. Installation des paquetages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.10. Mot de passe root . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.11. Mot de passe de l’administrateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.12. Ajouter un utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.13. Configuration réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.14. Emplacement du programme d’amorce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
2.15. Disquette de démarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.16. Installation de mises à jour depuis Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.17. L’installation est maintenant terminée ! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
2.18. Désinstaller Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
I. Administration et configuration de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3. Configuration de base de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.2. Configuration de base du système . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.3. Configuration des cartes Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3.4. Changer le mot de passe de l’administrateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
3.5. Journaux système sur vos machines locales et distantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3.6. Configuration de l’heure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4. Configurer l’accès à Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.1. Section Accès Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.2. Configuration d’un modem analogique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
4.3. Configurer un accès Internet RNIS (ISDN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
4.4. Configurer un accès Internet ADSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4.5. Configurer un accès Internet par câble ou réseau local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
4.6. Configuration des comptes d’accès . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
4.7. Restriction de temps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
5. Services : DHCP, Proxy, DNS, et bien d’autres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
5.1. État des services hébergés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
5.2. Serveur DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
5.3. Serveur mandataire ("Proxy") Squid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
5.4. DNS antémémoire ("Caching") . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
5.5. Système de détection d’intrusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

iii
5.6. Activation de services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
6. Configuration du comportement du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
6.1. Contrôle principal du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
6.2. Définition des zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
6.3. Configuration du masquage, des traductions d’adresses réseau statiques et du Proxy ARP . . 71
6.4. Configuration des règles générales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
6.5. Configuration des règles du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
6.6. Entretien de la liste noire (BlackList) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
6.7. Configuration des règles de type de service (TDS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
7. Configuration d’un VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
7.1. Qu’est-ce qu’un réseau privé virtuel (VPN) ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
7.2. Pourquoi un VPN ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
7.3. Monter un serveur VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
7.4. Configurer un client VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
8. Configurer des clients de paserelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
8.1. Machine Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
8.2. Machine Windows XP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
8.3. Machine Windows 95 ou Windows 98 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
8.4. Machine Windows NT ou Windows 2000. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .102
8.5. Machine DOS utilisant le paquetage NCSA Telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
8.6. Windows pour Workgroup 3.11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
8.7. Machine MacOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
8.8. Machine OS/2 Warp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
9. Surveillez le pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
9.1. L’utilisation de votre système et de votre réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
9.2. Fichiers journaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
10. Outils de gestion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
10.1. Connexion distante en utilisant SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
10.2. Sauvegarde et restauration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
10.3. Mise à jour logiciel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
II. Théorie appliquée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
11. De la sécurité sous GNU/Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
11.1. Préambule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
11.2. Aperçu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
11.3. Sécurité physique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
11.4. Sécurité locale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
11.5. Sécurité des fichiers et des systèmes de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
11.6. Sécurité des mots de passe et cryptage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
11.7. Sécurité du noyau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
11.8. Sécurité réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
11.9. Préparation de sécurité (avant de vous connecter) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
11.10. Que faire, avant et pendant une effraction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
11.11. Documents de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
11.12. Foire aux questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
11.13. Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
Vocabulaire relatif à la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
12. Le réseau sous GNU/Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
12.1. Copyright . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
12.2. Comment utiliser ce document ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
12.3. Informations générales concernant le réseau sous Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
12.4. Informations générales sur la configuration du réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
12.5. Informations sur IP et Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
12.6. Informations relative à IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
12.7. Utilisation du matériel courant pour PC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
12.8. Autres technologies de réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
12.9. Câbles et câblages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
A. Où trouver de la documentation supplémentaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
........................................................................................................
B. La licence Publique Générale GNU (GPL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197

iv
B.1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
B.2. Préambule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
B.3. Stipulations et conditions relatives à la copie, la distribution et la modification . . . . . . . . . . . . . . . . . . 198
C. Licence de documentation libre GNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
C.1. A propos de cette traduction française de la GFDL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
C.2. Licence de documentation libre GNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
0. PRÉAMBULE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
1. APPLICABILITÉ ET DÉFINITIONS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .201
2. COPIES CONFORMES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
3. COPIES EN NOMBRE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
4. MODIFICATIONS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
5. FUSION DE DOCUMENTS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
6. REGROUPEMENTS DE DOCUMENTS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
7. AGRÉGATION AVEC DES TRAVAUX INDÉPENDANTS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
8. TRADUCTION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
9. CADUCITÉ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
10. RÉVISIONS FUTURES DE CETTE LICENCE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
C.3. Comment utiliser cette Licence pour vos documents. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .205

v
vi
Liste des tableaux
1. Chapitres importés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i
1-1. Matériel requis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2
12-1. Allocations pour réseaux privés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175

Liste des illustrations


2-1. Écran de bienvenue, le début de l’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2-2. Choix la langue par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3-1. La fenêtre de connexion à MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3-2. Écran d’accueil de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3-3. L’icône de déconnexion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
7-1. Modèle d’une connexion VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
7-2. Ajouter une zone VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
7-3. Ajouter une interface réseau ipsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
7-4. Ajouter des politiques par défaut pour le VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
7-5. Ajouter un tunnel au pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
7-6. Configuration du CA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
7-7. Diagramme VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
7-8. Ajouter un serveur VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
7-9. Règle pour permettre le trafic HTTP sur le VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
7-10. Ajouter un client VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
8-1. Nouvelle configuration du réseau local avec drakconnect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
8-2. Régler la passerelle avec drakconnect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
8-3. Configuration de la passerelle sous Windows XP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
8-4. L’icône de réseau sous Windows 95 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
8-5. Le tableau de configuration réseau sous Windows 95 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
8-6. Le tableau de configuration TCP/IP sous Windows 95 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
8-7. Le tableau de configuration de la passerelle sous Windows 95 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
8-8. Le tableau de configuration de protocole sous Windows NT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
8-9. La panneau de logiciel réseau sous Windows NT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
8-10. Le tableau de configuration TCP/IP sous Windows NT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
8-11. Le tableau de configuration DNS sous Windows NT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
8-12. Accéder au panneau de contrôle TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
8-13. Configuration automatique de l’accès à Internet pour MacOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
8-14. Configuration manuelle de l’accès à Internet pour MacOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
9-1. Exemple de rapport de Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
10-1. L’écran principal de la section Outils . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
10-2. Exemple de l’écran Récupérer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
10-3. Appliquer les configurations du fichier restauré. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .126
12-1. Un exemple de routage dynamique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
12-2. Le câblage « NULL-modem » . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
12-3. Câblage Ethernet 10base2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193

vii
viii
Préface

1. Notice légale
Ce manuel (à l’exception des chapitres cités ci-dessous) est la propriété intellectuelle de MandrakeSoft. Ce
manuel peut être librement copié, distribué et/ou modifié selon les termes de la Licence GNU Free Documen-
tation License, Version 1.1 ou ultérieure publiée par la Free Software Foundation ; avec la section inaltérable À
propos de Mandrake Linux, page i ; les textes de couvertures, cités ci-dessous, et sans texte de dos de couverture.
Une copie complète de la licence se trouve à la section Licence de documentation libre GNU, page 201.
Textes de couverture :
MandrakeSoft Mars 2002 http://www.mandrakesoft.com/
Copyright © 1999,2000,2001,2002 MandrakeSoft S.A. et MandrakeSoft inc.

Les chapitres cité dans le tableau ci-dessous sont la propriété in-


tellectuelle d’autres auteurs que le manuel et sont soumis à une
licence légèrement différente :

Copyright Original Licence


De la sécurité sous GNU/Linux, (c) 1998-2000 Kevin Fenzi and Licence publique général (GPL)
page 131 Dave Wreski GNU, telle que publiée par la Free
Software Foundation ; version 2 de
la licence ou ultérieure, au choix
de l’utilisateur.
Le réseau sous GNU/Linux, page (c) 1997 Terry Dawson, 1998 Licence LDP (voir l’information
171 Alessandro Rubini, 1999 & 2000 sur la licence dans le chapitre
Joshua D. Drake même)
{POET}/CommandPrompt, Inc. -
http://www.linuxports.com/
Tableau 1. Chapitres importés

« Mandrake », « Mandrake Linux » et « MandrakeSoft » sont des marques déposées par MandrakeSoft
S.A. ; Linux est une marque déposée de Linus Torvalds; UNIX est une marque déposée de « The Open
Group » aux États-Unis et d’autres pays. Toutes les autres marques déposées et copyrights appartiennent à
leurs propriétaires respectifs.

2. À propos de Mandrake Linux


Mandrake Linux est une distribution GNU/Linux développée par MandrakeSoft S.A. MandrakeSoft est une
société née sur Internet en 1998 avec l’ambition de fournir un système GNU/Linux agréable et facile à utiliser.
Les deux piliers de MandrakeSoft sont le logiciel libre et le travail coopératif.

2.1. Contacter la communauté Mandrake


Nous présentons ci-dessous plusieurs liens Internet pointant vers de nombreuses ressources liées à Mandrake
Linux. Si vous souhaitez en savoir plus sur la société MandrakeSoft, consultez son site Web (http://www.
mandrakesoft.com/). Un site dédié à la distribution Mandrake Linux (http://www.mandrakelinux.com/) et
tous ses dérivés existe également.
MandrakeSoft est également fière de présenter sa plate-forme d’aide libre. MandrakeExpert (http://www.
mandrakeexpert.com/) n’est pas un autre site Web où les gens en aident d’autres pour leurs problèmes infor-
matiques en échange d’un prix payable d’avance, quelle que soit la qualité du service rendu. Il propose une
nouvelle expérience s’appuyant sur la confiance et le plaisir de récompenser son prochain pour sa contribu-
tion.

i
Préface

En sus, MandrakeCampus (http://www.mandrakecampus.com/) propose à la communauté GNU/Linux des


cours de formation libres sur toutes les technologies en rapport avec les logiciels libres. Professeurs, formateurs
et élèves disposent là d’une plate-forme unique d’échange du savoir.
Il y a un site pour les fans de Mandrake Linux appelé Mandrake Forum (http://www.mandrakeforum.com/) :
un site exclusif pour toutes les annonces, ragots, astuces, conseils, nouvelles et plus, sur Mandrake Linux.
C’est aussi un des seuls sites Web interactifs hébergés par MandrakeSoft. Donc, si vous avez quelque chose
à nous dire, ou quelque chose que vous souhaitez partager avec d’autres utilisateurs, ne cherchez plus, c’est
l’endroit rêvé !
Dans la philosophie des logiciels libres, MandrakeSoft offre de nombreux canaux de support (http://www.
mandrake-linux.com/fr/ffreesup.php3) pour les distributions Mandrake Linux. Vous êtes en particulier
invité à participer aux nombreuses listes de diffusion (http://www.mandrake-inux.com/fr/flists.php3),
où la communauté Mandrake Linux déploie tout son enthousiasme et sa vivacité.
Finalement, n’oubliez pas de vous connecter sur MandrakeSecure (http://www.mandrakesecure.net/). Ce
site rassemble tout ce qui a rapport à la sécurité des distributions Mandrake Linux. Vous y trouverez notam-
ment les avertissements de bogues et sécurité, ainsi que des articles en rapport avec la sécurité et la privacité.
Un incontournable pour tout administrateur système, ou simple utilisateur soucieux de sécurité.

2.2. Contribuez au projet Mandrake Linux


À la demande générale, MandrakeSoft propose à ses utilisateurs enthousiastes de faire une donation (http:
//www.mandrakelinux.com/donations/) pour encourager les développements futurs du système Mandrake
Linux. Vos contributions aideront MandrakeSoft à fournir à ses utilisateurs une distribution améliorée, sécu-
ritaire, conviviale, actualiser, et prenant en charge encore plus de langues.
Quels que soient vos talents, vous êtes encouragé à participer à l’une des nombreuses tâches que requiert la
construction du système Mandrake Linux :

• paquetages : un système GNU/Linux est principalement constitué de programmes rassemblés depuis In-
ternet. Ils doivent être mis en forme de façon à ce qu’ils puissent fonctionner ensemble, si tout se passe
bien ;
• programmation : une foule de projets sont directement développés par MandrakeSoft : cherchez celui qui
vous intéresse le plus et proposez votre aide au développeur principal ;
• internationalisation : traduction des pages des sites Web, programmes et leur documentation respective.
• documentation : enfin, le livre que vous lisez actuellement lire demande beaucoup d’efforts pour suivre
l’évolution rapide du système. Rédacteurs et traducteurs seront accueillis à bras ouverts !
Consultez aussi les pages des contributeurs (http://www.mandrakesoft.com/labs/) pour en savoir plus sur
les différentes façons de contribuer à l’évolution de Mandrake Linux.
Le 3 août 2001, après avoir rejoint le peloton de tête des fournisseurs de solutions libres et de logiciels
GNU/Linux , MandrakeSoft est devenue la première société Linux à être cotée sur une bourse européenne.
Que vous soyez déjà actionnaire de MandrakeSoft ou que vous souhaitiez le devenir, nos pages investis-
seurs (http://www.mandrakesoft.com/company/investors) vous fourniront les meilleures informations fi-
nancières sur notre société.

2.3. Acquisition de produits Mandrake


Pour les fans de Mandrake Linux désirant profiter de la facilité de l’achat en ligne, MandrakeSoft vend
désormais ses produits dans le monde entier depuis son site de commerce électronique MandrakeStore
(http://www.mandrakestore.com). Vous trouverez des logiciels Mandrake Linux – systèmes d’exploitation
et outils réseau (pare-feu), mais aussi des offres spéciales d’abonnement, de l’assistance, des logiciels tiers et
des licences, des manuels de formation et des livres GNU/Linux , ainsi que des tee-shirts, casquettes, et autres
gadgets MandrakeSoft.

ii
Préface

3. Au sujet de ce guide d’installation et d’utilisation MandrakeSecurity


Ce livre comprend un chapitre d’introduction qui vous guidera quant à l’installation et vous informera des
composants matériel nécessaires pour utiliser MandrakeSecurity . Il est ensuite conseillé de lire Survol des
opérations, page 1 qui donne un aperçu du cycle de vie d’un serveur MandrakeSecurity et les tâches de main-
tenance.
Nous détaillerons ensuite le processus d’installation (Installation avec DrakX, page 3). C’est assez simple, mais
s’il s’agit de votre première installation de GNU/Linux , il est préférable de suivre ce chapitre pendant que vous
installez MandrakeSecurity .
Puis vient le coeur de la bête ! Après ce chapitre d’introduction suivent deux parties. La première s’intitule
Réglage et gestion de MandrakeSecurity et passe à travers toutes les étapes nécessaires pour opérer Mandra-
keSecurity de façon efficace. Vous apprendrez les réglages de base dans le chapitre Configuration de base de
MandrakeSecurity, page 21 et comment configurer la connexion Internet de votre serveur dans le chapitre Confi-
gurer l’accès à Internet, page 31. Ensuite, le chapitre Services : DHCP, Proxy, DNS, et bien d’autres, page 47 explique
comment configurer votre serveur en tant que DNS, DHCP et mandataire (Proxy). Il vous informera également
au sujet de l’utilisation des dispositifs SDI (soit IDS ou Intrusion Detection System).
Un des chapitres les plus importants est celui-ci : Configuration du comportement du pare-feu, page 65. Il scrute
la section Règles pare-feu de l’interface MandrakeSecurity et vous aidera à définir le trafic entrant/sortant
sur votre réseau. Les derniers chapitres de cette première partie traitent des réglages initiaux, de configura-
tions ultérieures et de réglage de services. Vous trouverez des renseignements à ces sujets dans les chapitres
Surveillez le pare-feu, page 111 et Outils de gestion, page 123.
La deuxième partie est plus théorique, d’où le titre : Théorie appliquée. Elle est divisée en deux chapitres. Le
premier, De la sécurité sous GNU/Linux, page 131, s’appuie sur un HOWTO de Kevin Fenzi et Dave Wreski.
Son but premier est d’aborder des questions de sécurité auxquelles les administrateurs système auront sans
aucun doute à faire face. Il alterne entre des sujets philosophiques et pratiques qui vous permettront de mieux
sécuriser votre système des crackers potentiels.
Le second et dernier chapitre de cette partie s’appelle Le réseau sous GNU/Linux, page 171. Il s’appuie sur un
HOWTO de Joshua D. Drake {POET}. Ce chapitre contient des liens vers de la documentation de réseau, par
exemple, sur le TCP/IP. Il discute des incontournables pour opérer un réseau de façon efficace. Il explique des
principes technologiques reliés à l’IP et à Ethernet, des technologies communes à la plupart des PCs, ainsi que
des technologies réseau particulières telles que Appletalk et le relais de trames (Frame Relay).
Ce manuel se conclut sur deux annexes. La première, Où trouver de la documentation supplémentaire, page 195,
vous guidera vers des sources d’information sur Internet. Et la deuxième est la Licence de documentation libre
GNU, page 201, soit la licence qui s’applique au contenu de ce livre.

4. Auteurs et traducteurs
Les personnes suivantes ont contribué à l’élaboration de ce manuel Mandrake Linux :

• Camille Bégnis
• Fabian Mandelbaum
• Roberta Michel
• Rodrigo Pedrosa
• Joël Pomerleau
• Christian Roy
• Les personnes ayant écrit des documents que nous avons intégrés sont listées dans au tableau 1.
Ces personnes ont aussi participé à des degrés divers : Amaury Amblard-Ladurantie, Florin Grad, Philippe
Libat et Diane Tan.

iii
Préface

5. Note des traducteurs


En passant d’un chapitre à l’autre, vous remarquerez que ce livre est une œuvre composite. En effet, nous
avons cru essentiel de respecter le style spécifique de chaque auteur (anglophone pour la plupart), même si,
évidemment, la cohérence technique et lexicale a été notre priorité.
Maintenir cette documentation est d’ailleurs un véritable défi ! Choisir le bon mot n’est pas toujours facile
puisque la plupart des termes informatiques utilisés par les professionnels de par le monde demeurent en
fait des mots de langue anglaise. Inventer un terme français plus clair pour le novice risque alors de dérouter
l’expert ! Que faire ? On aura en général opté pour un compromis : donner les deux termes anglais et français
lors de la première occurrence textuelle de la notion, puis un seul par la suite, afin de ne pas entraver la lecture.
N’hésitez pas à nous donner votre avis à ce sujet.
Car enfin, dans le droit fil de l’esprit particulier de la communauté du libre (open source), nous accueillons
les collaborations à bras ouverts ! Il vous est tout à fait possible d’apporter votre petite pierre à l’édification
de ce projet de diverses façons. Vous disposez de temps libre ? Proposez-nous un nouveau chapitre ! Vous
comprenez bien l’anglais ? Aidez-nous à traduire ! Vous avez des idées pour améliorer ce document ? Nous
sommes tout ouïe !
Pour toute information sur le projet de documentation de Mandrake Linux, communiquez avec le responsable
de la documentation (documentation@mandrakesoft.com).

6. Outils utilisés dans la conception de ce manuel


Ce manuel a été mis en forme avec DocBook . Borges (http: // linux-mandrake. com/ en/ doc/ project/
Borges/ ) a été utilisé pour gérer l’ensemble des fichiers du projet. Les fichiers sources XML ont été préfor-
matés avec openjade et jadetex , grâce aux feuilles de style de Norman Walsh personnalisées. Les images ont
été prises avec xwd ou GIMP puis converties avec la commande convert du paquetage ImageMagick . Tous ces
logiciels sont libres et disponibles sur votre distribution Mandrake Linux.

7. Conventions utilisées dans ce manuel

7.1. Conventions typographiques


Afin d’accentuer clairement certains mots ou groupes de mots, nous avons utilisé certains attributs typogra-
phiques. Le tableau suivant en donne la signification symbolique :

Exemple formaté Signification


inœud Signale un terme technique.
ls -lta Types utilisés pour une commande et ses arguments, les options et les noms de fichier
(voir la section « Synopsis d’une commande, page v »).
ls(1) Référence vers une page de manuel. Pour consulter la page correspondante dans un
shell (ou ligne de commande), exécutez la commande man 1 ls.
$ ls *.pid $ Ce style est utilisé pour une copie d’écran texte. Signale une interaction
utilisateur-ordinateur, le code source d’un programme, etc.
localhost Données littérales qui ne correspondent généralement pas à une des catégories
précédemment définies : citation d’un mot-clé tiré d’un fichier de configuration, par
exemple.
Apache Nom des applications. À ne pas confondre avec le nom de la commande associée (vois
plus haut).
C onfigurer Entrées de menu ou labels des interfaces graphiques, en général. La lettre soulignée
indique le raccourci clavier éventuel.
Bus SCSI Partie d’un ordinateur ou ordinateur lui-même.
Once upon a time... Citation en langue étrangère.
Attention ! Types réservés pour les mots que nous voulons accentuer (on les lira à voix haute ;-)

iv
Préface

Cette icône introduit une note. Il s’agit généralement d’une remar-


que dans le contexte courant, pour donner une information addi-
tionnelle.

Cette icône introduit une astuce. Il peut s’agir d’un conseil d’ordre
général sur la meilleure façon d’arriver à un but spécifique, ou une
fonctionnalité intéressante qui peut vous rendre la vie plus facile.

Soyez très attentif lorsque vous rencontrez cette icône. Il s’agit


toujours d’informations très importantes sur le sujet en cours de
discussion.

7.2. Conventions générales

7.2.1. Synopsis d’une commande


L’exemple ci-dessous présente les différents signes et symboles que vous rencontrerez lorsque nous décrivons
les arguments d’une commande :
command <argument non littéral> [--option={arg1,arg2,arg3}] [argument optionnel...]

Ces conventions étant standardisées, vous les retrouverez en bien d’autres occasions (dans les pages de man,
par exemple).
Les signes « < » (supérieur) et « > » (inférieur) indiquent un argument obligatoire qui ne doit pas être recopié
tel quel mais remplacé par votre texte spécifique. Par exemple : <fichier> désigne le nom d’un fichier ; si ce
fichier est toto.txt, vous devrez taper toto.txt, et non <toto.txt> ou <fichier>.
Les crochets « [ ] » indiquent des arguments optionnels que vous déciderez ou non d’inclure dans la ligne de
commande.
Les points de suspension « ... » signifient qu’un nombre illimité d’options peut être inséré à cet endroit.
Les accolades « { } » contiennent les arguments autorisés à cet endroit. Il faudra obligatoirement insérer un
d’entre eux à cet endroit précis.

7.2.2. Notations particulières


Il vous sera demandé, de temps à autre, de presser les touches Ctrl+R. Cela signifie que vous devez taper et
maintenir la touche Ctrl enfoncée pendant que vous appuyez sur la touche R. Le même chose se rencontre
pour les touches Alt et Shift.
De même, à propos des menus, aller sur l’entrée de menu Fichier→Relire la configuration utilisateur (Ctrl+R)
signifie : cliquer sur le texte File du menu (généralement horizontal en haut de la fenêtre) puis sur le menu
vertical qui apparaît, cliquer sur Relire la configuration utilisateur . De plus, vous êtes informé que vous pouvez
utiliser la combinaison de touches Ctrl+R comme décrit ci-dessus pour arriver au même résultat.

7.2.3. Utilisateurs du système


À chaque fois que cela est possible, nous utiliserons deux utilisateurs génériques dans nos exemples :

Reine Pingusa Cet utilisateur est créé pendant l’installation.


Pierre Pingus Cet utilisateur est ensuite créé par l’administrateur système.

v
Préface

vi
Chapitre 1. Démarrage rapide

Dans ce chapitre d’introduction, nous passerons en revue toutes les étapes de pré-configuration requises avant
de pouvoir utiliser les produits s’appuyant sur MandrakeSecurity . Que vous utilisiez MandrakeSecurity sur
un serveur dédié ou par-dessus une distribution Mandrake Linux, ce chapitre est pour vous.

1.1. Survol des opérations

La liste chronologique présentée ici vous guidera à travers tout le cycle de vie de votre pare-feu. Lisez-la
attentivement avant tout, et référez-vous aux sections du manuel citées.

1. Configuration matériel requise. Si vous construisez votre pare-feu à partir d’un PC standard, vérifiez
l’adéquation entre vos besoins réels et le matériel en lisant Étapes préliminaires, page 1.
2. Installation. Installez une distribution minimale sur la machine, en suivant les instructions à Installation
avec DrakX, page 3.
3. Première connexion et configuration de base. Configurez les paramètres de base du système et la conne-
xion Internet : Configuration de base de MandrakeSecurity, page 21.
4. Activation des services. Activez ceux des services proposés par MandrakeSecurity dont vous avez be-
soin : Services : DHCP, Proxy, DNS, et bien d’autres, page 47.
5. Paramétrage des règles de pare-feu. Contrôlez le trafic sur la passerelle : Configuration du comportement du
pare-feu, page 65.
6. Configuration VPN. Si vous souhaitez établir un réseau privé virtuel (VPN : Virtual Private Network) avec
un autre site distant équipé avec MandrakeSecurity : Configuration d’un VPN, page 85.
7. Configuration des systèmes client. Il est maintenant temps de connecter vos différents serveurs et machi-
nes hôtes à votre pare-feu. Configurez les serveurs de la DMZ en fonction des règles que vous aurez
ajoutées dans MandrakeSecurity . Pour les clients, suivez les instructions du chapitre Configurer des clients
de paserelle, page 97.
8. Tests. Assurez-vous simplement que les différents services configurés fonctionnent comme prévu. Vérifiez
aussi que les différentes règles du pare-feu donnent bien le résultat attendu, dans toutes les directions.
9. Sauvegarde de la configuration. Obligatoire, inutile d’insister : Sauvegarde et restauration, page 125.
10. Surveillance du système. Tout le système est maintenant en étape de production et rempli ses missions
comme prévu. Pour faire en sorte que tout se passe bien dans le temps, prenez la bonne habitude de
vérifier régulièrement les indicateurs vitaux du système : Surveillez le pare-feu, page 111.
11. Changer les mots de passe. Il est extrêmement important pour la sécurité du système de changer pé-
riodiquement le mot de passe admin permettant d’accéder au système pare-feu. Pour ce faire, allez au
formulaire Configuration système Compte administrateur depuis l’interface Web: Changer le mot de passe de
l’administrateur, page 27.
12. Mise à jour du système. Afin d’être sûr que votre pare-feu est toujours au summum de la sécurité, Man-
drakeSoft publie régulièrement des mises à jour de paquetages des applications pour lesquelles des trous
de sécurité ou des bogues ont été découverts et supprimés. Faites en sorte d’installer toutes les mises à
jour dès qu’elles sont disponibles : Mise à jour logiciel, page 127.
13. Réinitialisation profonde. En cas d’absolue nécessité : Sauvegardez la configuration ; désinstallez les
paquetages naat-* du système ; installez le paquetage snf-en ; et restaurez la configuration.

1
Chapitre 1. Démarrage rapide

1.2. Étapes préliminaires

Si vous avez choisi d’installer MandrakeSecurity sur une machine du commerce, voici quelques conseils au
sujet du matériel nécessaire pour deux utilisations différentes. Ensuite, nous passerons rapidement en revue
le processus d’installation.

Configuration Réseau local modeste, sans DMZ et peu Réseau local avec DMZ hébergeant
de trafic plusieurs serveurs Internet publics
Processeur P166 PIII
Mémoire RAM 64Mo 128Mo
Disque dur 2Go 10Go
Interfaces réseau Ethernet (LAN) + Internet 2*Ethernet (LAN+DMZ) + Internet
Tableau 1-1. Matériel requis

Ces chiffres sont évidemment purement indicatifs et dépendent grandement de l’utilisation effective du ré-
seau. Selon les services activés sur le serveur, la configuration peut s’avérer à l’étroit. Vérifiez régulièrement la
charge du système (Surveillez le pare-feu, page 111). Ainsi, vous pourrez agir avant que votre système ne sature.

2
Chapitre 2. Installation avec DrakX

2.1. Introduction au programme d’installation de Mandrake Linux


DrakX est le logiciel d’installation pour Mandrake Linux. Possédant son interface graphique, il offre une
facilité d’utilisation incomparable. Il permet, par exemple, de retourner à tout moment à une étape précédente
de l’installation ou de définir le type d’installation selon votre niveau d’expertise avec GNU/Linux.

Figure 2-1. Écran de bienvenue, le début de l’installation

Au début de l’installation, que ce soit par CD-ROM ou disquette, le premier écran vous propose plusieurs
options d’installation (figure 2-1). Ne rien faire démarrera l’installation en mode standard ou « linux ». Les
quelques paragraphes qui suivent présentent quelques options et paramètres qui peuvent être passés au pro-
gramme d’installation en cas de problème.
En appuyant sur F1, un écran d’aide apparaît. Voici les options qui vous y sont proposées :

• vgalo : Si vous avez essayé une installation normale et qu’il vous a été impossible de voir l’interface graphi-
que telle que montrée plus loin (Choix de la langue, page 4), vous pouvez essayer de lancer l’installation en
mode basse résolution. Cela peut arriver avec quelques cartes graphiques et MandrakeSecurity vous pro-
pose de contourner ce problème. Pour lancer l’installation en mode basse résolution, tapez vgalo à l’invite.
• text : Dans la situation où vous utilisez une très vieille carte vidéo et que l’installation en mode graphique
refuse de démarrer, le mode text vous permettra de poursuivre l’installation.
• Le mode expert : Dans certains cas isolés, la détection du matériel peut bloquer votre ordinateur. Le
mode expert permet de contourner ce problème, mais sachez que vous devrez alors fournir l’ensemble des
paramètres de votre matériel manuellement. Enfin, expert est une option pour les modes précédents (ou
linux, le mode standard). Vous pouvez donc être amené à spécifier:
boot: vgalo expert

Pour lancer une installation en mode graphique basse résolution sans détection matérielle.

3
Chapitre 2. Installation avec DrakX

Le mode expert proposera aussi une installation plus détaillée,


permettant une plus grande souplesse.

• options du noyau : vous permet de spécifier des options directement au noyau d’installation. On l’utilisera
particulièrement sur les systèmes où l’installeur est incapable de déterminer la quantité de mémoire ins-
tallée. Il vous suffit donc de l’inscrire manuellement, en option du mode d’installation avec la commande
mem=xxxxM. Par exemple, pour démarrer une installation en mode standard sur un PC ayant 256 Mo de
mémoire vive, entrez la commande suivante :
boot: linux mem=256M

Le processus d’installation proprement dit possède une interface graphique (figure 2-2). À gauche, les diffé-
rentes phases d’installation sont identifiées. Selon où vous en ètes dans le processus d’installation, certaines
étapes seront accessibles ou non. Si vous y avez accès, elles sont mises en surbrillance lorsque le curseur de la
souris les survole.
Par ailleurs, différentes couleurs identifient les phases de l’installation.

• rouge : cette étape n’est pas encore entamée.


• orange: identifie l’étape où vous en ètes
• vert: cette étape est terminée. Rappelez-vous que vous pouvez toujours y revenir pour en changer les confi-
gurations.
Ce guide se place dans l’hypothèse où vous effectuez une installation standard, étape par étape, telle que
décrite ci-dessous.

2.2. Choix de la langue


La première étape consiste à choisir votre langue.

4
Chapitre 2. Installation avec DrakX

Figure 2-2. Choix la langue par défaut

Veuillez choisir votre langue. Celle-ci sera utilisée durant le processus d’installation, ainsi que durant les mises
à jour de votre système.
En cliquant sur Avancé, le programme vous proposera également des langues complémentaires pouvant être
installées sur votre station de travail. En choisissant des langues supplémentaires, le programme vous ins-
tallera toute la documentation et les applications nécessaires à l’utilisation de ces langues. Par exemple, si
vous prévoyez d’accueillir des utilisateurs d’Espagne sur votre serveur, choisissez l’anglais comme langue
principale, et, dans la section avancée, cliquez sur l’étoile grise correspondant à Spanish|Spain.
Sachez que plusieurs langues peuvent être installées. Une fois votre sélection complète terminée, cliquez sur
OK pour continuer.

Les langues présentées ici ne sont pas toutes disponibles dans


l’interface Web de MandrakeSecurity .

5
Chapitre 2. Installation avec DrakX

2.3. Licence de la distribution

Avant d’aller plus loin, il est fortement recommandé de lire attentivement les termes et conditions
d’utilisations de la licence. Celle-ci régit l’ensemble de la distribution Mandrake Linux. Si, pour une raison
ou une autre, vous n’acceptez pas ces conditions, cliquez sur Refuser. L’installation sera alors immédiatement
interrompue. Pour continuer, cliquez sur Accepter.

6
Chapitre 2. Installation avec DrakX

2.4. Détection et configuration des disques.

DrakX détecte maintenant tous les périphériques IDE présents sur votre système. DrakX recherchera aussi les
périphériques SCSI. Finalement, selon les composantes détectées, DrakX installera tous les pilotes nécessaires
à son fonctionnement.
Compte tenu de la vaste gamme de périphériques disponibles sur le marché, dans certains cas la détection de
matériel ne fonctionnera pas. DrakX vous demandera alors de confirmer si des composantes SCSI sont pré-
sentes sur votre système. Cliquez sur Oui si vous ètes certain d’avoir un périphérique SCSI sur votre système.
DrakX vous présentera alors une liste de carte SCSI disponibles. Sélectionnez la vôtre. Vous devez évidem-
ment cliquer sur Non, si vous n’en avez pas. Si vous n’ètes pas certain, cliquez sur Voir les informations sur le
matériel, puis sur OK. Vérifiez la liste du matériel, puis cliquez sur OK pour retourner à la question concernant
les périphériques SCSI.
Si vous devez configurer votre carte SCSI manuellement, DrakX vous demandera si vous souhaitez spécifier à
la main les options du périphérique. Laissez en fait DrakX chercher automatiquement les options nécessaires
à la configuration de votre carte, cela fonctionne généralement.
Il peut arriver que DrakX soit incapable de vérifier les options nécessaires. Dans ce cas, vous devrez les déter-
miner manuellement.

7
Chapitre 2. Installation avec DrakX

2.5. Configuration de la souris

DrakX détecte généralement le nombre de boutons de votre souris. Sinon, il prend pour acquis que vous avez
une souris à deux boutons et configurera l’émulation du troisième bouton. De plus, DrakX saura automatique-
ment si vous avez une souris PS/2, série ou USB.
Si vous désirez installer une souris différente, veuillez la sélectionner à partir de la liste qui vous est proposée.
Si vous sélectionnez une souris différente de celle choisie par défaut, DrakX vous présentera un écran de test.
Utilisez les boutons et la roue pour vous assurer que tout fonctionne correctement. Si votre souris ne fonc-
tionne pas normalement, appuyez sur la barre d’espacement ou Entrée ou encore Annuler, puis, sélectionnez
une autre souris.

Les souris à roulette ne sont pas détectées parfois. Vous devrez


alors sélectionner manuellement une souris dans la liste. Assurez
vous de choisir celle qui correspond à votre modèle et au bon port
de connexion. Après avoir pressé le bouton OK, une image de souris
apparaı̂t. Vous devez alors faire tourner la molette afin de l’activer
correctement. Testez alors que tous les mouvements et boutons
fonctionnent correctement.

2.6. Configuration du clavier

Cette étape est généralement ignorée en mode Recommandé.

8
Chapitre 2. Installation avec DrakX

Normalement, DrakX sélectionne le clavier approprié en fonction de la langue choisie et vous ne devriez pas
voir cette étape. Cela dit, il est possible que vous ayez un clavier ne correspondant pas exactement à votre
langue d’utilisation. Par exemple, si vous habitez le Québec et parlez le français et l’anglais, vous pouvez
vouloir avoir votre clavier anglais pour les tâches d’administration système et votre clavier français pour
écrire de la poésie. Dans ces cas, il vous faudra revenir à cette étape d’installation et sélectionner un autre
clavier à partir de la liste.
Cliquez sur Davantage pour voir toutes les options proposées.

9
Chapitre 2. Installation avec DrakX

2.7. Création des partitions

Cette étape vous permet de déterminer précisément l’emplacement de votre installation de MandrakeSecuri-
ty . Si votre disque est vide ou utilisé par un autre système d’exploitation, vous devrez repartitionner votre
disque. Partitionner un disque signifie de le diviser précisément afin de créer un espace pour votre installation.
Comme les effets du partitionnement sont irréversibles (l’ensemble du disque est effacé), le partitionnement
est généralement intimidant et stressant pour un utilisateur inexpérimenté. Heureusement, un assistant a été
prévu à cet effet. Avant de commencer, révisez vos manuels et surtout, prenez votre temps.

Si des partitions ont déjà été définies, peu importe qu’elles proviennent d’une autre installation ou d’un autre
outil de partitionnement, il vous suffit de simplement choisir sur quelle partition vous voulez installer Man-
drake.
Si vos partitions ne sont pas définies, vous devrez les créer en utilisant l’assistant. Selon la configuration de
votre disque, plusieurs options sont disponibles :

• Utilisez l’espace disponible : cette option tentera simplement de partitionner automatiquement l’espace inu-
tilisé sur votre disque. Il n’y aura pas d’autre question.
• Utiliser les partitions existantes : l’ assistant a détecté une ou plusieurs partitions existants sur votre disque.
Si vous voulez les utiliser, choisissez cette option. Il vous sera alors demandé de choisir les points de mon-
tage associés à chacune des partitions. Les anciens points de montage sont sélectionnés par défaut, et vous
devriez généralement les garder.
• Utilisez l’espace libre sur une partition Windows : si Microsoft® Windows © est installé sur votre disque et
prend l’ensemble de l’espace vous devez créer une place pour votre installation Mandrake. Pour ce faire,
vous pouvez tout effacer (voir « effacer tout le disque » ou « Mode expert ») ou vous pouvez redimensionner
l’espace utilisé par Windows . Le redimensionnement peut être effectué sans pertes de données, à condition
que vous ayez préalablement défragmenté la partition Windows. Une sauvegarde de Vos données ne fera
pas de mal non plus. Cette seconde option peut être accomplie sans perte de données. Cette solution est
recommandée pour faire cohabiter Linux et Windows sur le même ordinateur.
Avant de choisir cette option, il faut comprendre qu’après cette procédure l’espace disponible pour Windows
sera réduit. Vous aurez moins d’espace pour installer des logiciels ou sauvegarder de l’information avec
Windows.

10
Chapitre 2. Installation avec DrakX

• Effacer tout le disque: si vous voulez effacer toutes les données et les applications installées sur votre système
et les remplacer par votre nouveau système MandrakeSecurity , choisissez cette option. Soyez prudent, car
ce choix est irréversible et permanent. Il vous sera impossible de retrouver vos données effacées.

En choisissant cette option, l’ensemble du contenu de votre disque


sera détruit.

• Supprimer Microsoft Windows: ce choix effacera tout simplement ce que contient le disque et recommencera
à zéro. Toutes les données et les programmes présents sur le disque seront effacés.

En choisissant cette option, l’ensemble de votre disque sera effacé

• Partitionnement personnalisé : permet de partitionner manuellement votre disque. Soyez prudent, parce
que bien que plus puissante, cette option est dangereuse. Vous pouvez facilement perdre l’ensemble du
contenu d’un disque. Donc, ne choisissez pas cette option si vous ne savez pas exactement ce que vous
devez faire. Pour en savoir plus sur DiskDrake , référez vous à la documentation en ligne de DiskDrake
(http://www.linux-mandrake.com/en/doc/82/en/user.html/diskdrake.html).

2.8. Choix des partitions à formater

Les partitions ayant été nouvellement définies doivent être formatées (ce qui implique la création d’un système
de fichiers.
Lors de cette étape, vous pouvez reformater des partitions existantes pour effacer les données présentes. Vous
devrez alors les sélectionner également.

11
Chapitre 2. Installation avec DrakX

Sachez qu’il n’est pas nécessaire de reformater toutes les partitions existantes. Vous devez formater les parti-
tions contenant le système d’exploitation (comme /, /usr ou /var, mais il n’est pas nécessaire de formater les
partitions de données, notamment /home..
Soyez prudent. Une fois que les partitions sélectionnées seront reformatées, il sera impossible de récupérer
des données.
Cliquez sur OK lorsque vous ètes prêt à formater les partitions.
Cliquez sur Annuler pour ajouter ou enlever une partition à formater.
Cliquer sur Avancer si vous désirez sélectionner des partitions pour une vérification des secteurs défectueux
(Bad Blocks).

2.9. Installation des paquetages


Votre nouveau système MandrakeSecurity est actuellement en cours d’installation. La liste de paquetages
installés est prédéfinie et ne peux pas être modifiée. Selon la quantité de paquetages installés et la vitesse de
votre ordinateur, la durée de cette opération peut varier de quelques instants à plusieurs minutes.

2.10. Mot de passe root

Vous devez prendre ici une décision cruciale pour la sécurité de votre système. L’utilisateur root est
l’administrateur du système qui a tous les droits d’accès aux fichiers de configuration, etc. Il est donc im-
pératif de choisir un mot de passe difficile à deviner (pensez aux systèmes prévus à cet effet qui anticipent
les combinaisons communes des utilisateurs). DrakX vous avertira si le mot de passe entré est trop facile à
deviner. Comme vous pouvez le voir, il est également possible de ne pas entrer de mot de passe. Nous dé-
conseillons fortement cette pratique. Comme l’erreur est humaine, un utilisateur avec tous les droits peut tout
détruire sur votre système, c’est pourquoi le mot de passe doit agir comme barrière à l’entrée.
Le niveau de sécurité MSEC est positionné à 4 (« haut ») par défaut. Le mot de passe choisi doit contenir au
moins 8 caractères alphanumériques. Ne jamais écrire un mot de passe, forcez-vous à vous en souvenir par
coeur.

12
Chapitre 2. Installation avec DrakX

Il faut donc ménager accessibilité et mémoire, donc un mot de passe de 30 caractères est presque impossible à
mémoriser.
Afin d’éviter les regards indiscrets, le mot de passe n’apparaîtra pas à l’écran. Il vous faudra donc l’inscrire
deux fois afin d’éviter les erreurs de frappe. Évidemment, si vous faites deux fois la même erreur, celle-ci sera
sauvegardée et vous devrez la reproduire afin d’accéder à votre système pour la première fois.

2.11. Mot de passe de l’administrateur


Vous devez maintenant choisir le mot de passe pour l’administrateur du système (login: admin). Cet utilisateur
est différent du compte root pour des raisons de sécurité, mais aussi parcequ’il peut s’agir de personnes
différentes. C’est ce compte admin qui sera nécessaire pour accéder à l’interface Web de MandrakeSecurity .
Les critères de choix de ce mot de passe sont les mêmes que pour le compte root.

2.12. Ajouter un utilisateur

Tous les utilisateurs nécessaires au fonctionnement de MandrakeSecurity ont été définis. Cependant, si vous
prévoyez d’utiliser la fonction d’authentification PAM de squid , vous pouvez ajouter ici les utilisateurs qui
seront autorisés.
Il faut d’abord entrer le vrai nom de la personne. Évidemment, vous pouvez y inscrire n’importe quoi. DrakX
prendra le premier mot inséré et le transposera comme Nom de login. C’est le nom qui sera utilisé pour se
connecter au système. Vous pouvez le modifier. Il faut maintenant entrer un mot de passe. Celui-ci n’est pas
aussi crucial que le mot de passe de root, mais ce n’est pas une raison pour le laisser blanc ou trop simple.
Après tout, ceci mettrait vos fichiers en péril.
Vous pouvez alors choisir de rendre cet utilisateur membre d’un ou plusieurs groupes spéciaux ce qui lui don-
nera des privilèges particuliers. Cochez les cases correspondants aux privilèges que vous souhaitez accorder
à cet utilisateur.
Si vous cliquez Accepter, il vous sera possible d’ajouter d’autres utilisateurs. Une fois chaque utilisateur défini,
cliquez sur Terminer.

13
Chapitre 2. Installation avec DrakX

En cliquant sur Avancé, vous pourrez sélectionner un shell diffé-


rent pour cet utilisateur (bash est assigné par défaut).

2.13. Configuration réseau

Vous allez pouvoir configurer maintenant votre accès au réseau local (LAN). MandrakeSecurity tentera de
détecter les périphériques réseau et modems. Si cette détection échouait, décochez la case Utiliser la détection
automatique.

Bien que plusieurs type de connexion soient proposés ici, ne confi-


gurez pas votre connexion Internet maintenant. Vous devriez vous
contenter de configurer votre accès Ethernet LAN, de façon à pou-
voir accéder à l”interface d’administration après l’installation pour
y configurer facilement toutes les autres connexions.

Nous ne détaillerons pas ici chacune des configurations possibles. Assurez-vous seulement que vous avez
toutes les informations (adresse IP, passerelle, serveurs DNS) de votre fournisseur de service Internet ou de
l’administrateur système à portée de main.
Vous pourrez configurer toutes les autres interfaces réseau (Internet, DMZ, etc.) plus tard grâce à l’interface
de MandrakeSecurity .

14
Chapitre 2. Installation avec DrakX

2.14. Emplacement du programme d’amorce

Vous devez indiquer le répertoire où vous souhaitez enregistrer les informations nécessaires au démarrage
sous GNU/Linux .
A moins que vous ne maîtrisiez parfaitement les choix dans ce domaine, nous vous conseillons de choisir
Premier secteur du disque (MBR).
Les différentes options de démarrage seront alors présentées, vous pouvez les modifier si nécessaire.

15
Chapitre 2. Installation avec DrakX

2.15. Disquette de démarrage

Le CD-ROM d’installation de MandrakeSecurity a un mode de récupération prédéfini. Vous pouvez y accéder


en démarrant l’ordinateur sur le CD-ROM: pressez la touche F1 au premier écran, puis tapez rescue. Selon la
version de votre BIOS, il faut lui spécifier de démarrer sur le CDROM. Vous pourrez avoir besoin de cela dans
deux cas précis :
• Au moment d’installer le Programme d’amorce , DrakX va réécrire sur le secteur (MBR) contenant le pro-
gramme d’amorce (boot loader) afin de vous permettre de démarrer avec Windows ou GNU/Linux (en pre-
nant pour acquis que vous avez deux systèmes d’exploitation installés). Si vous réinstallez Windows , celui-ci
va réécrire sur le secteur de démarrage et il vous sera désormais impossible de démarrer GNU/Linux .
• Si un problème survient et qu’il vous est impossible de démarrer GNU/Linux à partir du disque dur, cette dis-
quette deviendra votre seul moyen de démarrer votre système Linux. Elle contient un bon nombre d’outils
pour récupérer un système défectueux, peu importe la source du problème.
En cliquant sur cette étape, on vous demandera d’insérer une disquette. La disquette insérée sera complète-
ment effacée et DrakX se chargera de la formater et d’y insérer les fichiers nécessaires.

16
Chapitre 2. Installation avec DrakX

2.16. Installation de mises à jour depuis Internet

Au moment où vous êtes en train d’installer MandrakeSecurity , il est possible que certains paquetages aient
été mis à jour depuis la sortie du produit. Des erreurs ont pu être corrigées, et des problèmes de sécurité
résolus. Pour vous permettre de bénéficier de ces mises à jour, il vous est maintenant proposé de les télécharger
depuis Internet. Choisissez Oui si vous avez une connexion Internet, ou Non si vous préférez installer les mises
à jour plus tard.
En choisissant Oui, la liste des sites depuis lesquels les mises à jour peuvent être téléchargées est affichée.
Choisissez le site le plus proche. Puis un arbre de choix des paquetages apparaît : vérifiez la sélection, puis
cliquez sur Installer pour télé-charger et installer les mises à jour sélectionnées, ou Annuler pour abandonner.

17
Chapitre 2. Installation avec DrakX

2.17. L’installation est maintenant terminée !

Votre installation de MandrakeSecurity est maintenant terminée et votre système est prêt à être utilisé. Notez
soigneusement l’adresse donnée par ce dialogue, c’est celle que vous devrez utiliser dans votre navigateur
Internet pour accéder à l’interface Web de MandrakeSecurity avec le compte admin. Cliquez maintenant sur
OK deux fois pour redémarrer votre système.

2.18. Désinstaller Linux


Le processus s’effectue en deux étapes simples :

1. Détruire toutes les partitions sur votre disque et les remplacer par une seule partition FAT. Pour ce faire,
consulter la section Gérer ses partitions.
2. Désinstaller le programme d’amorce (généralement grub ). Pour ce faire, démarrer sous DOS et lancer la
commande : fdisk /mbr.
Évidemment, si vous utilisez un autre système d’exploitation, celui-ci inclut sans doute de la documenta-
tion concernant l’installation de son programme d’amorce (boot loader).

Au revoir. Merci d’avoir utilisé MandrakeSecurity :-)

18
Présentation de l’interface de MandrakeSecurity
Les chapitres de cette partie sont dédiés à l’utilisation de l’outil d’administration Web de MandrakeSecurity ,
qui vous permet de contrôler votre pare-feu à distance depuis n’importe quelle machine connectée à votre
réseau local. Le premier chapitre, Configuration de base de MandrakeSecurity, page 21, vous guidera pour les
premières étapes de configuration de base du pare-feu. Vous pourrez y créer des comptes, configurer les cartes
réseau, le serveur de journaux (logs), ainsi que l’heure locale et un serveur local de temps NTP (Network Time
Protocol).
Vient ensuite le chapitre Configurer l’accès à Internet, page 31, qui vous permettra de configurer la connexion
Internet de votre serveur. Le troisième chapitre, Services : DHCP, Proxy, DNS, et bien d’autres, page 47, vous
conseille dans la configuration des services associés tels que DHCP, DNS et serveurs mandataires (Proxy). Vous
pourrez aussi activer un système de détection d’intrusion IDS (Intrusion Detection System) comme Prelude
ou Snort , ou encore bloquer l’accès à certaines adresses Internet auxquelles vous ne voulez pas que vos
utilisateurs accèdent.
Le chapitre Configuration du comportement du pare-feu, page 65 parcours toutes les pages de la section des règles
pare-feu de MandrakeSecurity . Cette section permet de réguler le trafic entre les différentes zones gérées par
le pare-feu.
Finalement, nous parlerons de surveillance du système (essentiel pour garantir le bon fonctionnement du
système) dans le chapitre Surveillez le pare-feu, page 111, et des outils d’entretien dans Outils de gestion, page
123.
Nous espérons que vous apprécierez MandrakeSecurity !
20
Chapitre 3. Configuration de base de MandrakeSecurity

3.1. Introduction

Nous allons maintenant présenter brièvement l’interface de configuration et comment y naviguer. Celle-ci est
faite de menus ouvrant des assistants de configuration.

3.1.1. Connexion
La connexion au serveur pare-feu depuis n’importe quel client est effectuée grâce à n’importe quel fureteur
Internet, suffisamment récent. La communication est intégralement cryptée. Ainsi les informations transmises
sur le réseau sont chiffrées et, presque impossible, à lire sans les codes d’accès.
Pour démarrer la session, pointez votre fureteur sur l’adresse qui vous a été fournie lors de la dernière étape
de la procédure d’installation. Ce devrait être une adresse qui ressemble à :
https://192.168.1.160:8443/

où 192.168.1.160 est l’adresse IP interne (réseau local) du pare-feu.


Des messages vont alors apparaître pour accepter un nouveau certificat de site, acceptez les. Finalement,
l’écran de connexion de MandrakeSecurity apparaîtra (figure 3-1).

Figure 3-1. La fenêtre de connexion à MandrakeSecurity

Remplissez-la avec les informations de connexion du compte admin tel que défini durant l’installation. À
chaque fois que vous devrez vous identifier pour vous connecter à l’interface, utilisez le compte admin. Le mot
de passe doit être modifié dès la première connexion, voyez Changer le mot de passe de l’administrateur, page 27.

21
Chapitre 3. Configuration de base de MandrakeSecurity

3.1.2. L’interface

Figure 3-2. Écran d’accueil de MandrakeSecurity

L’interface est disposée de manière traditionnelle, avec un menu à deux niveau sur la gauche et un cadre de
contenus sur la droite. Ce dernier contiendra les différentes étapes des assistants correspondant aux entrées
de menu de second niveau. Par la suite, nous appellerons « section » le sujet couvert par une entrée de menu
de premier niveau, et « sous-section » pour les entrées de second niveau (les assistants).
Les pages des assistants sont composées de :

• texte informatif : Le sujet de cet écran ;


• champs de saisie : à remplir ou sélectionner selon votre choix ;
• boutons : pour lancer des actions.
Vous rencontrerez aussi divers icônes. Voici les plus importants :

Le bouton d’aide. Ouvre une fenêtre d’aide contextuelle, détaillant les divers éléments
présents dans la page courante.
Le bouton d’annulation. Annule toutes les modification faites depuis le début de
l’assistant, et vous ramène à la page d’accueil de MandrakeSecurity.
Le bouton de retour. Revient à l’étape précédente de l’assistant.
Le bouton « suivant ». Passe à l’étape suivante. Notez que les choix effectués sur une page
ne sont rendus effectifs que lorsque le bouton de confirmation de l’assistant tout entier
(ci-dessous) est pressé.
Le bouton de confirmation. Lorsque vous atteignez le dernier écran de confirmation d’un
assistant, ce bouton confirme tous les choix afférant à cet assistant et les applique au
système. N’oubliez pas de l’utiliser lorsque vous avez fini un assistant, si non tous vos
changements seront perdus !

22
Chapitre 3. Configuration de base de MandrakeSecurity

3.1.3. Déconnexion
Il est très important de se déconnecter explicitement de l’interface lorsque vous avez fini de travailler, ou si
vous abandonnez votre bureau pour un certain temps. Notez bien que fermer le navigateur ne suffit généra-
lement pas, car le serveur n’a alors aucun moyen de savoir que vous abandonnez votre machine, et une autre
personne utilisant l’ordinateur juste après vous pourrait reprendre votre session là où vous l’avez laissée.

Figure 3-3. L’icône de déconnexion

Dès que vous avez fini une session, cliquez sur cet icône. La prochaine fois que vous essaierez de vous connec-
ter, vous devrez vous identifier à nouveau.

3.2. Configuration de base du système

Cette section vous guidera pour la configuration de base du serveur. Elle permet aussi à l’administrateur de
changer son mot de passe d’accès à l’interface.

3.2.1. Configuration générale du système

L’information affichée ici est très générale, quoique essentielle. Votre système doit être associé à un nom ainsi
qu’à un nom de domaine. Les champs Informations du système et temps d’utilisation (Uptime) vous donnent
de l’information de base au sujet de votre système.

Un nom sera attribué au système. Celui-ci sera ensuite alloué à un réseau local. À ce stade, les paramètres à
entrer dépendront du fait que vous ayez ou non un accès permanent à Internet avec une adresse IP fixe.

Nom du système machine.domain.net

Ce champ contient le nom d’hôte complet de votre machine: le nom de la machine suivi du nom de domaine,
tel que parefeu.société.net.

Nom du domaine domain.net

Ce champ abrite le nom de domaine de votre machine. Si vous possédez un nom de domaine et que les DNS
requis pointe vers votre adresse IP, utilisez votre nom de domaine dans ce champ. Sinon, utilisez le nom de
domaine de votre fournisseur Internet.

23
Chapitre 3. Configuration de base de MandrakeSecurity

System Info Linux machine.domain.net 2.4.18-6mdk #1, etc.

Dans ce champ sont listés 1) le type de système d’exploitation 2) le nom complet de la machine 3) la version
du noyau 4) la date à laquelle le système a été installé 5) et le type de processeur.

Temps d’utilisation 4:33pm up 1 day, 23:26, 7 users, load average: 0.00, 0.00, 0.00

Ce champ affiche 1) l’heure locale 2) temps d’utilisation en jour, minutes et secondes 3) le nombre d’utilisateurs
4) et la charge moyenne ("load average") des dernières 1, 5 et 15 minutes.

Modifier

Cliquez sur cette icône si vous voulez change le nom de votre système ou le nom de domaine.

3.2.1.1. Propriétés du système

Cette section vous aidera à changer le nom de votre système et de votre nom de domaine.

Lorsque vous aurez terminé vos changements, cliquez sur le bouton Next, puis sur le bouton Apply. Vous
reviendrez alors à la page System Properties Group, qui affichera le nom du système, le nom de domaine,
ainsi que de l’information sur le système et le temps disponible ("uptime").

3.3. Configuration des cartes Ethernet

Cette page liste les cartes d’interface réseau ("Network Interface Cards" ou NIC) qui sont actuellement confi-
gurées sur votre machine. Cela vous permettra de choisir une carte particulière et de la configurer à nouveau,
ou d’ajouter une autre carte.

Zone IP Address Subnet Mask On Boot Protocol


eth0 wan yes dhcp edit suppress admin
eth1 lan 10.0.0.1 255.255.255.0 yes static edit suppress admin

24
Chapitre 3. Configuration de base de MandrakeSecurity

Chaque ligne correspond à une carte d’interface réseau dans votre ordinateur:

• pour la configurer à nouveau, cliquez sur cette icône située à la gauche de la corbeille. Vous serez
également en mesure de choisir si vous voulez l’activer (ou non) lors de l’amorçage depuis la page Ethernet
Interface Configuration;
• pour permettre au réseau associé à cette interface de se connecter à l’interface Web, cliquez sur Admin (voir
"Administration Interface" plus bas);

• pour la supprimer, cliquez sur cette icône .


Puis vient l’interface d’administration, qui indique l’interface à travers laquelle les connexions de l’administrateur
sont permises. Ceci signifie que votre pare-feu devra être administré depuis un ordinateur connecté au sous-
réseau qui est associé à la carte réseau susmentionnée. Vous pouvez effectuer deux actions:

• - Détection des cartes d’interface réseau courantes: en cliquant sur cette icône, vous lancerez un
processus d’auto-détection de cartes d’interface réseau. Utilisez cette fonctionnalité si vous avez installé
une nouvelle carte d’interface réseau dans votre ordinateur. Note: après votre clic, il pourrait prendre un
certain temps avant que le prochain écran apparaisse puisque l’ordinateur cherche les nouvelles cartes.

• - Ajouter une carte d’interface réseau manuellement: si l’opération précédente devait échouer, vous
pouvez configurer manuellement votre carte en cliquant sur cette icône.

3.3.1. Détection des interfaces Ethernet

Cet écran montre les cartes d’interface réseau qui viennent tout juste d’être détectées automatiquement sur
votre machine. Si la carte que vous souhaitez configurer n’apparaît pas sur cet écran, retournez à la page
précédente et cliquez sur le bouton "Ajouter une carte d’interface réseau manuellement".

Driver Mac IP Address Subnet Mask On Boot


Eth0 ne2k-pci 00:40:05:E2:55:F6 192.168.1.160 255.255.255.0 yes

Chaque ligne correspond à une carte d’interface réseau physique dans votre ordinateur. Pour en choisir une et

la configurer en tant qu’interface d’accès au réseau local, revenez à la page précédente, cliquez sur et
remplissez les champs.

25
Chapitre 3. Configuration de base de MandrakeSecurity

3.3.2. Configuration de l’interface Ethernet pour votre réseau local

Dans cette section, vous devez définir les paramètres de la carte d’interface nécessaires pour ajuster les besoins
de votre réseau local (ou vos réseaux locaux, le cas échéant). Certains des paramètres auront peut-être été
déjà définis lors de l’installation, ou durant une configuration précédente, ou complétés avec des valeurs par
défaut. Faites les modifications nécessaires pour répondre à vos besoins actuels.

Connecté au nom de zone lan

Vous devez choisir dans quel sorte de réseau vous travaillerez. Voici vos choix :

• lan, ou les systèmes de votre réseau local (ou réseaux locaux, le cas échéant). Ces systèmes doivent être
protégés d’Internet et de la DMZ et, dans certains cas, entre eux également. Choisissez cette zone pour
définir votre réseau local ;
• dmz, qui signifie "Demilitarized Zone" (soit zone démilitarisée). Choisissez ce type de zone si vos systèmes
doivent être accessibles depuis Internet et depuis votre réseau local ;
• wan - "Wide Area Network" (soit réseau étendu). Il peut être soit public, soit privé, et il assure
l’interconnexion entre les réseaux à l’extérieur de votre LAN (soit Internet). Choisissez ce type de zone
pour vous connecter directement au monde extérieur.

Adresse IP 192.168.1.1

Remplissez ce champ si vous avez une adresse IP statique pour cette interface. C’est l’adresse de votre serveur :
elle est essentielle puisque les systèmes client se référeront à cette adresse.

Masque de sous-réseau ("Subnet 255.255.255.0


Mask". ex.: 255.0.0.0)

Dans ce champ, entrez le nom du masque de sous-réseau relié au réseau auquel l’interface est connectée.
Maintenant, réglez le protocole d’amorçage à utiliser lorsque l’interface est initialisée. Cela dépend du proto-
cole utilisé par votre FAI ("ISP"). Choisissez la bonne boîte à cocher, par exemple, une des suivantes :

• static. C’est une adresse IP permanente assignée à votre serveur par votre FAI ;
• dhcp. C’est une adresse IP dynamique assignée par votre FAI lors de l’amorçage de la machine. La plupart
des FAI câble et DSL utilise une forme de DHCP ou une autre pour assigner une adresse IP à votre système.
Notez également que les postes de travail devraient être configurés de cette façon pour simplifier la gestion
de réseau ;
• bootp. Permet à une machine Linux de récupérer son information réseau depuis un serveur à travers le
réseau.

26
Chapitre 3. Configuration de base de MandrakeSecurity

Ensuite, vous pouvez décider d’activer (ou non) cette interface lors de l’amorçage.

Client DHCP (optionnel) dhcpd

Ce champ vous permet de choisir quel client DHCP sera utilisé sur votre réseau. Vous pouvez choisir un des
suivants :

• dhcpcd - démon client qui récupère une adresse IP et d’autres informations depuis un serveur DHCP. Il
configure automatiquement l’interface réseau, et essaie de renouveler le temps de location selon le RFC2131
ou RFC1541 (ce dernier est désuet) ;
• pump - démon client pour BOOTP et DHCP. Il permet à votre machine de récupérer de l’information de
configuration depuis un serveur ;
• dhclient - avec celui-ci, vous pouvez configurer une ou plusieurs interfaces utilisant le protocole DHCP ou
BOOTP ;
• dhcpxd - son but premier est de se conformer aux spécifications DHCP définies par le RFC2131. Il prend en
charge un processus par session et est aussi capable de gérer des sessions processus-tout-en-un ("all-in-one-
process sessions"). Une de ses fonctionnalités les plus avancées réside sous forme de scripts, lesquels sont
exécutés lorsque nécessaire, dans le but de configurer tout ce qui est requis pour régler les interfaces.
Finalement, vous pouvez choisir de remplir le champ Nom d’hôte DHCP (optionnel) avec une valeur appro-
priée.

3.4. Changer le mot de passe de l’administrateur

Ce formulaire vous permettra de modifier le mot de passe de l’administrateur. Nous recommandons que vous
le changiez de façon périodique.

Nom de connexion admin


Nouveau mot de passe ********
Nouveau mot de passe (encore) ********

Vous devez choisir un mot de passe sécuritaire. Lorsque vous avez terminé, cliquez sur le bouton "Modifier".

27
Chapitre 3. Configuration de base de MandrakeSecurity

3.5. Journaux système sur vos machines locales et distantes

Les journaux constituent une partie essentielle d’un système à vocation sécuritaire tel qu’un pare-feu. Ils ne
font pas que donner de l’information en temps réel sur ce qui se passe sur votre système: ils peuvent en
retracer l’historique, par exemple, lorsque quelque chose cloche sur votre système - un crash ou une intrusion
- ils trouveront la source de votre problème et, généralement, une solution à ce problème.

Premièrement, vous avez le choix d’activer (ou non) le système de journaux sur la machine locale (soit le pare-
feu). Évidemment, ceci ne sera pertinent que si un affichage est directement relié au pare-feu. Il sera possible
de contrôler:

Serveur Syslog (ex: 10.1.1.10) Vous pouvez choisir d’entrer soit le nom du serveur syslog (ex:
syslog.entreprise.com) ou l’adresse IP. Si vous ne connaissez pas cette
dernière, utilisez la commande ifconfig en tant que root, ou
/sbin/ifconfig en tant qu’utilisateur normal.

Ensuite, entrez l’adresse du serveur syslog. C’est une façon de mieux sécuriser vos journaux en ne les héber-
geant pas directement sur votre serveur, mais bien sur une autre machine.

Niveau d’information émis Info

Ce paramètre contrôle l’information qui sera affichée, selon le niveau que vous choisirez:

• Information: affiche en sortie tous les messages sur le pare-feu, en passant des messages normaux aux plus
critiques;
• Notification: retourne les messages qui ne poseront pas de problèmes au système, mais qui sont inhabituels;
• Attention: vous informe que quelque chose d’anormal est peut-être en train de se réaliser et que vous devriez
commencer à penser à passer à l’acte;
• Erreur: affiche en sortie les messages d’erreur qui pourraient mener à un mauvais fonctionnement du systè-
me;
• Critique: retourne les messages indiquant que votre système est en sérieux danger;
• Alertes: vous indique d’agir immédiatement;
• Panique: affiche en sortie seulement les messages critiques qui mènent généralement à une panne totale de
votre système. À cette étape, votre système pourrait être inutilisable. À moins que vous sachiez exactement
ce que vous faites, nous vous déconseillons fortement d’utiliser ce niveau d’information.

28
Chapitre 3. Configuration de base de MandrakeSecurity

3.6. Configuration de l’heure

Premièrement, l’assistant fera deux suggestions concernant la configuration de l’heure interne.

Cliquez sur l’icône relative à ce que vous voulez configurer :

• date et heure : si vous ne possédez pas de serveur NTP ("Network Time Protocol"), cliquez sur le bouton
Modifier pour régler manuellement la date actuelle et l’heure sur la machine ;

• fuseau horaire et adresse du serveur NTP : cliquez sur le bouton sous le champ Adresse du serveur
NTP (optionnel) pour indiquer la location physique du serveur et éventuellement, configurer un serveur de
temps, qui règlerait automatiquemnt la date et l’heure du système.

3.6.1. Configuration de l’heure et de la date

Tapez simplement la date et l’heure courante dans leurs champs respectifs :

Date (jj/mm/yy) 22/05/02


Heure 24 heures (hh:mm:ss) 17:07:58

Ensuite, appliquez vos modifications en cliquant sur le bouton Modifier.

29
Chapitre 3. Configuration de base de MandrakeSecurity

3.6.2. Configuration d’un fuseau horaire et d’un serveur NTP

Vous devez choisir le fuseau horaire de votre location géographique et indiquer la présence éventuelle d’un
serveur NTP.

Fuseau horaire Amérique/Montréal


Adresse du serveur NTP ntp.myco.com
(optionnel)

Dans la liste de fuseau horaire, choisissez celui qui est situé le plus près de votre emplacement géographique,
ainsi que la ville la plus près de votre location.
Éventuellement, vous pouvez entrer le nom d’un serveur NTP, qui règle automatiquement et vérifie l’heure
sur votre machine de façon périodique. Si votre société possède son propre serveur, utilisez-le. Sinon, vous
pouvez utiliser un serveur public, tels que ceux contenus sur le site Web Public NTP Secondary (stratum 2)
Time Servers (http://www.eecis.udel.edu/~mills/ntp/clock2.htm).

30
Chapitre 4. Configurer l’accès à Internet

Dans cette section, vous pourrez configurer le ou les accès Internet dont dispose votre pare-feu. Il est pos-
sible de configurer des interfaces vers les protocoles supportés par votre version de MandrakeSecurity . Vous
pourrez aussi définir tous vos comptes de fournisseurs d’accès.

4.1. Section Accès Internet

Cette page d’introduction aux interfaces de configurations résume l’état des connexions à Internet. Elle permet
d’arrêter, de démarrer et de tester la connexion à Internet.

La première partie du cadre présente tous les paramètres d’accès à Internet selon la configuration active : type,
interface, compte (Account), etc.
Ensuite, on présente l’état de l’accès à Internet: "Up" (actif) ou "Down" (inactif); et quelques informations
supplémentaires à propos de la connexion courante. Ceci est suivit de trois boutons:

• Démmarrer: Démarrer manuellement la connexion à Internet selon la configuration courante.


• Arrêter: Forcer déconnexion à Internet.
• Tester: mise à jour de l’état de la connexion présenté plus haut.
Pour effectuer ce test, le logiciel tente simplement un "ping" vers un système externe. Si vous désirez tester
avec un système spécific, entrez son adresse IP ici, selon la convention suivante:

Tester l’hôter 198.41.0.6

Puis, cliquez sur Mise à Jour

31
Chapitre 4. Configurer l’accès à Internet

Service DNS Dynamique on


Nom d’hôte DNS Dynaamique your_host_name.dyndns.org

Si vous utilisez un service de DNS dynamique pour configurer votre nom de domaine (lorsque votre adresse
IP est dynamique), cliquez sur Modifier et remplissez les champs correspondants pour établir la configuration.

4.2. Configuration d’un modem analogique

Ce formulaire contient l’ensemble des paramètres requis pour configurer un modem analogique standard
pour se brancher à Internet. Assurez d’avoir l’ensemble des informations remises par votre fournisseur de
services Internet (ISP)

D’abord, il se peut que vous receviez des rappels concernant la configuration actuelle.

Nom de la connexion Ma formidable connexion à Internet

Remplissez ce champ avec n’importe quel nom vous permettant d’identifier cette connexion.

Vous pouvez ensuite essayer le mode auto détection du modem, en cliquant sur l’icône détection:

Liste des modems trouvés ttyS0

Cette liste contient tous les modems détectés sur votre machine (le premier port série, selon notre exemple).
Choisissez celui que vous désirez utiliser pour cette connexion.

Port du modem ttyS1 (COM 2)

Si vous modem n’a pas été détecté, vous pouvez également configurer manuellement le port auquel il est relié

32
Chapitre 4. Configurer l’accès à Internet

Vitesse du modem 57600

Déterminez ici la vitesse maximum de transfert de votre modem (en bits/seconde)

Commande spéciale PPP

Dans certaines situations, il est nécessaire de fournir des paramètres supplémentaire au deamon PPP. Vous
pouvez les inclure ici. Dans la majorité des cas, ces cases seront laissées vides.

Nom de Domaine du fournisseur free.fr


de services

Le nom de domaine de votre fournisseur de services Internet.

Numéro de téléphone du 0123456587


fournisseur de services

Le numéro de téléphone d’accès internet de votre fournisseur de service. Il est important d’inscrire ici les
préfixes d’appel nécessaire.

Nom d’usager foo


Mot de passe ******
Confirmez votre mot de passe ******

Entrez votre nom d’usager et votre mot de passe fournis par votre fournisseur de service internet.

Authentification PAP

Le mécanisme d’authentification utilisés par votre fournisseur de service. Généralement, PAP.

DNS 1 123.456.789.122
DNS 2 123.456.789.123

Les serveurs de noms de domaine de votre fournisseur de service.


Dès que vous aurez remplis tous les champs, cliquez sur suivant. Vous pourrez réviser votre configuration
avant de l’appliquer.
Si vous voulez retirer un compte, cliquez sur comptes internet dans le menu de gauche.

4.2.1. Listes des modems analogiques

33
Chapitre 4. Configurer l’accès à Internet

Cette page affiche tous les modems analogiques trouvés sur votre machine. Assurez-vous qu’ils sont brahcc-
nez correctement et bien branché à internet avant d’aller sur cette page.

Liste des modem détectés ttyS0 (COM1)

Dans le menu déroulant, choississez simplement le port sur lequel le modem choisi est branché, et cliquer sur
suivant.

4.3. Configurer un accès Internet RNIS (ISDN)

4.3.1. Déterminez le type de votre carte ISDN

Cette première étape de la configuration d’une carte internet ISDN vous offre plusieurs options:

• Détecter un carte interne: en cliquant sur cet icône, une liste des cartes ISDN détectées sur votre système
vous sera présentées. Si vous avez une carte interne, c’est la première étape à essayer. Si non:
• Sélectionnez une carte interne: une liste des cartes supportées sera présentée si l’étape précédente à échouée.
• Configurer une carte externe: sélectionnez cet icône si vous avez un modem ISDN externe.

4.3.2. Choisissez votre carte ISDN

34
Chapitre 4. Configurer l’accès à Internet

On vous présente la liste des cartes ISDN détectées sur votre système.

Sélectionnez simplement la carte que vous désirez utiliser pour votre branchement à Internet, puis continuez
vers la prochaine étape. Si votre carte n’a pas été détectée, cliquez sur "Configurer une carte manuellement "
pour la configurer manuellement.

4.3.3. Choisir le modèle de la carte RNIS

Choisissez simplement le modèle de votre carte dans la liste des modèles suggérés, et passez à l’étape suivante.

Si votre modèle de carte n’est pas dans la liste, identifiez un modèle compatible avec le vôtre dans la docu-
mentation fournie avec votre carte.

35
Chapitre 4. Configurer l’accès à Internet

4.3.4. Choisissez votre fournisseur de service et votre protocole ISDN (RNIS)

On vous présente une liste étendue des fournisseurs ISDN à travers le monde. Si le votre est absent, il vous
faudra le créer manuellement.

Vous devez d’abord indiquer le protocole à utiliser, selon votre emplacement:

• Europe
• Reste du monde
Puis, il vous faudra configurer votre fournisseur :

• Sélectionnez votre FAI : pour choisir votre fournisseur dans une liste classée par pays, ville et par nom du
fournisseur. Si le votre y est, choisissez-le et passer à l’autre étape.
• Modifier manuellement les paramètres du FAI: Si votre fournisseur n’apparaît pas dans la liste, cliquez ici.

36
Chapitre 4. Configurer l’accès à Internet

4.3.5. ISDN - Configuration de l’accès

Cette page énumère tous les paramètres nécessaires pour configurer un connexion Internet ISDN. Assurez-
vous d’avoir toutes les informations nécessaires remis par votre fournisseur de service Internet.

Si votre fournisseur est présenté dans la liste, il vous suffit de remplir les champs vides suivants :

Compte RNIS foo


Votre mot de passe RNIS ******
Votre mot de passe RNIS ******
(confirmation)

Ce sont les noms d’usager et mot de passe remis par votre ISP.

Votre numéro de téléphone 01.40.41.42.43

Il faut entrer ici le numéro de téléphone de la ligne utilisée pour votre branchement ISDN.

Nom du fournisseur Mon FAI préféré


Numéro de téléphone du FAI 01.12.56.89.23

Il suffit ici d’identifier votre fournisseur, mais plus important, son numéro de téléphone pour l’accès à Internet..

DNS primaire du FAI 123.456.789.122


DNS secondaire du FAI 123.456.789.123

Les serveur de nom de domaine (DNS) de votre ISP.

Description de la carte RNIS ELSA Quickstep 1000 (PCI)

37
Chapitre 4. Configurer l’accès à Internet

Ceci indique le nom de la carte présentement configurée.

Mode de composition Automatique/manuel

Cette section permet de choisir le comportement du branchement à Internet :

• Automatic: (automatique) Dès que votre serveur reçois un requête pour Internet, la connexion sera établie
automatiquement.
• Manual: (manuel) Cette option requiert que l’administrateur du système démarre et arrête la connexion
manuellement.

IRQ de la carte RNIS 12


E/S de la carte RNIS 0x300

Si votre carte n’a pas été détectée, vous devrez indiquer ces informations.
Lorsque tous les champs sont remplis ou laissé vide, allez à la prochaine étape. Vous pourrez réviser les
changements et confirmer vos choix. La connexion sera alors automatiquement créée.

4.4. Configurer un accès Internet ADSL

4.4.1. Sélection du protocole ADSL.

Choisissez ici le protocole DSL spécifié par votre fournisseur de service.

Choisissez le protocole approprié en cochant la boîte appropriée.

• Point-to-Point Tunnelling Protocol (PPTP)


• Point-to-Point Over Ethernet (PPPOE)
• Adresse IP dynamique (DHCP)

38
Chapitre 4. Configurer l’accès à Internet

• Dynamic Host Configuration Protocol (DHCP)

4.4.2. Configurez un connexion DSL

Cette première interface vous guidera vers les prochaines étapes de configuration. Premièrement, sélectionnez
la carte réseau (NIC) à utiliser.

Dans la liste présenté, cliquez sur l’interface désirée pour votre connexion DSL. Si votre carte est absente,
essayer de la détecter en cliquant sur "Détecter".

4.4.3. Ajouter une interface réseau

Cette page affiche les interfaces réseau détectées sur votre mur coupe-feu.

Choisissez simplement le nom (ETHx) de la carte désirée.

39
Chapitre 4. Configurer l’accès à Internet

4.4.4. Configuration de l’interface Ethernet pour votre accès Internet

Sur cette page sont définis les paramètres de la carte d’interface nécessaire pour mapper les paramètres de
votre accès xDSL. La plupart des paramètres auront déjà été choisis ou remplis avec des valeurs standards :
vérifiez qu’elles correspondent à vos besoins.

Adresse IP (ex: 10.0.0.1) 10.0.0.1

Remplissez ce champ si vous avec une adresse IP statique pour cette interface. Assurez-vous que c’est bien
celle qui vous est assignée.

Masque de sous-réseau (ex: 255.255.255.0


255.0.0.0)

Remplissez ce champ avec le sous-réseau du réseau auquel cette interface est connectée. Assurez-vous que
c’est bien celui qui vous est assigné.

Passerelle par défaut (ex: 10.0.0.250


10.0.0.138)

C’est la passerelle à travers laquelle vos requêtes Internet passeront. Ce paramètre est crucial pour que votre
pare-feu puisse accéder à Internet.
Finalement, vous pouvez choisir que cette interface soit activée lors du démarrage, ou non.

40
Chapitre 4. Configurer l’accès à Internet

4.4.5. Configuration du compte d’accès DSL

Pour que votre fournisseur de service vous reconnaisse comme usager, vous devez spécifier des informations
de comptes. Les informations nécessaires auraient due vous être fournies par votre ISP.

Nom d’usager foo


Mot de passe ******
Confirmation du mot de passe ******

Entrez précisément le nom d’usager et le mot de passe fournies par votre ISP. Attention au lettre majus-
cules/minuscules.

Nom de votre fournisseur) Mon fournisseur favori


Serveur DNS 1 de votre 123.456.789.122
fournisseur
Serveur DNS 1 de votre 123.456.789.123
fournisseur

Un formule simple pour identifier votre fournisseur de service et ses serveurs de DNS.
Une fois tous les champs remplis, passez à prochaine étape. Vous aurez une dernière chance de réviser vos
changements avant de le appliquer.

41
Chapitre 4. Configurer l’accès à Internet

4.5. Configurer un accès Internet par câble ou réseau local

4.5.1. Configurez une connexion Cable/LAN

Cet écran apparaît lorsque vous avez déjà configurer ce type de connexion à Internet pour résumer les infor-
mations principales.

• Cliquez sur "change" si vous désirez utiliser une autre carte réseau avec cet accès Internet.
• Cliquez sur "Configure" si vous désirez reconfigurer la carte réseau sélectionnée.

4.5.2. Configurez une connexion Cable/Lan

Cette première interface vous guidera vers les autres étapes de configuration. Ces deux types sont plus ou
moins identiques, c’est pourquoi ils sont traités ensemble. Choisissez d’abord la carte réseau à configurer.

Dans la liste de suggestions, sélectionner le nom de la carte que vous désirez utiliser.

42
Chapitre 4. Configurer l’accès à Internet

4.5.3. Configuration Ethernet pour accès internet Cable/LAN

Vous définirez ici les paramètres de la carte réseau pour accéder à Internet. La plupart de ceux-ci auront été
remplis par les valeurs par défaut, commercer par les valider.

IP Address (adresse IP) 10.0.0.1

Il faut remplir ce champ si vous avez une adresse IP fixe. Assurez qu’il s’agit de la bonne adresse car des
conflits d’adresse IP génère de nombreux problèmes intermittent.

Subnet Mask (Masque de 255.255.255.0


sous-réseau)

Indique ici le masque de sous-réseau correspondant au réseau sur lequel l’interface est branchée.

Default Gateway (passerelle par 10.0.0.250


défaut)

Il s’agit de la passerelle par laquelle toutes vos requêtes Internet seront acheminés. Il s’agit d’une information
cruciale pour que votre coupe-feu accède à Internet.
Il faudra ensuite déterminer le protocole de démarrage à utiliser. Ceci dépend généralement de votre ISP.
Choisissez parmi les suivants:

• static, si vous avez une adresse IP fixe assignée à votre serveur.


• dhcp, si votre adresse est configurée dynamiquement par ce protocole.
• bootp, si votre adresse est configurée dynamiquement par ce protocole
Vous pouvez finalement choisir si vous voulez que la carte s’auto-détecte.
il faut ensuite configurer le serveur sur Internet.

Nom d’hôte externe www.myco.org

43
Chapitre 4. Configurer l’accès à Internet

Nom de domaine externe myco.org

Remplissez ces champs avec les informations externes.

DNS Externe 1 123.456.789.122


DNS Externe 2 123.456.789.123

Ces adresses IP sont généralement celles des serveur de DNS de votre ISP.

4.5.4. Cable/Lan - Appliquez votre configuration

Vous êtes à la dernière étape de la configuration.

Réviser tous les paramètres et clique sur "Apply" pour appliquer votre changements. Cliquez sur "Back" pour
revenir en arrière.

44
Chapitre 4. Configurer l’accès à Internet

4.6. Configuration des comptes d’accès

Cet écran présente les configurations courantes. Dans le cas où vous avec plusieurs comptes d’accès, vous
pouvez changer de compte à l’intérieur d’un même type d’accès.

La première partie vous informe à propos de la configuration active.


Ensuite, vous avez la liste des comptes associés à ce type d’accès.
DNS1 ProviderPhone DNS2 Password Login Auth
free.fr 123.456.78.1 01010101 123.456.789.2 SecreT bar PAP suppress
provider.net 123.456.75.1 02313654 123.456.785.2 SoSecreT foo PAP suppress

Chaque compte contient 8 champs:

• Provider Domain: Cliquez ici pour activer le compte


• DNS1: le premier serveur DNS du fournisseur Internet
• ProviderPhone: si nécessaire, c’est le numéro à composer pour accéder au fournisseur.
• DNS2: le serveur DNS secondaire
• Password: le mot de passe
• Login: le nom d’usager
• Auth: si nécessaire, le protocole d’authentification à utiliser.
• supprimer: pour détruire le compte.

45
Chapitre 4. Configurer l’accès à Internet

4.7. Restriction de temps

Si vous avez une connexion non permanente, cette page vous permettra de définir vos schèmes de connexion
Internet. Pour chacune des trois périodes définies, vous aurez 5 options de connexion.

• Durant les heures d’affaire (8 heure à 18 heure)


• À l’extérieur de heures d’affaire (18 heure à 8 heure).
• Durant le week-end (samedi et dimanche).
Pour chacune de ces périodes, choisissez une des politiques suivantes :

• Pas de connexion la connexion n’est pas opérationnelle durant cette période.


• Connexion de courte durée : les connexions sont faites sur demande, et le lien se coupe lorsque il n’y a plus
de requêtes. (Pertinent seulement pour les types de lien analogue et modem RNIS (ISDN en anglais).)
• Connexion de moyenne durée : les connexions sont faites sur demande, et le lien est coupé quelques temps
après qu’il n’y ait plus de requêtes (Impertinent pour les types de lien permanents.)
• Connexion de longue durée : les connexions sont faites sur demande, et le lien est coupé très longtemps
après qu’il n’y ait plus de requêtes. Les délais de connexion moyens sont en conséquence minimisés. (Im-
pertinent pour les types de lien permanents.)
• Connexion continue : le lien Internet est maintenu durant cette période.
Nous avons passé à travers les 3 types de période. La prochaine étape consiste à montrer les choix que vous
venez de faire. Réviser-les et passe à l’étape suivante. Vous reviendrez alors à la page de filtrage Proxy Web.

46
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres

Cette section permet de contrôler l’utilisation d’autres services tels que DHCP, DNS ou mandataire (proxy)
Internet.

5.1. État des services hébergés

Cette page affiche l’état des services hébergés sur votre machine.

Vous pouvez les changer en cliquant sur les différents services, tels que serveur DHCP, mandataire ("Proxy"),
DNS et détection d’intrusion, lesquels sont tous situés à la gauche de votre fenêtre MandrakeSecurity.

5.2. Serveur DHCP

Afin de permettre la configuration dynamique de nouvelles machines connectées sur votre LAN ("Local Area
Network" ou, simplement, réseau local), vous devez configurer un serveur DHCP sur votre pare-feu. Si ces
machines sont configurées pour utiliser le serveur DHCP au démarrage, elles seront automatiquement réglées

47
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres

selon les paramètres réseau nécessaires à l’intégration au réseau local. Ensuite, vous n’avez qu’à configurer
les clients pour utiliser un serveur DHCP. Cette fonctionnalité est disponible sur la plupart des systèmes
d’exploitation modernes.

Choisissez, si vous désirez utiliser un serveur DHCP (ou non), en sélectionnant Oui ou Non et en cliquant sur
le bouton Next.

5.2.1. Configuration d’un serveur DHCP

Vous devez maitenant, à l’aide de cet assistant, établir certain paramètres afin que votre coupe-feu agisse
comme serveur DHCP sur votre réseau.

Interface que le DHCP devrait eth0


écouter

Ce champ abrite le nom de l’interface connectée au LAN. Seulement les ordinateurs qui partagent le même
sous-réseau avec cette adresse recevront une réponse de la part du serveur DHCP.

Nom de domaine du client (ex. : entreprise.com


entreprise.com)

Entrez simplement le nom de domaine de votre machine dans ce champ.

Adresse IP du serveur WINS Si vous hébergez un serveur de noms de domaine Windows sur votre
réseau local, entrez son IP dans ce champ. Ainsi, le serveur DHCP dira
aux postes de travail Windows de votre réseau, à l’amorçage, quelle est
l’IP du serveur WINS, au lieu d’avoir à configurer en conséquence
chacun des postes de travail Windows.

Début de la plage d’adresses IP 65


(ex. : 24)
Fin de la plage d’adresses IP (ex. : 254
75)

Ces champs contiennent l’étendue d’adresses IP allouée pour les hôtes de client DHCP. L’exemple donné est
pour un sous-réseau de classe C. Assurez-vous de ne pas inclure la première IP (0 dans notre exemple) ni

48
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres

la dernière (255) dans l’étendue : elles sont réservées. Notez que les premières adresses sont généralement
réservées pour les hôtes d’IP statique, tandis que les dernières sont utilisées par les serveurs DHCP.

Intervalle de temps par défaut en 21600


secondes (21600 = 6h)
Intervalle de temps maximale en 43200
secondes (43200 = 12h)

L’assignation d’une adresse IP à un hôte est toujours limitée dans le temps. Lorsque le client ne règle pas la
période d’assignation nécessaire, le serveur interviendra et réassignera une IP à l’hôte à chaque "Intervalle
de temps par défaut". Toutefois, une requête client pour une période spécifique, inférieure à l’"Intervalle de
temps maximale" sera honorée. Sinon, une adresse IP sera réassignée automatiquement après l’expiration de
l’"Intervalle de temps maximale".

5.2.2. Serveur DHCP - confirmer vos changements

À ce stade, la page de confirmation affiche les données qui seront appliquées à la MNF.

Si vous cliquez sur le bouton Appliquer, tous vos changements seront sauvegardés, et ils remplaceront la
configuration par défaut ou la précédente. Si vous souhaitez changer les paramètres, cliquez sur le bouton
Précédent, changez les paramètres, cliquez sur le bouton Suivant, et appliquer vos changements.

49
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres

5.3. Serveur mandataire (”Proxy”) Squid

Afin d’être capable de mettre en cache (mémoire temporaire) les requêtes HTTP et FTP faites depuis votre
réseau local vers Internet, vous devez configurer un serveur mandataire (Proxy) sur votre pare-feu. Ceci per-
met de récupérer une page Web depuis Internet une seule fois, et de la mettre à la disposition de tous les
utilisateurs du réseau. En conséquence, ceci accélère de façon substantielle l’accès aux pages mises en cache et
permet d’économiser de la précieuse bande passante.

MandrakeSecurity utilise le serveur mandataire Squid. Il agit comme un agent et il accepte les requêtes des
clients (tel que les fureteurs) et les passent au serveur Internet approprié. Ensuite, il stocke une copie des
données retournées dans une mémoire locale.
Choisissez une des quatre options qui suivent avant de passer à la prochaine étape :

• désactiver : si vous choisissez de ne pas utiliser un mandataire, les requêtes faites par les utilisateurs seront
transférées directement au monde extérieur ;
• transparent : active le mandataire et le configure afin qu’il agisse en tant que mandataire transparent. Par
exemple, les utilisateurs n’auront pas à configurer leur client pour l’utiliser : toutes les requêtes sont inter-
ceptées automatiquement et gérées par le mandataire ;
• manuel : même fonctions que l’option précédente, mais les navigateurs client devront être configurés à
nouveau pour utiliser le serveur mandataire installé sur votre serveur MandrakeSecurity ;
• activer le mandataire manuel avec un niveau d’authentification : même chose que l’option précédente. AT-
TENTION : sur le pare-feu, créez des comptes pour les utilisateurs qui ont le droit de se connecter à Internet.

5.3.1. Configuration principale du mandataire

C’est ici que vous pourrez configurer les paramètres du mandataire. Après avoir réglé quelques paramètres
communs, vous avez l’option d’activer (ou non) le filtrage Web ("web filtering").

50
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres

Le mode de Squid : authenticate

Ce champ est défini par le mode de serveur mandataire que vous avez précédemment choisi, soit "désactiver",
"transparent", "manuel" ou "manuel avec authentification". Dans notre exemple, nous avons choisi le mode
"manuel".

Le port de Squid : 3328

Voici le port du le pare-feu sur lequel Squid écoutera les requêtes. Il n’y a pas lieu de faire de changements à
moins que ce port soit déjà utilisé par un autre service.

La taille du cache de Squid (en 150


Mo) :

Ce champ vous laisse contrôler la somme des données en cache que Squid peut stocker et gérer. Pour que
votre cache soit efficace, vous devez ajuster l’espace cache au nombre d’usagers : plus il y a d’utilisateurs, plus
vous aurez besoin d’espace. Cet espace peut varier entre 10 Mo et 10 Go ou plus.

L’e-mail de l’administrateur de admin@yourdomain.com


Squid :

Si un pépin devait survenir, tapez le courriel de l’administrateur dans ce champ (root@entreprise.com dans
notre exemple). Ainsi, vos utilisateurs sauront qui contacter en cas de problèmes/bogues.

Veuillez sélectionner le mode Pam


d’authentification

Ce champ ne sera affiché que si vous avez choisi le mode "manuel avec authentification". Il permet de choisir
entre les modes suivants : PAM ("Pluggable Authentication Modules", soit modules d’authentification enfi-
chables), un mécanisme flexible pour l’authentification d’usagers (et l’action par défaut sous MandrakeSecu-
rity) ; LDAP ("Lightweight Directory Access Protocol", soit protocole d’annuaire) qui permet d’accéder à des
services de répertoire en ligne ; Samba, qui vous permettra de vous connecter à un groupe de travail Samba tel
que SOCIÉTÉ si vous utilisez un tel serveur ; et finalement, NIS ("Network Information Service" soit service
d’information réseau), qui facilite le flux d’informations essentielles à chacune des machines de votre réseau.
Lorsque vous serez de retour sur la page principale du serveur mandataire Squid, vous pourrez activer le
filtrage Web. Cette fonctionnalité vous permettra de refuser ou de restreindre l’accès à certaines pages sur
Internet, tout dépendant des adresses Web. Par exemple, il est utile de bloquer l’accès aux publicités ou aux
sites pour adultes.
Vous pouvez filtrer par adresse Web ou par contenu. Choisissez l’icône pour un ou l’autre. Ensuite, vous
pouvez appliquer des règles de filtrage pour les réseaux autorisés ("Authorized Networks"), la restriction de
temps ("Time Restriction"), les publicités à supprimer ("Advertising to Be Removed"), les adresses bannies
("Banned Destination URLs"), les IPs privilégiées ("Privileged IPs") les IPs source bannies ("Banned Source
IPs") ou faire une sauvegarde de vos données.

51
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres

5.3.1.1. Options LDAP

Pour utiliser LDAP, vous devez régler quelques paramètres de base tels que ceux qui suivent.

ou (ex. : people) Premièrement, associez l’attribut d’objet à la catégorie nécessaire, telle


que "people" ou "department".
dc (ex. : mdk) Ensuite, associez la variable d’objet dc à votre nom de domaine, tel que
"mandrake". L’autre variable d’objet dc devrait être associée à votre
pays, tel que "fr" pour la France.
IP du serveur LDAP Finalement, tapez l’IP du serveur LDAP (par exemple : 192.168.2.78) ou
son nom (ex. : ldap.mesd.k12.or.us).

5.3.1.2. Options Samba

Cette page permet de régler le nom de votre groupe de travail ("Workgroup") Samba.

Groupe de travail Samba (ex. : Entrez simplement le nom de votre groupe de travail Samba dans le
MANDRAKESOFT) champ.

52
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres

5.3.1.3. Options NIS

La page d’authentification NIS permet de régler deux paramètres essentiels : le domaine NIS et la liste NIS.

Domaine NIS (ex. : Dans ce champ, tapez votre nom de domaine NIS en empruntant le
yp.mandrakesoft.com) format suivant : yp.mandrakesoft.com, soit "yp" pour "Yellow Pages"
(pages jaunes), suivi de votre nom de domaine.
Liste NIS (d’habitude, Même principe pour la liste NIS : commencez avec "yp", suivi du
yp_liste.parnom) symbole de soulignement ("_"), puis le nom de la liste sous la forme
"liste.nom".

5.3.2. Filtrage d’adresse par le Proxy Web

Vous avez activé Proxy-Guard et cette page vous permettra de le configurer. Vous êtes en face du premier
écran de l’assistant. Des suggestions vous seront faites pour configurer les divers aspects du filtrage.

Premièrement, cochez la section à configurer et passez à l’étape suivante :

• Réseau autorisé : entrez les réseaux/masques autorisés dans le but de leur permettre d’utiliser les services
du mandataire.

53
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres

• Restriction du temps : permet de définir un horaire de connexion, par exemple, lorsque les utilisateurs ont
le droit de se connecter à Internet, ou non.
• Publicité à supprimer : entrez les adresses ou les domaines complets de sites de publicité. Les images procé-
dant de ces sites ne seront pas transférées aux clients.
• URLS de destination interdits : entrez les adresses ou les domaines complets pour lesquels l’accès devrait
être bloqué.
• Adresse IP privilégiées : entrez les IPs des machines privilégiées votre réseau local. Elles seront libérées des
restrictions imposées par le filtre aux autres hôtes.
• Adresse IP interdite : désignes les machines qui n’ont pas l’autorisation d’utiliser le mandataire.
• Sauvegarde et restauration : permet de faire une sauvegarde de vos règles de mandataire, ainsi que de les
restaurer.
Lorsque vous aurez terminé de configurer une des sections précédentes, vous reviendrez à la page d’accueil
Proxy Web.

5.3.2.1. Réseau/masque source autorisé

Ce formulaire vous permettra de spécifier les sous-réseaux qui peuvent utiliser les services du mandataire.
Si des classes différentes de réseau doivent être spécifiées (une pour les personnes qui ont le droit d’accéder
au Web, une autre pour celles qui n’ont pas ce droit), vous devrez créer un sous-réseau pour les machines
autorisées et assigner des IP selon le statut d’authentification d’un ordinateur donné.

Entrée de réseau/masque 192.168.1.0/25


autorisée

Dans ce champ, entrez l’adresse IP du réseau/masque du sous-réseau (notre exemple montre une étendue IP
de 192.168.1.0 à 192.168.1.127 - où 0 est l’adresse réseau et 127 l’adresse de diffusion). Ensuite, cliquez sur le

bouton Add: L’adresse apparaîtra dans la liste au bas de la page.

Si vous désirez supprimer une IP de la liste, choisissez-la et cliquez sur le bouton Suppress:

54
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres

Lorsque vous aurez tout parcouru la liste, passez à la prochaine étape qui vous ramènera à la page principale
"WebProxy Filtering".

5.3.2.2. Restriction de temps

Ce formulaire vous permettra de définit des plages de temps à l’intérieur desquelles l’accès au mandataire
sera alloué. Notez que cela n’affecte pas les hôtes privilégiés de votre réseau local. À l’extérieur de ces plages
de temps, les machines à accès restreint ne seront pas en mesure de naviguer sur le Web.

Premièrement, vous devez choisir d’activer ou non cette fonctionnalité. Si vous l’activez, vous devrez définir
les plages de temps en question : il existe deux périodes par jour.

Dim AM 09:00-13:00

Assurez-vous de respecter strictement le format d’heure tel qu’illustré : HH:MM-HH:MM. Modifiez toutes les
périodes à votre convenance.
Lorsque vous aurez terminé de définir lesdites plages de temps, passez à l’étape suivante. Vos choix seront
alors affichés. Révisez-les et passez à l’étape suivante. Vous retournerez ensuite à la page principale du filtrage
Proxy Web.

55
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres

5.3.2.3. Domaines et adresses publicitaires

Comment peut-on se débarrasser des encombrantes publicités sur nos sites Web préféré ? Examinons deux
exemples : freshmeat.net et yahoo.com.

Sur le site Web de freshmeat.net, faites un clic droit sur l’image publicitaire puis cliquez "Copier l’adresse
de l’image". Ensuite, allez dans la section New Banned Advertising Domain (nouveau domaine publicitaire
banni), cliquez sur le bouton du milieu de votre souris ou sur les deux boutons simultanément. Effacez la
dernière partie de l’adresse et vous obtiendrez ads.freshmeat.net. Maintenant, ajoutez ce domaine à la liste.

Nouveau domaine de publicité ads.freshmeat.net


interdit

Sur le site de Yahoo.com, faites un clic droit sur l’image publicitaire et ensuite, choisissez l’option "Copier
l’adresse de l’image". Ensuite, placez-vous dans le champ New Banned URL (nouvelle adresse bannie) cliquez
sur le bouton du milieu de votre souris, ou sur les deux boutons simultanément pour copier l’information.
Effacez la dernière partie de l’adresse et vous obtiendrez us.a1.yimg.com/us.yimg.com/a/pr/promo/anchor.
Maintenant, ajoutez cette adresse à la liste. Si vos cliquez sur le bouton Rafraîchir de votre navigateur plusieurs
fois et que vous copiez l’adresse de l’image, vous obtiendrez plusieurs adresse différents :
us.a1.yimg.com/us.yimg.com/a/ya/promo/anchor
us.a1.yimg.com/us.yimg.com/a/an/promo/anchor
us.a1.yimg.com/us.yimg.com/a/ya/yahoopager/messenger
us.a1.yimg.com/us.yimg.com/a/ya/yahoo_auctions

ainsi de suite...

Nouvelle URL interdit us.a1.yimg.com/us.yimg.com/a/an/anchor

La publicité correspondant à cette adresse précise ne sera pas affichée.


Les listes pour ces deux catégories apparaîtront. Choisissez n’importe quel item de ces listes et effacez-le en

cliquant sur le bouton Supprimer :

56
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres

Une fois que vous aurez passé à travers ces listes, passez à l’étape suivante. Vous reviendrez alors à la page
principale de filtrage Proxy Web

5.3.2.4. Sites interdits

Ce formulaire offre trois façon différentes pour filtrer les pages lues à l’intérieur de votre réseau local. Ces trois
types de filtrage dépendent des adresses des pages à bannir.

Nouveau mot clé msn

Toutes les adresses contenant ce mot seront bloquées. Cliquez sur "Ajouter ce mot clé à la liste" pour ce faire.

Nouveau domaine interdit microsoft.com

Toutes les pages dépendant d’un serveur dont le nom ce termine par ce domaine seront bloquées. Dans notre
exemple : "http://eshop.msn.com/category.asp?catId=212" ne sera pas affiché. Cliquez sur "Ajouter ce do-
maine à la liste" pour ce faire.

Nouvelle URL interdit www.XXX.com/index_ns.html

Cette adresse spécifique ne sera pas affichée. Dans notre exemple :


http://www.XXX.com/ad.html

ne sera pas supprimer. Cliquez sur "Ajouter cet URL à la liste) pour ce faire.
Ensuite, les listes pour les trois catégories seront affichées. Vous pouvez choisir un item d’une de ces listes et

le supprimer en le saisissant et en cliquant sur le bouton Supprimer :

57
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres

Lorsque vous aurez terminé de réviser ces listes, passez à l’étape suivante. Vous reviendrez alors à la page
principale de filtrage Proxy Web.

5.3.2.5. IPs privilégiées

Ce formulaire vous permettra d’ajouter ou de supprimer des IPs privilégiées sur votre réseau local. Ces ma-
chines seront libérées de toute restriction imposée par le filtre qui s’applique aux autres hôtes.

Entrer une nouvelle adresse IP 192.168.1.111


privilégiée

Entrez l’adresse IP complète de l’hôte privilégié. Ensuite, cliquez sur le bouton Ajouter : L’IP appa-
raîtra dans la liste au bas de la page.
Pour supprimer les privilèges d’une IP sur la liste, choisissez-la simplement et cliquez sur le bouton Suppri-

mer :
Lorsque vous aurez passé à travers la liste, passez à l’étape suivante. Vous reviendrez alors à la page principale
de filtrage Proxy Web.

58
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres

5.3.2.6. IPs bannies

Ce formulaire vous permettra d’ajouter ou de supprimer les IPs des machines qui n’ont pas le droit d’utiliser
le mandataire. Ceci signifie que s’il n’y a aucune autre passerelle vers Internet depuis le réseau local, ces
utilisateurs ne pourront pas naviguer sur le Web.

Entrez une nouvelle adresse IP 192.168.1.110


bannie

Entrez l’adresse IP complète de l’hôte banni. Ensuite, cliquez sur le bouton Ajouter : L’IP apparaîtra
au bas de la liste.

Si vous souhaitez supprimer une IP de la liste, sélectionnez-la et cliquez sur le bouton Supprimer :
Lorsque vous aurez passé à travers la liste, passez à l’étape suivante. Vous reviendrez alors à la page principale
Proxy Web.

59
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres

5.3.2.7. Faire des copies de sauvegarde et restaurer les règles du mandataire

Faire une copie de sauvegarde de vos règles de mandataire est une excellente idée. D’être capable de pouvoir
les restaurer est également très commode. Suivez ces étapes simples pour ce faire.

• Sauvegarde : pour créer une copie de sauvegarde de vos règles de mandataire, cliquez sur le bouton gris
appelé Sauvegarde. Une nouvelle page s’affichera : appuyez sur la touche Shift et cliquez sur le lien "Web-
Proxy Backup File" (ou faites un clic droit et choisissez Télécharger ce lien) et le fichier WebProxyRulesBac-
kup.tar.bz2 sera sauvegardé sur votre disque dur.
• Restauration : pour restaurer vos règles de mandataire, cliquez sur le bouton Browse ("Naviguer") pour
localiser le fichier approprié (tel que WebProxyRulesBackup.tar.bz2). Ensuite, cliquez sur le bouton Charger
et, sur la prochaine page, cliquez sur Appliquer.

5.3.2.8. Règles de sauvegarde

Votre opération de sauvegarde a été réussie avec succès. Maintenant, suivez les instructions plus bas pour
sauvegarder votre fichier de règles du mandataire.

Faites simplement un shift-click sur le lien "WebProxy Backup" (ou en faisant un clic droit et en choisissant
Télécharger ce lien) et le fichier WebProxyRulesBackup.tar.bz2 sera sauvegardé sur votre disque dur. Ensuite,
cliquez sur le bouton Suivant.
Toutefois, si vous souhaitez terminer cette opération, cliquez sur le bouton Annuler : vous reviendrez alors à
la page principale de MandrakeSecurity.

60
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres

5.4. DNS antémémoire (”Caching”)

Cet assistant vous aidera à configurer votre serveur DNS.

DNS est un acronyme qui signifie Système de nom de domaine ("Domain Name System"). Il traduit des noms
de machine lisibles par des humains en adresses IP lisibles par des machines, et vice versa. Cet assistant
de configuration fournira un service DNS local aux ordinateurs connectés à votre réseau local, et toutes les
requêtes non locales seront transférées à un serveur DNS externe.
Pour activer ce service, veuillez cocher la boîte Activer et cliquez sur le bouton Suivant.
En cliquant sur le bouton Annuler, vous reviendrez à la page par défaut et vous annulerez cet assistant de
configuration.

5.4.1. Étape de configuration des relais primaires DNS

À partir de cette page, vous pouvez spécifier les serveurs DNS utilisés pour transférer les requêtes.

Serveur DNS activé


Relais primaire de DNS adresse_IP_de_DNS_primaire_de_votre_FAI
Relais secondaire de DNS adresse_IP_de_DNS_secondaire_de_votre_FAI

Vous devez entrer les adresses IP des serveurs de relais primaire DNS et, en option, celles des relais secon-
daires, dans les champs respectifs. Normalement, vous devriez entrer les adresses IP de vos serveurs de relais

61
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres

primaire/secondaire DNS ici, mais peut-être utilisez-vous un autre serveur DNS vers lesquels les requêtes
sont transférés.
Une fois que vous aurez entré les adresses IP de vos serveurs de relais DNS, cliquez sur le bouton .
En cliquant sur , vous reviendrez à l’étape précédente de cet assistant de configuration.
En cliquant sur , vous reviendrez à la page d’accueil de MandrakeSecurity.

5.5. Système de détection d’intrusion

Cette page permet de choisir et d’activer un système de détection d’intrusion ou SDI (soit « Intrusion Detection
System » ou IDS en anglais) sur votre serveur. Les SDI sont des applications de filtrage de paquets à base de
signature utilisés pour générer des alarmes lorsque des activités anormales ont lieu sur un réseau.

SDI Prelude Activer/désactiver


SDI Snort Activer/désactiver

• SDI Prelude
Prelude est un SDI hybride qui combine la détection d’intrusion réseau (« Network Intrusion Detection ») et
la détection d’intrusion à base d’hôte (« Host-Based Intrusion Detection »).

• SDI Snort
Snort est un SDI de réseau open source.

62
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres

5.6. Activation de services

Cette page liste les services présents sur votre machine. Vous aurez l’opportunité de les activer (ou non).

Status
[...]
Gpm Running reload restart stop start Details
Httpd-naat Running reload restart stop start Details
Squid Running reload restart stop start Details
[...]

La première colonne de la table liste le nom du service et son statut actuel :

• "Running" (en marche) : ce service est installé et accepte les connexions.


• "Stopped" (arrêté): ce service est installé sur le pare-feu mais est actuellement désactivé.
• "Unknown" (inconnu) : pour une raison ou une autre, l’interface n’a pas été en mesure de déterminer le
statut de ce service.
Les paramètres de ces services peuvent ensuite être modifiés :

• recharger : permet le rechargement de la configuration de ce service sans interruption. À utiliser lorsqu’un


paramètre de ce service vient tout juste d’être modifié.
• redémarrer : arrête et redémarre le service.
• arrêter : le service refusera toutes connexions et arrêtera les connexions courantes.
• démarrer : ce service acceptera les nouvelles connexions.
• Détails : affiche une nouvelle page contenant plus d’information au sujet d’un service particulier.

63
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres

64
Chapitre 6. Configuration du comportement du pare-feu

Dans ce chapitre, nous allons parcourir toutes les pages de configuration de la section Règles pare-feu de
l’interface. C’est ici que nous autoriserons ou bloquerons le trafic entre les différentes zones et machines aux-
quelles le pare-feu est relié.

6.1. Contrôle principal du pare-feu

Cette section permet de contrôler tout le trafic entrant et sortant sur le pare-feu. Plus particulièrement, il
permet de définir les différents groupes d’ordinateurs (zones) avec lesquels votre pare-feu interopère, ainsi
que le trafic alloué entre ces zones.

Sur l’écran principal, vous trouverez les Actions du Firewall pour tous les services de filtrage et de routage.
Quatre actions peuvent être appliquées au pare-feu :

• démarrer : met le pare-feu en route, ainsi que tous les services définis dans cette section ;
• arrêter : arrête le pare-feu. Tous les canaux de communication seront perdus, isolant la machine du ré-
seau externe. Cette opération peut être utile lorsque vous vous appercevez que certaines machines ont été
compromises. Toutefois, l’interface d’administration ne sera plus accessible. Vous pourrez toujours vous
connecter physiquement sur la consôle du pare-feu.
• redémarrer : arrête le pare-feu (s’il est en fonction) et le démarre à nouveau ;
• effacer (« clear ») : efface toute la configuration effectuée par l’administrateur dans la section Règles du
pare-feu (« firewall rules »). Utilisez cette action avec beaucoup de prudence ! Ensuite, cette action réinstalle
et active la configuration par défaut du manufacturier. Utilisez « démarrer » ou « redémarrer » pour revenir
à la configuration personnalisée.

Soyez particulièrement conscient des effets des actions ”arrêter ”et


” nettoyer ”. Lorsque vous aurez choisi l’action désirée, cliquez sur
le bouton Suivant pour confirmer.

65
Chapitre 6. Configuration du comportement du pare-feu

6.2. Définition des zones

Cette sous-section permet de déterminer précisément chaque groupes de machines (zones) avec lequel le
coupe-feu devra interagir. Les écrans d’introduction résument les configurations actuelles et permettent de
gérer les trois composantes de la définition d’une zone.

N’oubliez pas de cliquer sur Appliquer après avoir modifié ou créé


une zone dans cette sous-section.

D’abord, vous devez définir le nom de chaque zone. Réfléchissez aux zones nécessaires à votre réseau. Trois
noms sont fournis pas défaut comme en témoigne la première table résumant les noms définis. Ces valeurs
prédéterminées permettent une configuration simple et sécuritaire de votre coupe-feu.

• LAN : Local Area Network (réseau local). Le réseau interne où sont branchés les postes clients. Les conne-
xions de l’extérieur vers cette zone sont généralement refusées.
• DMZ : DeMilitarized Zone (zone démilitarisée). Généralement réservée aux serveurs Internet, cette zone
sera dédiée à des serveurs publics offrants des services tel que "WWW", "SMTP" ou "POP". Les connexions
de l’extérieur sont donc permises.
• WAN : Wide Area Network (réseau étendu). Cette appellation désigne le réseau Internet, ou plus précisé-
ment, un réseau relié à Internet.

Pour chaque nom de zone définis, cliquez sur l’icône pour modifier les noms associés à cette zone ou

sur pour la détruire.

66
Chapitre 6. Configuration du comportement du pare-feu

Si vous désirez définir une nouvelle zone, cliquez sur Rajouter une interface

Il y une zone spéciale ”fw” qui n’est pas affichée ici mais qui existe
toujours. Elle est utilisée pour désigner la zone coupe-feu ”firewall”:
une zone composée d’une seule machine, le coupe-feu lui-même.

Puis, il faut informer le système de chaque interface réseau configurée sur le coupe-feu, et les zones leur étant
associées.
Les tables qui suivent listent les interfaces et les zones respectives. Si le nom de zone est "-", ça signifie que
plusieurs zones sont associées à cette interface. La procédure de création de zones "host" est définies plus bas.

Pour chaque interface définie, cliquez sur pour modifier une zone associée à cette interface ou

pour la détruire.

Pour ajouter une nouvelle interface, cliquer sur Rajouter une interface
Vous pouvez définir, dans la dernière partie de la page les zones hôtes ("host"). Ces zones sont composées
d’un groupe de machines partageant la même interface sur le coupe-feu. Vous voulez que ces machines soient
traitées différemment des autres postes du réseau. Les machines appartenant à ces zones hôtes sont identifiées
par leur masque de sous-réseau ("subnet mask").
Par exemple, ceci pourrait être utile si votre serveur Internet est branché physiquement à votre réseau local.
Il faut alors le séparer virtuellement en associant la zone DMZ à une zone hôte composée exclusivement du
serveur Internet.

Pour chaque zone hôte, cliquez sur pour modifier la configuration ou sur pour la détruire.

Pour ajouter une nouvelle zone hôte, cliquez sur "Add Host" .

6.2.1. Modifier une identification de Zone

Ce formulaire permet d’ajouter/modifier une identification de zone. On compte trois façons d’identifier une
zone, utilisée selon l’endroit où elle est affichée.

No de zone (unique) : Ce numéro sera utilisé partout où la zone doit être identifiée. Il est
recommandé de ne pas modifier la valeur par défaut.

67
Chapitre 6. Configuration du comportement du pare-feu

Zone : Le surnom de la zone. Le nom devrait être d’au maximum 5 chiffres ou


lettres (minuscules). Le nom doit commencer par une lettre. Aussi, le
nom du pare-feu et "multi" sont réservés à des usages internes du
système.
Nom d’affichage de zone : Le nom de la zone tel qu’il doit apparaître dans les fichiers journaux
(logs).
Commentaires : Ce champ vous permet d’ajouter quelques précisions sur le rôle de la
zone, pour fins de maintenance.

Attention : certains caractères ou symboles peuvent causer des conflits. Il est fortement recommandé de limiter
votre créativité à des lettres, des chiffres et des traits de soulignement ("_").
Attention 2 : si vous renommez ou détruisez une zone, vous devez arrêter ("stop") puis démarrer le serveur
("start") pour que les changements prennent effets. Un redémarrage "restart" ne prendra pas en compte les
changements.
Par exemple : vous avez plusieurs serveurs Web sur le même sous réseau. Nous créerons ici la zone pour la
configurer plus tard.

No de zone (unique) www


Nom d’affichage de zone : WWW
Commentaires Web_Servers_Farm

6.2.2. Associer une zone à une interface réseau

Pour chaque interface Ethernet, au moins une zone doit y être associée. On peut associer plusieurs zones à
une interface réseau par les zones "host". Ce formulaire permet donc de configurer les options associées aux
interfaces.

68
Chapitre 6. Configuration du comportement du pare-feu

ID d’interface : Cette valeur numérique sera utilisée partout pour identifier l’interface.
Il est recommandé de ne pas modifier les valeurs proposées par défaut.
Zone : Dans le menu déroulant, choisissez la zone que vous voulez assigner à
cette interface. La zone spéciale "-" signifie que plusieurs zones "host"
seront associées à cette interface.
Interface : Choisissez l’interface à configurer dans le menu déroulant. Si vous ne
retrouver par l’interface désirée, c’est qu’il faut d’abord la déclarer dans
la section "System setup".
Diffusion (Broadcast) : L’adresse de diffusion pour le sous-réseau relié à l’interface. Cette
valeur doit rester vide pour les interfaces P-T-P (ppp*, ippp*); si vous
devez spécifier une valeur, entrez "-" dans ce champ. Si vous indiquer
"detect", le coupe-feu déterminera automatiquement l’adresse de
diffusion.
Options : Neuf options de configurations avancées de l’interface. Voir le tableau
suivant:

Voici quelques informations supplémentaires sur les options disponibles. Réviser-les biens puisque pour cer-
taines interfaces, certaines options sont fortement recommandées.

dhcp L’interface se verra assignée une adresse IP automatiquement pas un


serveur DHCP. Le mur coupe feu sera configuré pour permettre le
trafic entrant et sortant de cette interface, même s’il est arrêté.
noping Les requêtes ICMP echo-request (ping) seront ignorées par cette
interface.
routestopped Lorsque le coupe feu est arrêté, le trafic entrant et sortant de cette
interface sera accepté et la redirection ("routing") permise entre les
interfaces "routestopped".
norfc1918 Les paquets arrivant sur cette interface et qui ont comme source ou
destination des adresses réservées dans le RFC 1918 (adresse de réseau
privée) seront tracés ("logged") et abandonnés. Cette option est
généralement activée pour les interfaces Internet.
routefilter Cette option invoque les fonctionnalités de filtre de redirection du
noyau. Celui-ci rejettera tout paquet entrant avec une adresse source
redirigeable vers l’extérieur par une autre interface réseau.
ATTENTION: si vous spécifiez cette options pour une interface, il
faudra alors que celle-ci soit mise en fonction avant le coupe-feu.
multi L’interface a plusieurs adresses et vous voulez permette la redirection
entre celle-ci. Par exemple: vous avez deux adresses sur eth1, la
première dans le sous-réseau 192.168.1.0/2 et l’autre dans 192.168.2.0/2
et vous voulez permettre la redirection entre ces réseaux. Parce que
vous avez seulement une interface dans la zone locale, le système ne
créera pas normalement de règle pour rediriger entre eth1 et eth1. En
ajoutant "multi" à l’entrée de eth1, le coupe-feu créera la chaîne
"loc2loc" dans l’entrée de eth1 et les règles de redirection appropriée.
dropunclean Les paquets de cette interface sélectionné par "unclean" de IPtables
seront tracés (logged) et abandonnés.
logunclean Similaire à la précédente, les paquets sélectionné par "unclean" seront
tracés (logged), mais ne seront pas abandonnés.
Liste noire Cette option a pour effet de faire valider les paquets entrant contre un
fichier "blacklist" (liste noire). Voir la sous-section blacklist.

Par exemple, selon notre exemple de serveur Web, nous allons indiquer que la zone "www" est attribuée au
sous-réseau branché à l’interface "eth3".

69
Chapitre 6. Configuration du comportement du pare-feu

Zone : www
Interface : eth3
Diffusion : detect

6.2.3. Associer des zones hôte (”host”) à une interface

Si vous avez assigné la zone spéciale "-" à une interface, vous devez maintenant déterminer la zone hôte
pour cette interface. Une zone hôte est simplement un groupe de machines identifiées par leur sous-réseau
commun. Cette zone peut être réduite à une seule machine.

Host ID : Ce numéro d’identification (ID number) sera utilisé partout pour


identifier cette zone hôte.
Zone : Choisissez, dans le menu déroulant, le nom de zone à utiliser pour
cette zone hôte.
Interface : Choisissez l’interface associée à cette zone hôte dans le menu
déroulant. Choisissez "+" si vous ne voulez pas associer une interface
spécifique à une zone hôte ou à un sous-réseau. Notez : l’utilisation du
"+" affaiblit et ralentit légèrement le pare-feu.
Adresse IP : L’hôte ou l’adresse de sous-réseau pour les machines associées à cette
zone hôte. Par exemple : "192.168.2.0/2".
Options : L’option "routestopped" a l’effet suivant : lorsque le pare-feu est arrêté,
le trafic de et vers cet hôte (ou ces hôtes) est accepté et redirigé entre les
hôtes et interfaces "routestopped".

Par exemple : vous désirez que certains postes de votre réseau local puissent administrer le pare-feu même
lorsque celui-ci est arrêter. Après avoir configuré "eth2" avec la zone spéciale "-" et l’option "multi", vous devez
configurer la zone hôte spéciale "adm", qui correspond exclusivement aux machines qui doivent administrer
le pare-feu à partir du sous-réseau.

Zone : adm
Interface : eth2
Adresse IP : 192.168.1.0/25

70
Chapitre 6. Configuration du comportement du pare-feu

Options : routestopped

6.3. Configuration du masquage, des traductions d’adresses réseau statiques et du


Proxy ARP

Cette sous-section propose des services pour faciliter les communications entre Internet et vos machines in-
ternes, quelles soient client ou serveur.

ATTENTION : souvenez-vous de cliquer sur le bouton Appliquer lorsque vous aurez terminé de configurer
les services nécessaires de cette sous-section.
La partie "Masquage classique" gère les règles qui permettent aux clients internes d’accéder à Internet.

Pour chacune des règles définies (s’il y a lieu), cliquez sur l’icône correspondante pour modifier la

règle ou sur pour supprimer définitivement ce masquage.

Si vous souhaitez définir un nouveau masquage, cliquez sur l’icône Ajouter un masque
La partie "Traduction statique", pour sa part, gère les règles de traduction d’adresse réseau (NAT). Ceci permet
aux serveurs internes (généralement dans la DMZ) d’apparaître comme s’ils faisaient partie d’Internet pour
les clients externes.

Pour chacune des règles définies (s’il y a lieu), cliquez sur l’icône correspondante pour modifier la

règle ou sur pour supprimer définitivement ce masquage.

71
Chapitre 6. Configuration du comportement du pare-feu

Si vous souhaitez ajouter une nouvelle règle de traduction d’adresse réseau, cliquez sur l’icône Ajouter NAT

Finalement, vous pouvez définir, dans la dernière partie de la page, les "Règles Proxy ARP".

6.3.1. Mascarade IP classique

Afin de permettre aux clients de votre réseau local d’accéder à Internet, vous devez masquer ce réseau en
toute déférence d’Internet, puisque votre réseau s’appuie sur des adresses privées invalides sur Internet.

ID : Le numéro d’ID unique qui identifie cette règle classique de masquage


IP.
Réseau masqué : Le sous-réseau que vous voulez masquer à travers l’interface
ci-dessous. Ceci peut être exprimé comme une adresse IP unique, un
sous-réseau ou un nom d’interface. En option, le sous-réseau peut être
suivi de « "!" » et d’une liste d’adresses ou/et de sous-réseaux, séparés
par une virgule, lesquels sont à exclure du masquage.
À travers l’interface : L’interface qui masquera le sous-réseau ; normalement, c’est votre
interface Internet.
Réseau/masque (optionnel) : En option, vous pouvez spécialiser une règle en ajoutant un
sous-réseau ou un hôte IP. Lorsque cet ajout est fait, seulement les
paquets adressés à l’hôte ou au réseau seront masqués.
Adresse source NAT (SNAT) : L’adresse source à utiliser pour les paquets sortants. Cette colonne est
optionnelle et, si elle demeure vide, l’adresse IP primaire courante de
l’interface sera utilisée.

Exemple1 : vous avez de nombreux tunnels IPSEC à travers ipsec0 et vous voulez masquer le trafic depuis
votre sous-réseau 192.168.9.0/24 au sous-réseau 10.1.0.0/16 seulement.

Réseau masqué : 192.168.9.0/24


À travers l’interface : ipsec0
Réseau/hôte optionnel : 10.1.0.0/16
Adresse source (SNAT) :

Exemple2 : vous avez une ligne DSL connectée sur eth0 et un réseau local (192.168.10.0/24) connecté sur eth1.
Vous voulez que toutes les connexions local->Internet utilisent l’adresse source 206.124.146.176. De plus, vous

72
Chapitre 6. Configuration du comportement du pare-feu

souhaitez exclure 192.168.10.44 et 192.168.10.45 de la règle SNAT.

Réseau masqué : 192.168.10.0/24!192.168.10.44,192.168.10.45


À travers l’interface : eth0
Réseau/hôte optionnel :
Adresse source (SNAT) : 206.124.146.176

6.3.2. Traduction d’adresse réseau statique

La traduction d’adresse réseau statique est une façon de présenter les systèmes derrière un pare-feu, et confi-
gurés avec des adresses IP privées (celles réservées pour un usage privé dans le RFC1918), comme s’ils avaient
des adresses IP publiques. Pour permettre aux clients de votre réseau local d’accéder à Internet, vous devez
masquer ce réseau en toute déférence d’Internet, puisque votre réseau local s’appuie sur des adresses privées
invalides sur Internet.

IMPORTANT : si vous voulez seulement transférer des ports à des serveurs derrière votre pare-feu, vous
ne devez PAS utiliser une traduction d’adresse réseau statique. Le transfert de port peut être accompli avec
des entrées simples dans la sous-section Règles. Aussi, dans la plupart des cas, Proxy ARP est une meilleure
solution que la traduction d’adresse réseau statique puisqu’on accède aux systèmes internes en utilisant la
même adresse IP à l’interne qu’à l’externe.

ID: Le numéro d’ID unique qui identifie cette règle de traduction d’adresse
réseau statique.
IP publique externe : Adresse IP externe pour la traduction - Ceci ne devrait PAS être
l’adresse IP primaire de l’interface nommée dans le champ suivant.
Sur cette interface réseau : Interface sur laquelle vous voulez que l’adresse IP publique externe
apparaisse.
IP privée interne (RFC1918) : Adresse IP interne pour traduction. Doit être une adresse IP privée tel
que défini par le RFC 1918.

Deux options sont disponibles pour la traduction :

73
Chapitre 6. Configuration du comportement du pare-feu

Tous les hôtes Si activé, cette traduction d’adresse réseau sera en fonction pour tous
les hôtes. Sinon, la traduction d’adresse réseau s’appliquera
uniquement à travers l’interface nommée dans le champ « Sur cette
interface réseau ».
Système pare-feu Si activé, la traduction d’adresse réseau s’appliquera aussi depuis le
système pare-feu en tant que tel.

Exemple : nous voulons que le système interne avec l’adresse IP 10.1.1.2 apparaisse sur Internet en tant que
sous-réseau 130.252.100.*. Si nous assumons que l’interface à Internet est eth0, donc la règle suivante affichera
le système 10.1.1.2 comme ayant l’adresse IP 130.252.100.18.

IP publique externe : 130.252.100.18


Sur cette interface réseau : eth0
IP privée interne : 10.1.1.2
Tous les hôtes Oui
Système pare-feu Oui

Note 1 : l’option « Tous les hôtes » est utilisée pour spécifier que l’accès à l’IP externe depuis toutes les in-
terfaces pare-feu devraient passer par la traduction d’adresse réseau. Si cette option est réglée à « Non »,
seulement l’accès depuis l’interface dans le champ Interface devrait passer par la traduction d’adresse réseau.
Note 2 : le fait de régler l’option « Système pare-feu » fait en sorte que le paquet originaire du pare-feu lui-
même, et destiné à l’adresse externe, sera redirigé à l’IP privée interne.

6.3.3. Règle de Proxy ARP

Ce formulaire est utilisé pour définir les règles de Proxy ARP ("Address Resolution Protocol", soit protocole
de résolution d’adresse). Vous avez besoin d’une règle pour chaque système sur lequel vous voulez utiliser le
protocole de résolution d’adresse.

ID : Le numéro d’ID unique qui identifie cette règle de Proxy ARP.


Adresse IP du serveur : Adresse du système ciblé.
Interface interne : L’interface qui se connecte au système. Si l’interface est évidente depuis
le sous-réseau, vous pouvez choisir « - ».

74
Chapitre 6. Configuration du comportement du pare-feu

Interface externe : L’interface externe avec laquelle vous voulez honorer les requêtes ARP
pour l’adresse IP du serveur spécifié plus haut.
Route vers le serveur IP déjà Si vous avez déjà une route à travers l’"Interface interne" vers l’"adresse
active : IP du serveur", cochez cette option. Si vous voulez que le pare-feu
lui-même ajoute la route, assurez-vous que la case n’est pas cochée.

Exemple : vous avez les adresses IP publiques 155.182.235.0/28. Vous configurez votre pare-feu ainsi :
eth0 - 155.186.235.1 (Internet connection)
eth1 - 192.168.9.0/24 (masqueraded local systems)
eth2 - 192.168.10.1 (interface to your DMZ)

Dans votre DMZ, vous voulez installer un serveur Web/FTP avec l’adresse publique 155.186.235.4. Sur le
serveur Web, vous faites un sous-réseau exactement comme l’eth0 du pare-feu et vous configurez l’adresse
155.186.235.1 en tant que passerelle par défaut :

Adresse IP du serveur : 155.186.235.4


Interface interne : eth2
Interface externe : eth0
Route vers le serveur IP déjà Non
active :

Note : il est possible que vous vouliez configurer les serveurs de votre DMZ avec un sous-réseau similaire à
celui de votre interface Internet. Dans ce cas, choisissez Oui dans la colonne HAVEROUTE.

6.4. Configuration des règles générales

Cette sous-section décrit la politique du pare-feu relative à l’établissement de connexion. Cette dernière est

75
Chapitre 6. Configuration du comportement du pare-feu

décrite selon la dichotomie suivante : les clients qui initient les connexions ; et les serveurs qui reçoivent les
requêtes de connexion. Les politiques définies dans cette section sont celles par défaut. Si aucune règle dans la
section suivante appelée Règles ne s’applique à une requête de connexion particulière, la politique par défaut
définit ici sera en vigueur.

La table fait un résumé de toutes les politiques par défaut actuellement configurées. La configuration des
politiques par défaut est réglée à REFUSER pour toutes les règles, dans le but de ne permettre l’accès qu’aux
connexions explicitement permises dans la sous-section Règles qui suit.
ATTENTION : l’ordre est important. Le pare-feu exécute les règles de la politique de haut en bas et utilise la
première politique applicable qu’il trouve. Par exemple, dans le fichier de politique qui suit, la politique pour
les connexions (loc, loc) serait ACCEPTER tel que spécifié dans la première entrée même si la troisième entrée
du fichier spécifie de REFUSER.
S’il y a plusieurs règles, vous pouvez les filtrer par client et zones serveur. Choisissez les zones "client" et

"Serveur" disponibles que vous désirez dans le menu contextuel et cliquez sur l’icône La zone spéciale
"*" est simplement un métacaractère (« wildcard ») qui permet de rejoindre toutes les zones.
Rappel : la zone « fw » désigne le pare-feu lui-même.

Pour toutes les politiques définies, cliquez sur l’icône correspondante pour modifier cette politique

ou pour la supprimer définitivement. Pour ajouter une nouvelle politique, cliquez sur l’icône

6.4.1. Définir une politique par défaut

Vous êtes sur le point de définir une politique par défaut pour les requêtes de connexion entre des zones Client
et Serveur.

Pour que cette politique soit en fonction, la connexion doit provenir d’une machine de la zone Client et doit
être dirigée vers une machine appartenant à la zone Serveur. Ensuite, l’action de politique par défaut sera
prise pour cette connexion. En option, si cette politique est déjà active, elle générera une entrée journal ("log
entry") au niveau "Niveau journal".

ID de la politique Le numéro d’ID unique identifiant cette règle de politique.

76
Chapitre 6. Configuration du comportement du pare-feu

Zone client La zone depuis laquelle la connexion doit provenir pour la politique à
activer.
Zone serveur La zone vers laquelle la connexion est ciblée.
Comportement par défaut L’action qui sera entreprise si la politique est activée. Voir le tableau
ci-bas pour de plus amples détails au sujet des actions possibles.
Niveau journal Si réglé à "-", aucun message journal n’est généré lorsque la politique
est en fonction. Sinon, un message syslog est généré avec le niveau de
syslog choisi. Voir la page de man "syslog.conf" pour obtenir une
description de chacun des niveaux journal.

Voici une courte description des 4 politiques possibles :

ACCEPTER La connexion est permise.


RETIRER ("DROP") La requête de connexion est ignorée.
REJETER La requête de connexion est bloquée et un message de "destination
impossible à rejoindre" est renvoyé au client.
CONTINUER La connexion n’est ni ACCEPTée, RETIRée ou REJETée. L’action
CONTINUER peut être utilisée lorsqu’une ou les deux zones nommées
dans l’entrée sont des sous-zones d’une autre zone, ou en croise une
autre (zone).

Exemple : vous faites confiance aux gens de votre réseau local et vous voulez autoriser l’accès à tous les
services Web (zone WAN). Vous ne souhaitez pas journaliser leurs activités non plus.

Zone client loc


Zone serveur wan
Comportement par défaut ACCEPTER
Niveau journal -

77
Chapitre 6. Configuration du comportement du pare-feu

6.5. Configuration des règles du pare-feu

Voici le coeur du pare-feu. La sous-section Règles définit les exceptions des politiques établies dans la section
Politiques par défaut. Une entrée correspond à chacune de ses règles dans le tableau.

Le tableau fait un sommaire de toutes les règles présentement configurées. Par défaut, MandrakeSecurity
définies des valeurs standards pour les zones par défaut (LAN, WAN, DMZ). Vu que la politique par défaut
est de « RETIRER » (« DROP ») toutes les connexions, les règles par défaut permettent d’en définir de plus
précises :

• les ordinateurs du réseau local peuvent se connecter à Internet (WAN) pour naviguer sur le Web, accéder
aux services du courrier électronique, au protocole FTP et aux connexions SSH ;
• les ordinateurs du réseau local peuvent se connecter au serveur SSH du pare-feu ou à l’interface Web de
MandrakeSecurity ;
• toutes les requêtes DNS (« Domain Name Service ») vers Internet sont acceptées ;
• les échos Ping sont permis entre les zones internes.
Si beaucoup de règles existent, vous pouvez les filtrer. Choisissez les zones Client et Serveur désirées, ainsi

qu’un Port dans le menu contextuel, et cliquez sur l’icône La zone spéciale ou le port « * » est tout
simplement un métacaractère (« wildcard ») qui correspond à toutes les possibilités.
Rappel : la zone « fw » désigne le pare-feu en tant que tel.

Pour chacune des règles définies dans le tableau, cliquez sur l’icône correspondante pour modifier

cette règle ou sur pour la supprimer définitivement.

78
Chapitre 6. Configuration du comportement du pare-feu

Si vous souhaitez ajouter une nouvelle règle, deux formulaires sont disponibles : cliquez sur l’icône corres-

pondante « Ajouter un hôte »

Ajouter une règle simple Vous obtiendrez le formulaire de règle simple, permettant de définir
une règle « ACCEPTER » en spécifiant seulement la source, la
destination et le protocole.
Ajouter une règle personnalisée Le formulaire affiché permet de définir une ou plusieurs règles
complexes, avec toutes sortes d’actions disponibles, et quelques
options, comme la connexion, le transfert et le SNAT (« Source
Network Address Translation »).

6.5.1. Définir une règle ACCEPT simple de pare-feu

Vous êtes sur le point de définir une nouvelle règle pour autoriser une connexion spécifique entre deux zones
différentes.

Lorsque une connexion rejoint les critères définis sur cette page, la connexion sera permise.

ID de la règle Le numéro d’ID unique qui définit cette règle de politique.


Services prédéfinis Choisissez un service commun depuis le menu contextuel, ou entrez un
nom ou un numéro de service dans ce champ.
Protocole Le type de protocole associé à ce service.
Origine ("Coming from") La zone depuis laquelle la requête de connexion provient.
Destination ("and going to") la zone vers laquelle la requête de connexion est dirigée. Peut être suivi
par une IP ou un masque de sous-réseau. Laissez « - » dans le champ
pour toute la zone.
Renvoyer Lorsque cette option est cochée, le fonctionnement de la règle est
modifié. Toutes les requêtes depuis des sources spécifiques et pour le
service spécifié seront interceptées, quelque soit le système cible.
Ensuite, cette requête sera transférée à l’IP de destination (« and going
to »). Dans ce cas, une adresse IP spécifique doit être mentionné dans le
champ de Destination.

79
Chapitre 6. Configuration du comportement du pare-feu

Exemple : vous désirez transférer toutes les requêtes de connexion SSH depuis Internet à votre système local
192.168.1.3.

Services prédéfinis Connexion distante sécuritaire [ssh]


Protocole tcp
Origine wan
Destination lan | 192.168.1.3
Renvoyer [cocher]

6.5.2. Définir une règle complexe de pare-feu

Vous êtes sur le point de définir une nouvelle règle pour gérer une connexion spécifique entre deux zones
différentes. Si la requête rejoint les critères définis sur cette page, l’action « Résultat » sera entreprise.

Voici une description des différents champs disponibles pour ce formulaire. Remplissez-les selon les critères
correspondants pour que cette règle soit activée. Quelques options sont également disponibles afin de gérer
ces connexions :

Rule Id (« ID de la règle ») Le numéro d’ID unique de cette règle de politique.


Action (« Résultat ») L’action entreprise pour les requêtes de connexion qui correspondent à
cette règle. Voir le tableau ci-dessous.
Logging (« Connexion ») Réglez ce champ à « info » si vous voulez que chacune de ces
connexions soient journalisées par syslog lorsque elles sont acceptées.
Services prédéfinis Choisissez un service commun dans le menu contextuel ou entrez un
nom ou un numéro de service dans le champ.
Protocole Le type de protocole associé à ce service.

80
Chapitre 6. Configuration du comportement du pare-feu

Client La zone depuis laquelle la requête de connexion provient. La


correspondance peut être réduite en spécifiant une adresse IP ou
masque de sous-réseau précis, même un numéro de port. Laissez « - »
dans le champ pour que la requête corresponde à n’importe quel port
ou IP.
Serveur La zone vers laquelle la requête de connexion est dirigée. La
correspondance peut être restreinte en spécifiant une IP ou un masque
de sous-réseau précis, même un numéro de port. Laissez « - » dans le
champ pour que la requête corresponde à n’importe quel port ou IP.
Adresse de renvoi Si la requête cible une IP spécifique (ou si elle est réglée à « tout »), elle
sera transférée à l’IP « Serveur » et au port. Dans ce cas, une adresse IP
spécifique doit être présente dans le champ Serveur.
SNAT Si spécifiée, et si le transfert ci-haut est activé, l’adresse source de la
requête sera réglée selon la valeur « SNAT » avant d’être transférée au
serveur.

Voici une courte description des 4 actions disponibles :

ACCEPTER La connexion est permise.


RETIRER (« DROP ») La requête de connexion est ignorée.
REJETER La requête de connexion est bloquée et un message de « destination
impossible à rejoindre » est envoyé au client.
CONTINUER La connexion n’est ni ACCEPTÉE, RETIRÉE ou REJETÉE. L’action
CONTINUER peut être utilisée lorsqu’une ou les deux zones nommées
dans l’entrée sont des sous-zones d’une autre zone, ou en croise une
autre (zone).

Exemple : vous voulez que le serveur FTP sur 192.168.2.2 dans votre DMZ en mascarade soit accessible de-
puis votre sous-réseau local 192.168.1.0/24. Puisque le serveur est dans le sous-réseau 192.168.2.0/24, nous
pouvons assumer que l’accès au serveur depuis ce sous-réseau n’impliquera pas le pare-feu.

Résultat ACCEPTER
Connexion
Services prédéfinis ftp
Protocole tcp
Client loc | 192.168.1.0/24
Serveur dmz | 192.168.2.2
Adresse de renvoi 155.186.235.151
SNAT

81
Chapitre 6. Configuration du comportement du pare-feu

6.6. Entretien de la liste noire (BlackList)

Cette page liste les hôtes et les sous-réseaux pour lesquels les requêtes de connexion sont annulés systémati-
quement, même si, normalement, une règle explicite permet la connexion. Notez que pour que cette liste soit
en fonction, les options « liste noire » doivent être réglées dans la sous-section « Paramétrage de zone » (« Zone
setup ») de l’interface (ou les interfaces, selon le cas) à laquelle ces IPs sont connectés.

• Pour ajouter un nouveau sous-réseau ou IP à la liste noire, entrez-le dans le champ « Ajouter une entrée » et

cliquez sur La nouvelle adresse apparaîtra dans la liste.


• Pour supprimer un nouveau sous-réseau ou IP à la liste noire, sélectionnez-le dans la liste et cliquez sur

82
Chapitre 6. Configuration du comportement du pare-feu

6.7. Configuration des règles de type de service (TDS)

Cette page liste et permet de gérer les règles de TDS (type de service) du pare-feu. Les règles de TDS in-
dique AU pare-feu les en-têtes de paquet modifiées en leur ajoutant une valeur TDS. Cette valeur donne de
l’information supplémentaire, notamment aux routeurs, pour que les paquets reçoivent un traitement optimal
concernant leur utilisation.

Le tableau fait un sommaire de toutes les règles de TDS actuellement configurées.


Si plusieurs règles existent, vous pouvez les filtrer. Choisissez les zones Client et Serveur désirées, ainsi qu’un

Port dans le menu contextuel et cliquez sur l’icône Le port ou la zone spéciale « * » est simplement
un métacaractère (« wildcard ») correspondant à toutes les possibilités
Rappel : la zone « fw » désigne le pare-feu lui-même.

Pour toutes les politiques définies, cliquez sur l’icône correspondante pour modifier cette politique

ou pour la supprimer définitivement.

Pour ajouter une nouvelle politique, cliquez sur l’icône

83
Chapitre 6. Configuration du comportement du pare-feu

6.7.1. Éditer des règles de TDS

Ce formulaire définit les règles de TDS (type de service), lesquelles règles ajoutent une valeur TDS aux en-têtes
de paquet correspondant.

Lorsqu’un paquet passant à travers le pare-feu correspond à un critère définit sur cette page, la valeur de TDS
correspondante sera ajoutée.

ID de la règle Le numéro d’ID unique identifiant cette règle de TDS.


TDS Choisissez le type de traitement qui conviendra le mieux aux paquets
qui coïncident avec cette règle.
Client La zone depuis laquelle le paquet provient. La correspondance peut
être restreinte en spécifiant une IP précise, une interface ou un
sous-réseau dans le champ du milieu, ou même un numéro de port
dans le champ correspondant. Laissez « - » dans le champ pour faire
coïncider n’importe quel port ou IP.
Serveur La zone à laquelle le paquet est destiné. La correspondance peut être
restreinte en spécifiant une IP précise, une interface ou un sous-réseau
dans le champ du milieu ; même un numéro de port dans le champ
correspondant. Laissez « - » dans le champ pour faire coïncider
n’importe quel port ou IP.
Protocole Le type de protocole associé à ce service.

Exemple : vous voulez que les paquets de données FTP soient gérés de façon à ce que le taux de transfert soit
maximisé, passant outre la fiabilité et le délai, dans toutes les directions.

TDS Maximiser le débit (8)


Client tous
Serveur tous
Protocole données-ftp

84
Chapitre 7. Configuration d’un VPN

Ce chapitre explique ce qu’est un VPN. Il décrit également comment en configurer un avec MandrakeSecurity ,
que ce soit coté serveur ou client.

7.1. Qu’est-ce qu’un réseau privé virtuel (VPN) ?


Un réseau privé virtuel (VPN) permet d’établir un réseau privé à l’intérieur d’un réseau public, tel qu’Internet,
en utilisant des mécanismes de sécurité. Voir figure 7-1.

Figure 7-1. Modèle d’une connexion VPN

Les VPNs utilisent la tunnellisation pour créer des réseaux privés virtuels sur Internet. Pour résumer, la tunnel-
lisation consiste à encapsuler un paquet à l’intérieur d’un autre, puis de le transmettre sur un réseau (Internet,
dans le cas d’un VPN). MandrakeSecurity utilise IPSec 1 comme protocole de tunnellisation.
Le « réseau de confiance » (« network of trust ») entre plusieurs ordinateurs privés sur Internet s’établit
grâce aux Certificats et aux Autorités de certification (Certificate Authority --CA). Le CA est l’entité de
« confiance » de chacun des participants du VPN. Les certificats créés par votre système MandrakeSecuri-
ty , bien qu’adhérant à tous les standards de l’industrie, ne seront pas garantis par un tiers, tel que VeriSign.
Vous pourrez évidement utilisez vos propres certificats, approuvés par une CA publique, avec votre système
MandrakeSecurity .

7.2. Pourquoi un VPN ?


L’installation d’un VPN recèle de nombreux avantages dont :

• La possibilité de relier des réseaux privés géographiquement éloignés. C’est la raison principale pour la-
quelle les VPNs ont été conçus. Faites un parallèle avec le concept suivant : lier les différentes sociétés sœur
de votre entreprise où qu’elles soient situées dans le monde.
• Communications sécurisées. Tout le trafic VPN étant chiffré, vous pouvez être assuré que vos données
transiteront de façon sûre sur le réseau.
• Réduction des coûts. En utilisant un réseau déjà établi à travers le monde (Internet), toute l’infrastructure
dont vous avez besoin pour interconnecter vos réseaux privés distribués est en place. Nul besoin de payer
pour des liens dédiés (très) dispendieux. L’utilisation de quelques liens Internet haute vitesse tel que ceux
de type DSL est suffisant.

1. IPIP est également pris en charge.

85
Chapitre 7. Configuration d’un VPN

En fait, les VPNs peuvent également être utilisés avec des liens
par modem analogique, mais d’habitude, une connexion de type
permanent (tel que le DSL ou le modem-câble) est plus appropriée.
Ceci dépend de la façon dont vous voulez utiliser votre VPN.

Bien entendu, il y a quelques effets secondaires :

• Vous ne gérez pas tout le réseau. Vu que les réseaux publiques sont une partie inhérentes d’un réseau VPN,
la partie « publique » du réseau est totalement hors de votre contrôle.
Toutefois, c’est également un de ses plus grands avantages : moins de gestion de réseau donc une réduc-
tion des coûts. De plus, la partie publique du réseau est Internet, et ce dernier est bien géré par des gens
intelligents qui possèdent assez de ressources pour assurer un service de qualité supérieure.

• Un point d’échec unique. Généralement, on n’utilise qu’un serveur VPN donc, si cette machine échoue,
le réseau est mort. Toutefois, ce risque peut être diminué en utilisant des machines qui tolèrent certaines
erreurs. Ceci dépend évidemment du niveau d’importance de vos opérations.

7.3. Monter un serveur VPN


Les sections suivantes détailleront comment monter un serveur VPN sur un système MandrakeSecurity .
Nous supposons que votre système MandrakeSecurity possède une connexion permanente à Internet réglée
avec un adresse IP fixe, et que le LAN derrière celui-ci abrite un sous-réseau de type 192.168.0/24. De plus,
MandrakeSecurity agira en tant que CA pour le VPN.
Les étapes de configuration seront présentées en ordre logique, il est hautement recommandé de les suivre
pas à pas. Toutefois, si vous savez ce que vous faites, vous pourrez réaliser ces étapes dans un ordre quelque
peu différent.

7.3.1. Sauvegarder la configuration actuelle de MandrakeSecurity


Vu que le réglage d’un VPN implique des changements de politiques et de règles du pare-feu, c’est une
bonne idée de les sauvegarder en utilisant la fonction Sauvegarde et restauration située dans la section Outils.
Veuillez-vous référer à Outils de gestion, page 123 pour plus de renseignements.

86
Chapitre 7. Configuration d’un VPN

7.3.2. Créer une zone VPN


Allez dans la sous-section Définition des zones de la section Configuration du pare-feu et cliquez sur le bouton
Ajouter une zone. Des exemples de valeur relatives aux divers champs sont montrées dans la figure ci-bas.

Figure 7-2. Ajouter une zone VPN

Veuillez-vous référer à Configuration du comportement du pare-feu, page 65 pour une explication des différents
champs.

Aucun caractère d’espacement n’est autorisé dans ces chaı̂nes. Il


est plus sûr d’utiliser uniquement des lettres et des chiffres, ainsi
que le caractère de soulignement (_).

Ensuite, cliquez sur le bouton Suivant pour ajouter une nouvelle zone identifiant le VPN en tant que tel. Une
fois que vous verrez la zone listée dans la page Définition des zones, appuyez sur le bouton Appliquer pour
que vos changements s’effectuent.

7.3.3. Ajouter l’interface réseau VPN


Allez dans la sous-section Définition de zones de la section Configuration du pare-feu et cliquez sur le bouton
Rajouter une interface. Des exemples de valeur relatives aux divers champs sont montrées dans la figure

87
Chapitre 7. Configuration d’un VPN

ci-bas.

Figure 7-3. Ajouter une interface réseau ipsec

Référez-vous à Configuration du comportement du pare-feu, page 65 pour une explication plus en profondeur de
la signification de ces champs.
Ensuite, cliquez sur le bouton Suivant pour ajouter une interface IPSec au VPN. Une fois que vous verrez que
l’interface est listée dans la page Définition des zones, appuyez sur Appliquer pour activer vos changements.

Les interfaces ipsecN sont des interfaces logiques liées à des in-
terfaces physiques, eth0 par exemple. Vous pouvez associer plus
d’un VPN à la même interface ipsecN, et ajouter des zones VPN
différentes pour régler une politique par zone, si nécessaire.

7.3.4. Ajouter des politiques par défaut au pare-feu pour gérer le trafic du VPN
Maintenant, vous devez ajouter des politiques par défaut de pare-feu pour gérer le trafic VPN. Pour ce faire,
allez dans la sous-section Règles par défaut de la section Configuration du pare-feu et cliquez sur le bouton
Ajout d’une règle. La figure ci-dessous montre la politique pour le trafic entrant depuis n’importe quelle zone

88
Chapitre 7. Configuration d’un VPN

et se dirigeant vers le VPN (all->vpn).

Figure 7-4. Ajouter des politiques par défaut pour le VPN

Vous devez également ajouter une politique similaire pour le trafic provenant du VPN et se dirigeant vers
toutes les autres zones (vpn->all), dans le but de monter un lien de communication bidirectionnel.
Référez-vous à Configuration du comportement du pare-feu, page 65 pour une explication plus approfondie des
différents champs.
Ensuite, cliquez sur le bouton Suivant pour ajouter la politique de pare-feu pour le VPN. Une fois que vous
avez ajouté les deux politiques et que vous les voyez listées dans la page Règles par défaut, appuyez sur
Appliquer pour que vos changements soient activés.

Cette configuration permettra tout et n’importe quel type de trafic


VPN. Pour une configuration et des tests initiaux, vous pouvez
laisser tel quel. Mais une fois que vous serez certain que votre VPN
fonctionne, vous devriez changer les règles définies plus haut afin
qu’elles soient REJETÉES (REJECTed), et ajouter des règles pour les
types de trafic spécifiques que vous voulez allouer sur votre VPN.
Référez-vous à Tester le VPN et le rendre plus sûr , page 94 pour voir
un exemple de configuration de règles qui permet le trafic HTTP.

7.3.5. Ajouter le tunnel VPN du pare-feu


Il est maintenant temps d’ajouter le « tunnel » VPN dans le pare-feu, permettant le trafic sur le port 500/udp.
Allez dans la sous-section Tunnels de la section Configuration du pare-feu et cliquez sur le lien Ajouter un

89
Chapitre 7. Configuration d’un VPN

tunnel. La figure ci-dessous montre les valeurs du tunnel.

Figure 7-5. Ajouter un tunnel au pare-feu

• ID (unique). L’identifiant unique pour ce tunnel. Il est hautement recommandé de laisser cette valeur
inchangée.
• Type. Le type de tunnel. ipsec pour un tunnel IPSec (la valeur par défaut et celle que nous recommandons) ;
ipip pour un tunnel IPIP.
• Zone. La zone depuis/vers laquelle le trafic VPN se dirigera. Pour ce type de VPN que nous sommes en
train de configurer, il doit être réglé à wan (la zone Internet).
• IP de la passerelle. L’adresse IP de la machine passerelle « distante ». Dans notre exemple, nous l’avons
réglé à 0.0.0.0/0, ce qui signifie que le trafic VPN sera autorisé depuis n’importe où sur Internet.

Le fait de le régler à 0.0.0.0/0 peut être perçu comme un trou de


sécurité et, en effet, ce n’est pas très sûr. Toutefois, c’est le seul
réglage possible pour les machines qui ont un accès non permanent
à Internet (comme un modem analogique) et pour celles qui ont une
adresse IP non fixe (presque toutes les connexions DSL et modem-
câble).

• Zone passerelle (Gateway Zone) ––optionnel. Réglez-la à vpn parce que ce dernier sera la « passerelle »
entre les deux réseaux privés.
Puis, cliquez sur le bouton Suivant pour ajouter le tunnel pare-feu au VPN. Une fois que vous le verrez listé
sur la page Tunnels, cliquez sur le bouton Appliquer pour activer vos changements.

7.3.6. Générer des certificats CA


Tous les intervenants impliqués dans un VPN ont besoin d’un certificat en tant que « preuve » de leur identité
(authentification) et pour des raisons de chiffrement.

90
Chapitre 7. Configuration d’un VPN

La procédure suivante n’est nécessaire que si votre système Mandra-


keSecurity sera l’Autorité de certification (CA) de votre VPN. Si
ce n’est pas le cas, vous pouvez ignorer cette étape sans problème.

Il est obligatoire de créer la clé de CA en premier lieu.

7.3.6.1. Clé de CA
Allez dans la sous-section CA de la section VPN et cliquez sur le lien Clé du CA puis cliquez sur le bouton
Suivant. La figure ci-dessous montre un exemple des valeurs associées à chacun des champs.

Figure 7-6. Configuration du CA

Aucun caractère d’espacement n’est autorisé dans ces chaı̂nes. Il


est plus sûr d’utiliser uniquement des lettres et des chiffres, ainsi
que le caractère de soulignement (_).

Ce qui suit est une brève explication de certains champs (les autres sont explicites) :

• Nom commun. Ce champ doit être réglé au nom de domaine complet (FQDN) de votre hôte MandrakeSe-
curity .
• Jours. Le temps d’expiration de ce certificat en termes de jours. Réglé à 10 ans dans notre exemple.

91
Chapitre 7. Configuration d’un VPN

• Jours Crl. Le nombre de jours avant que la Liste de révocation de certificat (Certificate Revocation List ou
CRL) soit considérée comme obsolète.
• Bits. Le nombre de bits à utiliser pour la génération de la clé. Généralement réglé à 1024 ou 2048. N’utilisez
pas de valeurs inférieures à 1024 pour ce champ.
• Pays. Le code ISO de deux lettres identifiant le pays où MandrakeSecurity réside physiquement.
• Courrier électronique. L’adresse de courrier électronique de l’administrateur de MandrakeSecurity . Géné-
ralement, ce champ devrait être réglé à admin@fqdn_de_mandrakesecurity.ext.

Une fois que la configuration vous convient, cliquez sur le bouton Suivant puis cliquez sur le lien Généré le
certificat autosigné pour générer le certificat du CA.

7.3.6.2. Autres clés (Other Keys)


Allez dans la sous-section CA de la section VPN et cliquez sur le lien Autres clés puis sur Ajouter une entrée
VPN. Vous verrez le même dialogue que pour la clé de CA.
Il est obligatoire que la première entrée que vous ajoutée soit celle de votre serveur VPN, soit votre système
MandrakeSecurity dans notre exemple. Donc, entrez les mêmes valeurs que celles entrées pour la Clé de CA
et cliquez sur le bouton Suivant.
Maintenant, vous devez ajouter des entrées pour vos machines distantes. Une fois que vous aurez ajouté
toutes les entrées et que vous les verrez listées sur la page Configuration des certificats, cliquez sur le bouton
Appliquer pour activer vos changements.

7.3.7. Ajouter un serveur VPN


La figure ci-dessous montre le VPN que nous sommes en train de mettre en place. Cette figure montre des
détails concernant l’IP et le masque réseau du réseau privé, ainsi que la signification des positions « gauche »
et « droit » nécessaires à la configuration voulue à cette étape.

Figure 7-7. Diagramme VPN

Donc, votre serveur MandrakeSecurity (Serveur MNF A) est du « côté gauche » et tous les autres ser-
veurs/clients sont du « côté droit » du VPN. C’est une convention qui doit être établie à priori et les deux
extrémités (gauche et droite) doivent être configurées pour que la configuration soit complète.

92
Chapitre 7. Configuration d’un VPN

Allez dans la sous-section Serveur de la section VPN et cliquez sur le lien Ajouter un serveur VPN. La figure
ci-dessous montre les valeurs typiques attribuées à chaque champs.

Figure 7-8. Ajouter un serveur VPN

Le serveur VPN doit être la première entrée.

• ID du serveur VPN. Identifiant numérique unique. Il est plus sûr (et recommandé) de ne pas toucher à cette
valeur.
• Position. Réglé à gauche pour votre système MandrakeSecurity et à droite pour le système distant.
• Nom commun. Ce champ doit contenir le nom de domaine complet (FQDN) de votre hôte MandrakeSecu-
rity pour le côté gauche et le nom de domaine complet de votre hôte distant sur le côté droit.
• IP. L’adresse IP sur l’interface Internet de votre hôte MandrakeSecurity pour le côté gauche, ainsi que
l’adresse IP de votre hôte distant sur le côté droit.
• Adresse réseau/masque. L’adresse IP et le masque de réseau pour le côté correspondant (gauche ou
droit). Dans notre exemple, le côté gauche est réglé à 192.168.0.0/24, tandis que le côté droit est réglé
à 172.16.1.0/24.
• VPN distant. L’adresse IP de la passerelle du système. Elle sera dépendante de l’adresse IP de l’hôte que
vous êtes en train de configurer, mais généralement, c’est identique à l’hôte IP sauf que le dernier numéro
est 1. Par exemple, si l’IP de votre hôte est 123.234.123.200, sa valeur devrait être réglée à 123.234.123.1.
• Authentification. x509 est le seul type de certificat pris en charge.
Une fois que vous aurez ajouté les côtés gauche et droit, cliquez sur le bouton Appliquer puis sur Redémarrer
IPSEC pour activer vos changements.
Félicitations ! Le serveur VPN est configuré.

93
Chapitre 7. Configuration d’un VPN

7.3.8. Distribution des certificats et des clés

Les opérations suivantes ne sont nécessaires que si vous comp-


tez utiliser MandrakeSecurity en tant qu’Autorité de certification
(CA) pour votre VPN. Si ce n’est pas le cas, vous pouvez ignorer
cette étape sans problème.

Maintenant, vous devez distribuer tous les certificats et clé nécessaires aux intervenants. Cette distribution
doit être faite de façon sécurisée puisque la sécurité de toute l’architecture VPN dépend de ces certificats et
clés. Vous pouvez chiffrer les fichiers puis les envoyer (ex. : en utilisant OpenPGP ), rencontrer les parties en
personne et leur donner une disquette abritant les données, ou toute autre façon sûre. N’envoyez jamais ces
fichiers sans qu’ils ne soient chiffrés.
Voici les fichiers que vous devez distribuer aux tiers :

• /etc/freeswan/ipsec.d/fqdn_of_mandrakesecurity.crt
• /etc/freeswan/ipsec.d/fqdn_of_remote_system.crt
• /etc/freeswan/ipsec.d/private/fqdn_of_remote_system.key
Les tiers doivent alors copier ces fichiers à leur place sur leurs systèmes. Cette opération dépend du système
en question et nous ne la détaillerons pas ici.

Après que les certificats et clés aient été distribués et copiés aux
endroits appropriés sur les systèmes distants, le service ipsec doit
être redémarré sur les hôtes distants afin que les clés et certificats
distribués soient inclus.

7.3.9. Tester le VPN et le rendre plus sûr


Il est maintenant temps de tester le VPN. C’est relativement simple. Vous n’avez qu’à faire un ping sur
le réseau distant et voyez si vous obtenez une réponse. Suivant notre exemple, la commande ping -c 2
172.16.1.10 devrait retourner quelque chose de similaire à la capture d’écran ci-bas :
PING 172.16.1.10 (172.16.1.10) from 192.168.0.70 : 56(84) bytes of data.
64 bytes from 172.16.1.10: icmp_seq=1 ttl=64 time=0.047 ms
64 bytes from 172.16.1.10: icmp_seq=2 ttl=64 time=0.069 ms
--- 192.168.0.70 ping statistics ---
2 packets transmitted, 2 received, 0% loss, time 1502ms
rtt min/avg/max/mdev = 0.047/0.055/0.069/0.011 ms

en supposant que l’hôte distant, 172.16.1.10, est actif.


Une fois que vous êtes certain qu’il fonctionne, réglez les règles par défaut du pare-feu pour le VPN à REJECT
(interdire tout trafic VPN par défaut) et ajoutez une règle pare-feu pour le service spécifique que vous souhai-
tez utiliser sur le VPN. La figure suivante montre le champ de valeur pour une règle de pare-feu permettant
le trafic HTTP sur le port 80 à travers le VPN :

94
Chapitre 7. Configuration d’un VPN

Figure 7-9. Règle pour permettre le trafic HTTP sur le VPN

7.4. Configurer un client VPN


Allez dans la sous-section Client de la section VPN et cliquez sur le bouton Suivant. La figure ci-contre vous
renseigne sur les valeurs à entrer dans les divers champs :

Figure 7-10. Ajouter un client VPN

Une fois que vous aurez rempli tous les champs, cliquez sur le bouton Appliquer pour activer vos change-
ments.

Référez-vous à Ajouter un serveur VPN, page 92 pour une explica-


tion plus détaillée de ces champs.

95
Chapitre 7. Configuration d’un VPN

Une fois que le VPN est configuré, les rôles client/serveur ne sont
pas obligés de demeurer les mêmes. Par exemple, vous pourriez
configurer un serveur VPN sur votre réseau et rendre les services
(serveurs) disponibles à travers ce dernier sur le réseau distant.

Vous devez copier les fichiers listés dans Distribution des certificats et des clés, page 93 sur votre système
(souvenez-vous que ces fichiers dépendent du système donc, nous ne décrirons pas comment procéder ici)
puis cliquer sur le lien Redémarrer IPSEC pour que les réglages soient pris en considération.

96
Chapitre 8. Configurer des clients de paserelle
Ce chapitre vous montrera comment faire interagir différents systèmes d’opération avec une machine
GNU/Linux , laquelle agit comme dispositif mandataire (masquerading) réglé en tant que passerelle vers le
monde extérieur. Les tests de configuration sur les systèmes d’exploitation suivants ont tous été couronnés
de succès :

• Apple Macintosh, avec MacTCP ou Open Transport ;


• Commodore Amiga, avec AmiTCP ou AS225-stack ;
• Postes de travail Digital VAX 3520 et 3100, avec UCX (pile TCP/IP pour VMS) ;
• Digital Alpha/AXP, avec Linux/Red Hat ;
• IBM AIX (sur un RS/6000), OS/2 (incluant Warp 3) et OS400 (sur un OS/400) ;
• Linux (évidemment !) : n’importe quel noyau depuis 1.2.x ;
• Microsoft DOS, (avec le paquetage NCSA Telnet, support partiel de DOS Trumpet), Windows 3.1 (avec le
paquetage Netmanage Chameleon) et Windows pour Workgroup 3.11 (avec le paquetage TCP/IP) ;
• Microsoft Windows 95, Windows 95 OSR2, Windows 98, Windows 98se ;
• Microsoft Windows NT 3.51, 4.0 et 2000 (poste de travail et serveur) ;
• Serveur Novell Netware 4.01, avec le service TCP/IP ;
• SCO OpenServer (v3.2.4.2 et 5) ;
• Sun Solaris 2.51, 2.6 et 7.
Passons à travers la configuration de certains d’entre eux. Si votre système n’est pas inclus dans la liste sus-
mentionnée, une façon simple de procéder est de « simplement signifier au système d’exploitation quelle
machine doit être utilisée en tant que passerelle ». Notez qu’ici, nous nous concentrerons sur le côté passerelle
du réseau : donc, nous n’aborderons pas les problèmes pouvant être reliés au DNS, au partage de fichiers ou
au schémas de connexion. Ainsi, pour que ce chapitre vous soit utile, votre réseau local doit être bien confi-
guré. Référez-vous à la documentation de votre système pour le régler de façon adéquate, en accordant une
attention particulière aux réglages du DNS.
Pour la suite, nous assumons que vous travaillez avec un réseau de classe C : vos différents postes de travail
ont tous une adresse IP ressemblant à 192.168.0.x, votre masque de réseau (netmask) est réglé à 255.255.255.0
et vous utilisez une interface de réseau eth0. Nous prenons également pour acquis que l’adresse IP de votre
passerelle est réglée à 192.168.0.1 et que tous vos postes de travail peuvent « parler » à la passerelle (vous
pouvez tester ceci avec la commande ping ou son équivalent, tout dépendant de l’environnement que vous
utilisez).

8.1. Machine Linux


Il y a (au moins) trois façons pour réaliser le tout sous Linux.

8.1.1. Configuration à la volée


Voici probablement la façon la plus rapide de procéder. Toutefois, lorsque vous redémarrerez votre couche
réseau ou votre système en entier, vous aurez perdu tous les changements de configuration !
Si vous accédez à la passerelle à travers l’interface de réseau eth0, tapez simplement la commande suivante
(en tant qu’utilisateur root) : route add default gw 192.168.0.1 eth0 C’est tout ! Si la passerelle est confi-
gurée adéquatement et connectée à Internet, le monde entier est maintenant à votre portée grâce à votre navi-
gateur préféré.

97
Chapitre 8. Configurer des clients de paserelle

8.1.2. Configuration permanente et manuelle


Nous devons éditer un fichier de configuration afin de maintenir la configuration globale de votre système
à chaque fois que ce dernier est éteint puis réamorcer. Ce fichier s’appelle /etc/sysconfig/network sur une
machine Mandrake Linux (son nom peut être différent sur la vôtre). Ouvrez-le avec votre éditeur de texte
habituel, et ajoutez les lignes suivantes :
GATEWAYDEV="eth0" GATEWAY="192.168.0.1"
Maintenant, relancez votre couche réseau avec la commande suivante : service network restart

8.1.3. Configuration permanente et automatique


Pour régler la configuration de façon automatique, vous n’avez qu’à entrer les bons paramètres avec l’aide de
l’assistant de configuration. Référez-vous au chapitre Configuration des connexions Internet du Guide de démar-
rage. Lorsque vous configurez une connexion Internet à l’intérieur d’un réseau local, il vous est proposé, lors
de la première étape, de configurer le réseau en mode manuel ou automatique (DHCP) :

Figure 8-1. Nouvelle configuration du réseau local avec drakconnect

Vous n’avez qu’à entrer les informations pertinentes. Si votre réseau local abrite un serveur bootp ou DHCP,
cochez la boîte Attribution automatique de l’adresse IP, et votre configuration sera réglée. Si votre machine
possède une adresse IP fixe, entrez-la dans le premier champ après vous être assuré que le champ Attribution
automatique de l’adresse IP est bien désactivé. Ensuite, cliquez sur le bouton Suivant ->.

98
Chapitre 8. Configurer des clients de paserelle

Figure 8-2. Régler la passerelle avec drakconnect

Vous devez écrire les bonnes adresses IP pour la passerelle et le serveur DNS. Une fois fait, suivez les étapes
de l’assistant et redémarrez votre réseau lorsque proposé. Et c’est tout. Votre réseau est correctement configuré
et prêt à être utilisé. Maintenant, la configuration est permanente.

8.2. Machine Windows XP


Dans cette section, nous prenons pour acquis que votre connexion de réseau est configurée. La capture d’écran
qui suit montre les trois étapes nécessaires pour obtenir le menu contextuel désiré.

99
Chapitre 8. Configurer des clients de paserelle

Figure 8-3. Configuration de la passerelle sous Windows XP

Voici les étapes à suivre pour passer d’une fenêtre à l’autre :

1. Sur le bureau, faites un clic droit sur l’icône My network places, et sélectionnez Properties dans le menu
contextuel ;
2. Dans la fenêtre Network Connections, faites la même chose avec la connexion liée au réseau où se trouve
la passerelle ;
3. Dans le prochain menu, choisissez le champ Internet Protocol (TCP/IP) et cliquez sur le bouton Proprié-
tés ;
4. Dans ce menu, vous pouvez sélectionner Obtenir une adresse IP automatiquement si votre réseau abrite un
serveur DHCP. Ensuite, la passerelle devrait être configurée automatiquement. Sinon, choisissez Utiliser
l’adresse IP suivante et entrez les données pertinentes dans les champs appropriés.

8.3. Machine Windows 95 ou Windows 98

Figure 8-4. L’icône de réseau sous Windows 95

Premièrement, allez dans le panneau de contrôle (Démarrer+Paramètres→Panneau de contrôle) et trouvez


l’icône de réseau ci-haut. Double-cliquez dessus et un tableau de configuration réseau apparaîtra.

100
Chapitre 8. Configurer des clients de paserelle

Figure 8-5. Le tableau de configuration réseau sous Windows 95

Dans la liste affichée, vous devriez trouver le protocole TCP/IP. Sinon, vous devrez vous référer à la documen-
tation de votre système pour savoir comment l’installer. S’il l’est déjà, sélectionnez-le et cliquez sur Propriétés.

Figure 8-6. Le tableau de configuration TCP/IP sous Windows 95

101
Chapitre 8. Configurer des clients de paserelle

À travers cette fenêtre, vous pourrez régler les paramètres TCP/IP. Votre administrateur système vous dira si
vous avez une adresse IP statique ou si vous utilisez un DHCP (adresse IP automatique). Cliquez sur l’onglet
Passerelle (gateway).

Figure 8-7. Le tableau de configuration de la passerelle sous Windows 95

Le reste est un jeu d’enfants ! Remplissez les champs vides avec l’adresse IP de votre passerelle (dans notre
exemple, 192.168.0.1). Finalement, cliquez sur les boutons Ajouter et OK.
Évidemment, vous devrez redémarrer votre machine. Une fois fait, vérifiez que vous pouvez rejoindre le reste
du monde Internet.

8.4. Machine Windows NT ou Windows 2000


Pour configurer ces systèmes d’exploitation, suivez ces étapes très simples :

1. Allez dans le menu Panneau de contrôle+Réseau→Protocole.

102
Chapitre 8. Configurer des clients de paserelle

Figure 8-8. Le tableau de configuration de protocole sous Windows NT

2. Premièrement, sélectionnez le Protocole TCP/IP dans la liste de protocoles réseau. Ensuite, cliquez sur le
bouton Propriétés, et choisissez la carte réseau connectée au réseau local (figure 8-9 ). Dans cet exemple,
nous montrons une configuration faite avec un serveur DHCP activé sur le serveur MandrakeSecurity :
l’option Obtenir une adresse IP du serveur DHCP (Obtain an IP address from a DHCP server) est cochée.

103
Chapitre 8. Configurer des clients de paserelle

Figure 8-9. La panneau de logiciel réseau sous Windows NT

Si tel est votre cas, vous n’avez qu’à confirmer tous ces choix et redémarrer votre machine. Sinon, suivez
les prochaines étapes.
3. Si vous ne possédez pas de serveur DHCP, vous devez régler les paramètres manuellement. Première-
ment, cochez l’option Spécifiez une adresse IP (figure 8-10).

104
Chapitre 8. Configurer des clients de paserelle

Figure 8-10. Le tableau de configuration TCP/IP sous Windows NT

Choisissez l’adapteur approprié : l’adresse IP devrait déjà être la bonne.


4. Dans le champ Passerelle par défaut, écrivez 192.168.0.1 (soit l’adresse de la machine Linux partageant la
connexion dans notre exemple).
5. Finalement, vous devez spécifier les serveurs DNS que vous utilisez dans l’onglet DNS, tel que montré
dans la figure 8-11.

105
Chapitre 8. Configurer des clients de paserelle

Figure 8-11. Le tableau de configuration DNS sous Windows NT

Vous devez également fournir le nom d’hôte et le nom de domaine qui y est associé.

Sauf si vous savez exactement ce que vous faites, procédez de façon


très minutieuse lors des étapes qui suivent :

• laissez le champ Configuration automatique du DHCP


vide, sauf si votre réseau abrite un serveur DHCP ;
• laissez également tous les champs Serveur WINS vides,
sauf si vous possédez un ou plus d’un serveur WINS ;
• ne cochez pas le champ Activez le transfert d’IP (Enable
IP Forwarding ) sauf si votre machine NT est utilisée pour
le routage et, encore une fois, que vous savez exactement
ce que vous faites ;
• désactivez DNS for Windows Name Resolution et Activez
le lookup LMHOSTS (Enable LMHOSTS lookup).

Cliquez sur OK dans les menus contextuels qui apparaîtront et redémarrez votre ordinateur pour tester la
configuration.

8.5. Machine DOS utilisant le paquetage NCSA Telnet


Dans le répertoire qui abrite le paquetage NCSA, vous trouverez un fichier nommé config.tel . Éditez-le
avec votre éditeur de texte préféré et ajoutez les lignes suivantes :
name=default
host=yourlinuxhostname hostip=192.168.0.1
gateway=1

106
Chapitre 8. Configurer des clients de paserelle

Évidemment, écrivez le nom de votre machine Linux au lieu de yourlinuxhostname et changez l’adresse de
passerelle donnée dans notre exemple (192.168.0.1).
Maintenant, sauvegardez le fichier, essayez de faire un telnet sur votre machine Linux , puis sur une machine
branchée à Internet.

8.6. Windows pour Workgroup 3.11


Le paquetage TCP/IP 32b devrait déjà être installé. Allez dans le menu Principal+Configuration Win-
dows+Configuration réseau→Pilotes et choisissez Microsoft TCP/IP-32 3.11b dans la section Pilotes réseau
(Network Drivers), puis cliquez sur Réglage (Setup.
Ensuite, la procédure est très similaire à celle décrite dans la section Windows NT .

8.7. Machine MacOS

8.7.1. MacOS 8/9

Premièrement, vous devez ouvrir le panneau de contrôle TCP/IP tel qu’illustré dans le menu Apple.

Figure 8-12. Accéder au panneau de contrôle TCP/IP

107
Chapitre 8. Configurer des clients de paserelle

8.7.1.1. Avec la configuration automatique du DHCP

Si vous configurez votre mur pare-feu pour qu’il agisse en tant que serveur DHCP, suivez cette procédure à
la lettre. Sinon, allez à la section suivante.

Figure 8-13. Configuration automatique de l’accès à Internet pour MacOS

Dans le menu contextuel qui apparaît, remplissez les champs comme indiqué plus bas :

• Connect via: Ethernet ;


• Configure : Using DHCP server (soit Utiliser un serveur DHCP ;
• DHCP Client ID (soit Identification du client DHCP) : 192.168.0.1 .

8.7.1.2. Configuration manuelle

Si votre réseau local n’abrite pas de serveur DHCP, suivez la procédure ci-bas :

108
Chapitre 8. Configurer des clients de paserelle

Figure 8-14. Configuration manuelle de l’accès à Internet pour MacOS

Dans le menu contextuel, remplissez les champs tel qu’expliqué :

• Connect via : Ethernet ;


• Configure : Manuellement ;
• Adresse IP : 192.168.0.248 ;
• Masque de sous-réseau ( Subnet Mask : 255.255.255.0 ;
• Adresse du routeur : 192.168.0.1 ;
• Adresses des serveurs de noms de domaine : 192.168.0.10 et 192.168.0.11 ;
• Nom de domaine de recherche : myco.com .

Les adresses des serveurs de noms de domaine peuvent être ce-


lles des DNS s internes ou celles des serveurs de votre fournisseur
d’accès à Internet.

8.7.2. MacTCP

1. Dans le Panneau de contrôle MacTCP , choisissez le pilote de réseau Ethernet (attention, ce n’est pas
EtherTalk) puis cliquez sur le bouton Encore... ( More... ).
2. Dans le champ Adresse de la passerelle , entrez l’adresse de la machine Linux qui partage la connexion
(dans notre exemple, 192.168.0.1 ).
3. Cliquez sur OK pour sauvegarder les réglages. Peut-être aurez-vous à redémarrer votre système pour
tester ces réglages.

109
Chapitre 8. Configurer des clients de paserelle

8.8. Machine OS/2 Warp


Le protocole TCP/IP devrait déjà être installé. Sinon, installez-le.

1. Allez dans Programmes , puis TCP/IP (LAN) , et Réglages TCP/IP .


2. Dans la rubrique Routing , choisissez Ajouter . Pour le Type , sélectionnez Défaut .
3. Remplissez le champ Adresse du routeur avec l’adresse de la machine Linux qui partage la connexion
Internet (dans notre exemple, 192.168.0.1).
4. Maintenant, fermez le panneau de contrôle TCP/IP , répondez Oui à toutes les questions, et réamorcez
votre machine afin de tester les réglages.

110
Chapitre 9. Surveillez le pare-feu

Dans cette section, nous détaillerons les outils permettant de surveiller votre pare-feu : nous discuterons des
graphiques résumant l’utilisation de votre système et de votre réseau, ainsi que des fichiers journaux (logs files)
de votre système.

9.1. L’utilisation de votre système et de votre réseau


L’écran principal du groupe Surveillance (Monitoring) affiche le uptime (l’étendue de temps depuis laquelle le
système a été redémarré) ; le nombre d’usagers connectés, ainsi que la charge moyenne depuis les dernières 1,
5 et 15 minutes.

9.1.1. Surveillance de l’utilisation système

Les deux graphiques de cette page affichent de l’information au sujet de la charge de votre système. Ce sont
de bons indicateurs des performances de votre système, démontrant sa charge réelle. Ils peuvent également
fournir des arguments valables quant à la décision potentielle d’actualiser les unités centrales et la quantité de
RAM.

111
Chapitre 9. Surveillez le pare-feu

• avgload : représente l’utilisation moyenne de l’unité centrale pour les dernières 24 heures. L’unité utilisée
indique approximativement le nombre de processus tentant d’accéder à l’unité centrale simultanément. Une
charge normale devrait se maintenir sous 2. Si la charge se situe entre 2 et 5, votre système est plutôt occupé.
Au-deçà de 6, vous devriez considérer l’actualisation de votre unité centrale (CPU).
• memusage : représente l’utilisation de votre mémoire RAM principale (en mégaoctets). Des couleurs diffé-
rentes sont utilisées pour donner de l’information plus précise au sujet de la façon dont est utilisée cette
mémoire (utilisation de la RAM en noir, RAM libre en vert, Swap en rouge, et la cache en jaune).

Par défaut, un graphique quotidien est affiché. En cliquant sur à droite du graphique, vous obtien-
drez les graphiques par jour, semaine, mois et année sur une seule page. Ceci peut être utile afin de planifier
l’utilisation système. Cliquez sur le bouton Arrière pour retourner au graphique quotidien.
En cliquant sur le bouton Rafraîchir, vous actualiserez les graphiques.

9.1.1.1. Surveillance de la charge de l’unité centrale (CPU)

Vous trouverez sur cette page des graphiques démontrant l’utilisation de l’unité centrale, selon différentes
échelles de temps.

La charge moyenne de l’unité centrale est représentée graphiquement par jour, par semaine, par mois et par
année, le tout sur une page. L’unité utilisée indique sommairement le nombre de processus tentant d’accéder
simultanément à l’unité centrale. Les valeurs normales sont en-deçà de 2. Les valeurs au-deçà de 6 indiquent
que vous devriez considérer l’actualisation de votre unité centrale.
Cliquez sur le bouton Rafraîchir pour actualiser les graphiques.
Cliquez sur pour retourner à la section Utilisation système.
En cliquant sur vous reviendrez à la page d’accueil de MandrakeSecurity.

112
Chapitre 9. Surveillez le pare-feu

9.1.1.2. Surveillance de l’utilisation mémoire

Sur cette page, vous trouverez des graphiques se rapportant à l’utilisation de mémoire RAM, selon différentes
échelles de temps.

L’utilisation de mémoire RAM (physique) est exprimée graphiquement par jour, semaine, mois et année, le
tout sur une page. Des couleurs différentes sont employées pour donner de l’information plus précise au sujet
de la façon dont la mémoire est utilisée (utilisation de la RAM en noir, RAM libre en vert, Swap en rouge, et la
cache en jaune).
Cliquez sur le bouton Rafraîchir pour actualiser les graphiques.
Cliquez sur pour revenir à la section Utilisation système.
En cliquant sur vous reviendrez à la page d’accueil de MandrakeSecurity.

113
Chapitre 9. Surveillez le pare-feu

9.1.2. Surveillance du trafic réseau

Les graphiques présentés ici vous informent au sujet du trafic réseau entrant/sortant sur vos interfaces.

La première page montre le trafic pour toutes les interfaces durant la dernière heure (par défaut). Les unités
utilisées seront ajustées selon le trafic sur chaque interface. Ainsi, vous pouvez obtenir des statistiques en
octets/sec., koctets/sec., moctets/sec., etc.
Au haut de la page se trouve une liste des échelles temporelles disponibles pour les graphiques : par heure,
par jour, par semaine, par mois et par année. Pour changer cette échelle temporelle, cliquez sur le lien corres-
pondant.
Chaque graphique vous informe également au sujet du trafic entrant/sortant moyen et maximal sur vos in-
terfaces réseau. Le trafic entrant est représenté en vert et le trafic sortant en gris foncé.

En cliquant sur à la droite de chaque graphique (disponible seulement en mode Heure), vous arrive-
rez sur une page montrant les statistiques de trafic pour chaque interface.
En cliquant sur le bouton Rafraîchir, vous actualiserez les graphiques.
Vous pourriez utilisez les graphiques susmentionnés pour planifier vos temps de connexion et votre bande
passante, par exemple.

9.2. Fichiers journaux


Les fichiers journaux sont de puissants outils d’analyse de système et d’évaluation des performances. Évide-
ment, encore faut-il les consulter... Toutes les actions posées par votre pare-feu sont tracées dans les fichiers
journaux, accessible sous l’onglet Journaux.

114
Chapitre 9. Surveillez le pare-feu

9.2.1. Journaux des messages système

L’item système permet de regarder les journaux système.

La table affiche tous les messages système journalisés par cet outil, par exemple : mots de passe accep-
tés/refusés pour sshd, mises à jour NTP, mise en marche de scripts d’entretien de système, etc.
Les colonnes de la table représentent respectivement : la date et l’heure, ainsi que le message qui a été généré
pour chaque événement journalisé.
Cliquez sur le bouton Rafraîchir pour obtenir les entrées les plus récentes.

115
Chapitre 9. Surveillez le pare-feu

9.2.2. Journaux d’authentification

L’item d’authentification permet de regarder les journaux d’authentification de votre système reliés à la sécu-
rité.

La table décrit les événements journalisés concernant l’authentification, comme les changements de mode de
fichier pour les fichiers journaux, les services démarrant/s’arrêtant, les tentatives de connexion sur la console
et utilisant sshd qui ont échoué, etc. Les services typiques pour ces types de messages sont :

• msec : l’outil de sécurité Mandrake ;


• sshd: « Secure shell daemon », soit démon de terminal sécuritaire ;
• xinetd : remplacement sécuritaire de inetd, le démon Internet ;
Cliquez sur le bouton Rafraîchir pour obtenir les entrées les plus récentes.

116
Chapitre 9. Surveillez le pare-feu

9.2.3. Journaux pare-feu

L’item pare-feu permet de regarder les journaux de filtrage de paquets pour votre pare-feu.

Vous trouverez des rapports pour toutes les chaînes pare-feu. Les rapports peuvent être générés selon diffé-
rents critères :

• tout et résolution de nom : affiche tous les détails au sujet des paquets, soit : le numéro de paquet, début,
intervalle, protocole, IP source, nom d’hôte et de port, IP de destination, nom d’hôte et de port et les options
de paquet.
• IP de destination : affiche seulement les détails suivants au sujet des paquets : numéro de paquet, début,
intervalle et IP de destination.
• IP source : affiche seulement les détails suivants au sujet des paquets : numéro de paquet, début, intervalle
et IP source.
• IP source et de destination : affiche seulement les détails suivants au sujet des paquets : numéro de paquet,
début, intervalle, IP source et IP de destination.
• avec port de destination : affiche seulement les détails suivants au sujet des paquets : numéro de paquet,
début, intervalle, IP source, IP de destination et port de destination.
• avec port source : affiche seulement les détails suivants au sujet des paquets : numéro de paquet, début,
intervalle, IP et port source ainsi que l’IP et le port de destination.
• avec port source et de destination : affiche seulement les détails suivants au sujet des paquets : numéro de
paquet, début, intervalle, IP et port source, ainsi que l’IP et le port de destination.
• avec les options TCP : affiche les mêmes détails que l’option « tout et résolution de nom », sauf les noms
d’hôte source et de destination.

En cliquant sur à la gauche de chacun des éléments susmentionnés, une fenêtre de sommaire des
journaux du pare-feu correspondant à l’item qui y est associé sera affiché. Par exemple :
Generated Mon Apr 15 11:16:09 ART 2002 by root.
5 of 456 items in the file "/var/log/messages" are packet logs, one has unique characteristics.
First packet log entry: Apr 15 10:53:26; last: Apr 15 10:53:26.
All entries where logged by the same host: "e500".

117
Chapitre 9. Surveillez le pare-feu

All entries are from the same chain: "Shorewall:fw2all:REJECT:".


All entries have the same target: "-".
All entries are from the same interface: "".
Only entries with a count larger than 2 are shown.

Après les messages ci-haut vient une table contenant de l’information supplémentaire au sujet des paquets.

Ces journaux peuvent ne pas être disponibles immédiatement, selon


l’activité du système.

Cliquez sur le bouton Rafraîchir pour obtenir les entrées les plus récentes.

9.2.4. Journaux du SDI Prelude

L’item SDI Prelude permet de lire les journaux SDI Prelude sur votre système qui sont reliés à la sécurité.

Le système de détection d’intrusion (SDI) Prelude fait un rapport des paquets « anormaux » (imprévus, sus-
pects; en fait, il applique une stratégie de reconnaissance de signatures d’attaques) que votre système reçoit et
qui ciblent votre réseau. Prelude essaie également d’éviter de recevoir de telles attaques.
Si l’SDI Prelude n’est pas activé sur votre système, le rapport montrera quelque chose du genre :
Reports
empty Prelude IDS was not activated yet

Si l’SDI Prelude est actif mais qu’aucune attaque n’a été tentée sur votre système, le rapport affichera quelque
chose comme :
Reports
empty No log available!

Certains journaux peuvent ne pas être disponibles immédiatement,


à cause des activités du système.

118
Chapitre 9. Surveillez le pare-feu

Lorsque les journaux deviennent disponibles, le fait de cliquer sur montrera la fenêtre de sommaire
des journaux SDI.
Cliquez sur le bouton Rafraîchir pour obtenir les entrées les plus récentes.

9.2.5. Journaux de l’SDI (IDS) Snort

L’item SDI Snort permet de lire les journaux relatifs à la sécurité de votre système.

Le système de détection d’intrusion (SDI) Snort analyse le trafic entrant sur votre réseau et recherche des
correspondances en vérifiant les règles prédéfinies. Ensuite, il réagit selon ces règles.
Si Snort n’est pas activé sur votre système, le rapport affichera quelque chose du genre :
Reports
empty Snort IDS was not activated yet

Si Snort est activé mais qu’aucune attaque n’a été tentée sur votre système, le rapport affichera quelque chose
du genre :
Reports
empty No log available!

Dû à l’activité du système, certains journaux peuvent ne pas être


disponibles immédiatement.

Lorsque les journaux deviendront disponibles, vous obtiendrez une fenêtre sommaire des journaux de Snort

en cliquant sur cette icône


Cliquez sur Rafraîchir pour obtenir les entrées les plus récentes.
Vous trouverez plus bas un exemple de rapport de Snort .

119
Chapitre 9. Surveillez le pare-feu

Figure 9-1. Exemple de rapport de Snort

9.2.6. Journaux du serveur mandataire

L’item mandataire (« proxy ») Web permet de lire les journaux du serveur mandataire Squid de votre système.

Squid est un serveur antémémoire (« caching ») mandataire de haute performance pour les clients Web qui
prennent en charge les données (« data objects ») FTP, Gopher et HTTP. Il place également en antémémoire les
consultations DNS (« DNS lookups »). Tous ces composants procurent une utilisation plus efficace de votre
bande passante, et engendrent une meilleure réactivité de la part des clients Web, ce qui signifie habituellement
de meilleures performances d’accèss à Internet.

120
Chapitre 9. Surveillez le pare-feu

Sur cette page, vous trouverez de l’information d’accès, la consommation de ressources (mémoire, espace
disque) et les erreurs de configuration du serveur Web mandataire Squid.
Si le serveur Squid n’est pas activé sur votre système, le rapport émettra quelque chose du genre
Reports
empty The WebProxy server was not activated yet

Si le serveur Squid est activé mais qu’aucune événement n’a été journalisé, le rapport affichera quelque chose
du genre :
Empty list...

Dû à l’activité du système, certains journaux peuvent ne pas être


disponibles immédiatement.

Lorsque les journaux deviendront disponibles, vous obtiendrez une fenêtre sommaire des journaux du serveur

mandataire en cliquant sur cette icône


Cliquez sur Rafraîchir pour obtenir les entrées les plus récentes.

9.2.7. Journaux DHCP

L’item DHCP permet de regarder les journaux du serveur DHCP de votre système.

Les messages du serveur DHCP, tels que l’assignation d’IP aux interfaces, les paquets DHCP provenant de
clients, et des informations du même ordre, sont affichées ici.
Si le serveur DHCP n’est pas activé sur votre système, le rapport affichera quelque chose du genre :
Reports
empty The DHCP server was not activated yet

Si le serveur DHCP est actif sur votre système, en cliquant sur une table contenant de l’information au
sujet du sous-réseau DHCP apparaîtra. La table contient les colonnes suivantes : Emplacement (« Location »),
Sous-réseau, Masque de réseau, Étendue IP, Routeur, IPs définies, IPs utilisées et IPs libres.

121
Chapitre 9. Surveillez le pare-feu

Cliquez sur le bouton Rafraîchir pour obtenir les entrées les plus récentes.

122
Chapitre 10. Outils de gestion

Dans cette section, nous aborderons les outils disponibles pour faciliter la gestion de votre pare-feu : console
distante, copie de sauvegarde des configurations et mise à jour.

Figure 10-1. L’écran principal de la section Outils

Lorsque vous cliquez sur Outils, l’écran suivant vous sera retourné : figure 10-1 où vous remarquerez le bouton
Arrêter le pare-feu (Shutdown the Firewall). En cliquant dessus, le pare-feu sera arrêté, coupant par le fait même
toutes les connexions actives à Internet. Soyez prudent !

123
Chapitre 10. Outils de gestion

10.1. Connexion distante en utilisant SSH

Après avoir entré l’adresse IP (ou le nom d’hôte) de l’hôte auquel vous voulez vous connecter, une fenêtre
roulant une console SSH apparaîtra. Elle vous permettra de réaliser certaines opérations comme si vous étiez
assis devant la console du système pare-feu.

En général, le système auquel vous voulez vous connecter est le pare-feu lui-même. À l’invite (« prompt »),
entrez « admin » (sans les guillemets) en tant que nom de connexion, ainsi que le mot de passe admin :
firewall login:admin

admin@firewall’s password: *********

Si vous vous connectez avec succès, une console apparaîtra et vous serez en mesure d’accomplir des tâches
d’administration comme si vous étiez assis devant l’écran de votre pare-feu.

Prenez en considération que les actions accomplies pendant la con-


nexion distante peuvent engendrer une perte de vos modifications.
Si, plus tard, vous décidez d’utiliser l’interface Web à nouveau pour
modifier votre configuration, les modifications manuelles faites en
utilisant la console seront perdues. Donc, assurez-vous d’utiliser
l’interface Web lorsque possible, au lieu d’utiliser une connexion
SSH pour changer les paramètres de votre système pare-feu.

124
Chapitre 10. Outils de gestion

Finalement, notez que si un client SSH est installé sur votre machine, vous pouvez vous connecter sur l’hôte
pare-feu directement et outrepasser l’interface Web. Notez toutefois que l’avertissement précédent est toujours
valide.

10.2. Sauvegarde et restauration

Cette fonctionnalité permet de faire une copie de sauvegarde complète de la configuration de votre pare-
feu. En conséquence, vous pouvez facilement récupérer vos données en cas de crash majeur, ou facilement
reconfigurer un nouveau système pare-feu s’appuyant sur la configuration sauvegardée.

Pour créer une copie de sauvegarde de votre fichier de configuration, cliquez sur le bouton « Sauvegarde ».
Conséquemment, une copie de sauvegarde sera créée et vous serez guidez vers une autre page depuis laquelle
vous pourrez la récupérer. Veuillez vous référer à la page d’aide de la page Sauvegarde pour obtenir des
instructions précises pour récupérer ledit fichier de configuration.
Pour restaurer la configuration, vous devez « Choisir le fichier de configuration » en cliquant sur le bouton
« Naviguer » (« Browse »). Une fenêtre apparaîtra, depuis laquelle vous pourrez sélectionner le fichier qui
abrite la configuration sauvegardée. Si vous avez suivi la procédure décrite dans la page d’aide Sauvegarde,
le chemin devrait être « /mnt/floppy/ConfigurationBackup » (sans les guillemets). Si vous ne sauvegardez
pas vos copies de sauvegarde sur une disquette, nous vous recommandons de les copier régulièrement sur
une disquette et de les stocker dans un endroit sécuritaire.

Cette copie de sauvegarde ne contiendra que les paramètres gérés


par l’interface Web. Si vous avez modifié des paramètres de confi-
guration d’une autre façon (avec un outil de connexion à distance
ou par connexion directe à travers SSH), ces fichiers devront être
sauvegardés manuellement.

Choisir le fichier de configuration /mnt/floppy/ConfigurationBackup

Lorsque vous aurez terminé, cliquez sur le bouton « Télécharger ». Vous arriverez sur une page de confirma-
tion qui vous permettra d’appliquer, de modifier ou d’annuler vos changements. Veuillez vous référer à la
page d’aide de Restauration pour de plus amples renseignements.

125
Chapitre 10. Outils de gestion

Plus bas, vous trouverez un exemple de l’écran Récupérer (Restore), permettant de restaurer les fichiers de
configuration à partir d’une archive.

Figure 10-2. Exemple de l’écran Récupérer

Après avoir cliqué sur le bouton Télécharger, une confirmation comme celle-ci figure 10-3 vous sera présentée.
Cliquez sur Appliquer afin que les changements à votre pare-feu soient activés.

Figure 10-3. Appliquer les configurations du fichier restauré

126
Chapitre 10. Outils de gestion

10.2.1. Récupérer la configuration sauvegardée

à Travers cette page, vous pouvez stocker votre configuration de pare-feu sur une disquette (ou un autre
médium amovible).

Après avoir cliqué sur le bouton Sauvegarde de la page précédente, vous pourrez cliquer sur un lien nommé
« Fichier de sauvegarde » dans le but de récupérer la configuration que vous avez sauvegardée. Veuillez
procéder ainsi (nous assumons que vous voulez stocker la configuration sur une disquette) :

• insérer une disquette vierge dans votre lecteur de disquette ;


• faites un clic droit (tout dépendant du navigateur que vous utilisez, vous devrez peut-être faire un « Shift-
click ») sur le lien « Fichier de sauvegarde » et choisissez l’option « Télécharger le lien » (souvenez-vous que
la méthode peut être un peu différente selon le navigateur que vous utilisez...) ;
• lorsqu’on vous demandera un nom de fichier, entrez « /mnt/floppy/ConfigurationBackup » (sans les gui-
llemets). Vous pouvez choisir un autre nom que ConfigurationBackup si vous le voulez ;
• acceptez et sauvegardez le fichier.
Après avoir réalisé les étapes susmentionnées, une copie de la configuration de votre pare-feu se retrouvera
sur votre disquette. Enlevez-la de votre lecteur de disquette, assurez-vous d’enlever les droits d’écriture et
rangez-la dans un endroit sécuritaire. Ensuite, cliquez sur pour retourner à la page de sauvegarde et
de restauration.
En cliquant sur , vous reviendrez à la page d’accueil de MandrakeSecurity.

10.3. Mise à jour logiciel

127
Chapitre 10. Outils de gestion

Cet assistant vous aidera à actualiser tous les paquetages installés sur votre système. Pour des raisons de
sécurité, il est essentiel que vous vérifiez régulièrement les actualisations logiciel.

Miroir courant de mise à jour ftp://ftp-linux.cc.gatech.edu/pub/linux/distributions/


mandrake/updates

Les champs susmentionnés montrent le site miroir actuellement utilisé pour récupérer les actualisations logi-
ciel.

Modifier le type de miroir de Miroir enregistré


mise à jour

Vous devez choisir entre 3 types différents de miroirs :

• Miroir enregistré : cette option vous donnera accès aux actualisations dédiées à MandrakeSecurity. Il con-
tient des mises à jour pour la distribution Mandrake Linux de base sur laquelle repose MandrakeSecurity. Il
abrite également des paquetages spécifiques à MandrakeSecurity, ainsi que des modules optionnels.
• Miroir officiel : sur la page suivante, vous trouverez une liste des sites miroirs officiels de Mandrake Linux.
Il est fortement recommandé de choisir un de ces miroirs.
• Miroir personnel : sur la page suivante, vous serez en mesure d’entrer manuellement l’adresse d’un site
hébergeant les mises à jour pour votre système.
Faites votre choix et cliquez sur pour passer à l’étape suivante. Veuillez vous référer aux pages d’aide
de l’étape suivante pour de plus amples renseignements.
En cliquant sur vous reviendrez à la page d’accueil de MandrakeSecurity et vous annulerez cet assis-
tant de configuration.

128
Questions de sécurité et de réseau
Jusqu’à maintenant dans ce manuel, vous avez lu de l’information très pratique. Vous devriez être en mesure
de configurer votre serveur de façon efficace et d’en être satisfait.
Toutefois, cette information pratique ne constitue qu’une parcelle des possibilités de votre système Mandrake
Linux. Afin d’approfondir vos connaissances, nous avons choisi d’ajouter deux chapitres à ce manuel :

• De la sécurité sous GNU/Linux, page 131 : la lecture de ce chapitre est impérative pour tout administrateur
système. Même si vous pouvez rendre votre système Mandrake Linux assez sécuritaire avec les outils par
défaut, un système n’est vraiment sécuritaire que lorsqu’il est administré de manière pro-active, en prenant
soin d’entretenir la sécurité globale, autant physique que logique de votre système ;
• Le réseau sous GNU/Linux, page 171 : le but d’un serveur est de rendre disponible des services sur un réseau.
Ce manuel aurait été incomplet sans un chapitre entièrement dédié à la réseautique. La configuration du
réseau en lui-même, et les différents protocoles, y sont définis et explicités.
130
Chapitre 11. De la sécurité sous GNU/Linux
Ce document est un aperçu général des problèmes de sécurité auxquels pourrait être confronté un administra-
teur de système GNU/Linux . Il traite de la philosophie de la sécurité en général et aborde quelques exemples
spécifiques pour mieux sécuriser votre système GNU/Linux des intrus. De nombreux liens vers de la documen-
tation et des programmes relatifs à la sécurité sont aussi fournis.

1. Le document original (voir ci-dessous) a été adapté pour


la distribution Mandrake Linux, des parties ont été en-
levées ou modifiées.

11.1. Préambule
Ce chapitre est basé sur un HOWTO de Kevin Fenzi et Dave Wreski dont l’original est hébergé par le Linux
Documentation Project (http://www.tldp.org)

11.1.1. Information sur le copyright


Ce document est soumis aux droits de copyright (c) 1998 - 2002 Kevin Fenzi et Dave Wreski
Les modifications depuis la version v1.3.1, 11 février 2002, sont (C)opyright 2000-2002 MandrakeSoft

11.1.2. Introduction
Ce chapitre traite certains des principaux problèmes affectant la sécurité de GNU/Linux . La philosophie géné-
rale ainsi que les ressources réseau sont abordées.
Un certain nombre d’autres HOWTOs débordent sur les questions de sécurité et ces documents ont été réfé-
rencés chaque fois qu’ils s’y prêtaient.
Ce chapitre n’est pas destiné à recenser tous les trous de sécurité. Un grand nombre de nouvelles techniques
sont sans arrêt utilisées. Ce chapitre vous apprendra où rechercher ce type d’information mise à jour, et don-
nera des méthodes générales pour empêcher de telles exactions d’avoir lieu.

11.2. Aperçu
Ce chapitre tentera d’expliquer certaines procédures et programmes communément employés pour vous aider
à rendre votre système plus sûr. Il est important de discuter de certains des concepts de base en premier, et
créer une base de sécurité, avant de commencer.

11.2.1. Pourquoi a-t-on besoin de sécurité ?


Dans le monde en ébullition des communications mondiales de données, connections Internet peu chères,
et développement de programmes accéléré, la sécurité devient une question de plus en plus importante. La
sécurité est maintenant une nécessité de base, parce que l’informatique mondiale est intrinsèquement exposée
au danger. Alors que vos données circulent d’un point A vers un point B sur Internet, par exemple, elles
peuvent transiter par plusieurs autres points sur le trajet, donnant à d’autres la possibilité de les intercepter
ou même de les modifier. Même d’autres utilisateurs sur votre système peuvent intentionnellement modifier
vos données à votre insu. Les accès non autorisés à votre système peuvent êtres obtenus par des intrus, aussi
appelés crackers, qui utilisent alors des techniques avancées pour se faire passer pour vous, vous voler de
l’information, ou même vous empêcher d’accéder à vos propres ressources. Si vous vous demandez quelle est
la différence entre un « hacker » et un « cracker », lisez le document How to Become a Hacker (http://www.
tuxedo.org/~esr/faqs/hacker-howto.html) de Eric Raymond.

131
Chapitre 11. De la sécurité sous GNU/Linux

11.2.2. Degré de sécurité


Il convient de garder à l’esprit qu’aucun système ne peut jamais être absolument sûr. Tout ce que vous pouvez
faire, est de rendre la tâche de plus en plus difficile à quiconque tenterait de compromettre votre système.
Pour l’utilisateur moyen de GNU/Linux , il suffit de peu pour garder le cracker à l’écart. Néanmoins, pour les
utilisateurs GNU/Linux de renom (banques, compagnies de télécommunications, etc), beaucoup plus de travail
est nécessaire.
Un autre facteur à prendre en compte est que au plus votre système est sécurisé, au plus votre sécurité devient
intrusive. Vous devez décider un juste milieu, compromis entre la sécurité et la facilité d’utilisation. En fait,
vous pourriez exiger que toute personne se connectant à votre système utilise un modem à retour d’appel
(call-back) pour les rappeler à leur propre numéro de téléphone. Cela est plus sûr, mais si quelqu’un n’est pas
chez lui, cela devient difficile pour lui de se connecter. Vous pouvez aussi configurer votre système GNU/Linux
sans réseau ou connexion Internet, mais cela réduit son utilité.
Si vous êtes en charge d’un site de taille moyenne à grande, vous devriez établir une politique de sécurité
faisant état du degré de sécurité requis pour votre site, et quel outil d’audit est en place pour le contrôler. Vous
pouvez trouver un exemple bien connu de politique de sécurité sur le site faqs.org (http://www.faqs.org/
rfcs/rfc2196.html). Il a été récemment mis à jour et propose un modèle exhaustif pour établir un plan de
sécurité pour votre société.

11.2.3. Qu’essayez-vous de protéger ?


Avant d’essayer de sécuriser votre système, vous devriez déterminer à quel niveau de menace vous avez à
vous protéger, quels risques vous pouvez ou ne pouvez pas prendre, et comme résultat, quel sera le degré
de vulnérabilité de votre système.. Vous devriez analyser votre système pour savoir ce que vous protégez,
pourquoi vous le protégez, quelle est sa valeur, et qui est responsable pour vos données et autres biens.

• Le risque est la possibilité qu’un intrus puisse réussir à accéder à votre ordinateur. Un intrus peut-il lire ou
écrire des fichiers, ou exécuter des programmes qui pourraient faire des dégâts? Peut il détruire des données
critiques? Peut-il vous empêcher vous ou votre compagnie de réaliser un travail important? N’oubliez pas :
quelqu’un ayant accès à votre compte ou votre système peut se faire passer pour vous.
Mais encore, un seul compte non sécurisé sur votre système peut conduire à compromettre le réseau tout
entier. Si vous autorisez un seul utilisateur à se connecter en utilisant un fichier .rhosts, ou à utiliser un
service non sécurisé tel que tftp, vous prenez le risque de voir un intrus « mettre un pied dans la porte ».
Une fois que l’intrus a un compte utilisateur sur votre système, ou le système de quelqu’un d’autre, il peut
être utiliser pour obtenir l’accès à un autre système ou un autre compte.

• Le danger vient généralement de quelqu’un ayant des motivations pour obtenir un accès pervers à votre
réseau ou ordinateur. Vous devez décider en qui vous avez confiance pour leur donner accès à votre système,
et quelle menace ils représentent.
Il y a plusieurs types d’intrus, et il est utile d’avoir à l’esprit leurs différentes caractéristiques pendant que
vous mettez en place la sécurité de votre système.

• Le Curieux - Ce type d’intrus est surtout intéressé par le type de votre système et les données qui s’y
trouvent.
• Le Malveillant - Cet intrus est là pour faire écrouler votre système, modifier vos pages Web, ou même
vous obliger à dépenser du temps et de l’argent pour vous remettre des dommages causés.
• L’intrus Célèbre - Ce type d’intrus essaye d’utiliser votre système pour augmenter sa côte de popularité
et d’infamie. Il est susceptible d’utiliser la popularité de votre système pour afficher ses capacités.
• Le Concurrent - Cet intrus est intéressé par les données qui se trouvent sur votre système. Il peut d’agir
de quelqu’un qui pense que vous possédez des informations dont il pourrait tirer profit, financièrement
ou autre.
• Le Locataire - Ce type d’intrus souhaite s’installer sur votre système, et utiliser ses ressources pour son
propre compte. Ils font généralement tourner des serveurs chat ou IRC, site d’archives pornographiques,
ou même des serveurs DNS.

132
Chapitre 11. De la sécurité sous GNU/Linux

• Le Passager - Cet intrus n’est intéressé par votre système que pour obtenir l’accès à d’autres systèmes.
Si votre système est bien connecté, ou une passerelle vers certains hôtes internes, vous êtes directement
exposé à ce type d’individu.

• La vulnérabilité décrit le degré de protection de votre ordinateur depuis d’autres réseaux, et la possibilité
pour quelqu’un d’obtenir un accès non autorisé.
Qu’y a-t-il en jeu si quelqu’un casse votre système? Bien sûr, les soucis d’un particulier en connexion PPP
seront différents d’une société connectant leurs machines à Internet, ou un autre grand réseau.
Combien de temps cela prendrait-il de récupérer/recréer quelque donnée qui serait perdue? Un investis-
sement de temps maintenant peut économiser dix fois plus de temps plus tard, si vous devez recréer des
données perdues. Avez vous vérifié votre stratégie de sauvegarde, et vérifié vos donnés récemment?

11.2.4. Développer une politique de sécurité


Créez une politique simple, générique, que vos utilisateurs pourront aisément comprendre et suivre. Cela
devrait protéger les données et l’intimité des utilisateurs. Certains aspects que vous pouvez aborder sont : Qui
a accès au système (ma fiancée peut-elle utiliser mon compte?) Qui est autorisé à installer des programmes sur
le système, qui possède quelle donnée, récupération des catastrophes, et utilisation appropriée du système.
Une politique de sécurité généralement acceptée commence par la phrase
« Ce qui n’est pas permis est interdit »
Ceci signifie que, à moins que vous n’autorisiez l’accès à un service pour un utilisateur, cet utilisateur ne
devrait pas utiliser ce service jusqu’à ce que vous l’y autorisiez. Assurez vous que les règles fonctionnent pour
votre compte d’utilisateur normal. Vous dire « Ah, je n’arrive pas à résoudre ce problème de permissions, je
vais le faire comme root » peut conduire à des trous de sécurité évidents et d’autres n’ayant pas encore été
exploités.
RFC 1244 (ftp://www.faqs.org/rfcs/rfc1244.html) est un document décrivant comment créer votre propre
politique de sécurité réseau.
RFC 1281 (ftp://www.faqs.org/rfcs/rfc1281.html) est un document qui décrit un exemple de politique de
sécurité avec des descriptions détaillées de chaque étape.
Enfin, vous pourrez jeter un coup d’oeil à la bibliothèque COAST (ftp://coast.cs.purdue.edu/pub/doc/
policy) pour voir de quoi ont l’air de véritables politiques de sécurité.

11.2.5. Moyens pour sécuriser votre site


Cette section va aborder plusieurs moyens grâce auxquels vous pourrez sécuriser les entités pour lesquelles
vous avez travaillé dur : votre propre machine, vos données, vos utilisateurs, votre réseau, et même votre
réputation. Qu’arriverait il à votre réputation si un intrus effaçait des données de vos utilisateurs? Ou défigure
votre site Web? Ou publie le projet trimestriel de votre compagnie? Si vous envisagez une installation réseau,
il y a beaucoup de facteurs dont vous devez tenir compte avant d’ajouter une simple machine à votre réseau.
Même si vous avez un simple compte PPP, ou juste un petit site, cela ne signifie pas que les intrus se dés-
intéresseront de votre système. Les grands sites célèbres ne sont pas les uniques cibles„„„ beaucoup d’intrus
veulent simplement pénétrer le plus de sites possibles, sans égard à leur taille. De plus, ils peuvent utiliser un
trou de sécurité de votre site pour obtenir l’accès à d’autres sites auxquels vous êtes connectés.
Les intrus ont beaucoup de temps devant eux, et peuvent s’économiser de deviner comment vous avez bouché
les trous, simplement en essayant toutes les possibilités. Il y a aussi plusieurs raisons pour lesquelles un intrus
peut être intéressé par votre système, ce que nous traiterons plus tard.

133
Chapitre 11. De la sécurité sous GNU/Linux

11.2.5.1. Sécurité de l’hôte


Sans doute le domaine de sécurité sur lequel les administrateurs se concentrent le plus. Cela implique généra-
lement de vous assurer que votre propre système est sûr, et espérer que tous les autres sur votre réseau font de
même. Choisir de bons mots de passe, sécuriser les services réseau de votre hôte local, garder de bons registres
de comptes et mettre à jour les programmes qui résolvent des trous de sécurité sont parmi les tâches dont est
responsable l’administrateur sécurité local. Bien que cela soit absolument nécessaire, cette tâche peut devenir
harassante dés que votre réseau dépasse la taille de quelques machines.

11.2.5.2. Sécurité du réseau local


La sécurité réseau est tout autant nécessaire que la sécurité de l’hôte local. Avec des centaines, des milliers,
ou plus, d’ordinateurs sur le même réseau, vous ne pouvez supposer que chacun de ces système est sûr. Vous
assurer que seuls les utilisateurs autorisés peuvent utiliser votre réseau, construire des pare-feu, utiliser du
cryptage lourd, et s’assurer qu’il n’y a pas de machine « crapuleuse » (non sûre) sur votre réseau font partie
des devoirs de l’administrateur de la sécurité du réseau.
Ce document va aborder certaines des techniques utilisées pour sécuriser votre site, et ainsi vous montrer
certaines façons de prévenir qu’un intrus obtienne l’accès à ce que vous essayez de protéger.

11.2.5.3. La sécurité par l’obscurité


Un certain type de sécurité qui doit être abordé est "La sécurité par l’obscurité". Cela signifie par exemple,
déplacer un service qui est vulnérable vers un port non standard, en espérant que cela déroutera les attaquants.
Un temps suffira pour qu’ils découvrent la supercherie et exploitent le vulnérabilité. La sécurité par l’obscurité
signifie aucune sécurité. Simplement parce que vous avez un petit site ou peu de notoriété, ne signifie pas
qu’un intrus ne sera pas intéressé par ce que vous avez. Nous discuterons de ce que vous protégez dans les
prochaines sections.

11.2.6. Organisation de ce chapitre


Ce chapitre a été divisé en un certain nombre de sections. Elles couvrent plusieurs larges problèmes de sécurité.
La première Sécurité physique, page 134, explique comment vous devez protéger votre machine physique de
violation. La seconde, Sécurité locale, page 139, décrit comment protéger votre système de violations par des
utilisateurs locaux. La troisième, Sécurité des fichiers et des systèmes de fichiers, page 141, vous enseigne comment
configurer votre système de fichiers et les permissions sur les fichiers. La suivante, Sécurité des mots de passe et
cryptage, page 146, traite des moyens de cryptage pour mieux sécuriser machines et réseaux. Sécurité du noyau,
page 151 débat des options du noyau (kernel) que vous pouvez utiliser ou être informé pour un système plus
sûr. Sécurité réseau, page 154, décrit comment mieux sécuriser votre système GNU/Linux d’attaques réseau.
Préparation de sécurité (avant de vous connecter), page 161, vous informe de la préparation des machines avant
leur connexion. Ensuite, Que faire, avant et pendant une effraction, page 163, conseille l’attitude à avoir lors d
une intrusion en cours et comment détecter une intrusion récente. Dans Documents de base, page 165, quelques
documents de base sur la sécurité sont recensés. La section Questions et Réponses Foire aux questions, page
167, réponds à quelques questions fréquentes, et finalement une section Conclusion, page 168.
Les deux points principaux à réaliser lors de la lecture de ce chapitre sont :

• Soyez conscient de votre système. Consulter les logs systèmes /var/log/messages, garder un oeil sur votre
système, et
• Gardez votre système à jour en vous assurant que sont installées les dernières versions des programmes
mises à jours pour les alertes de sécurité. Cette simple précaution rendra votre système notablement plus
sûr.

134
Chapitre 11. De la sécurité sous GNU/Linux

11.3. Sécurité physique


Le premier niveau de sécurité que vous devez prendre en compte est la sécurité physique de vos systèmes
d’ordinateurs. Qui a un accès physique direct à votre machine? Devrait-il? Pouvez-vous protéger votre ma-
chine d’une intrusion de leur part? Devez vous?
le degré de sécurité physique dont vous avez besoin sur votre système dépends beaucoup de votre situation
et/ou de votre budget.
Si vous êtes un particulier, vous n’en aurez sans doute pas trop besoin (cependant vous pourriez avoir besoin
de protéger votre machine de vos enfants ou de visiteurs gênants. Si vous êtes dans un laboratoire, vous en
avez besoin de beaucoup plus, mais les utilisateurs devront néanmoins pouvoir travailler sur les machines.
Beaucoup des section suivantes vous y aideront. Si vous êtes dans des bureaux, vous aurez ou non besoin
de protéger votre machine pendant les heures de pause ou lorsque vous êtes absent. Dans certaines sociétés,
laisser votre console non sécurisée est un crime grave.
Des méthodes de sécurité physiques comme des serrures sur les portes, câbles, armoires fermées, et vidéo
surveillance sont de bonnes idées, mais en dehors de la portée de ce chapitre.

11.3.1. Verrouillage de l’ordinateur


De nombreux boîtiers de PC proposent une option de verrouillage. Cela se présente généralement sous la
forme d’une serrure sur l’avant du boîtier vous permettent de passer d’un état déverrouillé à verrouillé à
l’aide d’une clé. Ce type de verrouillage peut empêcher quelqu’un de voler votre ordinateur, ou ouvrir le
boîtier pour directement manipuler ou voler votre matériel. Il peut aussi parfois empêcher le redémarrage de
la machine par une disquette ou autre.
Ces verrouillages de boîtier font différents choses selon le support par la carte mère et la conception du boîtier.
Sur beaucoup de PCs ils font en sorte que vous devez casser le boîtier pour pouvoir l’ouvrir. Sur d’autres, ils
empêchent la connexion de nouveaux claviers ou souris. Consultez les caractéristiques de votre carte mère
ou du boîtier pour plus de renseignements. Ils peuvent être parfois une caractéristique très utile, même si la
serrure est parfois de très mauvaise qualité, et facile à forcer avec un passe-partout
Certains boîtiers (particulièrement des SPARCs et macs) possèdent un anneau à l’arrière, de sorte que si vous
y passez un câble l’attaquant devra couper le câble ou casser le boîtier pour pouvoir l’ouvrir. Y mettre un
cadenas ou une chaîne peut avoir un bon effet dissuasif sur quelqu’un essayant de voler votre machine.

11.3.2. Sécurité au niveau du BIOS


Le BIOS est le niveau logiciel le plus bas qui configure ou manipule votre matériel x86 . grub ou d’autres mé-
thodes de boot GNU/Linux accèdent au BIOS pour déterminer comment démarrer votre machine GNU/Linux .
Les autres architectures sur lesquelles GNU/Linux tourne ont des programmes similaires (OpenFirmware sur
Macs et nouveaux Sun, Sun boot PROM, etc.). Vous pouvez utiliser votre BIOS pour empêcher les attaquants
de redémarrer votre machine et y manipuler votre système GNU/Linux .
La plupart des BIOS de PC permettent la configuration d’un mot de passe. Cela ne garantit pas beaucoup de
sécurité (le BIOS peut être réinitialisé, ou enlevé si quelqu’un a accès au boîtier), mais peut être une bonne
dissuasion (i.e. cela prendra du temps et laissera des traces d’infraction). De même, sur S/Linux (GNU/Linux
pour SPARC (tm)), votre EEPROM peut être configurée pour exiger un mot de passe de démarrage.
Le mot de passe par défaut s’avère un autre risque lorsque vous faites confiance au mot de passe du BIOS
pour sécuriser votre système. La plupart des fabricants de BIOS ne s’attendent pas à ce que les utilisateurs
ouvrent leur ordinateur et déconnectent les batteries s’ils oublient leur mot de passe et ont muni leurs BIOS
de mots de passe par défaut qui fonctionnent, nonobstant le mot de passe que vous avez choisi. Voici certains
des mots de passe les plus communs :
j262 AWARD_SW AWARD_PW lkwpeter Biostar AMI Award
bios BIOS setup cmos AMI!SW1 AMI?SW1 password hewittrand shift + s y
x z

J’ai testé un BIOS Award et AWARD_PW a fonctionné. Ces mots de passe sont assez faciles à obtenir sur les
sites Web des favricants ou sur astalavista (http://astalavista.box.sk) et en tant que tel, un mot de passe
de BIOS ne peut pas être considéré comme une protection adéquate contre les attaquants informés.
Beaucoup de BIOS x86 vous permettent aussi de spécifier plusieurs autres bons paramètres de sécurité.
Consultez le manuel de votre BIOS ou explorez le la prochaine fois que vous redémarrez. Par exemple, certains

135
Chapitre 11. De la sécurité sous GNU/Linux

BIOS désactivent le démarrage depuis une disquette et d’autres demandent un mot de passe pour pouvoir ac-
céder aux caractéristiques du BIOS .

Si votre machine est un serveur, et vous configurez un mot de passe


de démarrage, votre machine ne pourra pas redémarrer toute seule.
Gardez à l’esprit que vous aurez besoin de vous déplacer et fournir
le mot de passe en cas de coupure de courant. ;(

11.3.3. Sécurité avec OpenBoot


Le BIOS est le niveau logiciel le plus bas qui configure ou manipule votre matériel x86 . LILO ou d’autres mé-
thodes de boot GNU/Linux accèdent au BIOS pour déterminer comment démarrer votre machine GNU/Linux .
Les autres architectures sur lesquelles GNU/Linux tourne ont des programmes similaires (OpenFirmware sur
Macs et nouveaux Suns, Sun boot PROM, etc...). Vous pouvez utiliser votre BIOS pour empêcher les attaquants
de redémarrer votre machine et y manipuler GNU/Linux .
OpenBoot est plus évolué qu’un BIOS de PC lorsqu’il s’agit de sécurité (consultez le « Guide d’installation » sur
la façon d’utiliser OpenBoot ).

1.

Il est crucial de définir votre mot de passe avant de changer le mode


de sécurité, car sinon vous ne pourriez plus le définir. De plus, SUN
avertit que vous devriez alors contacter votre revendeur pour que
votre machine puisse démarrer à nouveau...

Voici un exemple d’interaction sur la manière de définir votre mot de passe :


> password
> New password (only first 8 chars are used):
> Retype new password:
>

2. Vous pouvez choisir entre trois niveaux de sécurité en modifiant la variable security-mode :
a. full: Toutes les commandes sauf go requièrent le mot de passe.
b. command: Toutes les commandes sauf boot et go requièrent le mot de passe.
c. none: Aucun mot de passe nécessaire (défaut).
Voici un exemple d’interaction sur la manière de définir votre mode de sécurité :
> setenv security-mode full
>

Si votre machine est un serveur, et vous configurez un mot de passe


de démarrage, votre machine ne pourra pas redémarrer toute seule.
Gardez à l’esprit que vous aurez besoin de vous déplacer et fournir
le mot de passe en cas de coupure de courant. ;(

136
Chapitre 11. De la sécurité sous GNU/Linux

11.3.4. Sécurité du chargeur de démarrage


Gardez à l’esprit lorsque vous mettez en place tous ces mots de passe, que vous devez vous en souvenir :-
) Rappelez-vous aussi que ces mots de passe vont seulement ralentir un intrus déterminé. Ils ne vont pas
empêcher quelqu’un de démarrer à partir d’une disquette et monter votre partition racine.
Si vous utilisez la sécurité en conjonction avec votre chargeur de démarrage, vous devriez aussi désactiver le
démarrage depuis une disquette, ainsi que protéger l’accès au BIOS .
Souvenez-vous également que les permissions du fichier /etc/lilo.conf doivent être réglées en mode 600
(lecture et écriture pour root seulement). Sinon, d’autres utilisateurs pourront lire vos mots de passe !
Si vous utilisez la sécurité en conjonction avec votre chargeur de démarrage, vous devriez aussi protéger
l’accès au PROM .

Une fois encore, Si votre machine est un serveur, et vous configurez


un mot de passe de démarrage, votre machine ne pourra pas redé-
marrer toute seule. Gardez à l’esprit que vous aurez besoin de vous
déplacer et fournir le mot de passe en cas de coupure de courant.
;(

11.3.4.1. Avec grub


The various GNU/Linux boot loaders also can have a boot password set. grub is quite flexible in that sense:
your default config file /boot/grub/menu.lst may contain a line allowing the loading of a new config file
with different options (this new file may contain a new password to access another third config file and so on).
So you have to add a line in your file /boot/grub/menu.lst, something like:
password very_secret
/boot/grub/menu2.lst

and of course generate a new config file /boot/grub/menu2.lst where you move unsecure entries previously
removed from /boot/grub/menu.lst.
From the grub info page:
- Command: password passwd new-config-file
Disable all interactive editing control (menu entry editor and
command line). If the password PASSWD is entered, it loads the
NEW-CONFIG-FILE as a new config file and restarts the GRUB Stage 2.

11.3.4.2. Avec LILO


LILO propose les paramètres password et restricted; password exige un mot de passe à chaque redémarrage,
alors que restricted demande un mot de passe seulement si vous spécifiez des options au prompt (comme
single) au prompt LILO .
Extrait de la page man de lilo.conf :
password=password
Correspond à l’option ‘password’ spécifique à une image, que l’on applique
alors à toutes les images (voir plus bas).
restricted
Correspond à l’option ‘restricted’ spécifique à une image, que l’on applique
alors à toutes les images (voir plus bas).

password=password
Protéger le chargement de l’image par un mot de passe.

restricted
Ne demander un mot de passe que si l’on ajoute des paramètres sur la ligne
de commande (par exemple ‘single’ pour redémarrer en mode mono-utilisateur).

137
Chapitre 11. De la sécurité sous GNU/Linux

11.3.4.3. Avec SILO


Le chargeur de démarrage SILO peut aussi proposer un mot de passe de démarrage : password exige un mot
de passe à chaque redémarrage, alors que restricted demande un mot de passe seulement si vous spécifiez
des options (comme single) au prompt SILO.
Extrait de la page man de silo.conf :
password=password
Protège le démarrage avec un mot de passe. Le mot
de passe est donné en clair dans le fichier de
configuration. A cause de cela, le fichier de
configuration ne devrait ^ etre accessible que par
le super-utilisateur et le mot de passe devrait ^etre
différent si possible des autres mots de passe du
système.

restricted
Un mot de passe n’est nécessaire pour lancer l’image
spécifiée dans /etc/silo.conf que si des paramètres
sont rajoutés sur la ligne de commande, ou si
l’image n’est pas du tout citée dans le fichier de
configuration (par exemple. lecture d’un fichier arbitraire).

11.3.5. kxlock et vlock


Si vous vous éloignez de votre machine de temps à autre, il est bon de « verrouiller » votre console afin que
personne ne puisse manipuler ou regarder votre travail. Pour ce faire, vous pouvez utiliser les programmes
klock ou vlock.
klock est un verrouilleur d’écran X ;. Vous pouvez lancer klock depuis n’importe quel terminal X , il ver-
rouillera alors l’affichage et exigera un mot de passe pour pouvoir y retourner. La plupart des environnements
graphiques proposent aussi cette option dans leurs menus respectifs.
vlock est un simple petit programme qui vous permet de verrouiller quelques unes ou toutes les consoles de
votre machine GNU/Linux . vous pouvez bloquer l\juste celle que vous utilisez ou bien toutes. Si vous n’en
bloquez qu’une, d’autres peuvent venir et utiliser la console; ils ne seront simplement pas autorisés à utiliser
votre console jusqu’à ce que vous la déverrouilliez.
Bien sûr, verrouiller votre console empêchera quelqu’un de falsifier votre travail, mais ne les empêchera pas
de redémarrer la machine, et ainsi interrompre votre travail. Ça ne les empêche pas non plus d’accéder à votre
machine depuis une autre et y faire des dégâts.
Plus important, cela n’empêche personne de quitter complètement X Window System et d’aller sur un prompt
de console virtuelle normale, ou à la console depuis laquelle X a été démarré et la suspendre, obtenant ainsi
vos privilèges. Pour cette raison, vous ne devriez utiliser cela que sous le contrôle de KDM (ou autre).

11.3.6. La sécurité des périphériques locaux


Si une webcam ou un microphone est relié à votre système, vous devriez analyser s’il est possible qu’un
attaquant gagne l’accès à votre système par leur entremise. Lorsqu’ils ne sont pas utilisés, débrancher ou
carrément enlever ces périphériques s’avère une option intelligente. Sinon, vous devriez lire la documentation
et examiner tout logiciel qui pourrait donner accès à ces périphériques.

138
Chapitre 11. De la sécurité sous GNU/Linux

11.3.7. Détecter des violations physiques de sécurité


La première chose à toujours noter, est quand la machine est redémarrée. Du fait que GNU/Linux est un sys-
tème d’exploitation stable et robuste, les seules fois où votre machine devrait redémarrer, est lorsque vous
l’arrêtez pour des mises à jour majeure, changement de matériel, ou des actions de cet ordre. Si votre machine
a redémarré sans votre intervention, cela pourrait être un signe qu’un intrus l’a violée. Beaucoup des manières
de violer votre machines impliquent en effet le redémarrage ou l’arrête de celle-ci.
Vérifier qu’il n’y a aucune trace d’infraction sur le boîtier et dans la zone de la machine. Bien que la plupart
des intrus nettoient les traces de leur passage des logs, c’est une bonne idée de les vérifier et noter toute
irrégularité.
C’est aussi une bonne idée de garder les données de log en un endroit sûr, comme un serveur de logs dédié, à
l’intérieur de votre réseau bien protégé. Lorsque une machine a été violée, les données de log deviennent de
peu d’utilité, car il est fort probable qu’ils aient aussi étés modifiés par l’intrus.
Le démon syslog peut être configuré pour envoyer automatiquement les données de log vers un serveur
%prog-syslog; central, mais les données sont généralement envoyées en clair, permettant à un intrus de consul-
ter les logs lors du transfert. Cela pourrait révéler des informations sur votre réseau qui ne devraient pas être
dévoilées. Il y a des démons %prog-syslog; disponibles qui cryptent les données lorsqu’elles sont envoyées.
Soyez aussi conscient que falsifier les messages de %prog-syslog; est facile - avec un programme de craquage
ayant été publié. %prog-syslog; accepte même les entrées de log réseau qui prétendent venir de l’hôte local
sans même indiquer leur origine réelle.
Quelques points à vérifier dans vos logs :

• Logs courts ou incomplets.


• Logs contenant des dates étranges.
• Logs avec des permissions ou propriétaire incorrects.
• traces de redémarrage de la machine ou de services.
• Logs manquants.
• Entrées su ou connections depuis des origines inhabituelles.

Nous parlerons des donnés log système dans le chapitre Gardez trace des données de journalisation du système,
page 162.

11.4. Sécurité locale


L’aspect suivant à regarder est la sécurité de votre système vis-à-vis des utilisateurs locaux. Avons nous dit
utilisateurs locaux? Oui!
Obtenir l’accès au compte d’un utilisateur local est la première chose que fait un intrus, sur le chemin de
l’exploitation du compte root. Avec une sécurité locale laxiste, il peut alors « améliorer » ses privilèges du
compte normal vers des privilèges de root en utilisant un certain nombre de bogues et de services locaux mal
configurés. Si vous vous assurez que votre sécurité locales est serrée, alors l’intrus suera un peu plus pour
passer la barre.
Les utilisateurs locaux peuvent aussi causer beaucoup de dégâts sur votre système, même (et surtout) s’ils
sont vraiment qui ils prétendent être. Donner des comptes à des gens que vous ne connaissez pas ou pour
lesquels vous n’avez pas de renseignements est une très mauvaise idée.

11.4.1. Créer de nouveaux comptes


Vous devriez vous assurer de fournir aux comptes utilisateurs le strict minimum requis pour leur tâche. Si
vous donnez un compte à votre fils (10 ans), vous voudrez qu’il puisse accéder à un traitement de textes et un
programme de dessin, mais qu’il ne puisse pas effacer des données qui ne sont pas les siennes.
Plusieurs bonnes règles à suivre lorsque vous autorisez des gens à accéder à votre machine GNU/Linux :

139
Chapitre 11. De la sécurité sous GNU/Linux

• Leur donner la plus petite quantité de privilèges dont ils ont besoin.
• S’assurer de quand/où ils se connectent, ou devraient se connecter.
• S’assurer de supprimer les comptes inutilisés, que vous trouverez aisément en utilisant la commande last
ou en vérifiant les fichiers journaux pour déterminer si ses utilisateurs sont encore actifs.
• Pour faciliter la maintenance des comptes et l’analyse des données de log, il est conseillé d’utiliser du même
numéro d’usager (userid) sur tous les ordinateurs et réseaux.
• La création de groupes de userids devrait être strictement interdite. Les comptes d’utilisateurs permettent
aussi la responsabilisation, ce qui est rendu impossible par les comptes groupés.

Beaucoup de comptes d’utilisateurs locaux qui sont utilisés dans des infractions de sécurité n’ont pas été
utilisés pendant des mois ou des années. Comme personne ne les utilise, ils sont des vecteurs d’attaque idéaux.

11.4.2. Sécurité pour root


Le compte le plus sollicité sur votre machine est le compte root (super-utilisateur). Ce compte a l’autorité sur
toute la machine, ce qui peut aussi inclure l’autorité sur d’autres machines du réseau. Rappelez vous que vous
ne devriez utiliser le compte root que pour de très courtes tâches particulières, et être le plus souvent sous
votre compte normal. Même de petites erreurs commises lorsque vous êtes connecté en tant que root peuvent
causer des problèmes. Au moins vous êtes connecté avec les privilèges de root, au plus sûr ce sera.
Plusieurs astuces pour éviter de bousiller votre propre machine en tant que root :

• Lorsque vous effectuez des commandes complexes, essayer de les faire tourner d’abord de manière non
destructive... tout particulièrement les commandes qui utilisent l’englobement. i.e., si vous voulez faire rm
-f foo*.bak, lancez d’abord ls foo*.bak et assurez vous que vous allez effectivement effacer les fichiers
que vous pensiez. Utiliser echo à la place d’une commande destructive marche aussi parfois.
• Ne devenez root que pour lancer des tâches spécifiques. Si vous vous retrouvez en train de vous demandez
comment faire pour résoudre un problème, revenez sous votre compte normal, jusqu’à ce que vous soyez
sûr de ce que vous avez besoin de faire en tant que root.
• Le chemin de commandes pour l’utilisateur root est très important. Ce chemin de commandes (c’est a dire,
la variable d’ environnement PATH) désigne les répertoires dans lesquelles le shell cherche les programmes.
Essayez de limiter le chemin de commandes pour l’utilisateur root le plus possible, et n’y incluez jamais
. (qui signifie « le répertoire courant ») dans votre PATH. De plus, n’ayez jamais de répertoires en écriture
dans votre chemin de recherche, car cela pourrait permettre aux attaquants de modifier ou placer de nou-
veaux binaires dans votre chemin de recherche, leur permettant de se lancer comme root la prochaine fois
que vous utilisez la commande.
• N’utilisez jamais le suite d’outils rlogin/rsh/rexec (appelés les « r-utilitaire ») en tant que root. Ils sont
sujet de plusieurs attaques, et sont cruellement dangereux utilisés comme root. Ne créez jamais un fichier
.rhosts pour root.
• le fichier /etc/securetty contient la liste de terminaux depuis lesquels root peut se connecter. Par défaut,
cela est arrêté aux consoles virtuelles locales (ttys). Soyez très prudent lors de l’ajout de nouvelles choses à
ce fichier. Vous devriez être capable de vous connecter à distance avec votre compte normal, puis utiliser su
si nécessaire (de préférence sous couvert de ssh ou un autre tube crypté), il n’y a donc pas de besoin de se
connecter directement sous root.
• Soyez toujours lent et réfléchi sous root. Vos actions peuvent modifier beaucoup de choses, faites sept fois
le tour du clavier avant de taper!

Si vous avez assurément absolument besoin d’autoriser quelqu’un (de préférence de toute confiance) à avoir
un accès root sur votre machine, il y a un certain nombre d’outils qui peuvent vous y aider. sudo autorise
les utilisateurs à accéder à un certain nombre de commandes comme root avec leur propre mot de passe.
Cela devrait vous permettre ainsi de laisser un utilisateur éjecter et monter un support amovible, sans aucun
autre privilège root. sudo garde aussi une trace de toutes les tentatives fructueuses ou non d’utilisation, vous
permettant de savoir qui a utilisé quelle commande pour faire quoi. Pour cette raison sudo marche bien même
à des endroits où certaines personnes ont des accès root, car il vous aide à suivre les changements apportés.

140
Chapitre 11. De la sécurité sous GNU/Linux

Bien que sudo puisse être utilisé pour donner à certains utilisateurs des privilèges pour effectuer certaines
tâches, il présente quelques inconvénients. Il devrait être utilisé uniquement pour un ensemble de tâches
limitées, comme redémarrer un serveur ou ajouter de nouveaux utilisateurs. Tout programme offrant une fuite
vers un shell donnera l’accès root à un utilisateur l’invoquant depuis sudo. Cela inclus la plupart des éditeurs,
par exemple. De même, un programme aussi inoffensif que /bin/cat peut être utilisé pour écraser des fichiers,
ce qui pourrait être utilisé pour exploiter root. Envisagez sudo comme un moyen de responsabilisation, mais
n’espérez pas qu’il remplace l’utilisateur root tout en étant sûr.

11.5. Sécurité des fichiers et des systèmes de fichiers


Quelques minutes de préparation et de planification avant de mettre votre système en ligne peut vous aider à
le protéger ainsi que les données qu’il contient.

• Il ne devrait y avoir aucune raison pour que le répertoire « maison » d’un utilisateur y autorise l’exécution
de programmes SUID/SGID. Utiliser l’option nosuid dans /etc/fstab pour les partitions en écriture par
d’autres que root. vous pourrez aussi souhaiter utiliser nodev et noexec sur la partition des répertoires des
utilisateurs, ainsi que sur /var, interdisant ainsi l’exécution de programmes, et la création de périphériques
caractère ou bloc, qui ne devraient jamais être nécessaires de toute façon.
• Si vous exportez des systèmes de fichier via NFS, assurez vous de configurer /etc/exports avec le plus de
restrictions d’accès possibles. Cela signifie ne pas utiliser de caractères d’englobement (* ?) ni autoriser un
accès pour root en écriture, et exporter en lecture seule chaque fois que c’est possible.
• Configurez le umask de création de fichier des utilisateurs le plus restrictif possible, voir Paramètres umask ,
page 142.
• Si vous montez des systèmes de fichier en utilisant un système de fichier réseau comme NFS, assurez vous
de configurer /etc/exports avec des restrictions appropriées. Généralement, utiliser ‘nodev’, ‘nosuid’, et
même ‘noexec’, est désirable.
• Fixer les limites du système de fichier, au lieu de le laisser illimité comme il est par défaut. Vous pouvez
contrôler des limites par utilisateurs en utilisant le module de limites de ressources PAM et le fichier /etc/
pam.d/limits.conf. Par exemple, les limites pour le groupe users pourraient ressembler à cela :
@users hard core 0
@users hard nproc 50
@users hard rss 5000

Cela interdit la création de fichiers « core », limite le nombre de processus à 50, et limite l’utilisation de la
mémoire par utilisateur à 5Mo.
Vous pouvez aussi utiliser le fichier de configuration /etc/login.defs pour régler les mêmes limites.

• Les fichiers /var/log/wtmp et /var/run/utmp contiennent les registres de connexion pour tous les utilisa-
teurs de votre système. Leur intégrité doit être assurée, car ils peuvent être utilisé pour déterminer quand
et d’où un utilisateur (ou un possible intrus est entré sur le système. Ces fichiers devraient aussi avoir des
permissions en 644, sans affecter la marche normale du système.
• Le bit « inaltérable » peut être utilisé pour empêcher l’effacement ou l’écrasement accidentel d’un fichier qui
doit être protégé. Cela empêche aussi quelqu’un de créer un lien dur vers le fichier. Voir la page de man de
chattr(1) pour plus d’information sur le bit « inaltérable ».
• Les fichiers suid et SGID sur votre système présentent un risque potentiel de sécurité, et devraient être
surveillés de près. Du fait que ces programmes donnent des privilèges particuliers aux utilisateurs qui les
exécutent, il est nécessaire de s’assurer que des programmes non surs ne sont pas installés. Un coup favori
des « crackers » est d’exploiter les programmes SUID-root, puis laisser un programme suid comme porte
dérobée (backdoor) pour rentrer à nouveau plus tard, même si le trou original a été bouché.
Cherchez tous les programmes SUID/SGID sur votre système, et garder une trace de ce qu’ils sont, de sorte
que vous puissiez vous rendre compte de tout changement, ce qui pourrait indiquer un intrus potentiel.
Utilisez les commandes suivantes pour trouver tous les programmes SUID/SGID de votre système :
root# find / -type f \( -perm -04000 -o -perm -02000 \)

141
Chapitre 11. De la sécurité sous GNU/Linux

Vous pouvez supprimer la permission suid ou SGID sur un programme suspect avec la commande chmod,
puis changez la à nouveau si vous vous rendez compte que c’est absolument nécessaire.

• Les fichiers en écriture non restreinte (world-writable), plus particulièrement les fichiers systèmes, peuvent
être un trou de sécurité si un cracker obtient l’accès à votre système, et les modifie. De plus, les répertoires
en écriture non restreinte sont dangereux, car ils autorisent à un cracker de créer ou effacer des fichiers à
volonté. pour localiser de tels fichiers sur votre système, utilisez la commande suivante :
root# find / -perm -2 ! -type l -ls

et assurez vous de la cause de l’existence de tels fichiers. En utilisation normale, plusieurs fichiers seront
en écriture non restreinte, même certains fichiers de /dev, et les liens symboliques„ d’où le ! -type l qui
exclus ces derniers de la commande find.
• Les fichiers sans propriétaires peuvent aussi être un signe qu’un intrus est passé par là. Vous pouvez locali-
ser les fichiers qui n’ont pas de propriétaire ou de groupe propriétaire grâce à la commande :
root# find / -nouser -o -nogroup -print

• Trouver les fichiers .rhosts devrait faire partie de vos devoirs d’administrateur système, car ils devraient
être bannis de votre système Rappelez vous qu’un cracker n’a besoin que d’un compte ouvert pour avoir
l’opportunité d’accéder au réseau entier. Vous pouvez localiser les fichiers .rhosts avec la commande :
root# find /home -name .rhosts -print

• Enfin, avant de changer les permissions de quelque fichier système, assurez vous que vous comprenez ce
que vous faites, Ne changez jamais les permissions d’un fichier parce que cela semble être une manière facile
pour que tout marche bien. Cherchez toujours à savoir pourquoi ce fichier à ces permissions avant de les
modifier.

11.5.1. Paramètres umask


La commande umask peut être utilisée pour connaître le mode de création des fichiers par défaut sur votre
système. C’est le complément octal du mode du fichier en question. Si les fichiers sont créÂés sans égard à
leurs permissions, l’utilisateur pourrait donner des permissions en lecture ou en écriture par inadvertance à
quelqu’un qui ne devrait pas avoir ces permissions. Généralement, les paramètres umask sont 022, 027, ou 077
(qui est le plus restrictif). Normalement, le umask est fixé dans /etc/profile, de sorte qu’il s’applique à tous
les utilisateurs du système. le masque de création de fichiers peut être calculé en soustrayant la valeur sou-
haitée de 777. En d’autres termes, un umask de 777 implique que les fichiers nouvellement créÂés de contenir
des permissions sans lecture, ni écriture, ni exécution pour tout le monde. Un masque de 666 implique que
les fichiers nouvellement créÂés ont un masque de 111. Par exemple, vous pourriez avoir une ligne comme
celle-ci :

# Fixer le umask utilisateur par défaut


umask 033

Assurez vous d’utiliser un umask pour root’s de 077, qui interdira lecture, écriture, et exécution pour les
autres utilisateurs a moins que vous ne changiez cela explicitement avec la commande chmod. Dans ce cas, les
répertoires nouvellement créÂés devraient avoir des permissions de 744, obtenues en soustrayant 033 de 777.
Les fichiers nouvellement créÂés avec un umask de 033 devraient avoir des permissions de 644.

Pour Mandrake Linux, il est juste nécessaire d’utiliser un umask


de 002. Cela est dû au fait que la configuration de base utilise un
groupe par utilisateur.

142
Chapitre 11. De la sécurité sous GNU/Linux

11.5.2. Permissions des fichiers


Il est important de vous assurer que vos fichiers système ne sont pas ouverts à des modifications accidentelles
des utilisateurs et des groupes qui ne devraient pas faire de maintenance système.
UNIX différencie le contrôle d’accès aux fichiers et répertoire selon trois critères : propriétaire, groupe, et autres.
Il y a toujours un seul propriétaire, un nombre quelconque de membres du groupe et tous les autres.
Une explication rapide des permissions sous UNIX :
Propriété - Quels utilisateurs et groupes ont le contrôle des paramètres de permission du noeud et du parent
du noeud
Permissions - Bits susceptibles d’être mis ou enlevés pour permettre un certain type d’accès. Les permissions
pour les répertoires peuvent avoir une signification différente que les mêmes paramètres de permissions sur
un fichier.
Lecture:

• Être capable de lire le contenu d’un fichier


• Être capable de lire un répertoire

Écriture:

• Être capable d’ajouter ou modifier un fichier


• Être capable de supprimer ou de déplacer des fichiers d’un répertoire

Exécution:

• Être capable de lancer un programme binaire ou un script shell


• Être capable de chercher dans un répertoire, en accord avec la permission de lecture

Attribut de sauvegarde du texte : (Pour les répertoires)


Le « sticky bit » (bit de conservation) a aussi un comportement différent lorsqu’il est appliqué aux réper-
toires. Si le bit de conservation est mis sur un répertoire, alors un utilisateur pourra seulement supprimer
les fichiers qu’il y possède, ou pour lesquels il a des droits explicites en écriture, même si il a les droits
en écriture sur ce répertoire. Cela est conçu pour des répertoires tels que /tmp, qui sont world-writable
(écriture par tout le monde), mais où il ne vaut mieux pas que les utilisateurs puissent effacer des fichiers
à l’envie. Le sticky bit est vu comme un t dans un listing de répertoire détaillé.

Attribut suid : (Pour les fichiers)


Il s’agit de la permission « set-user-id » (utiliser ID utilisateur) sur le fichier. Quand le mode d’utilisation
de l’ID utilisateur est mis dans les permissions du propriétaire, et si le fichier est exécutable, les processus
qui l’utilisent obtiennent les ressources systèmes de l’utilisateur qui possède le fichier, et non plus de
l’utilisateur qui a lancé le processus. Cela est la cause de beaucoup de violations de type « buffer overflow
» (dépassement de mémoire tampon).

Attribut SGID : (Pour fichiers)


Si utilisé dans les permission du groupe, ce bit contrôle le statut « set group id » d’un fichier. Il se comporte
comme pour suid , à part que c’est le groupe qui en est bénéficiaire. Le fichier doit être exécutable pour
faire effet.

143
Chapitre 11. De la sécurité sous GNU/Linux

Attribut SGID : (Pour répertoires)


Si vous activez le bitSGID sur un répertoire (avec chmod g+s directory), les fichiers qui y seront créÂés
auront leur groupe mis au groupe du répertoire.

Vous - Le propriétaire du fichier


Groupe - Le groupe auquel vous appartenez
Tous - Quiconque sur le système qui n’est ni propriétaire, ni membre du groupe
Exemple de fichier :

-rw-r--r-- 1 kevin users 114 Aug 28 1997 .zlogin


1st bit - répertoire? (non)
2nd bit - lecture propriétaire? (oui, par kevin)
3rd bit - écriture par propriétaire? (oui, par kevin)
4th bit - exécution propriétaire? (non)
5th bit - lecture groupe? (oui, par users)
6th bit - écriture groupe? (non)
7th bit - exécution groupe? (non)
8th bit - lecture tous? (oui, par tous)
9th bit - lecture tous? (non)
10th bit - exécution tous? (non)

Les lignes suivantes sont des exemples d’ensembles de permissions qui sont nécessaires pour avoir l’accès
décrit. Vous voudrez sans doute donner plus de permissions que celles données ici, mais on ne décrit ici que
l’effet de ces permissions minimales :
-r-------- Autoriser l’accès en lecture au fichier par le propriétaire
--w------- Autoriser le propriétaire à modifier ou effacer le fichier
(Notez que quiconque ayant les droits d’écriture sur le répertoire
dans lequel se trouve le fichier peut l’écraser/effacer)
---x------ Le propriétaire peut exécuter ce programme, mais pas de script shell,
qui de plus nécessite un droit en lecture
---s------ Sera exécuté avec l’UID du propriétaire
--------s- Sera exécuté avec le GID du groupe
-rw------T Pas de mise à jour du "last modified time" (Heure de dernière modification).
Généralement utilisé pour le fichiers d’échange (swap)
---t------ Aucun effet. (anciennement bit de conservation)

Exemple de répertoires :
drwxr-xr-x 3 kevin users 512 Sep 19 13:47 .public_html/
1e bit - répertoire? (oui, il contient de nombreux fichiers)
2e bit - lecture propriétaire? (oui, par kevin)
3e bit - écriture propriétaire? (oui, par kevin)
4e bit - exécution propriétaire? (oui, par kevin)
5e bit - lecture groupe? (oui, par users)
6e bit - écriture groupe? (non)
7e bit - exécution groupe? (oui, par users)
8e bit - lecture par tous? (oui, par tous)
9e bit - écriture par tous? (non)
10e bit - exécution par tous? (oui, par tous)

Les lignes qui suivent sont des exemples des ensembles de permissions minimums requis pour autoriser
l’accès décrit. Vous voudrez sans doute donner plus de permissions que celles données ici, mais on ne décrit
ici que l’effet de ces permissions minimales :

dr-------- Le contenu peut ^ etre listé, mais l’attribut des fichiers


ne peut ^etre lu
d--x------ Le répertoire est accessible, et utilisé comme chemin en
exécution complète
dr-x------ Les attributs de fichiers peuvent ^ etre lus par le propriétaire
d-wx------ Les fichiers peuvent ^ etre cré^
Aés/effacés, m^eme si le répertoire
n’est pas le répertoire courant
d------x-t Emp^eche l’effacement de fichiers par tous ayant
un droit d’écriture. Utilisé pour /tmp
d---s--s-- Aucun effet

144
Chapitre 11. De la sécurité sous GNU/Linux

Les fichiers de configuration système (généralement dans /etc) ont souvent un mode de 640 (-rw-r-----),
et possédés par root. Selon les besoins en sécurité de votre site, vous pouvez les ajuster. Ne laissez jamais
un fichier système en écriture pour un groupe ou tous. Certains fichiers de configuration, dont /etc/shadow,
devraient n’être en lecture que par root, et les répertoires de /etc ne devraient pas être accessibles par tous,
au moins.

Scripts shell suid


les scripts shell suid représentent un sérieux risque de sécurité, et pour cette raison, le noyau n’en tien-
dra pas compte. Quel que soit le degré de sécurité que vous supposez pour ces scripts, ils peuvent être
exploités par le cracker pour lui fournir un shell root.

11.5.3. Contrôles d’intégrité


Une autre très bonne manière de détecter des attaques locales (et réseau) sur votre système est de lancer
un contrôleur d’intégrité comme Tripwire , Aide ou Osiris . Ces contrôleurs d’intégrité génèrent un certain
nombre de sommes de contrôle sur tous vos binaires et fichiers systèmes importants et les comparent à une
base de données précédemment générée de valeurs références bien connues. Ainsi, tout changement dans un
fichier sera détecté.
C’est un bon réflexe d’installer ce genre de programmes sur une disquette, puis empêcher physiquement
l’écriture sur celle-ci. De cette façon. les intrus ne pourront pas altérer le contrôleur d’intégrité lui-même ou
modifier sa base de données. Une fois que vous avez une application de ce style configurée, il est conseillé de
l’ajouter à vos devoirs d’administrateurs système pour vérifier que rien n’a changé.
Vous pouvez même ajouter un entrée crontab pour lancer le contrôleur depuis votre disquette toute les nuits
et vous envoyer un message le matin. Quelque chose comme :
# set mailto
MAILTO=kevin
# run Tripwire
15 05 * * * root /usr/local/adm/tcheck/tripwire

Vous enverra un rapport tous les matins à 5H15.


Les contrôleurs d’intégrité peuvent être une aubaine pour détecter des intrusions avant même que vous ne
puissiez les remarquer. Comme beaucoup de fichiers changent sur un système moyen, vous devrez faire le
discernement entre des activités de cracker et vos propres agissements.
Vous pouvez trouver une version libre et non prise en charge de Tripwire sur le site http://www.tripwire.org
(http://www.tripwire.org), gratuitement. Des manuels et de l’assistance technique peuvent être achetés.
Aide peut être trouvé à http://www.cs.tut.fi/~rammer/aide.html (http://www.cs.tut.fi/~rammer/aide.
html).
Osiris peut être trouvé à http://osiris.shmoo.com/ (http://www.shmoo.com/osiris/).

11.5.4. Chevaux de Troie


Les « Chevaux de Troie » tirent leur nom du célèbre stratagème décrit dans l’Iliade d’Homère. L’idée est
qu’un cracker distribue un programme ou binaire qui semble intéressant, et encourage d’autres personnes à le
télécharger et le lancer en tant que root. Alors, le programme peut compromettre leur système pendant qu’ils
n’y prêtent attention. Alors qu’ils pensent que le logiciel qu’ils viennent de charger ne fait qu’une seule chose
(et parfois très bien), il transige aussi leur sécurité.
Vous devez prendre garde aux programmes que vous installez sur votre machine. MandrakeSoft fournit les
sommes de contrôle MD5 et les signatures PGP de chacun des RPM qu’il fournit, de sorte que vous puissiez
vérifier que vous installez la bonne chose. Vous ne devriez jamais lancer un binaire que vous ne connaissez
pas, pour lequel vous n’avez pas les sources comme root! Peu d’attaquant souhaitent publier leur code source
pour sondage public.

145
Chapitre 11. De la sécurité sous GNU/Linux

Bien que cela puisse être complexe, assurez vous que vous obtenez le code source d’un programme depuis
son site réel de distribution. Si le programme doit être lancé par root, assurez vous que vous ou quelqu’un de
confiance a regardé les sources et les a vérifiées.

11.6. Sécurité des mots de passe et cryptage

La plupart des programmes de cryptage décrits dans ce chapitre


sont disponibles dans votre distribution Mandrake Linux.

Une des caractéristiques de sécurité les plus importantes utilisée aujourd’hui est le mot de passe. Il est im-
portant que vous et vos utilisateurs ayez des mots de passe sûrs et impossibles à deviner. Votre distribution
Mandrake Linux fournit le programme passwd qui interdit l’utilisation d’un mot de passe trop simple. Assu-
rez vous que votre version de passwd est à jour.
une discussion en profondeur du thème du cryptage est au delà de la portée de ce document, mais une intro-
duction est de rigueur. Le cryptage est très utile, parfois même nécessaire à notre époque. Il y a toutes sortes
de méthodes de cryptage des données, chacune avec ses propres caractéristiques.
La plupart des UNIX s (et GNU/Linux n’y fait pas exception) utilise principalement un algorithme de chiffrement
à sens unique appelé DES (Data Encryption Standard, soit Standard de cryptage de données) pour crypter vos
mots de passe. Ce mot de passe crypté est alors gardé dans le fichier /etc/shadow. Quand vous essayez de
vous connecter, le mot de passe que vous tapez est crypté à nouveau et comparé avec l’entrée contenue dans
le fichier qui contient les mots de passe. S’ils coïncident, cela doit être le même mot de passe, et l’accès est
alors autorisé. Bien que DES soit un algorithme de cryptage à double sens (vous pouvez coder puis décoder
un message, la bonne clé étant fournie), les variantes utilisées par la plupart des UNIX s est à sens unique. Cela
signifie qu’il ne devrait pas être possible de renverser le chiffrement pour récupérer le mot de passe d’après le
contenu du fichier /etc/shadow.
Des attaques en force, du type « Crack » ou « John the Ripper » (voir la section “Crack” et “John the Ripper”, page
150) peuvent souvent deviner vos mots de passe, à moins qu’ils ne soient suffisamment aléatoires. Les modules
PAM (voir ci-dessous) vous permettent d’utiliser différentes routines de cryptage pour vos mots de passe
(MD5 ou similaire). Vous pouvez aussi utiliser Crack à votre avantage. Envisagez de le lancer périodiquement
sur votre propre base de mots de passe, pour trouver les mots de passe non sûrs. Contactez alors l’utilisateur
en infraction, et demandez lui de changer son mot de passe.
Vous pouvez vous rendre à http://consult.cern.ch/writeup/security/security_3.html (http://consult.
cern.ch/writeup/security/security_3.html) pour des conseils sur le choix d’un bon mot de passe.

11.6.1. PGP et la cryptographie à clé publique


La cryptographie à clé publique, comme celle utilisée par PGP, utilise une clé pour le cryptage, et une autre
pour le décryptage. La cryptographie traditionnelle, pourtant, utilise la même clé pour le cryptage, et le dé-
cryptage; cette clé doit être connue des deux côtés, et quelqu’un a donc dû transférer de manière sûre la clé
d’un côté à l’autre.
pour soulager le besoin de transférer de manière sûre la clé de chiffrement, la clé publique d’encryption utilise
deux clés séparées : Une clé publique et une clé privée. La clé publique de chacun est disponible pour qui-
conque pour faire le cryptage, alors que cependant, chacun garde sa clé privée pour décrypter les messages
cryptés avec la clé publique.
Il y a des avantages aux deux méthodes de cryptage, clé publique ou clé privée, et vous pouvez lire à propos de
leurs différences : La FAQ pour la cryptographie RSA (http://www.rsasecurity.com/rsalabs/faq/), citée à
la fin de cette section.
PGP (Pretty Good Privacy, soit intimité plutôt bonne) est bien toléré par GNU/Linux . Les versions 2.6.2 et 5.0
sont reconnues pour leur stabilité. Pour des nouvelles de PGP et comment l’utiliser, jetez un coup d’oeil à la
FAQ de PGP : faqs.org (http://www.faqs.org/faqs/pgp-faq/)
Veillez à utiliser la version autorisée dans votre pays. Du fait des restrictions d’exportation du gouvernement
américain, il est interdit de transférer hors de ce pays de la cryptographie lourde sous forme électronique.

146
Chapitre 11. De la sécurité sous GNU/Linux

Les contrôles d’exportation des US sont maintenant gérés par EAR (Export Administration Regulations), et non
plus par ITAR.
Il y a aussi un guide pas à pas pour configurer PGP sous GNU/Linux disponible à LinuxFocus (http:
//mercury.chem.pitt.edu/~angel/LinuxFocus/English/November1997/article7.html). Il a été écrit pour
la version internationale de PGP , mais est aisément transposable à la version des États-Unis. Vous pourriez
aussi avoir besoin de correctifs pour certaines des dernières versions de GNU/Linux ; le correctif (patch) est
disponible chez metalab (ftp://metalab.unc.edu/pub/Linux/apps/crypto).
Il y a un projet travaillant dur une réimplantation libre de PGP sous licence « open source ». GnuPG est un
remplaçant complet et libre pour PGP . Du fait qu’il n’utilise pas IDEA ou RSA il peut être utilisé sans aucune
restriction. GnuPG respecte pratiquement OpenPGP (http://www.faqs.org/rfcs/rfc2440.html). Voir la page
Web « GNU Privacy Guard » pour plus d’information : http://www.gnupg.org/ (http://www.gnupg.org).
Vous trouverez plus de renseignements au sujet de la cryptographie dans la FAQ du site de la cryptographie
RSA (http://www.rsasecurity.com/rsalabs/faq/). Vous trouverez ici toute l’information sur des sujets tels
que « Diffie-Hellman », « cryptographie à clé publique », « certificats électroniques », etc.

11.6.2. SSL, S-HTTP, et S/MIME


Les utilisateurs se demandent souvent ce qui différencient les différents protocoles de cryptage, et comment
les utiliser. Bien que ce document ne soit pas consacré au cryptage, il est bon d’expliquer brièvement ce qu’est
chaque protocole, et où trouver plus d’information.

• SSL : - SSL (Secure Sockets Layer) est une méthode de cryptage développée par Netscape pour fournir de
la sécurité sur Internet. Il prend en charge plusieurs protocoles de cryptage et fournit l’authentification du
client et du serveur. SSL agit sur la couche transport, crée un canal crypté de données et peut ainsi encoder
des données de diverses natures. Vous constaterez cela lorsque vous visiterez un site sécurisé pour consul-
ter un document en ligne avec Communicator . C’est également la base des communications sécuritaires
avec Communicator , ainsi qu’avec plusieurs composantes de chiffrement de données de Netscape Commu-
nications. Vous trouverez plus de renseignements sur le site Openssl.org (http://www.openssl.org). Des
informations sur les autres implémentations de sécurité de Netscape et un bon point de départ pour ces pro-
tocoles sont disponibles sur le site de Netscape (http://home.netscape.com/info/security-doc.html).
Mentionnons aussi que le protocole SSL peut être utilisé pour passer nombre de protocoles communs, les
enveloppant par sécurité. Voir le site de Quiltaholic (http://www.quiltaholic.com/rickk/sslwrap/).
• S-HTTP : - S-HTTP est un autre protocole qui fournit des services de sécurité par Internet. Il a été conçu
pour pourvoir, aux deux parties impliquées dans les transactions, confidentialité, authentification, intégrité,
et non répudiation [ne pas pouvoir être pris pour un autre] tout en gérant des mécanismes à clés multiples
et des algorithmes de cryptographie à négociation d’options. S-HTTP est limité au logiciel spécifique qui
l’implémente et crypte chaque message individuellement. [ extrait de « RSA Cryptography FAQ », page
138]
• S/MIME : - S/MIME (Secure Multipurpose Internet Mail Extension, soit extension de courrier électronique
sécurisé à portée multiple) est un standard de cryptage utilisé pour crypter le courrier électronique et autres
types de messages sur Internet. C’est un standard ouvert développé par la RSA, de sorte qu’il est probable
qu’il apparaisse sous GNU/Linux un jour ou l’autre. plus de renseignements sur S/MIME peuvent être trou-
vées sur RFC2311 (http://www.ietf.org/rfc/rfc2311.txt).

11.6.3. Implémentations IPSEC


A côté de CIPE, et d’autres formes de cryptage de données, il y a aussi plusieurs implémentations de IP-
SEC pour GNU/Linux . IPSEC est une tentative de l’IETF pour créer des communications cryptographique-
ment sûres au niveau du réseau IP, et assurer authentification, intégrité, contrôle d’accès, et confidentialité.
Des information sur IPSEC le projet Internet peut être consulté à : http://www.ietf.org/html.charters/ipsec-
charter.html (http://www.ietf.org/html.charters/ipsec-charter.html). Vous pouvez aussi trouver des
liens vers d’autres protocoles impliquant la gestion de clés, et une mailing list IPSEC et son archive.
L’implémentation de GNU/Linux x-kernel, qui était développée (ce projet n’est plus maintenu) à la Univer-
sity of Arizona, utilisait une base orientée objet pour implémenter les protocoles réseau appelés x-kernel,
et peut être trouvée sur le site de l’université (http://www.cs.arizona.edu/xkernel/hpcc-blue/linux.

147
Chapitre 11. De la sécurité sous GNU/Linux

html). En clair, le x-kernel est une méthode pour passer les messages au niveau du noyau, ce qui facilite
l’implémentation.
Une autre implémentation librement disponible de IPSEC est l’IPSEC « FreeS/WAN » GNU/Linux . Leur page
Web indique : « Ces services vous permettent de monter un tuyau sécurisé à travers des réseaux non fiables.
Tout ce qui passe à travers le réseau non fiable est crypté par la machine passerelle IPSEC et décrypté par la
passerelle à l’autre bout. Cela conduit à un réseau privé virtuel ou VPN (Virtual Private Network). Cela est un
réseau qui est effectivement privé, même si il inclut des machines de plusieurs sites différents interconnectés
par Internet, incertain. »
Elle est disponible en téléchargement sur le site Linux FreeS/WAN (http://www.xs4all.nl/~freeswan/).
De même que d’autres formes de cryptographie, elle n’est pas distribuées dans le noyau par défaut, à cause
des restrictions à l’export.

11.6.4. ssh (shell sécurisé) et stelnet


ssh et stelnet sont des suites de programmes qui permettent de se connecter à un système distant avec des
échanges cryptés.
ssh est une suite de programmes utilisée comme remplacement sécurisé de rlogin, rsh et rcp. Elle utilise la
cryptographie à clé publique pour crypter les communications entre deux hôtes, ainsi que l’authentification
des utilisateurs. Ces outils peuvent être utilisés pour se connecter à un serveur distant ou copier des données
entre deux hôtes, tout en empêchant des attaques de tiers (« session hijacking ») et « DNS spoofing ». Ils
assurent la compression de données sur vos connections et les communications X11 sécurisées.
Il y a à l’heure actuelle plusieurs implémentations de ssh. L’implémentation commerciale originale par Data
Fellows peut être trouvée à http://www.datafellows.com (http://www.datafellows.com).
L’excellente implémentation Openssh est basée sur une ancienne version de datafellows ssh et a été entiè-
rement retravaillée pour n’inclure aucun brevet ou partie propriétaire. Elle est libre et sous licence BSD. Elle
peut être trouvée à : http://www.openssh.com (http://www.openssh.com).
Il y a aussi un projet « open source » pour réimplémenter ssh depuis le néant appelé « psst... ». Pour plus de
renseignement, consulter : http://www.net.lut.ac.uk/psst/ (http://www.net.lut.ac.uk/psst/).
Vous pouvez aussi utiliser ssh depuis vos stations Windows vers votre serveur ssh GNU/Linux . Il y a plu-
sieurs implémentations de clients windows librement disponibles, dont celui de PuTTY (http://www.chiark.
greenend.org.uk/~sgtatham/putty/), ainsi qu’une version commerciale de DataFellows, sur le site Datafel-
lows (http://www.datafellows.com).
SSLeay (obsolète, voir OpenSSL plus loin) est une implémentation libre du protocole Secure Sockets Layer
de Netscape, développé par Eric Young. Il comporte plusieurs applications, comme « Secure telnet », un mo-
dule pour Apache , plusieurs bases de données, ainsi que plusieurs algorithmes dont DES, IDEA et « Blow-
fish ».
En utilisant cette bibliothèque, un remplacement de telnet sécurisé qui fait de l’encryption par dessus une
connexion telnet. Au contraire de SSH, stelnet utilise SSL, le protocole Secure Sockets Layer développé
par Netscape. Vous pourrez trouver « Secure telnet » et « Secure FTP » en commençant par la FAQ SSLeay,
disponible à psy.uq.oz.au (http://www.psy.uq.oz.au/~ftp/Crypto/).

Le projet OpenSSL basé sur SSLeay a pour but de développer une


boite à outils robuste, de qualité commerciale, entièrement fonc-
tionnelle, et Open Source qui implémente les protocoles Se-
cure Sockets Layer (SSL v2/v3) et Transport Layer Security
(TLS v1) ainsi qu’une librairie de cryptographie forte d’usage
général. Pour plus d’information sur ce projet, consultez les Page-
sOpenSSL (www.openssl.org). Il y a aussi une liste conséquente
d’applications basées sur OpenSSL à Applications en relation avec
OpenSSL (http://www.openssl.org/related/apps.html).

SRP est une autre implémentation sécurisée de telnet/ftp. Extrait de leur page Web :
« Le projet SRP développe des logiciels Internet sûrs pour utilisation mondiale gratuite. À partir d’une dis-
tribution de Telnet et FTP totalement sécurisés, nous espérons supplanter les systèmes d’authentification

148
Chapitre 11. De la sécurité sous GNU/Linux

réseau vulnérables par des substituts solides qui ne sacrifient en rien la facilité d’utilisation pour la sécurité.
La sécurité devrait être de fait et non pas une option! »
Pour plus de renseignements, visiter stanford.edu (http://srp.stanford.edu/srp).

11.6.5. PAM - Modules Additionnels d’Authentification


Votre version de Mandrake Linux est fournie avec une combinaison d’authentifications unifiée appelée PAM.
PAM vous permet de changer vos méthodes d’authentification et exigences à la volée, et encapsule toutes
les méthodes locales d’authentification sans besoin de recompiler un quelconque binaire. La configuration de
PAM est au delà de la portée de ce chapitre, mais allez faire un tour du côté du site Web de PAM : kernel.org
(http://www.kernel.org/pub/linux/libs/pam/index.html).
Juste un aperçu des possibilités de PAM :

• Utiliser un cryptage autre que DES pour vos mots de passe. (Les rendant plus résistant aux décodages par
la force)
• Fixer des limites de ressources pour tous vos utilisateurs, de sorte qu’ils ne puissent mener des attaques de
type dénis de service (denial of service) (nombre de processus, quantité de mémoire, etc.)
• Activer les mots de passe fantôme (shadow) (voir ci-dessous) à la volée
• autoriser certains utilisateurs à se connecter uniquement à certaines heures depuis des sites spécifiques

En quelques heures d’installation et de configuration de votre système, vous pouvez empêcher plusieurs at-
taques avant qu’elles ne surviennent. Par exemple, utilisez PAM pour désactiver l’utilisation sur tout le sys-
tème des fichiers .rhosts dans les répertoires des utilisateurs en ajoutant ces lignes dans /etc/pam.d/rlogin :
#
# Désactiver rsh/rlogin/rexec pour les utilisateurs
#
login auth required pam_rhosts_auth.so no_rhosts

11.6.6. Encapsulation IP Cryptographique (CIPE)


Le premier objectif de ce logiciel est de fournir un moyen de sécuriser (contre l’espionnage, y inclus l’analyse
de trafic, et l’injection de message truqué) des interconnexions de sous-réseaux au travers d’un réseau par
paquets non sûr tel que Internet.
CIPE encrypte les données au niveau du réseau. Les paquets voyageant entre les hôtes sur le réseau sont
cryptés. Le moteur de cryptage est placé près du périphérique qui envoie et reçoit les paquets.
Cela est différent de SSH, qui crypte les données par connexion, au niveau du port (socket). Une connexion
logique entre des programmes tournant sur des hôtes différents est cryptée.
CIPE peut être utilisé pour faire du pontage (tunnelling), afin de créer un réseau privé virtuel (VPN). Le cryp-
tage de bas niveau a l’avantage de pouvoir être rendu transparent entre deux réseaux connectés dans le VPN,
sans besoin de changer une quelconque application.
Résumé depuis la documentation de CIPE :
« Le standard IPSEC définit un ensemble de protocoles qui peuvent être utilisés (entre autre) pour monter
des VPNs cryptés. Cependant, IPSEC est un protocole plutôt lourd et compliqué possédant un grand nombre
d’options, les implémentations de l’ensemble complet du protocole sont encore rarement utilisés et plusieurs
problèmes (tel que la gestion des clés) ne sont toujours pas complètement résolus. CIPE utilise une approche
simple, dans laquelle beaucoup de choses modifiables (comme le choix de l’algorithme de cryptage effective-
ment utilisé) sont fixées à l’installation. Cela limite la flexibilité, mais permet une implémentation simple (et
par là même efficace, facile à déboguer...). »
Plus d’informations peuvent être trouvées à http://sites.inka.de/sites/bigred/devel/cipe.html (http://
sites.inka.de/sites/bigred/devel/cipe.html)

149
Chapitre 11. De la sécurité sous GNU/Linux

De même que d’autres formes de cryptographie, il n’est pas distribué avec le noyau par défaut du fait de
restrictions à l’export.

11.6.7. Kerberos
Kerberos est un système d’authentification développé par The Athena Project au MIT. Quand un utilisateur
se connecte, Kerberos authentifie cet utilisateur (en utilisant un mot de passe), et fournit à cet utilisateur un
moyen de prouver son identité aux autres serveurs et hôtes disséminés sur le réseau.
Cette authentification est alors utilisée par des programmes tels que rlogin pour autoriser l’utilisateur à se
connecter à d’autres hôtes sans mot de passe (au lieu du fichier .rhosts). Cette méthode d’authentification
peut aussi être utilisée par le système de courrier électronique pour garantir que les messages seront délivrés
à la bonne personne, ainsi que pour garantir l’authenticité de l’expéditeur.
Kerberos et les programmes qui l’accompagnent, empêchent les utilisateurs de tromper le système en lui fai-
sant croire qu’ils sont quelqu’un d’autre (« spoofing »). Malheureusement, installer Kerberos est très intrusif,
et demande le remplacement ou la modification de nombreux programmes standards.
Vous pourrez trouver plus d’informations à propos de Kerberos en visitant la FAQ Kerberos (http://www.
faqs.org/faqs/kerberos-faq/general/), et le code peut être obtenu depuis le site de la Kerberos: The Network
Authentication Protocol (http://web.mit.edu/kerberos/www/).
[Stein, Jennifer G., Clifford Neuman, and Jeffrey L. Schiller. "Kerberos: An Authentication Service for Open
Network Systems." USENIX Conference Proceedings, Dallas, Texas, Winter 1998.]
Kerberos ne devrait pas être votre premier pas pour améliorer la sécurité de votre hôte. Il est plutôt compli-
qué, et pas aussi répandu que, disons SSH.

11.6.8. “Crack” et “John the Ripper”


Si pour une raison quelconque votre programme passwd ne force pas l’utilisation de mots de passe difficiles
à deviner, vous pourrez souhaiter utiliser un programme de cassage de mots de passe pour vous assurer que
les mots de passe de vos utilisateurs sont sûrs.
Les programme de cassage de mots de passe reposent sur une idée simple : ils essayent tous les mots du
dictionnaire, puis des variations sur ces mots, en cryptant chacun d’eux et les comparant à vos mots de passe
cryptés. S’ils obtiennent une correspondance, ils ont trouvé le mot de passe
Il y a plusieurs programmes de ce type les deux les plus connus sont Crack et John the Ripper (voir Open-
Wall (http://www.openwall.com/john/)). Malheureusement, ils consomment beaucoup de temps CPU, mais
vous devriez être capable de vérifier si un attaquant est susceptible de pénétrer en les utilisant vous-même,
puis en avertissant les utilisateurs dont le mot de passe est trop faible. Notez qu’un attaquant devra d’abord
utiliser un autre trou pour pouvoir lire votre fichier /etc/shadow, mais de tels trous sont plus courants que
vous ne le pensez.
Parce que la sécurité n’est aussi forte que le plus faible des hôtes, il est bon de mentionner que si vous avez
des machines Windows sur votre réseau, vous devriez jeter un coup d’œil à L0phtCrack , une implantation de
Crack sous windows . Il est disponible depuis le site @stake (http://www.atstake.com/research/lc3/).

11.6.9. CFS - Système de Fichiers Crypté et TCFS - Système de Fichiers Crypté Transparent
CFS (Cryptographic File System) permet de chiffer une arborescence complète ; pour leur part, les utilisateurs
peuvent y enregistrer des fichiers cryptés. Il utilise un serveur NFS tournant sur la machine locale. Plus de
renseignements ainsi que les sources sont disponibles sur le site de AT&T (ftp://ftp.research.att.com/
dist/mab/).
TCFS (Transparent Cryptographic File System) améliore CFS en lui ajoutant une meilleure intégration dans le
système de fichiers, de sorte qu’il devient transparent aux utilisateurs. Plus d’information sur le site de TCFS
(http://www.tcfs.it/).
il n’a pas non plus besoin d’être utilisé sur des systèmes de fichiers complets. Il fonctionne aussi bien sur de
simples arborescences.

150
Chapitre 11. De la sécurité sous GNU/Linux

11.6.10. X11, SVGA et sécurité de l’affichage

11.6.10.1. X11
Il est important de sécuriser votre affichage graphique pour empêcher les attaquants de saisir vos mots de
passe lorsque vous les tapez Lire des documents ou des informations que vous consultez à l’écran, ou même
utiliser un trou de sécurité pour obtenir l’accès root. Lancer des applications X par réseau peut aussi être plein
de dangers, en autorisant des « sniffers » à voir votre interaction avec le système distant.
X possède un certain nombre de mécanismes d’accès de contrôle. Le plus simple d’entre eux est basé sur
l’hôte : vous utilisez xhost pour spécifier quels hôtes sont autorisés à accéder à votre affichage. Cela n’est pas
du tout sûr, car si quelqu’un a accès à votre machine, il peut xhost + sa.machine et rentrer aisément. Ainsi,
si vous devez autoriser l’accès à une machine peu sûre, quiconque là bas peut violer votre affichage.
Si vous utilisez xdm (X Display Manager), ou son équivalent pour KDE KDM , pour vous connecter, vous disposez
d’une bien meilleure méthode d’accès : MIT-MAGIC-COOKIE-1. Un « cookie » de 128 bits est généré et placé
dans votre fichier .Xauthority. Si vous avez besoin d’autoriser un accès distant à votre affichage, vous pouvez
alors utiliser la commande xauth et l’information qui se trouve dans votre fichier .Xauthority pour fournir
l’accès à cette seule connexion. Voyez le Remote-X-Apps mini-howto : LDP (http://metalab.unc.edu/LDP/
HOWTO/mini/Remote-X-Apps.html).
Vous pouvez aussi utiliser ssh (voir ssh (shell sécurisé) et stelnet, page 148, ci-dessus) pour permettre des
connexions X sécurisées. Cela possède l’avantage d’être totalement transparent pour l’utilisateur, et signifie
qu’aucune donnée en clair ne circule sur le réseau.
Vous pouvez aussi désactiver n’importe quelle connexions distantes à votre serveur X en utilisant l’option
-nolisten tcp vers votre serveur X . Ainsi, vous préviendrez toutes les connexions réseau vers votre serveur
sur des interfaces de connexion (sockets) TCP.
Jetez un coup d’œil à la page de man de Xsecurity pour plus de renseignements concernant la sécurité sous
X . La bonne manière est d’utiliser kdm pour vous connecter à la console, puis utiliser ssh pour aller sur un site
distant sur lequel vous lancez votre application X .

11.6.10.2. SVGA
Les programmes SVGAlib sont généralement suid -root de façon à pouvoir accéder à tout vos périphériques
vidéo. Cela les rends très dangereux. S’ils plantent, Vous devez généralement redémarrer la machine pour
récupérer une console utilisable. Assurez vous que chaque programme SVGA que vous utilisez est authentique,
et que vous pouvez leur faire confiance. Ou mieux, me les utilisez pas du tout.

11.6.10.3. GGI (Projet d’Interface Graphique Générique)


Le projet GNU/Linux GGI essaye de résoudre plusieurs des problèmes de l’interface graphique de GNU/Linux .
GGI déplace une petite partie du code vidéo dans le noyau de GNU/Linux , et contrôle alors l’accès au sys-
tème vidéo. Ce qui signifie que GGI sera capable de récupérer votre console à tout instant vers un état stable
connu. Cela permet aussi d’utiliser une clé de sécurité qui empêche l’utilisation de programmes login de type
« cheval de Troie » (Trojan) sur votre console. Projet GGI (http://www.ggi-project.org)

11.7. Sécurité du noyau


Ceci constitue une description des options de configuration du noyau en rapport avec la sécurité, une expli-
cation de leur effet, et comment les utiliser.
Du fait que le noyau contrôle les communications réseau de votre ordinateur, il est important qu’il soit très
sûr, et inviolable. Pour empêcher quelques unes des dernières attaques réseau, vous devriez essayer de garder
votre noyau à jour. Vous pouvez trouver les nouvelles versions à ftp://ftp.kernel.org (ftp://ftp.kernel.
org) ou grâce aux mises à jour du paquetage du noyau avec MandrakeUpdate.
Il y a là aussi un groupe international qui propose un unique correctif cryptographique unifié pour le noyau
GNU/Linux . Ce correctif (patch) fournit le support pour plusieurs sous-systèmes cryptographiques et d’autres

151
Chapitre 11. De la sécurité sous GNU/Linux

choses qui ne peuvent pas être inclues dans le noyau principal, à cause des restrictions à l’export. Pour plus
d’information, consulter : http://www.kerneli.org (http://www.kerneli.org)

11.7.1. Options de compilation du noyau


Lorsque ce document a été écrit, le noyau 2.2 était le nec plus ultra. Encore aujourd’hui, la plupart des pare-
feu l’utilise encore. Toutefois, avec le noyau 2.4, beaucoup de choses ont changé. La plupart des options de
compilation contenues dans ce chapitre sont encore valides, mais le masquage et le transfert de port ont été
remplacés par les tables IP. Vous obtiendrez de plus amples renseignements en visitant le Linux iptables
HOWTO (http://www.linuxguruz.org/iptables/howto/iptables-HOWTO.html).
Pour les noyaux 2.2.x, les options suivantes s’appliquent. Vous devriez voir ces options pendant le processus
de configuration du noyau. La plupart des commentaires sont issus depuis /usr/src/linux/Documentation/
Configure.help, soit le même document utilisé dans l’aide en ligne pendant l’étape make config de la com-
pilation du noyau. Consultez le chapitre Compilation et mise en place de nouveaux noyaux du Manuel de
référence pour obtenir une description du processus de compilation d’un nouveau noyau.

• Pare-feu réseau (CONFIG_FIREWALL)


Cette option devrait être activée si vous envisagez de faire du pare-feu (firewalling) ou du masquage IP
(masquerading) sur votre machine GNU/Linux . Si vous ne configurez qu’une simple machine cliente, il est
plus sûr de répondre non.

• IP: reroutage/passerelle (CONFIG_IP_FORWARD)


Si vous activez le reroutage IP (IP forwarding); votre machine devient essentiellement un routeur. Si votre
machine est sur un réseau, vous pourriez réexpédier des données d’un réseau à un autre, et même subvertir
un pare-feu qui était la justement pour empêcher cela. Les utilisateurs normaux en connexion par modem
devraient désactiver cette option, et les autres se focaliser sur les implications au niveau de la sécurité d’une
telle décision. Les machines pare-feu devront activer cela, en conjonction avec un logiciel de pare-feu.
Vous pouvez activer le reroutage IP en utilisant la commande :
root# echo 1 > /proc/sys/net/ipv4/ip_forward

et le désactiver avec la commande :


root# echo 0 > /proc/sys/net/ipv4/ip_forward

• IP: cookies syn (CONFIG_SYN_COOKIES)


Une « attaque SYN » est une attaque du type dénis de service (DoS) qui consomme toutes les ressources de
votre machine, vous forçant au redémarrage. Nous ne voyons pas de raisons pour ne pas activer cela. Pour
activer cela, vous devez faire :
root# echo 1 > /proc/sys/net/ipv4/tcp_syncookies <P>

• IP: Pare-feu (CONFIG_IP_FIREWALL)


Cette option est nécessaire si vous envisagez de configurer votre machine comme pare-feu, faire du re-
routage IP, ou souhaitez protéger votre station en connexion par modem de quelqu’un qui souhaiterais y
pénétrer.

• IP: noter les paquets pare-feu (CONFIG_IP_FIREWALL_VERBOSE)


Cette option vous donne des informations sur les paquets que votre pare-feu a reçu comme l’expéditeur, le
destinataire, le port, etc.

• IP: Refuser les structures routées à la source (CONFIG_IP_NOSR)

152
Chapitre 11. De la sécurité sous GNU/Linux

Ceci devrait être activé. Les structures routées à la source contiennent le chemin complet vers leur destina-
tion à l’intérieur du paquet. Cela signifie que les routeurs n’ont pas besoin de les vérifier et ne font que les
réexpédier. Cela pourrait conduire à laisser entrer des données sur votre système qui pourraient représenter
une possible violation.

• IP: masquage (CONFIG_IP_MASQUERADE)


Si l’un des ordinateurs de votre réseau local, pour lequel votre machine GNU/Linux agit comme pare-feu,
veut envoyer quelque chose à l’extérieur, votre machine peut « masquer » cet hôte, i.e., elle réexpédie le trafic
vers la destination mais le fait comme si il venait de lui-même. Consultez http://www.indyramp.com/masq
(http://www.indyramp.com/masq) et le chapitre Configurer des clients de paserelle, page 97 pour plus
d’information.

• IP: masquage ICMP (CONFIG_IP_MASQUERADE_ICMP)


Cette option ajoute le masquage ICMP à l’option précédente qui ne masque que le trafic TCP ou UDP.

• IP: support de mandataire (proxy) transparent (CONFIG_IP_TRANSPARENT_PROXY)


Cela autorise votre pare-feu GNU/Linux à rediriger de manière transparente tout le trafic réseau provenant
du réseau local destiné à un hôte distant depuis un serveur local, appelé « serveur proxy transparent ».
Cela fait croire aux ordinateurs locaux qu’ils communiquent avec l’hôte distant, alors qu’ils sont connectés
au proxy local. Consultez le chapitre HOWTO IP-Masquerading et le site Web de Indyramp (http://www.
indyramp.com/masq) pour plus de renseignements.

• IP: défragmenter toujours (CONFIG_IP_ALWAYS_DEFRAG)


Cette option est normalement désactivée, mais si vous construisez un pare-feu, ou un hôte de masquage,
vous devrez l’activer. Lorsque des données sont envoyées d’un hôte à un autre, elles ne sont pas toujours en-
voyées comme un seul paquet de données, mais plutôt fragmentées en plusieurs morceaux. Le problème de
cela est que les numéros de ports ne sont connus que du seul premier fragment. Cela signifie que quelqu’un
pourrait insérer dans les paquets suivants, des informations erronées. Cela est aussi susceptible d’empêcher
une attaque de type « teardrop » contre un serveur interne qui ne serait lui même pas immunisé contre cela.

• Signatures de paquets (CONFIG_NCPFS_PACKET_SIGNING)


Cela est une option qui va signer les paquets NCP pour une sécurité accrue. Vous pouvez normalement la
laisser désactivée, mais elle est là si vous en avez besoin.

• IP: Périphérique pare-feu de paquets netlink (CONFIG_IP_FIREWALL_NETLINK)


Voilà une option bien pensée qui vous permets d’analyser les 128 premier octets des paquets dans un pro-
gramme utilisateur, pour déterminer si vous souhaiter accepter ou refuser le paquet, selon sa validité.

• Filtrage de Socket (CONFIG_FILTER)


Pour le plus grand nombre, il est bon de répondre non à cette option. Celle-ci vous permet de connecter
un filtre utilisateur à n’importe quel Socket et choisir les paquets à accepter ou refuser. À moins que vous
n’ayez un besoin très spécifique et que vous soyez capable de programmer un tel filtre, vous devriez dire
non. Notez aussi que à l’heure d’écrire cette section, tous les protocoles sont supportés, sauf TCP.

• Redirection de port
La redirection de port (Port Forwarding) est une extension du masquage IP qui autorise la redirection
de paquets depuis l’intérieur d’un pare-feu sur des ports spécifiques. Cela peut être utile si, par exemple,
vous voulez utiliser un serveur Web derrière le pare-feu ou hôte de masquage et ce serveur Web doit être
accessible du monde externe. Un client externe envoie une requête au port 80 du pare-feu, le pare-feu fait
suivre la requête au serveur Web, le serveur Web traite la requête et les résultats sont envoyés par le réseau

153
Chapitre 11. De la sécurité sous GNU/Linux

au client original. Le client croit que c’est le pare-feu lui-même qui est le serveur Web. Cela peut aussi être
utiliser pour répartir la charge si vous avez une « ferme » de serveurs identiques en deçÂà du pare-feu.
Toute l’information à propos de cette caractéristique est disponible à monmouth (http://www.monmouth.
demon.co.uk/ipsubs/portforwarding.html). Pour des informations générales, consulter compsoc (ftp:
//ftp.compsoc.net/users/steve/ipportfw/linux21/)

• Filtrage de ports Socket (CONFIG_FILTER)


En utilisant cette option, un programme utilisateur peut affecter un filtre à chaque socket, et indiquer par là
au noyau s’il peut accepter ou refuser à certains types de données de passer à travers le socket. Le filtrage
de socket GNU/Linux marche sur tous les types de socket sauf les TCP pour l’instant. Consultez le fichier
texte ./linux/Documentation/networking/filter.txt pour plus d’information.

• IP: Masquage
Le masquage pour les noyaux 2.2 a été amélioré. Il propose des supports additionnels pour masquer des
protocoles particuliers, etc. Assurez vous de lire le HOWTO ipchains pour plus d’information.

11.7.2. Périphériques noyau


Il y a plusieurs périphériques en mode bloc et caractère disponibles sous GNU/Linux qui vous aiderons aussi
pour la sécurité.
Les deux fichiers /dev/random et /dev/urandom sont fournis par le noyau pour offrir des données aléatoires à
tout instant.
Aussi bien /dev/random que /dev/urandom devraient être assez sûrs pour générer des clés PGP , des chal-
lenges ssh, et autres applications où des nombres aléatoires sont requis. Les attaquants devraient être inca-
pable de prédire le nombre suivant, connaissant une séquence initiale de nombres provenant de ces sources.
Beaucoup d’efforts ont étés consentis pour s’assurer que les nombres fournis par ces sources sont aléatoires,
dans tous les sens du terme.
La seule différence entre ces deux périphériques, est que /dev/random s’épuise en octets aléatoires, et vous fait
attendre jusqu’à ce que d’autres ce soient accumulés. Notez que sur certains systèmes, il peut se bloquer pen-
dant un long moment, attendant que de la nouvelle entropie, générée par l’utilisateur entre dans le système.
Vous devez donc faire attention avant d’utiliser /dev/random. (La meilleure chose à faire est sans doute de
l’utiliser lorsque vous générez des informations de clés sensibles, et vous demandez à l’utilisateur d’utiliser le
clavier intensément.)
/dev/random est de haute qualité entropique, généré en mesurant les temps inter-interruptions, etc. Il se blo-
quera jusqu’à ce que suffisamment de bits aléatoires aient été générés.
/dev/urandom est semblable, mais lorsque la réserve d’entropie baisse, il retournera un mélange cryptogra-
phiquement élevé de ce qu’il reste. Ce n’est pas aussi sûr, mais cela suffit pour la plupart des applications.
Vous pouvez lire depuis ces périphériques en utilisant quelque chose comme :

root# head -c 6 /dev/urandom | mimencode

Cela imprimera six caractères aléatoires à la console, convenables pour un mot de passe. Vous pourrez trouver
mimencode dans le paquetage metamail.
Consultez /usr/src/linux/drivers/char/random.c pour une description de l’algorithme.

154
Chapitre 11. De la sécurité sous GNU/Linux

11.8. Sécurité réseau


La sécurité du réseau devient de plus en plus importante, au fur et à mesure que les utilisateurs passent de
plus en plus de temps connectés. Violer la sécurité du réseau est souvent beaucoup plus facile que violer la
sécurité physique ou locale, tout en étant beaucoup plus répandue.
Il y a plusieurs bons outils pour vous assister dans la sécurité du réseau, et ils sont de plus en plus fournis
avec les distributions GNU/Linux .

11.8.1. Renifleurs de paquets (Packet Sniffers)


Une des manières les plus répandues parmi les intrus pour obtenir l’accès à plus de systèmes sur votre réseau,
est d’employer un renifleur de paquets sur un hôte déjà violé. Ce sniffer écoute simplement sur les ports
Ethernet et repère des choses comme passwd, login ou su dans le corps du paquet et enregistre alors le trafic
qui suit. De cette façon, les attaquants obtiennent des mots de passe pour des systèmes qu’ils n’essayent même
pas de casser. Les mots de passe en clair sont évidemment très vulnérables à cette attaque.
Exemple : Un hôte A a été violé. L’attaquant y installe un sniffer. Ce dernier tombe sur l’administrateur en train
de se connecter de l’hôte B à l’hôte C. Il obtient alors le mot de passe personnel de l’administrateur sur B. Puis
l’administrateur fait un su pour corriger un problème. Il a maintenant le mot de passe de root pour l’hôte B.
Plus tard, l’administrateur laisse quelqu’un faire un telnet depuis sa machine vers l’hôte Z sur un autre site,
L’attaquant possède désormais un login et mot de passe sur Z...
A l’heure actuelle, les attaquants n’ont même pas besoin de violer un système pour faire cela : Ils peuvent
aussi amener un portable ou un PC dans un bâtiment et se brancher sur votre réseau.
Utiliser ssh ou une autre méthode pour crypter les mots de passe déjoue cette attaque. Des outils comme
comptes APOP au lieu de POP pour le courrier électronique préviennent aussi ces attaques. (Les login normaux
POP sont très vulnérables à cela, de même que tout ce qui envoie des mots de passe en clair à travers le réseau.)

11.8.2. Services système et encapsuleurs tcp


Avant que vous ne connectiez votre système GNU/Linux sur un QUELCONQUE réseau, la première chose à
déterminer est les services que vous souhaitez offrir. Les services que vous n’avez pas besoin d’offrir devraient
être désactivés de sorte que vous aurez moins de choses pour lesquelles vous préoccuper et les attaquants
auront moins de chances de pouvoir trouver un trou.
Il y a plusieurs façons de désactiver des services sous GNU/Linux . Vous pouvez regarder le fichier /etc/inetd.
conf et noter les fichiers qui sont offerts par inetd. Désactivez tous ceux dont vous n’avez pas besoin en les
commentant (# au début de la ligne), et redémarrez alors votre service inetd.
Vous pouvez aussi supprimer (ou commenter) des services dans votre fichier /etc/services. Cela signifiera
que les clients locaux seront aussi incapables de trouver ces services (i.e., si vous supprimez ftp, et essayez
de faire une connexion FTP vers un site distant depuis cette machine, cela échouera avec un message service
inconnu). Cela ne vaut généralement pas la peine de supprimer les services à partir de /etc/services, vu
que cela ne fournit pas de sécurité supplémentaire. Si un utilisateur veut utiliser ftp même si vous l’avez
commenté, il pourrait faire son propre client qui utilise le port FTP standard, et cela fonctionnerait.
Certains des services que vous pourriez souhaiter activer sont :

• ftp
• telnet (ou ssh)
• courrier électronique, comme pop-3 ou imap
• identd

Si vous savez que vous n’allez pas utiliser un paquetage en particulier, vous pouvez aussi le supprimer com-
plètement. rpm -e packagename effacera un paquetage entier.
De plus, vous devriez vraiment désactiver les utilitaires rsh/rlogin/rcp, y inclus login (utilisé par rlogin),
shell (utilisé par rcp),et exec (utilisé par rsh) depuis /etc/inetd.conf. Ces protocoles sont extrêmement vul-
nérables et ont été la cause de violations dans le passé.

155
Chapitre 11. De la sécurité sous GNU/Linux

Vous devriez vérifier les répertoires /etc/rc.d/rc[0-9].d, et regarder si des serveurs présent ne sont pas
superflu. Les fichiers de ces répertoires sont en fait des liens symboliques vers des fichiers de /etc/rc.d/
init.d. Renommez ces fichiers dans init.d désactive tous les liens symboliques qui pointent vers ce fichier.
Si vous ne souhaitez désactiver un service que pour un niveau d’exécution (runlevel) particulier, renommez le
lien symbolique approprié en remplaçant le S avec un K, comme cela :

root# cd /etc/rc6.d
root# mv S45dhcpd K45dhcpd

Vous pouvez aussi utiliser un petit utilitaire pour faire cela : chk-
config ou l’interface graphique sous KDE : ksysv.

Votre distribution de Mandrake Linux est fournie avec un encapsuleurs (wrapper) TCP « encapsulant » tous
vos services TCP. L’encapsuleur TCP (tcpd) est appelé depuis inetd au lieu du service réel. tcpd vérifie alors
l’hôte demandant le service, et soit exécute le vrai serveur, soit refuse l’accès à cet hôte. tcpd vous permet de
restreindre l’accès aux services TCP. Vous devriez éditer /etc/hosts.allow et y ajouter uniquement les hôtes
qui ont besoin d’avoir accès aux services de votre machine.
Si vous possédez une connexion par simple modem, nous vous suggérons de refuser tous (ALL). tcpd enre-
gistre aussi les tentatives échouées pour accéder aux services, de sorte que cela peut vous alerter si on est en
train de vous attaquer. Si vous ajoutez de nouveaux services, vous devriez vous assurer de les configurer pour
utiliser l’encapsuleur TCP s’ils sont basés sur TCP. Par exemple, une machine connectée par modem peut
être protégé de l’extérieur, tout en pouvant charger son courrier électronique, et faire des connexions réseau à
Internet. Pour faire cela, vous devez ajouter ce qui suit à votre /etc/hosts.allow :
ALL: 127.
Et bien sûr, /etc/hosts.deny contiendra :
ALL: ALL
Ce qui empêchera des connexions extérieures à votre machine, vous permettant néanmoins de vous connecter
depuis l’intérieur aux services de Internet.
Gardez à l’esprit que les encapsuleurs TCP ne protègent que les services exécutés depuis inetd, et quelques
rares autres. Il y a sûrement d’autres serveurs tournant sur votre machine. Vous pouvez utiliser netstat -ta
pour afficher la liste de tous les services que votre machine offre.

11.8.3. Vérifiez votre information de DNS


Garder des informations DNS à jour sur tous les hôtes de votre réseau peut vous aider à améliorer la sécurité.
Si un hôte non autorisé se connecte à votre réseau, vous pouvez l’identifier grâce à son absence d’entrées DNS
entry. Beaucoup de services peuvent être configurés de façon à ne pas accepter de connexions d’hôtes qui
n’ont pas d’entrées DNS valides.

11.8.4. identd
identd est un petit programme qui est lancé typiquement depuis votre serveur inetd. Il garde la trace de qui
utilise quel service TCPet le rapporte alors à qui en fait la demande.
Beaucoup de gens ne comprennent pas l’utilité de identd, et le désactivent ou bloquent toutes le requêtes de
l’extérieur qui lui sont destinées. identd n’est pas là pour aider les sites distants. Il n’y a pas moyen de savoir
si l’information que vous obtenez de l’identd distant est correcte ou non. Il n’y a pas d’authentification dans
les requêtes identd.
Pourquoi voudriez-vous l’utiliser alors? Parce qu’il vous aide, et est une autre source pour le suivi. Si votre
identd n’est pas corrompu, alors, vous savez qu’il informe les sites distants des noms d’utilisateur ou UID
des personnes utilisant les services TCP. Si l’administrateur du site distant revient et vous dit que l’utilisateur
untel essayait de pénétrer dans leur site, vous pouvez facilement prendre des mesures contre cet utilisateur. Si
vous n’utilisez pas identd, vous devrez chercher dans un grand nombre de « logs », deviner qui était connecté
à ce moment, et en général prendre beaucoup de temps pour rechercher l’utilisateur.

156
Chapitre 11. De la sécurité sous GNU/Linux

Le identd fourni est plus facile à configurer que beaucoup de gens ne le pensent. Vous pouvez le désactiver
pour certains utilisateurs (Ils peuvent créer un fichier .noident file), vous pouvez garder trace de toutes les
requêtes identd (recommandé), vous pouvez même faire en sorte que identd retourne un UID au lieu du nom
de l’utilisateur, ou même NO-USER.

11.8.5. Configuration et sécurisation du MTA de Postfix


Le serveur de courrier Postfix a été écrit par Wietse Venema, auteur de Postfix et de plusieurs autres pro-
duits de sécurité Internet, afin « d’essayer de fournir une alternative au programme Sendmail, grandement
utilisé. Postfix tente d’être plus rapide, plus facile à administrer et, nous l’espérons, plus sécuritaire. Il essaie
également d’être compatible avec Sendmail, au moins de façon à ne pas fâcher les utilisateurs. »
Vous obtiendrez plus de renseignements au sujet de Postfix sur le site de Postfix (http://www.postfix.
org) ainsi que sur le site Configuring and Securing Postfix (http://www.linuxsecurity.com/feature_stories/
feature_story-91.html).

11.8.6. SATAN, ISS, et autres scanners réseau


Il y a plusieurs paquetages de logiciels qui font du balayage de ports et de services sur machines et réseaux.
SATAN , ISS , SAINT , et Nessus en sont quelques-uns des plus connus. Ces logiciels se connectent à la machine
cible (ou toutes les cibles machines et réseaux) sur tous les ports qu’ils ouverts, et essayent de déterminer quels
services tournent dessus. Sur la base de ces informations, vous pouvez dire si la machine est vulnérable a une
attaque spécifique et sur quels services.
SATAN (Security Administrator’s Tool for Analyzing Networks, soit Outil d’administrateur sécurité pour l’analyse
de réseaux) est un analyseur de port avec une interface Web. Il peut être configuré pour effectuer des vérifi-
cations légères, moyennes, ou lourdes sur une machine ou un réseau de machines. C’est une bonne idée de
se procurer SATAN et de scanner votre machine ou réseau, et de régler les problèmes qu’il rencontre. Assurez-
vous d’obtenir une copie de SATAN sur le site Metalab (http://metalab.unc.edu/pub/packages/security/
Satan-for-Linux/) ou un site FTP ou Web réputé. Il y avait une copie de SATAN « cheval de Troie » qui était
distribuée sur Internet. trouble.org (http://www.trouble.org/~zen/satan/satan.html). Notez que SATAN
n’a pas été mis à jour depuis longtemps et certains des outils ci-dessous pourraient faire du meilleur boulot.
ISS (Scanner de Sécurité Internet) est un autre scanner de port. Il est plus rapide que SATAN , et devraient donc
être meilleur pour de grands réseaux. Néanmoins, SATAN tend à fournir plus d’information.
TriSentry (nouveau nom de Abacus) est une suite d’outils qui fournit à la fois la sécurité pour l’hôte et la
détection d’intrusion. Jetez un coup d’œil au site Psionic Technologies (http://www.psionic.com/products).
SAINT est une version mise a jour de SATAN . Il a une interface Web et possède des tests bien plus récents que
SATAN . Vous pouvez en apprendre plus sur lui à: http://www.wwdsi.com/~saint (http://www.wwdsi.com/
saint)
Nessus est un scanner sécurité libre. Il propose une interface graphique GTK pour en faciliter l’utilisation. Il
est aussi conçu avec un très bon créateur de modules additionnels pour de nouveaux tests de balayage de
ports. Pour plus d’information, visiter http://www.nessus.org (http://www.nessus.org/)

11.8.6.1. Détecter les balayages de ports


Il y a quelques outils conçus pour vous alerter de sondages par SATAN , ISS ou d’autres logiciels de balayage.
Néanmoins, une utilisation étendue des encapsuleurs TCP, et la consultation régulière des fichiers de log,
devrait vous avertir de telles tentatives. Même avec les paramètres les plus faibles, SATAN laisse encore des
traces dans les logs.
Il y a aussi des scanners de ports « furtifs ». Un paquet avec le bit TCP ACK activé (comme pour les connexions
actives) passera vraisemblablement à travers un pare-feu de filtrage de paquets. Le paquet RST de retour d’un
port « _had no established session_ » (n’a pas de session établie) peut être la preuve d’activité sur ce port.
Je ne pense pas que les encapsuleurs TCP puissent détecter cela.
Vous pourriez également essayer SNORT (http://www.snort.org), soit un IDS (Intrusion Detection System)
libre, dont la fonction est de détecter les intrusions réseau.

157
Chapitre 11. De la sécurité sous GNU/Linux

1
11.8.7. sendmail, qmail et les MTA
Un des services les plus importants que vous puissiez fournir est un serveur de courrier électronique. Malheu-
reusement, c’est aussi un des plus vulnérables aux attaques, simplement à cause du grand nombre de tâches
qu’il doit effectuer et des privilèges dont il a besoin.
Si vous utilisez sendmail il est très important de garder votre version à jour. sendmail a une très longue
tradition d’attaques. Assurez vous de toujours utiliser la version la plus récente de sendmail (http://www.
sendmail.org/).
Gardez à l’esprit que vous n’avez pas forcément besoin de sendmail pour envoyer du courrier. Si vous êtes
un particulier, vous pouvez désactiver complètement sendmail , et utiliser simplement votre client de courrier
pour envoyer vos messages. Vous pouvez aussi choisir d’enlever l’option -bd du fichier de démarrage de
sendmail , désactivant ainsi les requêtes pour le courrier rentrant. En d’autres termes, vous pouvez exécuter
sendmail depuis vos fichiers de démarrage en utilisant plutôt :
# /usr/lib/sendmail -q15m

De la sorte, sendmail videra la file de courrier toutes les quinze minutes pour tous les messages n’ayant pu
être délivrés à la première tentative.
Beaucoup d’administrateurs choisissent de ne pas utiliser sendmail , et choisissent à la place un des autres
agents de transport de courrier. qmail par exemple a été conçu dans un but de sécurité, depuis le néant. Il est
plus rapide, stable, et sûr. Qmail peut être trouvé à qmail (http://www.qmail.org)
En compétition directe avec qmail , on trouve postfix , écrit par Wietse Venema, l’auteur des encapsuleurs
TCP et d’autres outils de sécurité. Anciennement nommé vmailer , et soutenu par IBM, il est aussi un agent de
transport de courrier complètement ré-écrit avec la sécurité à l’esprit. Vous pouvez trouver plus d’information
à propos de postfix à postfix (http:/www.postfix.org)

postfix est l’agent de transport de courrier installé par défaut avec


votre distribution de Mandrake Linux.

11.8.8. Attaques en dénis de service2


Un attaque en « Dénis de service » (DoS) essaye de saturer les ressources de sorte que le système ne puisse
plus répondre aux requêtes légitimes, ou de refuser l’accès à votre machine aux utilisateur légitimes.
Les attaques en dénis de service ont beaucoup progressé ces dernières années. Certaines des plus récentes
et connues sont listées ci-dessous. Notez que de nouvelles naissent sans arrêt, de sorte qu’il n’y a ici que
quelques exemples. Lisez les archives de listes de courriers sur la sécurité ou suivi de bogues GNU/Linux pour
une information plus à jour.

• SYN Flooding - Inondation SYN est une attaque de dénis de service réseau. Il exploite une ouverture dans la
façon dont sont créÂées les connexions TCP. Les derniers noyaux GNU/Linux (2.0.30 et au delà) proposent
plusieurs options de configuration pour empêcher ce type d’attaque de refuser aux gens l’accès à votre
machine ou services. Consultez Sécurité du noyau, page 151 pour les options de noyaux en question.
• Ping Flooding - Inondation de Ping est une attaque simple en force brute de dénis de service. L’attaquant
envoie une « vague » de paquets ICMP à votre machine. S’ils font cela depuis un hôte qui possède plus de
largeur de bande que le votre, votre machine sera incapable d’envoyer quoi que ce soit vers le réseau. Une
variation de cette attaque, appelée « smurfing », envoie les paquets ICMP à un hôte avec l’IP de retour de
votre machine, leur permettant de vous inonder de manière moins détectable. vous pouvez trouver plus
d’information sur l’attaque « smurf » sur le site de linuxsecurity.com (http://www.linuxsecurity.com/
articles/network_security_article-4258.html).
Si vous êtes en train de subir une attaque en inondation de ping, utilisez un outils comme tcpdump pour
déterminer l’origine des paquets (ou l’origine apparente), puis contactez votre fournisseur d’accès avec
cette information. Les inondations ping peuvent être le plus facilement stoppées au niveau du routeur ou
en utilisant un pare-feu.

1. Agents de transport de courrier


2. Denial of Service

158
Chapitre 11. De la sécurité sous GNU/Linux

• Ping o’ Death - L’attaque en ping mortel envoie des paquets ICMP ECHO REQUEST qui sont trop grands pour
être contenus dans les structures de données du noyaux prévues pour les accueillir. Parce que envoyer un
seul, gros (65.510 octets) paquet ping à plusieurs système les fera s’arrêter ou même planter, ce problème a
rapidement été surnommé « Ping o’ Death » (ping mortel). Celui-ci a été contourné depuis longtemps, et il
n’y a plus à s’en préoccuper.
Vous pouvez trouver le code pour la plupart de ces attaques, et une description plus détaillée de leur fonc-
tionnement à http://www.insecure.org/sploits.html (http://www.insecure.org/sploits.html) en utilisant
leur moteur de recherche.

11.8.9. Sécurité NFS (Système de Fichiers Réseau).


NFS est un protocole de partage de fichiers largement utilise. Il permet a des serveurs qui utilisent nfsd
et mountd d’« exporter » des systèmes de fichiers entiers vers d’autres machines en utilisant le support de
systèmes de fichiers NFS inclus dans leurs noyaux. mountd suit les systèmes de fichiers montés dans /etc/
mtab, et peux les afficher avec showmount.
Beaucoup de sites utilisent NFS pour fournir les répertoires racines des utilisateurs, de sorte que quelle que
soit la machine du réseau sur laquelle ils se connectent, ils auront tous leurs fichiers personnels.
Il y a peu de sécurité possible lorsqu’on exporte un système de fichiers. Vous pouvez faire en sorte que nfsd
remplace l’utilisateur root distant (UID=0) par l’utilisateur nobody, en leur empêchant totalement l’accès aux
fichiers exportés. Néanmoins, puisque les utilisateurs individuels peuvent accéder à leur propres fichiers (ou
tout au moins ayant le même UID), l’utilisateur root distant peut se connecter ou faire un su depuis leur
compte et avoir un accès total à leurs fichiers. Ce n’est qu’un léger obstacle pour un attaquant qui peut monter
votre système de fichier distant.
Si vous devez utiliser NFS, assurez vous de n’exporter que vers des machines qui en ont vraiment besoin.
N’exportez jamais votre répertoire racine entier; mais seulement les répertoires qui ont besoin d’être exportés.
Consultez le HOWTO NFS pour plus de renseignements sur NFS, sur le site LDP (http://www.ibiblio.org/
mdw/HOWTO/NFS-HOWTO/).

11.8.10. NIS (Service d’information réseau) (anciennement YP).


NIS (Network Information Service) est un moyen de distribuer de l’information à d’autres machines. Le maître
NIS détient les tables d’information et les convertit en fichiers cartes NIS. Ces cartes sont alors servies sur
le réseau, permettant aux machines clientes NIS d’obtenir les noms de connexion, mots de passe, répertoires
utilisateurs et information shell (tout ce qui se trouve dans un fichier /etc/passwd standard). Cela permet aux
utilisateurs de changer leur mot de passe une seule fois et prendre pourtant effet sur toutes les machines du
domaine NIS.
NIS n’est pas vraiment sûr. Il n’a jamais été sensé l’être. Il était censé être pratique et utile. Quiconque capable
de deviner votre nom de domaine NIS (où que ce soit sur le réseau) peut obtenir une copie de votre fichier de
mots de passes, et utiliser crack et John the Ripper contre les mots de passe de vos utilisateurs. Il est aussi
possible de se faire passer pour NIS et faire toutes sortes de vilaines choses. Si vous devez utiliser NIS, soyez
avertis des dangers.
Il y a un remplaçant beaucoup plus sûr à NIS, appelé NIS+ . Consultez le HOWTO NIS pour plus d’information:
NIS-HOWTO (http://www.ibiblio.org/mdw/HOWTO/NIS-HOWTO/).

11.8.11. Pare-feu
Les pare-feu sont un moyen de contrôler les informations autorisées à sortir et à rentrer dans votre réseau
local. Généralement, l’hôte pare-feu est connecté à Internet et à votre réseau local, et le seul accès depuis votre
réseau vers Internet est à travers le pare-feu. De cette façon, le pare-feu peut contrôler ce qui rentre et sort de
Internet et de votre réseau local.
Plusieurs types de pare-feu et de méthodes pour les mettre en place existent. Les machines GNU/Linux consti-
tuent de bons pare-feu. Le code pare-feu peut être inséré directement dans les noyaux 2.0 et supérieurs. Les
outils utilisateur ipchains pour les noyaux 2.2, et iptables pour noyau 2.4 vous permettent de changer, à la
volée, les types de trafics réseau que vous autorisez. Vous pouvez aussi garder trace de certains trafics réseau.

159
Chapitre 11. De la sécurité sous GNU/Linux

Les pare-feu sont une technique utile et importante pour sécuriser votre réseau. Néanmoins, ne pensez jamais
que, parce que vous avec un pare-feu, vous n’avez pas besoin de sécuriser les machines derrière lui. C’est une
erreur fatale. Consultez le très bon HOWTO pour plus d’information sur les pare-feu et GNU/Linux . Firewall-
HOWTO (http://www.ibiblio.org/mdw/HOWTO/Firewall-HOWTO.html).
Si vous n’avez aucune expérience avec les pare-feu, et envisagez d’en mettre un en place pour plus qu’une
simple politique de sécurité, le livre Firewalls de chez O’Reilly and Associates ou tout autre document en
ligne sur les pare-feu est indispensable. Consultez O’Reilly (http://www.ora.com) pour plus d’information.
Le NIST (National Institute of Standards and Technology) a rassemblé un excellent document sur les pare-feu.
Bien que daté de 1995, il est toujours très bon. Vous pouvez le trouver à nist.gov (http://cs-www.ncsl.nist.
gov/publications/nistpubs/800-10/main.html). Il y a aussi :

• Le projet Freefire -- une liste d’outils de pare-feu libres, disponible sur le site de freefire (http://sites.
inka.de/sites/lina/freefire-l/index_en.html)
• Mason - the automated firewall builder for Linux (Mason, le bâtisseur de pare-feu automatique pour
GNU/Linux ). C’est un script de pare-feu qui apprend comment vous faites les choses dont vous avez besoin
de faire sur votre réseau ! Plus de renseignements sur le site de Mason (http://www.pobox.com/~wstearns/
mason/)

11.8.12. IP Chains - pare-feu pour les noyaux GNU/Linux 2.2.x


Les chaînes pare-feu IP GNU/Linux sont une misa à jour du code de pare-feu des noyaux 2.0, Il y a un bon
nombre de nouvelles caractéristiques, dont :

• Manipulation des paquets plus flexible


• Gestion des comptes plus complexe
• Changements de politique simple possible automatiquement
• Les fragments peuvent être explicitement bloqués, refusés, etc.
• Enregistre les paquets suspects
• Peut gérer des protocoles autres que ICMP/TCP/UDP.

Assurez-vous de lire le HOWTO IP Chains pour plus d’information. Il est disponible sur le site de Linuxdoc
(http://www.tldp.org/HOWTO/IPCHAINS-HOWTO.html).

11.8.13. Netfilter - pare-feu pour les noyaux Linux 2.4.x


Netfilter se veut un ensemble d’ajout au code de filtrage de paquets IP du noyau. Il permet aux utilisateurs de
configurer, d’entretenir et d’inspecter les règles de filtrage de paquets dans le nouveau noyau 2.4.
Le sous-système netfilter est une réÂécriture complète des implantations de filtrage de paquets, incluant ip-
chains et ipfwadm. Netfilter procure un large éventail d’améliorations, et est devenu une solution encore plus
mature et robuste pour protéger les réseaux professionnels.
iptables se veut l’interface de ligne de commande pour manipuler les tables de pare-feu à l’intérieur même
du noyau.
Netfilter procure également une architecture brute pour manipuler les paquets tandis qu’ils traversent les
différentes parties du noyau. Cette architecture inclut la prise en charge du masquage, le filtrage standard
de paquets ainsi qu’une traduction d’adresses de réseau plus complète. La prise en charge des requêtes de
charge balancée pour un service en particulier parmi un groupe de serveurs, situés derrière un mur pare-feu,
a également été améliorée.
La fonctionnalité de filtrage adaptif (stateful inspection) est particulièrement puissante. Le filtrage adaptif per-
met de tracer et de contrôler le flux de communications passant à travers le filtre. La possibilité de garder
une trace des états et le contexte pertinent à une session ne font pas que rendent les règles plus simples ; cela
permet également de mieux interpréter les protocoles de niveau supérieur.

160
Chapitre 11. De la sécurité sous GNU/Linux

De plus, de petits modules peuvent être développés pour produire des fonctions supplémentaires spécifiques,
telles que le passage de paquets à des programmes dans l’espace utilisateur pour traitement, puis leur réintro-
duction dans le flux normal de paquets. La possibilité de développer ces programmes dans l’espace utilisateur
réduit le niveau de complexité y étant associé précédemment : les changements n’ont plus à être faits directe-
ment au niveau du noyau.
Voici d’autres références en matières de tables IP :

• Oskar Andreasson IP Tables Tutorial (http://www.linuxsecurity.com/feature_stories/feature_story-94.


html) — Oskar Andreasson, de pair avec LinuxSecurity.com, discute de son tutoriel sur les tables IP et de
l’utilité de ce document pour construire un pare-feu robuste pour votre entreprise ;
• Hal Burgiss Introduces Linux Security Quick-Start Guides (http://www.linuxsecurity.com/feature_
stories/feature_story-93.html) — Hal Burgiss a écrit deux guides officiels sur la sécurité sous Linux, y
compris la gestion de pare-feu ;
• Page d’accueil de Netfilter (http://netfilter.samba.org) — la page d’accueil concernant netfilter et ip-
tables ;
• Linux Kernel 2.4 Firewalling Matures: netfilter (http://www.linuxsecurity.com/feature_stories/kernel-netfilter.
html) — cet article de LinuxSecurity.com décrit les bases du filtrage de paquets, comment commencer à
utiliser les tables IP, ainsi qu’une liste des nouvelles fonctionnalités disponibles dans les plus récentes géné-
rations de pare-feu pour Linux.

11.8.14. VPNs - Réseaux privés virtuels


Les VPNs (Virtual Private Networks) sont un des moyens d’établir un réseau « virtuel » par dessus un réseau
déjà existant. Ce réseau virtuel est souvent crypté et transmet les données uniquement de et vers certaines
entités qui ont rejoint le réseau. Les VPNs sont souvent utilisés pour connecter quelqu’un travaillant chez lui
par dessus Internet public sur le réseau interne de sa compagnie.
Si vous utilisez un pare-feu Linux en masquage et avez besoin de faire passer des paquets MS PPTP (le produit
point-à-point VPN de Microsoft), il y a un correctif de noyau qui fait cela. Voir : ip-masq-vpn (ftp://ftp.
rubyriver.com/pub/jhardin/masquerade/ip_masq_vpn.html).
Il y a plusieurs solutions GNU/Linux VPN disponibles:

• vpnd . Voir http://sunsite.auc.dk/vpnd/ (http://sunsite.auc.dk/vpnd/).


• Free S/Wan , disponible à http://www.xs4all.nl/~freeswan/ (http://www.xs4all.nl/~freeswan/)
• ssh peut être utilisé pour construire un VPN. Voir le mini-howto VPN pour plus d’information.
• vps (serveur privé virtuel) à http://www.strongcrypto.com (http://www.strongcrypto.com).
• vtun (tunnel virtuel) sur le site Web sourceforge (http://vtun.sourceforge.net/).
• yavipin (http://yavipin.sourceforge.net).

Consultez aussi la section sur IPSEC pour des références vers plus d’information.

11.9. Préparation de sécurité (avant de vous connecter)


OK, vous avez vérifié tout votre système, et estimé qu’il était aussi sûr que possible, et vous êtes prêt à le
mettre en ligne. Il y a quelques petites choses que vous devriez faire maintenant pour vous préparer à une
intrusion, de sorte que vous puissiez rapidement déjouer l’intrus, récupérer le système et sa bonne marche.

161
Chapitre 11. De la sécurité sous GNU/Linux

11.9.1. Faites une sauvegarde complète de votre machine


Discuter des méthodes de sauvegarde et de stockage est hors de la portée de ce chapitre mais voici quelques
mots au sujet des sauvegardes et de la sécurité :
Si vous avez moins de 650Mo de données sur une partition, une copie sur CD-R de vos données est un bon
moyen (difficile à modifier ensuite, et, si stocké correctement, peut durer longtemps). Bandes et autres médias
réinscriptibles devraient être protégés contre l’écriture dès que la sauvegarde est complète, puis vérifiés pour
empêcher la modification. Assurez vous de stocker vos sauvegardes dans un endroit sûr hors ligne. Une bonne
sauvegarde vous fournira un bon point de départ pour restaurer votre système.

11.9.2. Choisir un bon planning de sauvegardes


Un cycle à six bandes est facile à gérer. Il comprends quatre bandes pour la semaine, une pour chaque ven-
dredi pair, et une dernière pour les vendredis impairs. Faites une sauvegarde incrémentale chaque jour, et une
sauvegarde complète sur la bande du vendredi appropriée. Si vous faites un changement particulièrement
important ou ajoutez des données importantes à votre système, une sauvegarde complète est recommandée.

11.9.3. Tester vos sauvegardes


Vous devriez faire des tests périodiques de vos copies de sauvegarde pour vous assurer qu’elles fonctionnent
correctement. Les restaurations de fichiers et leur vérification auprès des données réelles, la taille et le listage
des copies, et la lecture de vieilles copies de sauvegarde devraient être faites sur une base régulière.

11.9.4. Sauvegardez votre base de données RPM


Dans l’éventualité d’une intrusion, vous pouvez utiliser votre base de données RPM comme vous utiliseriez
tripwire, mais uniquement si vous pouvez être sûr qu’elle n’a pas été modifiée elle non plus. Vous devriez
copier votre base de données RPM sur une disquette, et garder tout le temps cette dernière hors-ligne.
Les fichiers /var/lib/rpm/fileindex.rpm et /var/lib/rpm/packages.rpm ne tiendront sans doute pas sur
une seule disquette. Mais compressés, ils devraient tenir chacun sur une.
Maintenant, si votre système est corrompu, vous pouvez utiliser la commande :
root# rpm -Va

pour vérifier tous les fichiers du système. Consultez la page de man de rpm, car il y a quelques autres options
qui peuvent être inclues pour le rendre moins verbeux. Gardez à l’esprit que vous devez aussi être sûr que
votre binaire RPM n’a pas lui aussi été corrompu.
Cela signifie que chaque fois qu’un nouveau RPM est ajouté au système, la base de données RPM devra être
archivée à nouveau. Vous devrez peser les avantages et les inconvénients.

11.9.5. Gardez trace des données de journalisation du système


Il est très important que l’information générée par syslog ne soit pas corrompue. Rendre les fichiers de /var/
log en lecture et écriture par un seul petit nombre d’utilisateurs est un bon début.
Assurez vous de garder un œil sur ce qui y est écrit, spécialement sous la rubrique auth. Des échecs de
connexion répétés par exemple, peuvent révéler une tentative de viol.
Vous pourrez regarder dans /var/log et consulter messages, mail.log, et d’autres.
Vous voudrez aussi configurer votre script de rotation des logs pour les garder plus longtemps de sorte que
vous ayez le temps de les examiner. Jetez un coup d’œil à la commande logrotate et sa page de man.
Si vos fichiers de logs ont été corrompus, essayez de déterminer à partir de quand commence la corruption,
et quelles choses semblent être corrompues. Y a-t-il de longues périodes sans logs? Regarder dans les sauve-
gardes les fichiers de logs originels est une bonne idée.
Les intrus modifient généralement les fichiers de logs pour effacer leurs traces, mais on devrait néanmoins y
chercher des événements inhabituels. Vous pourriez remarquer l’intrus en train d’essayer d’obtenir l’accès, ou

162
Chapitre 11. De la sécurité sous GNU/Linux

exploiter un programme pour obtenir le compte root. Vous devriez voir des entrées de log avant que l’intrus
n’ait eu le temps de les modifier.
Vous devriez aussi vous assurer de bien séparer les entrées auth des autres données de log, y inclus les ten-
tatives de changer d’utilisateur en utilisant su, tentatives de connexion, et autres informations des comptes
utilisateurs.
Si possible, configurez syslog pour envoyer une copie des données les plus importantes vers un système sûr.
Cela empêchera un intrus d’effacer ses traces en effaçant ses tentatives de login/su/ftp/etc. Voir la page de
man de syslog.conf, et consulter l’option @.
Il y a plusieurs programmes syslogd plus évolués. Consultez http://www.core-sdi.com/ssyslog/ (http:
//www.core-sdi.com/ssyslog/) pour Secure Syslog . Secure Syslog vous permet de crypter vos entrées
syslog et vous assure que personne ne les a modifiées.
Un autre syslogd avec plus de fonctions est syslog-ng (http://www.balabit.hu/en/downloads/syslog-ng/).
Il permet beaucoup plus de flexibilité dans la journalisation et peut crypter vos flots syslog distants pour
empêcher leur corruption.
Enfin, les fichiers de log sont encore plus inutiles lorsque personne ne les lit. Prenez un peu de temps réguliè-
rement pour parcourir vos fichiers de log, et imprégnez vous de ce à quoi ils ressemblent les jours normaux.
Cela peut vous aider à repérer les choses anormales.

11.9.6. Appliquez toutes les nouvelles mises à jour système.


A cause du rythme rapide des correctifs de sécurité, de nouveaux programmes (corrigés) sont sans arrêt pu-
bliés. Avant de connecter votre machine au réseau, c’est une bonne idée de lancer MandrakeUpdate (sur une
autre machine connectées à Internet bien sûr) et installer tous les paquetages mis à jour depuis que vous avez
reçu vos CD-ROM. Souvent, ces paquetages contiennent d’importants correctifs de sécurité, c’est donc une
bonne idée de les installer.

11.10. Que faire, avant et pendant une effraction


Alors vous avez suivi les conseils donnés ici (ou ailleurs) et avez détecté une effraction? La première chose
à faire est de garder votre calme. Des actions précipitées peuvent causer plus de dégâts que ce qu’aurait fait
l’attaquant.

11.10.1. Violation de sécurité sur le vif.


Repérer une violation de sécurité sur le vif peut être une expérience stressante. Comment vous réagissez peut
avoir de graves conséquences.
Si la violation que vous voyez est physique, il y a des chances que vous voyiez quelqu’un en train de vio-
ler votre maison, bureau ou laboratoire. Vous devriez avertir les autorités locales. Dans un laboratoire, vous
pourriez voir quelqu’un en train d’essayer d’ouvrir un boîtier ou de redémarrer une machine. Suivant votre
compétence et le règlement, vous pouvez leur demander d’arrêter ou contacter le personnel de sécurité local.
Si vous avez détecté un utilisateur local en train d’essayer de compromettre votre sécurité, la première chose
à faire est de confirmer qu’il est bien celui que vous pensez. Vérifiez le site depuis lequel il est connecté. Est-
ce le site habituel? Non? Alors utilisez un moyen non électronique pour rentrer en contact. En l’occurrence,
appelez le par téléphone ou allez à leur bureau/maison pour lui parler. S’ils admettent qu’ils sont connec-
tés, vous pouvez leur demander d’expliquer ce qu’ils étaient en train de faire ou leur intimer d’arrêter. S’ils
ne sont pas connectés, et n’ont aucune idée de ce dont vous parlez, l’incident demandera sans doute plus
d’investigations. Examinez bien chaque incident, et récoltez le plus d’information possible avant de faire une
quelconque accusations.
Si vous avez détecté une violation réseau, la première chose à faire (si vous le pouvez) est de déconnecter
votre réseau. S’ils sont connectés par modem, débranchez le câble du modem; s’ils sont connectés par Ether-
net , déconnectez le câble Ethernet . Cela les empêchera de faire plus de dommages, et ils interpréteront cela
comme un problème réseau plutôt qu’une détection.

163
Chapitre 11. De la sécurité sous GNU/Linux

Si vous ne pouvez pas déconnecter le réseau (si vous avez un site occupé, ou n’avez pas le contrôle phy-
sique des machines), la meilleure étape suivante est d’utiliser quelque chose comme les encapsuleurs TCP ou
ipfwadm pour refuser l’accès au site de l’intrus.
Si vous ne pouvez pas refuser tous les utilisateurs du même hôte que celui de l’intrus, bloquer le compte de
cet utilisateur devrait fonctionner. Notez que bloquer un compte n’est pas chose aisée. Vous devez prendre en
compte les fichiers .rhosts, accès FTP, et une foule de portes dérobées possibles.
Après que vous avez fait l’une des choses précédentes (déconnecté le réseau, refusé l’accès depuis leur site,
et/ou désactivé leur compte), vous devez tuer tous leurs processus utilisateurs et les déconnecter.
Vous devriez soigneusement surveiller votre site dans les minutes qui suivent, car l’attaquant pourra essayer
de revenir. Peut-être en utilisant un autre compte, et/ou en utilisant une autre adresse réseau.

11.10.2. La violation de sécurité a déjà eu lieu


Alors vous avez détecté une violation qui a déjà eu lieu ou vous l’avez détectée et avez mis dehors (espérons-
le) l’intrus. Et maintenant?

11.10.2.1. Fermer le trou


Si vous pouvez trouver le moyen qu’a utilisé l’attaquant pour pénétrer votre système, vous devriez essayer de
boucher ce trou. En l’occurrence, vous verrez peut-être plusieurs entrées FTP juste avant que l’utilisateur ne se
connecte. Désactivez le service FTP et recherchez s’il existe une version mise à jour, ou si une liste quelconque
connaît un remède.
Consultez tous vos fichiers de log, et faites une visite à vos listes de sécurité et sites Web pour voir s’il n’y a pas
un nouveau trou que vous pourriez boucher. Vous pouvez trouver les mises à jour de sécurité de Mandrake
Linux en lançant MandrakeUpdate régulièrement.
Il y a maintenant un projet d’audit de sécurité GNU/Linux . ils explorent méthodiquement tous les utilitaires
utilisateurs à la recherche de possibles exploitations détournées et débordements. Extrait de leur annonce :
« Nous tentons un audit systématique des sources GNU/Linux avec le but de devenir aussi sûr que OpenBSD .
Nous avons déjà découvert (et résolu) quelques problèmes, mais plus d’aide serait la bienvenue. La liste n’est
pas modérée et est aussi une source utile pour des discussions générales de sécurité. La liste de l’adresse
est : security-audit@ferret.lmh.ox.ac.uk. Pour vous inscrire, envoyez un message à : security-audit-
subscribe@ferret.lmh.ox.ac.uk »
Si vous ne gardez pas l’intrus hors de portée, il reviendra sans doute. Pas seulement sur votre machine, mais
quelque part sur votre réseau. S’il utilisait un renifleur de paquets, il y a de bonnes chances qu’ils aient accès
à d’autres machines locales.

11.10.2.2. Évaluer les dégâts


La première chose à faire est d’évaluer les dégâts. Qu’est-ce qui a été corrompu? Si vous utilisez un contrôleur
d intégrité tel que Tripwire , vous pouvez le lancer pour exécuter une vérification d’intégrité, et cela devrait
vous aider à dire ce qui a été corrompu. Sinon, vous devrez vérifier toutes vos données importantes.
Du fait que les systèmes GNU/Linux deviennent de plus en plus facile à installer, vous devriez envisager de
sauvegarder vos fichiers de configuration pour effacer vos disques puis réinstaller GNU/Linux , et restaurer les
fichiers utilisateurs et fichiers de configuration des sauvegardes. Cela assurera que vous avez à nouveau un
système propre. Si vous devez sauvegarder des données depuis le système corrompu, soyez particulièrement
vigilant avec tous les binaires que vous restaurez, car ils pourraient contenir des chevaux de Troie, placés là
par l’intrus.
La Réinstallation devrait être considérés obligatoire après qu’un intrus a obtenu l’accès root. De plus, vous
voudrez sans doute garder toutes les preuves, avoir un disque de rechange est donc recommandé.
Vous devez alors vous préoccuper de la date de l’intrusion, et si la sauvegarde contient alors du travail en-
dommagé.

164
Chapitre 11. De la sécurité sous GNU/Linux

11.10.2.3. Sauvegardes, Sauvegardes, Sauvegardes!


Faire des sauvegardes régulières est une aubaine pour les problèmes de sécurité. Si votre système est com-
promis, vous pouvez restaurer les données dont vous avez besoin des sauvegardes. Bien sûr, des données
intéressent l’intrus aussi, et ils ne feront pas que la détruire, ils la voleront et garderont leur propre copie; Mais
au moins vous aurez encore vos données.
Vous devriez vérifier plusieurs sauvegardes en arrière avant de restaurer un fichier qui a été compromis.
L’intrus pourrait avoir compromis vos fichiers il y a longtemps, et vous pourriez avoir fait plusieurs sauve-
gardes valides du fichier corrompu!
Bien sûr, il y a aussi une flopée de soucis avec les sauvegardes. Assurez vous de les stocker dans un endroit
sûr. Soyez informé de qui y accède. (Si un attaquant peut obtenir vos sauvegardes, il peut accéder à toutes vos
données sans que vous vous en rendiez compte.)

11.10.2.4. Pister l’intrus.


OK, vous avez mis l’intrus hors de portée, et récupéré votre système, mais vous n’avez pas tout à fait fini
encore. Bien qu’il soit improbable que la plupart des intrus soient jamais pris, vous devriez dénoncer l’attaque.
Vous devriez rendre compte de l’attaque au contact administratif du site depuis lequel l’attaquant s’en est pris
à votre système. Vous pouvez rechercher ce contact avec whois ou la base de données Internic. Vous devriez
leur envoyer un courriel avec toutes les entrées de log concernées, dates et heures. Si vous avez remarqué quoi
que ce soit d’autre distinctif à propos de l’intrus, vous devriez le mentionner de même. Après avoir envoyé
le courriel, vous devriez (si vous y êtes disposé) le faire suivre d’un appel téléphonique. Si cet administrateur
repère lui aussi l’attaquant, il pourrait être capable de contacter l’administrateur du site depuis lequel il vient,
et ainsi de suite.
Les bons crackers utilisent souvent plusieurs systèmes intermédiaires, certains (ou plusieurs) desquels pouvant
ne pas même être au courant qu’ils ont été violé. Essayer de pister un cracker jusqu’à son système de base peut
être difficile. En restant poli avec les administrateurs auxquels vous parlez peut être utile pour obtenir de l’aide
de leur part.
Vous devriez aussi avertir toutes les organisations de sécurité dont vous faites partie, (CERT (http://www.
cert.org/) ou autre), ainsi que MandrakeSoft: mandrakelinux.com (http://www.mandrakelinux.com/en/
security.php3)

11.11. Documents de base


Il y a beaucoup de bons sites sur la sécurité UNIX en général et GNU/Linux en particulier. Il est tés important
de s’abonner à une (ou plus) des listes de diffusion de sécurité et être informé des mises à jours de sécurité. La
plupart de ces listes ont peu de trafic, et un contenu très informatif.

11.11.1. Références LinuxSecurity.com


Le site Web de LinuxSecurity.com pullulent de références en matière de sécurité Linux et Open Source, les-
quelles sont écrites par le personnel de LinuxSecurity staff ainsi que des experts d’à travers le monde.

• Linux Advisory Watch (http://www.linuxsecurity.com/vuln-newsletter.html) — un bulletin d’information


compréhensif qui souligne les vulnérabilités de sécurité qui ont été annoncées dans la semaine. Il inclut des
astuces pour actualiser les paquetages, ainsi qu’une description de chacune des vulnérabilités ;
• Linux Security Week (http://www.linuxsecurity.com/newsletter.html) — le but de ce document est de
fournit à ses lecteurs un résumé des annonces les plus pertinentes du monde Linux au cours de la semaine ;
• Linux Security Discussion List (http://www.linuxsecurity.com/general/mailinglists.html) — cette
liste de discussion s’adresse à ceux et celles qui voudraient poser des questions ou émettre des commentaire
généraux relatifs à la sécurité ;
• Linux Security Newsletters (http://www.linuxsecurity.com/general/mailinglists.html) — informa-
tion d’abonnement pour tous les bulletins de nouvelles ;

165
Chapitre 11. De la sécurité sous GNU/Linux

• comp.os.linux.security FAQ (http://www.linuxsecurity.com/docs/colsfaq.html) — Foire aux ques-


tions dotée de réponses provenant du groupe de nouvelles comp.os.linux.security.
• Linux Security Documentation (http://www.linuxsecurity.com/docs/) — un excellent point de départ
pour obtenir de l’information relative à la sécurité dans les environnements Linux et Open Source.

11.11.2. Sites FTP


Le CERT (Computer Emergency Response Team) est l’équipe de réponses aux urgences informatiques. Ils émettent
souvent des alertes sur les attaques actuelles et des solutions. Consultez ftp://ftp.cert.org (ftp://ftp.cert.
org) pour plus d’information.
ZEDZ (anciennement Replay) (http://www.zedz.net (http://www.zedz.net)) possède des archives de plu-
sieurs programmes de sécurité. Comme ils sont situés en dehors des USA, ils n’ont pas à respecter les lois de
restriction au sujet de la cryptographie.
Matt Blaze est l’auteur de CFS et un grand défenseur de la sécurité. Les archives de Matt sont disponibles à
ftp://ftp.research.att.com/pub/mab (ftp://ftp.research.att.com/pub/mab)
tue.nl est un gros site FTP en Hollande. ftp.win.tue.nl (ftp://ftp.win.tue.nl/pub/security/)

11.11.3. Sites Web

• La FAQ des hackers : The Hacker FAQ (http://www.plethora.net/~seebs/faqs/hacker.html) ;


• L’archive COAST possède un grand nombre de programmes de sécurité pour UNIX et des informations :
COAST (http://www.cerias.purdue.edu/coast/) ;
• Page sécurité de SuSe : http://www.suse.de/security/ (http://www.suse.de/security/) ;
• Rootshell (http://www.rootshell.com/) est un bon site pour voir les attaques actuellement utilisées par les
crackers.
• BUGTRAQ publie des conseils sur des problèmes de sécurité : BUGTRAQ archives (http://online.
securityfocus.com/archive/1) ;
• Le CERT (Computer Emergency Response Team), la célèbre équipe émet des avis sur des attaques courantes
sur les plates-formes UNIX : CERT (http://www.cert.org/) ;
• Dan Farmer est l’auteur de SATAN et beaucoup d’autres outils de sécurité. Sa page personnelle présente
plusieurs études informatives de sécurité, ainsi que des outils de sécurité (http://www.trouble.org/
security/) ;
• Le GNU/Linux security WWW est un bon site pour la sécurité GNU/Linux : Linux Security WWW (http:
//www.aoy.com/Linux/Security/)
• Infilsec a un moteur de recherche de vulnérabilités qui vous informe des faiblesses qui affectent une plate-
forme spécifique (http://www.infilsec.com/vulnerabilities/) ;
• Le CIAC envoie de bulletins périodiques de sécurité sur les attaques courantes (http://ciac.llnl.gov/
cgi-bin/index/bulletins) ;
• Un bon point de départ pour les modules d’authentification additionnels GNU/Linux (PAM) peut être trouvé
à kernel.org (http://www.kernel.org/pub/linux/libs/pam/).
• WWW Security FAQ (http://www.w3.org/Security/Faq/www-security-faq.html), écrit par Lincoln
Stein, est une bonne référence Web sur la sécurité.

166
Chapitre 11. De la sécurité sous GNU/Linux

11.11.4. Listes de diffusion


Liste de sécurité Mandrake Linux : vous pouvez être informé de chaque correctif de sécurité en vous abon-
nant à notre liste : http://www.mandrakelinux.com/fr/security.php3 (http://www.mandrakelinux.com/fr/
security.php3)
Bugtraq : Pour vous abonner à Bugtraq, envoyer un message à listserv@netspace.org contenant dans le corps
« subscribe bugtraq ». (voir le lien ci-dessus pour les archives).
CIAC : Envoyer un message à majordomo@tholia.llnl.gov. Dans le corps du message écrivez : « subscribe
ciac-bulletin »

11.11.5. Livres - Documents imprimés


Il y a un certain nombre de bons livres sur la sécurité. Cette section en cite quelques-uns. En plus des livres
spécialement sur la sécurité, la sécurité est traitée par bon nombre d’autres livres sur l’administration système.

Références

D. Brent Chapman, Elizabeth D. Zwicky, Building Internet Firewalls, 1e Édition Septembre 1995, ISBN 1-56592-
124-0.

Simson Garfinkel, Gene Spafford, Practical UNIX & Internet Security, 2e Édition Avril 1996, ISBN 1-56592-148-8.

Deborah Russell, G.T. Gangemi, Sr., Computer Security Basics, 1e Édition Juillet 1991, ISBN 0-937175-71-4.

Olaf Kirch, Linux Network Administrator’s Guide, 1e Édition Janvier 1995, ISBN 1-56592-087-2.

Simson Garfinkel, PGP: Pretty Good Privacy, 1e Édition Décembre 1994, ISBN 1-56592-098-8.

David Icove, Karl Seger, William VonStorch, Computer Crime A Crimefighter’s Handbook, 1ère édition août 1995,
ISBN 1-56592-086-4.

John S. Flowers, Linux Security, New Riders, Mars 1999, ISBN 0735700354.

Anonymous, Maximum Linux Security : A Hacker’s Guide to Protecting Your Linux Server and Network, Juillet 1999,
ISBN 0672313413.

Terry Escamilla, Intrusion Detection, John Wiley and Sons, Septembre 1998, ISBN 0471290009.

Donn Parker, Fighting Computer Crime, John Wiley and Sons, Septembre 1998, ISBN 0471163783.

11.12. Foire aux questions


Q : Est-il plus sûr de compiler un gestionnaire de périphérique directement dans le noyau, plutôt que d’en
faire un module ?
R : Certaines personnes pensent qu’il vaut mieux désactiver la possibilité de charger des gestionnaires de
périphériques sous forme de modules, car un intrus pourrait charger un module cheval de Troie ou un module
qui pourrait affecter la sécurité du système.
De toute façon, pour pouvoir charger des modules, vous devez être root. Les fichiers modules objets ne
peuvent aussi qu’être écrits par root. Cela signifie qu’un intrus aurait besoin d’un accès root pou insérer
un module. Si un intrus obtient l’accès root, il y a des choses plus sérieuses à propos desquelles se préoccuper
que de savoir s’il voudra charger un module.
Les modules sont faits pour le chargement dynamique de gestionnaire de périphériques rarement utilisés. Sur
des machines serveurs ou pare-feu, en l’occurrence, cela est très improbable. Pour cette raison, il devrait être
plus logique de compiler les gestionnaires directement dans le noyau pour des machines agissant en tant que
serveurs. Les modules sont aussi plus lents que les gestionnaires compilés directement dans le noyau.

167
Chapitre 11. De la sécurité sous GNU/Linux

Q : Pourquoi se connecter comme root d’une machine distante échoue ?


R : Lisez Sécurité pour root , page 140. Cela est fait à dessein pour empêcher des utilisateurs distants de se
connecter via telnet à votre machine comme root, ce qui est une vulnérabilité sérieuse de sécurité, car alors
le mot de passe de root serait transmit, en clair, à travers le réseau. N’oubliez pas : Les intrus potentiels ont
du temps devant eux et peuvent lancer des programmes automatiques pour trouver votre mot de passe.

Q : Comment puis-je activer les extensions SSL d’Apache ?


R : Installez le paquetage mod_ssl et consultez la documentation sur le site Web de mod_ssl (www.modssl.org).

Vous pouvez aussi installer le module mod_sxnet , qui est un gref-


fon pour mod_ssl et permet d’activer le Thawte Secure Extranet.
mod_ssl chiffre les communications, mais mod_sxnet permet en
plus d’authentifier de manière sûre les utilisateurs d’une page Web
grâce à un certificat personnel. Vous pouvez consulter le site Web
de Thawte (http://www.thawte.com/certs/strongextranet/).

Vous devriez aussi essayer ZEDZ net (http://www.zedz.net) qui a plusieurs paquetages pré-compilés, et est
situé en dehors des États-Unis.

Q : Comment puis-je manipuler des comptes les utilisateurs tout en assurant la sécurité ?
R : Votre distribution Mandrake Linux propose un grand nombre d’outils pour changer les propriétés des
comptes utilisateurs.

• Les commandes pwconv et unpwconv peuvent être utilisés pour passer entre des mots de passe fantômes
(shadow) ou non.
• Les commandes pwck et grpck peuvent être utilisées pour vérifier la cohérence des fichiers passwd et group.
• Les commandes useradd, usermod, et userdel peuvent être utilisées pour ajouter, supprimer, et modifier des
comptes utilisateurs. Les commandes groupadd, groupmod, et groupdel feront de même pour les groupes.
• Des mots de passe de groupes peuvent être créÂés en utilisant gpasswd.

Tous ces programmes sont « compatibles shadow » -- c’est à dire, si vous activez les procédures shadow, ils
utiliseront /etc/shadow pour l’information de mots de passes, sinon non.

Q : Comment puis-je protéger des documents HTML particuliers en utilisant Apache ?


R : Je parie que vous ne connaissiez pas apacheweek (http://www.apacheweek.com) ?
Vous pouvez trouver des informations sur l’authentification des utilisateurs sur le site Web de apacheweek
(http://www.apacheweek.com/features/userauth) ainsi que d’autres conseils de sécurité pour serveurs Web
sur le site de Apache (http://www.apache.org/docs/misc/security_tips.html).

11.13. Conclusion
En vous abonnant aux listes de diffusion d’alertes de sécurité, et en vous maintenant au courant, vous pouvez
faire beaucoup pour la sécurité de votre machine. Si vous gardez un œil sur vos fichiers de log et lancer
régulièrement quelque chose comme tripwire, Vous pouvez faire encore plus.
Un niveau raisonnable de sécurité informatique n’est pas difficile à maintenir sur une machine personnelle.
Plus d’effort est nécessaire sur des machines de travail, mais GNU/Linux peut en fait être une plate-forme sûre.
Du fait de la nature du développement de GNU/Linux , des correctifs de sécurité sortent souvent beaucoup
plus rapidement qu’ils ne le font sur des systèmes d’exploitation commerciaux, faisant de GNU/Linux une
plate-forme idéale lorsque la sécurité est une nécessité.

168
Vocabulaire relatif à la sécurité

Voici quelques-uns des termes les plus utilisés en sécurité informatique Un dictionnaire complet de termes
de sécurité informatique est disponible sur le site de LinuxSecurity (http://www.linuxsecurity.com/
dictionary/)

authentication (authentification)
Le processus qui conduit à savoir que les données reçues sont bien les mêmes que celles qui ont été
envoyées, et que celui qui prétend être l’expéditeur est l’expéditeur réel.

bastion Host (hôte bastion)


Un système informatique qui doit être hautement sécurisé car il est vulnérable aux attaques, habituelle-
ment parce qu’il est exposé à Internet et est un point de contact principal pour les utilisateurs de réseaux
internes. Il tire son nom des fortifications extérieures des châteaux médiévaux. Les bastions supervisent
les régions critiques de défense, possédant généralement des murs plus épais, de la place pour plus de
gens d’armes, et l’utile chaudron d’huile bouillante pour décourager les attaquants. Une définition rai-
sonnable pour ce qui nous concerne.

buffer overflow (dépassement de tampon)


Un style de programmation répandu est de ne jamais allouer des tampons suffisamment grands, et ne
pas en vérifier les dépassements. Quand de tels tampons débordent, le programme l’exécutant (démon
ou programme suid ) peut être exploité pour faire autre chose. Cela fonctionne généralement en écrasant
une adresse de retour de fonction sur la pile, de sorte qu’elle pointe vers un autre endroit.

denial of service (dénis de service)


Une attaque qui consomme les ressources de votre ordinateur pour des tâches qu’il n’était pas supposé
effectuer, empêchant de la sorte l’usage des ressources réseau ou autre pour des buts légitimes.

dual-homed Host (hôte à double patrie)


Un ordinateur à usage général possédant au moins deux interfaces réseau.

firewall (pare-feu)
Un composant ou ensemble de composants qui limitent les transferts entre un réseau protégé et Internet,
ou entre deux ensemble de réseaux.
host (hôte)
Un système informatique relié à un réseau.

IP spoofing (Usurpation d’IP)


l’IP Spoofing est une technique d’attaque complexe composée de plusieurs composants. C’est une viola-
tion de sécurité qui trompe des ordinateurs sur des relations de confiance en leur faisant croire qu’ils sont
quelqu’un qu’ils ne sont pas en fait. Il y a un article complet écrit par démon9, route, et infinity dans le
volume Sept, numéro 48 du magazine Phrack.

non-repudiation
La caractéristique d’un destinataire capable de prouver que l’expéditeur de données est bien l’expéditeur
réel, même s’il dément plus tard en être à l’origine.

packet (paquet)
L’unité de communication fondamentale sur Internet.
packet filtering (filtrage de paquets)
L’action qu’un périphérique réalise pour faire du contrôle sélectif sur le flot de données entrant et sortant
d’un réseau. Le filtrage de paquets autorise eu bloque des paquets, généralement en les routant d’un
réseau vers un autre (plus généralement de Internet vers un réseau interne, et vice-versa). Pour accomplir
le filtrage de paquets, vous définissez des règles qui spécifient quels types de paquets (ceux de ou vers
une adresse IP particulière ou un port) doivent être autorisés, et quels autres doivent être bloqués.

perimeter network (réseau périmètre)


Un réseau ajouté entre un réseau protégé et un réseau externe , pour permettre un niveau de sécurité
supplémentaire. Un réseau périmètre est parfois appelé un DMZ.

169
Vocabulaire relatif à la sécurité

proxy server (serveur mandataire)


Un programme qui traite avec les serveurs externes au nom des clients internes. Les clients Proxy parlent
au serveur Proxy, qui relaie les requêtes autorisées du client au serveur réel et relaie la réponse en retour
au client.
superuser (super-utilisateur)
Un nom officieux de root.

170
Chapitre 12. Le réseau sous GNU/Linux

12.1. Copyright
Ce chapitre s’appuie sur un HOWTO de Joshua D. Drake {POET} dont l’original est hébergé sur le site the-
linuxreview.com (http://www.thelinuxreview.com/). La traduction en français est basée sur l’adaptation
française par Jacques.Chion@wanadoo.fr .
Les HOWTOs NET-3/4-HOWTO, NET-3, et Networking-HOWTO, renseignements au sujet de l’installation
et la configuration de réseau prenant en charge Linux. Copyright (©) 1997 Terry Dawson, 1998 Alessandro
Rubini, 1999 Joshua D. Drake {POET} – thelinuxreview.com/ (http://www.thelinuxreview.com/), est un do-
cument LIBRE. Vous pouvez le redistribuer sous les termes de la Licence Publique Générale GNU (GPL).
Les modifications depuis la version « v1.6.9, 3 juillet 2000 », sont (C)opyright 2000 - 2002 MandrakeSoft.

12.2. Comment utiliser ce document ?


Ce document s’organise de haut en bas. La lecture des premières sections, qui fournissent des informations
sur le matériel, est facultative; par contre, il est conseillé d’avoir bien assimilé la section qui concerne les
réseaux avant de poursuivre vers les suivantes qui s’avèreront plus pointues. Le reste du manuel est plus
technologique. Il comporte trois grandes parties : Informations sur Ethernet et IP, Technologies pour matériel
PC le plus courant, et Technologies moins répandues.
La démarche suggérée pour parcourir ce document est donc la suivante :

Lire les sections générales.


Celles-ci s’appliquent à quasiment toutes les technologies qui seront décrites plus loin. Il est donc impor-
tant de les avoir bien saisies. La plupart d’entre vous connaissent sans doute déjà bien le sujet.

Réfléchissez à votre réseau.


Il faudra savoir quelle est ou sera la conception de votre réseau, quels matériels et types de technologies
seront utilisés.

Lisez la section Informations sur IP et Ethernet, page 178 si vous êtes connecté en direct sur un réseau local ou à
Internet :
Cette section traite de la configuration de base d’Ethernet et des différentes possibilités qu’offre Linux,
concernant le réseau, telles que le pare-feu, le routage avancé, etc.

Lisez la suite si les réseaux locaux à bas coût ou les connexions par téléphone vous intéressent
Dans cette section, il s’agira de PLIP, PPP, SLIP, et RNIS : les technologies utilisées habituellement sur les
stations personnelles.

Lisez les sections relatives à vos besoins technologiques spécifiques :


Si ceux-ci diffèrent de IP et/ou de matériel standard, la section finale couvre des détails spécifiques aux
protocoles non IP et au matériel de communication particulier.

Configurez votre réseau.


Si vous avez la ferme intention de vous lancer dans la configuration de votre réseau, il serait prudent de
prévenir tout problème éventuel en lisant attentivement cette partie.

Cherchez de l’aide si nécessaire.


Si certains problèmes, non traités par notre documentation, apparaissent lors de votre installation,
reportez-vous à notre section "Bonnes adresses". Elles vous permettront de crier à l’aide ou simplement
de rapporter l’existence de bogues.

171
Chapitre 12. Le réseau sous GNU/Linux

Amusez-vous !
On peut vraiment prendre son pied sur le réseau. Foncez ! N’hésitez pas !

12.2.1. Les conventions utilisées dans ce document.


Aucune conventions spéciales n’est utilisée ici. Il faudra cependant prêter attention à la façon dont les com-
mandes sont indiquées. Dans la documentation usuelle de UNIX , toute commande à entrer est précédée d’une
invite du shell. Ce document utilisera« user% » comme invite pour les commandes ne nécessitant pas de
privilèges de super utilisateur, et « root# » pour les commandes que l’on doit exécuter comme utilisateur
root. Il nous a semblé préférable d’utiliser« root# » à la place du classique « # » pour éviter toute confusion
avec les extraits de scripts shell, où le signe # (dièse) est utilisé pour définir les lignes de commentaires.
Lorsqu’il sera mentionné « Options de Compilation du noyau », il faudra savoir qu’elles le sont avec le format
utilisé par menuconfig. Elles devraient donc être compréhensibles même dans le cas où on ne serait que peu
familiarisé avec menuconfig. S’il existe un doute quant à la déclaration des options, il suffira de faire marcher
le programme une fois pour voir la question se simplifier d’elle-même.

12.3. Informations générales concernant le réseau sous Linux.

12.3.1. Informations sur la couche réseau de Linux.


Bon nombre d’adresses existe pour dégoter des informations sur le réseau Linux.
Les spécialistes disponibles pullulent. Par exemple, voir la liste sur le site thelinuxreview.com/ (http://www.
thelinuxreview.com/).
Alan Cox, le mainteneur courant du code réseau Linux, offre une page Web explicitant les principaux points
du réseau actuel et l’état de ses nouveaux développements. Son adresse est : www.linux.org.uk (http://www.
linux.org.uk/NetNews.html).
Il existe également un groupe de discussion consacrée au réseau et à ce qui le concerne dans la hiérarchie
Linux, c’est :comp.os.linux.networking (news:comp.os.linux.networking)
On pourra également s’inscrire sur la liste de diffusion, qui permet de poser ses questions sur le réseau Linux,
en envoyant un message électronique :
To: majordomo@vger.rutgers.edu
Subject: (n’importe quoi)
Message:

subscribe linux-net

Lorsque vous faites part d’un problème, n’omettez aucun détail. Plus spécifiquement, indiquez de quelles
versions de logiciels vous vous servez - en particulier celle du noyau, des outils tels que pppd ou dip, et
décrivez précisément la nature exacte des problèmes rencontrés. Il faudra donc noter la syntaxe exacte des
messages d’erreurs reçus, et les commandes que vous avez exécutées.

12.3.2. Où obtenir des informations sur le réseau, non spécifiques à Linux ?
Si vous désirez des informations générales sur TCP/IP, lisez les documents suivants :

Introduction à TCP/IP.
ce document se trouve à la fois sur en version texte (ftp://athos.rutgers.edu/runet/tcp-ip-intro.
doc) et en version postscript (ftp://athos.rutgers.edu/runet/tcp-ip-intro.ps).

172
Chapitre 12. Le réseau sous GNU/Linux

Administration TCP/IP.
ce document se trouve à la fois sur en version texte (ftp://athos.rutgers.edu/runet/tcp-ip-admin.
doc) et en version postscript (ftp://athos.rutgers.edu/runet/tcp-ip-admin.ps).

Si vous recherchez des informations plus détaillées, ceci est très recommandé :
« Internetworking with TCP/IP, Volume 1 :principes, protocoles et architectures, par Douglas E. Comer,
ISBN 0-13-227836-7, Prentice Hall publications, 3ème édition, 1995. »
Si vous voulez apprendre comment écrire des applications réseau dans un environnement compatible avec
UNIX , je vous recommande également :
« Unix Network Programming par W. Richard Stevens ISBN 0-13-949876-1, Prentice Hall publications, 1990. »
Une deuxième édition de ce livre est disponible en trois volumes, consultez le site Web de Prentice-Hall (http:
//www.phptr.com/) pour plus d’information.
Vous pouvez essayer aussi le groupe de discussions :comp.protocols.tcp-ip (news:comp.protocols.tcp-ip).
Une importante source d’informations techniques concernant Internet et la suite des protocoles TCP/IP sont
les RFC. RFC est l’acronyme de « Request For Comment », c’est le moyen habituel de soumettre et de
s’informer des normes de protocoles Internet. Il y a beaucoup d’endroits où sont stockées ces RFC. Beau-
coup de ceux-ci sont des sites FTP, d’autres fournissent des accès WWW avec un moteur de recherche qui
cherche les bases de données RFC avec des mots-clés particuliers.
Une source possible de RFC est :la base de données RFC de Nexor (http://pubweb.nexor.co.uk/public/
rfc/index/rfc.html).

12.4. Informations générales sur la configuration du réseau


Vous devez connaître et bien comprendre les paragraphes suivants avant d’essayer de configurer votre réseau.
Ce sont des principes de base qui s’appliquent, indépendamment de la nature du réseau que vous voulez
mettre en place.

12.4.1. De quoi ai-je besoin pour démarrer ?


Avant de commencer à construire ou configurer votre réseau, vous aurez besoin de certaines choses. Les plus
importantes sont :

12.4.1.1. Sources du noyau récentes (optionnel)

Votre distribution Mandrake Linux est livrée avec l’option réseau


activée, de sorte que vous n’avez pas besoin de recompiler le noyau.
Si vous utilisez du matériel bien connu, tout ira bien. Par exemple :
cartes 3COM, cartes NE2000 ou cartes Intel. Cependant si vous
devez recompiler le noyau, voyez les informations qui suivent.

Si le noyau que vous utilisez actuellement ne reconnaît pas les types de réseau ou les cartes dont vous avez
besoin, il vous faudra les sources du noyau pour pouvoir le recompiler avec les options adéquates.
Mais tant que vous conservez un matériel de grande diffusion, il n’est pas nécessaire de recompiler le noyau,
à moins que vous n’ayez un besoin bien particulier
Vous pouvez toujours obtenir les sources du dernier noyau sur : sunsite.unc.edu (ftp://sunsite.unc.
edu/pub/linux/kernel.org/pub/linux/kernel/). Ce n’est pas le site officiel mais ils ont BEAUCOUP de
bande passante et BEAUCOUP d’utilisateurs peuvent se connecter en même temps. Le site officiel est ker-
nel.org, mais dans la mesure du possible, il est recommandé d’utiliser ce dernier. Il faut en effet se rappe-
ler que ftp.kernel.org est particulièrement surchargé. Utilisez un miroir. (NdT :et bien sûr ftp.lip6.fr (ftp:
//ftp.lip6.fr/pub/linux/kernel/sources/)).
Les sources du noyau doivent être décompactées dans le répertoire /usr/src/linux. Pour savoir com-
ment appliquer les correctifs et compiler le noyau, lisez le Kernel-HOWTO (http://linuxdoc.org/HOWTO/
Kernel-HOWTO.html). Pour savoir comment configurer les modules du noyau, lisez le Modules-mini-HOWTO.

173
Chapitre 12. Le réseau sous GNU/Linux

Enfin, le fichier README qui se trouve dans les sources du noyau ainsi que le répertoire Documentation four-
nissent d’amples renseignements au lecteur courageux.
Sauf indication contraire, il est recommandé de s’en tenir à une version stable du noyau (celle qui comporte
un chiffre pair en seconde place dans le numéro de version). Il est possible que les versions de développe-
ment (chiffre impair en seconde place du numéro de version) posent certains problèmes avec les logiciels de
votre système (problèmes de structure ou autre). Si vous ne pensez pouvoir résoudre ce type de problèmes
particulier ou ceux qui risqueraient également de se présenter sur d’autres logiciels, il vaut mieux ne pas les
utiliser.

12.4.1.2. Adresses IP : explication


Les adresses de protocole Internet (IP) sont composées de quatre octets.1. La convention d’écriture est appelée
« notation décimale pointée ». Sous cette forme chaque octet est converti en un nombre décimal (0-255), les
zéros de tête (à moins que ce nombre ne soit lui-même un zéro) étant omis et chaque octet séparé par le
caractère « . ». Par convention, chaque interface d’un hôte ou routeur possède une adresse IP. Il est permis,
dans certaines circonstances, d’utiliser la même adresse IP sur différentes interfaces d’une même machine,
mais, en général, chaque interface possède sa propre adresse.
Les réseaux IP (protocole Internet) sont des séquences contiguës d’adresses IP. Toutes les adresses d’un même
réseau ont des chiffres en commun. La partie de l’adresse commune à toutes les adresses d’un réseau s’appelle
la « partie réseau » de l’adresse. Les chiffres restants s’appellent « partie hôte ». Le nombre de bits partagé par
toutes les adresses d’un même réseau est appelé « masque de réseau » (netmask) et c’est le rôle du masque de
réseau de déterminer quelles adresses appartiennent ou non à « son » réseau. Par exemple :

Adresse hôte (host address) 192.168.110.23


Masque de réseau (network mask) 255.255.255.0
Partie réseau (network portion) 192.168.110.
Partie hôte (host portion) .23

Adresse réseau (network address) 192.168.110.0


Adresse de diffusion (broadcast address) 192.168.110.255

Si on effectue un ET logique sur une adresse avec son masque de réseau, on obtient l’adresse du réseau auquel
elle appartient. L’adresse du réseau, par conséquent, sera l’adresse de plus petit nombre dans l’ensemble des
adresses de la plage du réseau et aura toujours la partie hôte codée avec des zéros.
L’adresse de diffusion est une adresse spéciale que chaque hôte du réseau écoute en même temps que son
adresse personnelle. Cette adresse est celle à laquelle les datagrammes sont envoyés si tous les hôtes du réseau
sont en mesure de les recevoir. Certains types de données telles que les informations de routage et les messages
d’alerte sont transmis vers l’adresse de diffusion de telle sorte que tous les hôtes du réseau peuvent les recevoir
en même temps. Il y a deux standards utilisés de manière courante pour définir ce que doit être l’adresse de
diffusion. Ce qui est le plus courant est de prendre l’adresse la plus haute possible du réseau comme adresse
de diffusion. Dans l’exemple ci-dessus ce serait 192.168.110.255. Pour d’autres raisons, certains sites ont
adopté la convention suivante: utiliser l’adresse de réseau comme adresse de diffusion. En pratique cela n’a
guère d’importance. Cependant, il faudra s’assurer que tous les hôtes du réseau possèdent la même adresse
de diffusion dans leur configuration.
Pour faciliter la gestion, il a été décidé, il y a quelque temps, lors du développement du protocole IP, que les
ensembles d’adresses seraient organisés en réseaux et ces réseaux regroupés en "classes" qui fournissent un
certain nombre de réseaux de tailles standards auxquels on peut assigner des adresses. Ces classes sont les
suivantes :

Classe de réseau Masque de réseau Adresses de réseau


A 255.0.0.0 0.0.0.0 - 127.255.255.255
B 255.255.0.0 128.0.0.0 - 191.255.255.255
C 255.255.255.0 192.0.0.0 - 223.255.255.255

1. Pour la version 4 de IP i.e. IPv4

174
Chapitre 12. Le réseau sous GNU/Linux

Classe de réseau Masque de réseau Adresses de réseau


Multicast 240.0.0.0 224.0.0.0 - 239.255.255.255

Le type d’adresse que vous devez utiliser dépend de ce que vous voulez faire exactement. On pourra combiner
les actions suivantes pour obtenir l’ensemble des adresses dont on aura besoin:

Installer une machine Linux sur un réseau IP existant.


Il faudra alors contacter un des administrateurs du réseau pour lui demander les informations suivantes :

• Adresse hôte ;
• Adresse réseau ;
• Adresse de diffusion ;
• Masque de réseau ;
• Adresse de routage ;
• Adresse du serveur de noms de domaine (DNS).

Il vous faudra alors configurer votre réseau Linux à l’aide de ces données, qu’il est donc impossible
d’inventer soi-même en espérant que la configuration fonctionnera.

Construire un réseau tout neuf non connecté à Internet.


Par contre, lors de la construction d’un réseau privé qui ne sera pas connecté à Internet, il est tout à fait
possible de choisir son adresse. Cependant, pour des raisons de sécurité et de fiabilité, il existe quelques
adresses de réseau IP réservées à cet usage. Elles sont spécifiées dans la RFC 1597 et sont les suivantes :

Classe réseau Masque de réseau Adresses de réseau


A 255.0.0.0 10.0.0.0 - 10.255.255.255
B 255.255.0.0 172.16.0.0 - 172.31.255.255
C 255.255.255.0 192.168.0.0 - 192.168.255.255
Tableau 12-1. Allocations pour réseaux privés

Il faudra dans un premier temps décider de la dimension du réseau requis avant de choisir les adresses
nécessaires.

12.4.2. Routage
La question du routage pourrait faire couler beaucoup d’encre. Mais il est fort probable que la plupart des
lecteurs ne nécessitera qu’un routage simple, et les autres aucun! Il ne sera donc question ici que des principes
même du routage. Pour plus amples informations, il est suggéré de se référer au début du présent document.
Commençons par proposer une définition du routage. Par exemple :
« Le routage IP est le processus par lequel un hôte, ayant des connexions réseau multiples, décide du chemin
par lequel délivrer les datagrammes IP qu’il a reçus. »
Donnons une petite illustration. Imaginons un routeur dans un bureau :il peut avoir un lien PPP sur Internet,
un certain nombre de segments Ethernet alimentant les stations de travail et un second lien PPP vers un autre
bureau. Lors de la réception par le routeur d’un datagramme de l’une de ses connexions, le routage est le
mécanisme utilisé pour déterminer vers quelle interface, ce datagramme devra être renvoyé. De simples hôtes
ont besoin aussi de routage, tous les hôtes Internet ayant deux périphériques réseau, l’un étant l’interface
loopback décrite auparavant, et l’autre celui qui est utilisé pour parler avec le reste du monde, soit un lien
Ethernet, soit une interface série PPP ou SLIP.

175
Chapitre 12. Le réseau sous GNU/Linux

Comment fonctionne le routage ? Chaque hôte possède une liste spéciale de règles de routage, appelée une
table de routage. Cette table est composée de colonnes qui contiennent au moins trois champs : le premier
étant une adresse de destination, le deuxième le nom de l’interface vers lequel le datagramme doit être routé
et le troisième, qui est optionnel, l’adresse IP d’une autre machine qui transportera le datagramme vers sa
prochaine destination sur le réseau passerelle. Sur Linux, cette table apparaît à la commande suivante :
user% cat /proc/net/route

ou avec l’une des commandes suivantes :


user% /sbin/route -n
user% /sbin/netstat -r

Le processus de routage est plutôt simple : un datagramme entrant est reçu, l’adresse de destination est exa-
minée et comparée avec chaque entrée de la table. L’entrée qui correspond le mieux à cette adresse est choisie,
et le datagramme est renvoyé vers l’interface spécifiée. Si le champ passerelle est rempli, alors le datagramme
est renvoyé vers cet hôte via l’interface spécifiée, sinon l’adresse de destination est présupposée comme étant
sur le réseau supporté par l’interface.

12.4.2.1. Que fait le programme routé (routed program) ?


La configuration de routage décrite ci-dessus est bien adaptée aux réseaux simples où il n’existe que des
chemins uniques pour parvenir à chaque destination. Plus le réseau est complexe, plus le reste se complique.
Mais heureusement, cela ne concernera pas la plupart d’entre vous.
Le problème majeur est le suivant :dans le cas d’un « routage manuel » ou « routage statique », tel que décrit
ci-dessus, si une machine ou un lien tombe en panne dans le réseau, la seule façon de diriger les datagrammes
vers un autre chemin, s’il existe, sera d’intervenir manuellement en exécutant une série de commandes adé-
quates. Ceci est peu pratique et risqué, impliquant une lourdeur certaine et une certaine lenteur. Dans le cas
d’incidents sur un réseau où plusieurs routes coexistent, diverses techniques ont été mises au point pour que
se règlent automatiquement les tables de routage – ces techniques étant regroupées sous le nom de « protocoles
de routage dynamique ».
Les plus courants sont peut-être déjà connus du lecteur : RIP (Routing Information Protocol) et OSPF (Open
Shortest Path First Protocol). RIP est très souvent utilisé sur réseaux d’entreprise petits et moyens. L’OPSF est
plus moderne, plus apte à gérer de grands réseaux et mieux adapté lorsqu’un grand nombre de chemins sont
possibles à travers le réseau. Les implémentations usuelles de ces protocoles sont : routed – RIP, et gated – RIP,
OSPF et autres. Le programme routé est normalement fourni avec la distribution Linux ou se trouve inclus
dans le paquetage « NetKit » décrit ci-dessus.
Un exemple d’utilisation d’un protocole de routage dynamique ressemblerait à la figure 12-1.

176
Chapitre 12. Le réseau sous GNU/Linux

A B eth0
eth0
192.168.2.0
192.168.1.0 255.255.255.0
255.255.255.0
ppp0 ppp0
ppp1
ppp1

ppp0 ppp1

C eth0
192.168.3.0
255.255.255.0

Figure 12-1. Un exemple de routage dynamique

Nous avons trois routeurs A, B et C. Chacun supporte un segment Ethernet avec un réseau IP de classe C
(masque de réseau 255.255.255.0). Chaque routeur a également une liaison PPP vers chacun des autres rou-
teurs. Ce réseau forme un triangle.
La table de routage sur le routeur A ressemblera évidemment à ceci :
root# route add -net 192.168.1.0 netmask 255.255.255.0 eth0
root# route add -net 192.168.2.0 netmask 255.255.255.0 ppp0
root# route add -net 192.168.3.0 netmask 255.255.255.0 ppp1

Tout fonctionnera à merveille jusqu’à ce que le lien entre A et B tombe en panne. Si cette liaison défaille, alors
l’entrée de routage montre que, sur le segment A, les hôtes ne peuvent en atteindre d’autres sur le segment
B car leurs datagrammes seront dirigés sur le lien ppp0 du routeur A qui est rompu. Ils pourront continuer
à communiquer avec les hôtes du segment C, et ces derniers avec ceux du segment B car la liaison restera
intacte.
Mais, si A peut parler à C et si C peut toujours parler à B, pourquoi A ne routerait-il pas ses datagrammes
pour B via C, et laisserait ensuite C les envoyer à B ? C’est exactement le type de problèmes que les protocoles
de routage dynamique comme RIP sont en mesure de résoudre. Si chacun des routeurs A, B et C utilisent
un Démon de routage (NdT7nbsp;: « démon » est la francisation courante du vocable informatique anglais
daemon, sigle du Disk And Extension MONitor, ce qui signifie « qui n’est pas invoqué manuellement mais
attend en tâche de fond que quelque chose se passe, qu’un quelconque prérequis soit rempli ». Ce terme fut
introduit au départ sous CTSS (Compatible Time Sharing System), un ancêtre du système MULTICS, lui-même
parent de UNIX – voir la traduction de René Cougnenc de Le système Linux de M. Welsh et L. Kaufman chez
O’Reilly International Thomson), alors leurs tables de routage seront automatiquement réglées pour refléter le
nouvel état du réseau même si l’une des liaisons est défectueuse. Configurer un tel réseau est simple, il s’agira
d’accomplir deux choses sur chaque routeur. Pour le routeur A :
root# route add -net 192.168.1.0 netmask 255.255.255.0 eth0
root# /usr/sbin/routed

Le démon de routage routed trouve automatiquement tous les ports actifs vers le réseau quand il démarre et
écoute tous les messages sur chacun des périphériques réseau. Ceci lui permet de déterminer et de mettre à
jour sa table de routage.
Ce qui précède explique brièvement ce qu’est le routage dynamique et la façon de s’en servir. Pour de plus
amples explications, on se reportera à la liste de références du début du présent document.
Récapitulons les points importants relatifs au routage dynamique :

177
Chapitre 12. Le réseau sous GNU/Linux

1. Un démon de routage dynamique n’est nécessaire que lorsque votre machine Linux est capable, de choisir
entre plusieurs routes, pour une destination donnée, par exemple lorsque vous envisagez d’utiliser la
mascarade IP.
2. Le démon de routage dynamique modifiera automatiquement votre table de routage pour tenir compte
des changements survenus dans votre réseau.
3. RIP est adapté aux réseaux de petite et moyenne taille.

12.5. Informations sur IP et Ethernet


Cette section donnera des informations détaillées au sujet d’Ethernet et de la configuration des cartes Ethernet.

12.5.1. Cartes Ethernet prises en charge

12.5.1.1. 3Com

• 3Com 3c501 - à éviter comme la peste (pilote 3c501) ;


• 3Com 3c503 (3c503 driver), 3c505 (3c505 driver), 3c507 (3c507 driver), 3c509/3c509B (ISA) / 3c579 (EISA) ;
• 3Com Etherlink III Vortex Ethercards (3c590, 3c592, 3c595, 3c597) (PCI), 3Com Etherlink XL Boomerang
(3c900, 3c905) (PCI) et Cyclone (3c905B, 3c980) Ethercards (pilote 3c59x) et 3Com Fast EtherLink Ethercard
(3c515) (ISA) (pilote 3c515) ;
• 3Com 3ccfe575 Cyclone Cardbus (pilote 3c59x) ;
• 3Com 3c575 series Cardbus (pilote 3c59x) (la plupart des cartes PCMCIA devraient être reconnues).

12.5.1.2. AMD, ATT, Allied Telesis, Ansel, Apricot

• AMD LANCE (79C960) / PCnet-ISA/PCI (AT1500, HP J2405A, NE1500/NE2100) ;


• ATT GIS WaveLAN ;
• Allied Telesis AT1700 ;
• Allied Telesis LA100PCI-T ;
• Allied Telesyn AT2400T/BT (module « ne ») ;
• Ansel Communications AC3200 (EISA) ;
• Apricot Xen-II / 82596.

12.5.1.3. Cabletron, Cogent, Crystal Lan

• Cabletron E21xx ;
• Cogent EM110 ;
• Crystal Lan CS8920, Cs8900.

178
Chapitre 12. Le réseau sous GNU/Linux

12.5.1.4. Danpex, DEC, Digi, DLink

• Danpex EN-9400 ;
• DEC DE425 (EISA) / DE434/DE435 (PCI) / DE450/DE500 (pilote DE4x5) ;
• DEC DE450/DE500-XA (dc21x4x) (pilote Tulip) ;
• DEC DEPCA et EtherWORKS ;
• DEC EtherWORKS 3 (DE203, DE204, DE205) ;
• DECchip DC21x4x « Tulip » ;
• DEC QSilver (pilote Tulip) ;
• Digi International RightSwitch ;
• DLink DE-220P, DE-528CT, DE-530+, DFE-500TX, DFE-530TX.

12.5.1.5. Fujitsu, HP, ICL, Intel

• Fujitsu FMV-181/182/183/184 ;
• HP PCLAN (séries 27245 et 27xxx) ;
• HP PCLAN PLUS (27247B et 27252A) ;
• HP 10/100VG PCLAN (J2577, J2573, 27248B, J2585) (ISA/EISA/PCI) ;
• ICL EtherTeam 16i / 32 (EISA) ;
• Intel EtherExpress ;
• Intel EtherExpress Pro.

12.5.1.6. KTI, Macromate, NCR NE2000/1000, Netgear, New Media

• KTI ET16/P-D2, ET16/P-DC ISA (fonctionne sans jumpers et avec les options de configuration hardware) ;
• Macromate MN-220P (mode PnP ou NE2000) ;
• NCR WaveLAN ;
• NE2000/NE1000 (se méfier des clones) ;
• Netgear FA-310TX (puce Tulip) ;
• New Media Ethernet.

12.5.1.7. PureData, SEEQ, SMC

• PureData PDUC8028, PDI8023 ;


• SEEQ 8005 ;
• SMC Ultra / EtherEZ (ISA) ;
• SMC 9000 series ;
• SMC PCI EtherPower 10/100 (pilote DEC Tulip) ;
• SMC EtherPower II (pilote epic100.c).

179
Chapitre 12. Le réseau sous GNU/Linux

12.5.1.8. Sun Lance, Sun Intel, Schneider, WD, Zenith, IBM, Enyx

• Adaptateurs Sun LANCE (noyau 2.2 et après) ;


• Adapteurs Sun Intel (noyau 2.2 et après) ;
• Schneider et Koch G16 ;
• Western Digital WD80x3 ;
• Zenith Z-Note / IBM ThinkPad 300 avec adaptateur intégré ;
• Znyx 312 etherarray (pilote Tulip).

12.5.2. Information générales sur Ethernet


Les noms de périphériques Ethernet sont eth0, eth1, eth2 etc. La première carte détectée par le noyau devient
eth0 et le reste est nommé selon l’ordre de détection.
Une fois votre noyau compilé de façon adéquate pour reconnaître les cartes Ethernet, la configuration des
cartes est aisée.
En général, on fera ceci (ce que la plupart des distributions feront automatiquement pour vous, si vous les
avez configurées pour reconnaître votre carte Ethernet) :
root# ifconfig eth0 192.168.0.1 netmask 255.255.255.0 up
root# route add -net 192.168.0.0 netmask 255.255.255.0 eth0

La plupart des pilotes Ethernet ont été mis au point par Donald Becker (mailto:becker@CESDIS.gsfc.nasa.
gov).

12.5.3. Utiliser 2 cartes Ethernet ou plus dans la même machine


Le module gestionnaire va généralement détecter toutes les cartes installées.
L’information issue de la détection est stockée dans le fichier /etc/conf.modules.
Si vous avez 3 cartes NE2000, une à 0x300, une à 0x240 et une à 0x220, il faudra ajouter les lignes suivantes à
votre fichier /etc/conf.modules ::
alias eth0 ne
alias eth1 ne
alias eth2 ne
options ne io = 0x220,0x240,0x300

Le programme modprobe est appelé à rechercher trois cartes du type NE aux adresses en question. Les péri-
phériques auxquels elles devraient être assignées sont également indiqués.
La plupart des modules ISA peuvent prendre de multiples arguments I/O séparés par des virgules. Par
exemple :
alias eth0 3c501
alias eth1 3c501
options eth0 -o 3c501-0 io = 0x280 irq = 5
options eth1 -o 3c501-1 io = 0x300 irq = 7

L’option -o permet à un nom unique d’être assigné à chaque module. La raison en est qu’il est impossible de
charger deux copies d’un même module.
L’option irq= est utilisée pour indiquer l’IRQ matériel et le io= pour les différents ports io.
Par défaut, le noyau GNU/Linux ne teste qu’un seul périphérique Ethernet. Il faudra donc passer des argu-
ments au noyau pour le forcer à détecter les autres cartes.
Pour apprendre à faire fonctionner votre carte réseau sous GNU/Linux référez vous au HOWTO HOWTO
(http://linuxdoc.org/HOWTO/Ethernet-HOWTO.html).

180
Chapitre 12. Le réseau sous GNU/Linux

12.6. Informations relative à IP


Cette section contient des informations sur IP.

12.6.1. DNS
DNS signifie Domain Name System, système responsable de la production du nom d’une machine, tel que
www.mandrakesoft.com avec l’adresse IP de cet ordinateur, c’est-à-dire ici : 216.71.116.162 (à l’heure où
nous mettons sous presse). Avec DNS, la production est disponible dans les deux sens, du nom vers le IP et
vice-versa.
Le DNS est constitué d’un grand nombre d’ordinateurs dans tout le réseau Internet ayant la charge d’un cer-
tain nombre de noms. A chaque machine correspond un serveur DNS auquel il peut se référer pour produire
un nom en particulier avec son adresse. Si ce serveur ne possède pas la réponse, il en fait la demande à un
autre, et ainsi de suite. Il est possible également d’avoir un DNS local qui aurait la charge de produire les
adresses sur votre LAN.
Il est possible de diviser les DNS en deux grandes catégories: DNS antémémoire (caching DNS) et le serveur
DNS maître (master server). Le premier se contente de « se souvenir » de requêtes précédentes auxquelles
il pourra répondre sans reposer la question au serveur DNS maître. Ce dernier est un serveur à utiliser en
dernier recours pour produire une adresse avec un nom - ou pour vérifier qu’un nom produit bien telle ou
telle adresse.

12.6.2. DHCP et DHCPD


DHCP est l’acronyme de Dynamic Host Configuration Protocol. Sa création aura beaucoup simplifié la configu-
ration d’un réseau à hôtes multiples. Nul besoin désormais de configurer chaque hôte séparément, il suffit
d’assigner tous les paramètres utilisés couramment par les hôtes qui partagent un serveur DHCP.
Chaque fois qu’un hôte se connecte, un paquet sera émis au réseau. Ce paquet représente une demande de
configuration par l’hôte à tout serveur DHCP localisé sur le même segment.
DHCP est d’une grande utilité lorsqu’il s’agit d’assigner à chaque hôte une adresse IP, un Netmask, ou un
portail (gateway).

12.7. Utilisation du matériel courant pour PC

12.7.1. RNIS
Le Réseau Numérique à Intégration de Service (RNIS) (en anglais ISDN : Integrated Services Digital Network) est
une série de normes attribuant les caractéristiques particulières d’un réseau de données numériques à usage
général. Un « appel » RNIS permet de synchroniser des données point par point vers la destination. RNIS est
généralement distribué sur une ligne à haut débit, divisée en un certain nombre de canaux discrets. Il existe
deux types de canaux, les « canaux B » qui transportent de fait les données utilisateurs, et un canal unique
appelé « canal D », utilisé pour envoyer les informations de contrôle pendant l’échange RNIS afin d’établir
appels et autres fonctions. En Australie, par exemple, RNIS peut être fourni sur une liaison 2 Mps qui est
divisée en 30 canaux B discrets de 64 kps et un canal D de 64 kps. Le nombre de canaux utilisé en même
temps importe peu, et ceci avec toutes les combinaisons possibles. Vous pouvez par exemple établir 30 appels
différents de 64 kps vers 30 destinations différentes, ou bien 15 appels de 128 kps chacun vers 15 destinations
différentes (2 canaux utilisés par appel), ou seulement un petit nombre d’appels, le reste restant inactif. Un
canal peut être utilisé pour des appels entrants ou sortants. Le but initial de RNIS était de permettre aux
sociétés de Télécommunications de fournir un seul service de données pouvant distribuer soit le téléphone
(avec voix numérisée) ou bien des services de données vers le domicile ou le bureau sans que cela nécessite
des modifications pour obtenir une configuration spéciale.
On pourra connecter son ordinateur à un service RNIS de différentes façons : en utilisant un dispositif appelé
« adaptateur de terminal » qui se branche sur l’unité de terminal réseau que votre opérateur de télécommuni-
cations a installé au moment de l’obtention de votre service RNIS, et qui présente des interfaces séries - une
de ces interfaces est utilisée pour entrer les commandes et établir les appels et la configuration; les autres sont
reliées aux périphériques réseau qui utiliseront les circuits de données quand la connexion sera faite. Linux
peut travailler avec ce type de configuration sans modification. Il suffira de traiter le port de l’adaptateur de

181
Chapitre 12. Le réseau sous GNU/Linux

terminal comme tout périphérique série. L’autre moyen, la raison d’être du support RNIS dans le noyau, vous
permet d’installer une carte RNIS dans votre machine Linux et ce sera le logiciel Linux qui alors prendra en
charge les protocoles et fera lui-même les appels.
Options de compilation du noyau :
ISDN subsystem --->
<*> ISDN support
[ ] Support synchronous PPP
[ ] Support audio via ISDN
< > ICN 2B and 4B support
< > PCBIT-D support
< > Teles/NICCY1016PC/Creatix support

L’implémentation Linux de RNIS reconnaît différents types de cartes internes RNIS dont celles qui sont énu-
mérées dans les options de configuration du noyau :

• ICN 2B et 4B ;
• Octal PCBIT-D ;
• Teles cartes RNIS et compatibles.

Certaines de ces cartes exigent certains logiciels téléchargeables pour être opérationnelles. Il existe pour cela
un utilitaire séparé.
Tous les détails nécessaires à la configuration du support RNIS Linux se trouvent dans le répertoire /usr/src/
linux/Documentation/isdn/ et un document FAQ consacré à isdn4linux est disponible sur lrz-muenchen.de
(http://www.lrz-muenchen.de/~ui161ab/www/isdn/) (une version anglaise existe sous le drapeau de même
nationalité).

Au sujet de PPP. L’ensemble des protocoles PPP fonctionne sur


des lignes série synchrone ou asynchrone. Le démon PPP pppd cou-
ramment distribué pour Linux ne reconnaı̂t que le mode asynchrone.
Si vous désirez utiliser les protocoles PPP avec votre service RNIS,
il vous faudra une version spéciale. Les détails pour la trouver se
trouvent dans la documentation mentionnée ci-dessus.

12.7.2. PLIP
Lors de la mise au point des versions 2.1 du noyau, le support des ports parallèles s’est amélioré.
Options de compilation du noyau :
General setup --->
[*] Parallel port support
Network device support --->
<*> PLIP (parallel port) support

Le nouveau code pour PLIP fonctionne de la même façon (on utilise les mêmes commandes ifconfig et
route comme dans le paragraphe précédent), mais l’initialisation du système est différente en raison de
l’amélioration du support du port parallèle.
Le « premier » périphérique PLIP est toujours appelé plip0 (premier signifiant ici « qui est détecté en premier
par le système » comme pour les périphériques Ethernet). Le port parallèle utilisé de fait est l’un de ceux qui
sont disponibles, comme indiqué dans /proc/parport. Par exemple, si vous n’avez qu’un seul port parallèle,
vous n’aurez qu’un seul répertoire appelé /proc/parport/0.
Si votre noyau ne détecte pas l’IRQ utilisée par votre port parallèle, insmod plip échouera. Dans ce cas, il
vous suffit d’écrire le chiffre qui convient dans /proc/parport/0/irq, ce qui invoque de nouveau insmod.
Une information complète sur la gestion des ports parallèles est disponible dans le fichier Documenta-
tion/parport.txt, qui se trouve dans les sources du noyau.

182
Chapitre 12. Le réseau sous GNU/Linux

12.7.3. PPP
De par la nature, la taille, la complexité et la flexibilité de PPP, il possède maintenant son propre HOWTO.
Le PPP-HOWTO est toujours un document du Linux Documentation Project (http://www.linuxdoc.org),
dont la page officielle se situe sur le site Web thelinuxreview.com (http://www.thelinuxreview.com), dans la
section PPP (http://www.thelinuxreview.com/howto/ppp).

12.8. Autres technologies de réseau


On traitera, dans ce qui suit et par ordre alphabétique, de certaines technologies de réseau. Précisons, cepen-
dant, que ces informations ne s’appliquent pas nécessairement telles quelles à d’autres types de technologies
de réseau.

12.8.1. ARCNet
Les noms du système ARCNet sont arc0e, arc1e, arc2e etc., ou arc0s, arc1s, arc2s etc. À la première carte
détectée par le noyau, est assigné arc0e ou arc0s, le reste sera assigné de façon séquentielle selon leur ordre
de détection. La lettre finale indique votre choix :le format de paquet par encapsulation Ethernet ou le format
de paquet RFC1051.
Options de compilation du noyau. :
Network device support --->
[*] Network device support
<*> ARCnet support
[ ] Enable arc0e (ARCnet "Ether-Encap" packet format)
[ ] Enable arc0s (ARCnet RFC1051 packet format)

Une fois votre noyau construit pour reconnaître votre carte Ethernet, la configuration de celle-ci est très aisée.
On utilisera quelque chose comme ceci :

root# ifconfig arc0e 192.168.0.1 netmask 255.255.255.0 up


root# route add -net 192.168.0.0 netmask 255.255.255.0 arc0e

Se référer à la documentation /usr/src/linux/Documentation/networking/arcnet.txt et à /usr/src/


linux/Documentation/networking/arcnet-hardware.txt pour plus ample information.
Le support pour ARCNet a été mis au point par Avery Pennarun, apenwarr@foxnet.net.

12.8.2. Appletalk (AF_APPLETALK)


Le support Appletalk n’a pas de nom de système spécifique puisqu’il se sert des systèmes réseau existants.
Options de compilation du noyau. :
Options de réseau --->
<*> Appletalk DDP

Le support Appletalk permet à votre machine Linux d’interagir avec les réseaux Apple. Il sera d’une grande
utilité pour partager imprimantes ou disquettes, etc..., entre les deux systèmes. Un matériel logiciel supplé-
mentaire sera requis appelé netatalk. netatalk@umich.edu de Wesley Craig est le représentant d’une équipe,
appelée le « Research Systems Unix Group » basé à l’Université du Michigan, qui a produit le paquetage ne-
tatalk qui permet d’implémenter le protocole Appletalk ainsi que d’autres utilitaires... utiles. Le paquetage
netatalk vous aura été fourni avec votre distribution Linux. Sinon vous pourrez la télécharger à partir de
University of Michigan (ftp://terminator.rs.itd.umich.edu/unix/netatalk/)
Pour construire et installer le paquetage, on accomplira ceci :

183
Chapitre 12. Le réseau sous GNU/Linux

user% tar xvfz .../netatalk-1.4b2.tar.Z


user% make
root# make install

Il est sans doute recommandé d’éditer Makefile avant d’appeler make pour enclencher la compilation du
matériel. En particulier, on pourra changer la variable DESTDIR qui définit le lieu d’installation ultérieure des
fichiers. L’assignation par défaut, /usr/local/atalk, est assez sécuritaire.

12.8.2.1. La configuration du matériel Appletalk


La première chose à faire pour que tout fonctionne bien est de s’assurer que les entrées adéquates dans le
dossier /etc/services sont présentes. Les entrées nécessaires sont les suivantes :

rtmp 1/ddp # Routing Table Maintenance Protocol


nbp 2/ddp # Name Binding Protocol
echo 4/ddp # AppleTalk Echo Protocol
zip 6/ddp # Zone Information Protocol

La prochaine étape est de créer des dossiers de configuration Appletalk dans le répertoire /usr/local/atalk/
etc (ou l’endroit où vous avez installé le paquetage).
Le premier fichier qu’il faudra créer est le /usr/local/atalk/etc/atalkd.conf. Pour commencer, ce fichier
ne nécessite qu’une seule ligne pour indiquer le nom du système réseau qui reconnaît le réseau où sont instal-
lées vos machines Apple :

eth0

Le programme démon Appletalk ajoutera des détails supplémentaires après son lancement.

12.8.2.2. L’exportation de systèmes de fichiers Linux via Appletalk


Vous pourrez exporter des systèmes de dossiers de votre machine Linux vers le réseau afin que les ordinateurs
Apple présents sur ce réseau puissent y accéder.
Pour accomplir cela, il vous faudra configurer le fichier /usr/local/atalk/etc/AppleVolumes.system. Un
autre fichier de configuration existe appelé /usr/local/atalk/etc/AppleVolumes.default. Il comporte exac-
tement le même format et permet de savoir quels systèmes de fichiers seront reçus par les utilisateurs qui se
connectent avec un statut d’invité.
De plus amples détails sur les modes de configuration de ces fichiers et leurs options sont disponibles à la
page principale page de man afpd: afpd.
Donnons ici un exemple simple :

/tmp Scratch
/home/ftp/pub "Zone publique"

Ceci exportera votre système de fichiers /tmp comme volume AppleShare « Scratch » et votre répertoire public
ftp en tant que volume AppleShare « Zone publique ». Les noms de volume ne sont nullement obligatoires,
le démon en choisira pour vous. Mais cela ne coûte rien d’essayer de le faire soi-même.

184
Chapitre 12. Le réseau sous GNU/Linux

12.8.2.3. Partager son imprimante Linux avec Appletalk


Il est possible de partager son imprimante Linux avec des ordinateurs Apple grâce à quelques gestes simples.
Commençons par démarrer le programme papd, le démon du Protocole d’Accès à l’imprimante, Appletalk.
Lors du démarrage de ce programme, celui-ci acceptera toute requête de vos machines Apple et enverra la
tâche d’impression vers le démon de l’imprimante branchée sur votre ligne locale.
Il faudra éditer le fichier /usr/local/atalk/etc/papd.conf pour reconfigurer le démon. La syntaxe de ce
fichier est la même que celle de votre fichier habituel /etc/printcap. Le nom que vous avez donné à la
définition est enregistré par le protocole de nomination Appletalk, NBP.
Un exemple de configuration pourrait ressembler à ceci :

TricWriter:\
:pr = lp:op = cg:

Ce qui rendrait disponible pour votre réseau Appletalk une imprimante appelée « TricWriter ». Toutes les
tâches acceptées seraient alors imprimées par l’imprimante Linux lp (telles que définies par le fichier /etc/
printcap) en utilisant CUPS . La commande op=cg indique que l’utilisateur cg est l’opérateur de l’imprimante.

12.8.2.4. Démarrer le logiciel Appletalk


Vous êtes donc fin prêt pour tester la configuration de base. Un fichier rc.atalk est fourni avec le paquetage
netatalk qui fera le boulot pour vous. Ce qui reste à faire, se résume à ce qui suit :

root# /usr/local/atalk/etc/rc.atalk

et le reste démarrera et fonctionnera sans problème. Il ne devrait pas y avoir de message d’erreur et le logiciel
enverra des messages vers la console indiquant le déroulement de chaque étape.

12.8.2.5. Tester Appletalk


Afin de tester le fonctionnement du matériel logiciel Appletalk, allez vers une de vos machines Apple, sortez
le menu Apple, ouvrez le Sélecteur, cliquez sur AppleShare. La machine Linux devrait apparaître.

12.8.2.6. Conflits avec Appletalk

1. Il faudra peut-être lancer le support Appletalk avant de configurer votre réseau IP. En cas de problèmes de
démarrage des programmes Appletalk, ou de problèmes avec votre réseau IP, essayez de lancer le logiciel
Appletalk avant votre fichier /etc/rc.d/rc.inet1.
2. Le démon du Protocole de Classement de Fichiers Apple, afpd (Apple Filing Protocol Daemon) crée de sé-
rieux dérangements dans votre disque dur. Au dessous du point de montage, il crée deux répertoires
appelés .AppleDesktop et NetworkTrashFolder. Ensuite, pour chaque répertoire auquel vous avez accé-
dé, il créera un .AppleDouble en dessous pour pouvoir emmagasiner des embranchements ressource, etc.
Il faudra donc réfléchir à deux fois avant d’exporter / sinon le nettoyage subséquent vous mettra dans la
joie !
3. Le programme afpd s’attend à recevoir des mots de passe en texte clair de la part des Mac. La sécurisa-
tion pourrait donc vous causer des soucis. Soyez alors vigilant lorsque, comme son nom l’indique, vous
démarrez le démon sur votre machine connectée à Internet. Vous serez le seul responsable en cas d’une
manoeuvre malveillante de la part d’un méchant!
4. Les outils de diagnostic existants, tels que netstat et ifconfig ne reconnaissent pas Appletalk. En cas de
besoin, l’information brute est disponible dans le répertoire /proc/net/.

185
Chapitre 12. Le réseau sous GNU/Linux

12.8.2.7. Encore un mot !


Pour en savoir plus sur la configuration d’Appletalk pour Linux, on pourra se référer à la page
d’Anders Brownworth Linux Netatalk-HOWTO sur le site thehamptons.com (http://thehamptons.com/
anders/netatalk/).

12.8.3. ATM
Werner Almesberger <werner.almesberger@lrc.di.epfl.ch> gère un projet de support d’un mode de trans-
fert asynchrone pour Linux. Des informations mises à jour sur l’état du projet peuvent être obtenues sur le site
ATM on Linux (http://linux-atm.sourceforge.net/).

12.8.4. AX25 (AF AX25)


Les noms du système AX.25 sont sl0, sl1, etc., dans les noyaux 2.0.* ou ax0, ax1, etc. dans les noyaux 2.1.*.
Options de compilation du noyau :
Option de réseau --->
[*]Radio Amateur AX.25 Niveau 2

Les protocoles AX25, Netrom et Rose sont couverts par AX25-HOWTO (http://linuxdoc.org/HOWTO/
AX25-HOWTO.html). Ces protocoles sont utilisés par les opérateurs radio amateurs dans le monde entier dans
les paquetages d’expérimentations radio.
Le plus gros du travail d’implémentation de ces protocoles a été accompli par Jonathon Naylor, jsn@cs.nott.ac.uk,
et le nouveau mainteneur du HOWTO est Jeff Tranter (tranter@pobox.com).

12.8.5. DECNet
Le support pour DECNet est maintenant inclus dans un noyau stable mis à jour. Mandrake Linux (2.4) l’a
également rendu disponible dans ses noyaux 2.2.

12.8.6. FDDI
Les noms du système FDDI sont fddi0, fddi1, fddi2 etc. À la première carte détectée par le noyau sera
assignée fddi0 et le reste, selon l’ordre séquentiel de leur détection.
Larry Stefani, lstefani@ultranet.com, a mis au point un gestionnaire de périphériques pour la Digital Equip-
ment Corporation FDDI EISA et les cartes PCI.
Options de compilation du noyau :
Support de système réseau --->
[*] support de gestionnaire de périphériques FDDI
[*]DEFEA digital et support d’adaptateur DEFPA

La configuration de l’interface FDDI étant quasiment identique à celle de l’interface Ethernet, dans un noyau
construit et installé pour reconnaître un gestionnaire de périphériques FDDI, il vous suffira de préciser le nom
de l’interface FDDI appropriée dans les commandes ifconfig et route.

186
Chapitre 12. Le réseau sous GNU/Linux

12.8.7. Relais de trames (Frame Relay


Les noms du système Frame Relay (Relais de trames) sont dlci00, dlci01 etc., pour les systèmes
d’encapsulation DLCI, et sdla0, sdla1 etc., pour le ou les FRAD(s).
Frame Relay est une technologie réseau idéale lorsque l’on a un trafic de nature chaotique ou sporadique. On
se connecte à un réseau Frame Relay en utilisant un système d’accès spécifique appelé Frame Relay Access
Device ou FRAD. Le Frame Relay Linux reconnaît IP par dessus Frame Relay tel qu’indiqué dans RFC-1490.
Options de compilation du noyau :
Network device support --->
<*> Frame relay DLCI support (EXPERIMENTAL)
(24) Max open DLCI
(8) Max DLCI per device
<*> SDLA (Sangoma S502/S508) support

Mike McLagan, mike.mclagan@linux.org, a mis au point le support de Frame Relay et des outils de configu-
ration.
En ce moment, et à notre connaissance, le seul FRAD à être supporté est Sangoma Technologies (http://www.
sangoma.com/) S502A, S502E et S508 et les Technologies Émergeantes (Emerging Technologies). Leur site Web
est ici (http://www.etinc.com/).
Pour configurer les systèmes FRAD et DLCI après avoir reconstruit votre noyau, il vous faudra les outils de
configuration Frame Relay. Ils sont disponibles sur ftp.invlogic.com (ftp://ftp.invlogic.com/pub/linux/
fr/).
La compilation et l’installation des outils sont assez simples et directes, mais elles restent des opérations assez
manuelles à cause du manque d’un fichier Makefile de haut niveau :

user% tar xvfz .../frad-0.15.tgz


user% cd frad-0.15
user% for i in common dlci frad; make -C $i clean; make -C $i; done
root# mkdir /etc/frad
root# install -m 644 -o root -g root bin/*.sfm /etc/frad
root# install -m 700 -o root -g root frad/fradcfg /sbin
rppt# install -m 700 -o root -g root dlci/dlcicfg /sbin

Notez que les commandes précédentes utilisent la syntaxe sh, lorsqu’on utilise un soupçon de csh à la place
(comme tcsh), la boucle for aura une toute autre allure.
Après l’installation des outils, il faudra créer un fichier /etc/frad/router.conf, on pourra utiliser ce modèle,
qui est une version modifiée d’un des fichiers exemple :

# /etc/frad/router.conf
# Configuration template pour Frame Relay.
# Tous les tags sont inclus. Les valeurs par défaut sont basées sur le code.
# fourni avec les gestionnaires de périphériques DOS de la carte Sangoma S502A.
#
# Un ’#’ n’importe où dans une ligne constitue un commentaire.
# Les blancs ne sont pas pris en compte (on peut également espacer avec des tabulations).
# Entrées [] et touches inconnues ne sont pas prises en compte.
#

[Devices]
Count = 1 # nombre de systèmes (devices) à configurer.
Dev_1 = sdla0 # nom du système.
#Dev_2 = sdla1 # nom du système.

# Tels que spécifiés ici, ces paramètres sont applicables à tous les périphériques
# et peuvent ^
etre écrasés pour chaque carte.
#
Access = CPE
Clock = Internal
Kbaud = 64
Flags = TX
#

187
Chapitre 12. Le réseau sous GNU/Linux

# MTU = 1500 # Maximum transmit IFrame length, 4096 = valeur par défaut
# T391 = 10 # T391 valeur 5 - 30, 10 = valeur par défaut
# T392 = 15 # T392 valeur 5 - 30, 15 = valeur par défaut
# N391 = 6 # N391 valeur 1 - 255, 6 = valeur par défaut
# N392 = 3 # N392 valeur 1 - 10, 3 = valeur par défaut
# N393 = 4 # N393 valeur 1 - 10, 4 = valeur par défaut

# Tels que spécifiés ici, établissent les valeurs par défaut pour toutes les cartes
# CIRfwd = 16 # CIR forward 1 - 64
# Bc_fwd = 16 # Bc forward 1 - 512
# Be_fwd = 0 # Be forward 0 - 511
# CIRbak = 16 # CIR backward 1 - 64
# Bc_bak = 16 # Bc backward 1 - 512
# Be_bak = 0 # Be backward 0 - 511

#
#
# configuration spécifique au système
#
#

#
# Le premier système est un Sangoma S502E
#
[sdla0]
Type = Sangoma # Type de système à configurer, à ce jour seul
# SANGOMA est reconnu
#
# Ces touches sont particulières au type ’Sangoma’
#
# Le type de la carte Sangoma - S502A, S502E, S508
Board = S502E
#
# Le nom du matériel expérimental pour la carte Sangoma
# Testware = /usr/src/frad-0.10/bin/sdla_tst.502
#
# Le nom du matériel d’usine FR
# Firmware = /usr/src/frad-0.10/bin/frm_rel.502
#
Port = 360 # Port pour cette carte précise
Mem = C8 # Adresse de la fen^ etre de mémoire, A0-EE, selon la carte
IRQ = 5 # chiffre IRQ, indisponible pour S502A
DLCIs = 1 # Nombre des DLCI attribué à ce périphérique
DLCI_1 = 16 # DLCI #1’s number, 16 - 991
# DLCI_2 = 17
# DLCI_3 = 18
# DLCI_4 = 19
# DLCI_5 = 20
#
# Tels que spécifiés ici, s’applique exclusivement à ce périphérique,
# et annule les valeurs défaut ci-dessus
#
# Access = CPE # CPE or NODE, défaut is CPE
# Flags = TXIgnore,RXIgnore,BufferFrames,DropAborted,Stats,MCI,AutoDLCI
# Clock = Internal # External or Internal, défaut is Internal
# Baud = 128 # Specified baud rate of attached CSU/DSU
# MTU = 2048 # Maximum transmit IFrame length, défaut is 4096
# T391 = 10 # T391 valeur 5 - 30, 10 = valeur par défaut
# T392 = 15 # T392 valeur 5 - 30, 15 = valeur par défaut
# N391 = 6 # N391 valeur 1 - 255, 6 = valeur par défaut
# N392 = 3 # N392 valeur 1 - 10, 3 = valeur par défaut
# N393 = 4 # N393 valeur 1 - 10, 4 = valeur par défaut

#
# Le deuxième système provient d’une autre carte
#
# [sdla1]
# Type = FancyCard # Type de système à configurer.
# Board = # Type de carte Sangoma
# Key = Valeur # valeurs spécifiques à ce type de système

#
# DLCI Paramètres par défaut de cette configuration
# Peuvent ^
etre écrasés dans les configurations spécifiques dans le DLCI
#

188
Chapitre 12. Le réseau sous GNU/Linux

CIRfwd = 64 # CIR forward 1 - 64


# Bc_fwd = 16 # Bc forward 1 - 512
# Be_fwd = 0 # Be forward 0 - 511
# CIRbak = 16 # CIR backward 1 - 64
# Bc_bak = 16 # Bc backward 1 - 512
# Be_bak = 0 # Be backward 0 - 511

#
# DLCI Configuration
# Tous sont en option. La convention de nommage est
# [DLCI_D<devicenum>_<DLCI_Num>]
#

[DLCI_D1_16]
# IP =
# Net =
# Mask =
# Flags defined by Sangoma: TXIgnore,RXIgnore,BufferFrames
# DLCIFlags = TXIgnore,RXIgnore,BufferFrames
# CIRfwd = 64
# Bc_fwd = 512
# Be_fwd = 0
# CIRbak = 64
# Bc_bak = 512
# Be_bak = 0

[DLCI_D2_16]
# IP =
# Net =
# Mask =
# Flags defined by Sangoma: TXIgnore,RXIgnore,BufferFrames
# DLCIFlags = TXIgnore,RXIgnore,BufferFrames
# CIRfwd = 16
# Bc_fwd = 16
# Be_fwd = 0
# CIRbak = 16
# Bc_bak = 16
# Be_bak = 0

Une fois construit votre fichier /etc/frad/router.conf, il reste une seule étape :la configuration des périphé-
riques eux-mêmes. Le processus nécessite légèrement plus de doigté qu’une configuration de système réseau
normal. Il faudra se rappeler d’ouvrir le système FRAD avant les systèmes d’encapsulation DLCI. A cause de
leur nombre, ces commandes doivent être écrites dans un script shell :

#!/bin/sh
# Configure le hardware FRAD et les paramètres DLCI
/sbin/fradcfg /etc/frad/router.conf || exit 1
/sbin/dlcicfg file /etc/frad/router.conf
#
# Ouvre le système FRAD
ifconfig sdla0 up
#
# Configure les interfaces d’encapsulation et le routage
ifconfig dlci00 192.168.10.1 pointopoint 192.168.10.2 up
route add -net 192.168.10.0 netmask 255.255.255.0 dlci00
#
ifconfig dlci01 192.168.11.1 pointopoint 192.168.11.2 up
route add -net 192.168.11.0 netmask 255.255.255.0 dlci00
#
route add default dev dlci00
#

189
Chapitre 12. Le réseau sous GNU/Linux

12.8.8. IPX (AF IPX)


Le protocole IPX est le plus couramment utilisé dans des situations de réseau local Novell NetWare(tm). Linux
reconnaît ce protocole et peut être configuré pour agir comme destinataire du réseau ou comme routeur pour
IPX.
Options de compilation du noyau :
Networking options --->
[*] The IPX protocol
[ ] Full internal IPX network

Le protocole IPX et le NCPFS sont explicités en profondeur sur IPX-HOWTO (http://linuxdoc.org/HOWTO/


IPX-HOWTO.html).

12.8.9. NetRom (AF NETROM)


Les noms du système NetRom sont nr0, nr1, etc.
Options de compilation du noyau :
Networking options --->
[*] Amateur Radio AX.25 Level 2
[*] Amateur Radio NET/ROM

Les protocoles AX25, Netrom et Rose sont couverts par AX25-HOWTO (http://linuxdoc.org/HOWTO/
AX25-HOWTO.html). Ces protocoles sont utilisés par les opérateurs radio amateurs (Amateur Radio Operators)
du monde entier dans des paquetages d’expérimentation radio.
La plus grande partie du travail d’implémentation de ces protocoles a été accomplie par Jonathon Naylor,
jsn@cs.nott.ac.uk.

12.8.10. Protocole Rose (AF ROSE)


Les noms du système Rose sont rs0, rs1, etc. dans les noyaux 2.1.*. Rose est disponible dans les noyaux
2.1.*.
Options de compilation du noyau:
Option de réseau --->
[*] Radio Amateur AX.25 Level 2
<*> Radio Amateur X.25 PLP (Rose)

Les protocoles AX25, Netrom et Rose sont couverts dans AX25-HOWTO (http://linuxdoc.org/HOWTO/
AX25-HOWTO.html). Ces protocoles sont utilisés par les opérateurs radio amateurs (Amateur Radio Operators)
du monde entier dans des paquetages d’expérimentation radio.
La plus grande partie du travail d’implémentation de ces protocoles a été accomplie par Jonathon Naylor,
jsn@cs.nott.ac.uk.

12.8.11. Support de SAMBA - NetBEUI, NetBios, CIFS


SAMBA est une implémentation du protocole de Session Management Block (SMB). Samba permet à Windows
et à d’autres systèmes d’installer et d’utiliser vos disques et vos imprimantes.
Samba et ses configurations sont couvertes en détails dans SMB-HOWTO (http://linuxdoc.org/HOWTO/
SMB-HOWTO.html).

190
Chapitre 12. Le réseau sous GNU/Linux

12.8.12. Support de STRIP (Starmode Radio IP)


Les noms du système STRIP sont st0, st1, etc.
Options de compilation du noyau:
Support du système réseau --->
[*]Support du système réseau
....
[*] Interfaces du réseau radio
< > STRIP (Metricom starmode radio IP)

STRIP est un protocole construit spécifiquement pour une série de modems radio Metricom dans le cadre d’un
projet de recherche de l’Université Stanford appelé ; MosquitoNet Project (http://mosquitonet.Stanford.
edu). La lecture en est très intéressante même si on n’est pas directement impliqué par le projet.
Les radios Metricom se connectent à un port série, s’appuie sur la technologie Spread Spectrum et ont en général
une capacité d’environ 100kbps. De l’information sur les radios Metricom est disponible sur le site Metricom
Web Server (http://www.metricom.com/).

Metricom a fait faillite, mais une autre société pourrait achetée la


technologie et réactiver le site Web.

Actuellement, les outils et utilitaires réseau standard ne reconnaissent pas le gestionnaire STRIP. Quelques
outils taillés sur mesure devront donc être téléchargés à partir du serveur Web MosquitoNet. Des détails
précis sur les logiciels nécessaires sont disponibles à :: MosquitoNet Software Page (http://mosquitonet.
Stanford.EDU/software.html).
Pour résumer la configuration, disons que l’on utilise un programme slattach modifié pour établir le type de
ligne d’un périphérique tty série à STRIP, puis on configure le système qui en résulte, st[0-9], comme on le
ferait pour Ethernet mais avec une exception de taille :pour des raisons techniques, STRIP ne reconnaît pas
le protocole ARP, il faudra donc configurer manuellement les entrées ARP pour chacun des hôtes de votre
sous-réseau. Ce qui n’est pas, de prime abord, très coûteux.

12.8.13. Token Ring


Les noms du système Token ring (tour de jeton) sont tr0, tr1 etc. Token Ring est un protocole IBM LAN stan-
dard qui évite les collisions grâce à un mécanisme qui ne permet qu’à une seule station à la fois de transmettre
sur le LAN. Un jeton (token) est dispensé à une station à la fois, et celle qui le détient est la seule qui puisse
transmettre. Une fois ses données transmises, elle passe son jeton à la suivante. Le jeton circule d’une station
active à l’autre, d’où le nom de Token Ring.
Options de compilation du noyau :
Support du système réseau --->
[*] Support du système réseau
....
[*] Support du gestionnaire Token Ring
< > support d’adaptateur basé sur IBM Tropic chipset

La configuration de Token Ring est semblable à celle d’Ethernet à l’exception du nom du système réseau qui
est à configurer.

191
Chapitre 12. Le réseau sous GNU/Linux

12.8.14. X.25
X.25 est un protocole matériel d’échange de paquetages défini par le ITU-T (un ensemble de standards recon-
nus par les compagnies de télécommunications en vigueur dans la majeure partie du monde). Une implémen-
tation de X.25 et de LAPB est en train d’être mise à jour et les récents noyaux ( à partir de 2.1.*) incluent ces
travaux en cours.
Jonathon Naylor jsn@cs.nott.ac.uk est le chef de ce projet et il existe une liste mail de discussion sur Linux
X.25. Pour vous enregistrer, envoyez un message à : majordomo@vger.rutgers.edu avec le texte subscribe
linux-x25 dans le corps du message.

12.8.15. Carte WaveLan


Les noms du système Wavelan sont eth0, eth1, etc.
Options de compilation du noyau:
Support du système réseau --->
[*]Support du système réseau
....
[*] Interface de réseau radio
....
<*> support WaveLAN

La carte WaveLAN est une carte réseau sans-fil à large spectre. Pour ce qui est de son utilisation et de sa
configuration, la carte ressemble beaucoup à une carte Ethernet.
Des informations sont disponibles sur la carte Wavelan sur le site Web d’ORINOCO (http://www.
orinocowireless.com/).

12.9. Câbles et câblages


Ceux qui sont habiles du fer à souder peuvent vouloir fabriquer leurs propres câbles pour relier deux machines
Linux. Les schémas de câblage suivants pourront les y aider.

12.9.1. Câble série NULL Modem


Tous les câbles NULL modem ne se ressemblent pas. Beaucoup se contentent de faire croire à votre ordinateur
que tous les signaux appropriés sont présents et échangent les données de transmission et de réception. C’est
bien, mais cela signifie que vous devez utiliser le contrôle de flux logiciel (XON/XOFF) qui est moins efficace
que le contrôle de flux matériel. Le câble suivant donne la meilleure transmission de signal entre les deux
machines et vous permet d’utiliser le contrôle de flux matériel (RTS/CTS).

Pin Name Pin Pin


Tx Data 2 3
Rx Data 3 2
RTS 4 5
CTS 5 4
Ground 7 7
DTR 20 8
DSR 6
RLSD/DCD 8 20
6

Figure 12-2. Le câblage « NULL-modem »

192
Chapitre 12. Le réseau sous GNU/Linux

12.9.2. Câble port parallèle (câble PLIP)


Si vous avez l’intention d’utiliser le protocole PLIP entre deux machines alors ce câble vous conviendra indé-
pendamment du type de port parallèle installé.
Pin Name pin pin
STROBE 1*
D0->ERROR 2 ----------- 15
D1->SLCT 3 ----------- 13
D2->PAPOUT 4 ----------- 12
D3->ACK 5 ----------- 10
D4->BUSY 6 ----------- 11
D5 7*
D6 8*
D7 9*
ACK->D3 10 ----------- 5
BUSY->D4 11 ----------- 6
PAPOUT->D2 12 ----------- 4
SLCT->D1 13 ----------- 3
FEED 14*
ERROR->D0 15 ----------- 2
INIT 16*
SLCTIN 17*
GROUND 25 ----------- 25

• Ne pas connecter les broches marquées avec un astérisque


(*).
• Les masses supplémentaires sont 18,19,20,21,22,23 et 24.
• Si le câble que vous utilisez possède un blindage, il doit
être connecté à une des prises DB-25 et une seule.

un câble PLIP mal branché peut détruire votre carte contrôleur.


Faites attention et vérifiez chaque connexion deux fois plutôt qu’une
pour éviter un travail inutile ou de gros ennuis.

Bien que l’on puisse utiliser des câbles PLIP sur des longues distances, évitez de le faire si possible. Les spé-
cifications du câble permettent d’avoir une longueur d’environ 1 mètre. Faites attention si vous utilisez de
grandes longueurs, car les sources de champs magnétiques élevées comme la foudre, les lignes à haute ten-
sion et les émetteurs radio peuvent interférer et parfois endommager votre carte contrôleur. Si vous voulez
vraiment connecter deux de vos ordinateurs sur une grande distance, utilisez plutôt des cartes Ethernet et un
câble coaxial.

12.9.3. Câblage Ethernet 10base2 (coaxial fin)


10base2 est un standard de câblage Ethernet spécifiant l’utilisation d’un câble coaxial 52 ohms avec un dia-
mètre d’environ 5 mm. Il faut se rappeler un nombre important de règles lorsqu’il s’agit de relier deux ma-
chines avec un câblage 10base2. La première :utilisez des terminaisons à chaque extrémité du câble. Un termi-
nateur est une résistance de 52 ohms qui sert à s’assurer que le signal est absorbé et non réfléchi à l’extrémité
du câble. Sans terminaison à chaque extrémité, vous pourriez trouver que l’Ethernet n’est pas fiable ou ne
fonctionne pas du tout. Normalement vous utiliserez des T pour interconnecter les machines, de sorte que
vous finirez avec quelque chose comme ceci :

193
Chapitre 12. Le réseau sous GNU/Linux

T T T T

Figure 12-3. Câblage Ethernet 10base2

Les | à chaque extrémité représentent une terminaison, les = = = = = = représentent une longueur de câble
coaxial avec des prises BNC au bout et les T représentent un connecteur en T. Gardez la longueur de câble
entre les connecteurs en T et les cartes Ethernet aussi courte que possible, l’idéal étant que ces connecteurs
soient branchés directement sur la carte Ethernet.

12.9.4. Câblage Ethernet à paires torsadées


Si vous n’avez que deux cartes Ethernet avec paires torsadées et que vous voulez les relier, vous n’avez pas be-
soin de répartiteur (hub). Vous pouvez câbler les deux cartes directement ensemble. Un schéma montrant com-
ment faire est inclus dans le document Ethernet-HOWTO (http://linuxdoc.org/HOWTO/Ethernet-HOWTO.
html).

194
Annexe A. Où trouver de la documentation supplémentaire

Nous avons décrit l’interface de MandrakeSecurity et abordé quelques notions de sécurité et de réseaux.
Toutefois, ce manuel peut s’avérer insuffisant si vous ne maîtrisez pas les techniques associées à certaines des
fonctionnalités proposées. C’est pourquoi nous vous proposons dans cet appendice plusieurs liens vers des
documents sur le Web qui vous aideront à comprendre les mécanismes sous-jacents à MandrakeSecurity .

Bibliographie

Documentation au sujet des fonctionnalités internes


Documentation de Shorewall (http: // www. shorewall. net/ shorewall_ quickstart_ guide. htm ) .

L’application Shorewall , sur laquelle MandrakeSecurity s’appuie, est bien documentée. Sur le site sus-
mentionné, vous trouverez des exemples supplémentaires, et des informations complètes au sujet des
processus internes de MandrakeSecurity .

Cache DNS : ISC Bind (http: // www. isc. org/ products/ BIND/ ) .

DHCP (http: // www. isc. org/ products/ DHCP/ ) .

Mandataire Web (proxy) (http: // www. squid-cache. org/ ) .

Filtrage d’adresse Web SquidGuard (http: // www. squidguard. org/ ) .

Filtrage d’adresse Web DansGuardian (http: // dansguardian. org/ ) .

Système de détection d’intrusion SNORT (SNORT Intrusion Detection System) (http: // www. snort. org/ ) .

Système de détection d’intrusion Prelude (http: // www. prelude-ids. org/ ) .

Renseignements divers au sujet des techniques utilisées dans MandrakeSecurity.


Translation d’adresses réseau IP (NAT: Network Address Translation) (http: // www. suse. de/ ~mha/ linux-ip-nat/
diplom/ ) .

Linux FreeS/WAN : implémentation de IPSEC & IKE pour Linux (http: // freeswan. org ) .

VPN Freeswan – Windows 2000 / Windows XP (http: // vpn. ebootis. de/ ) .

195
Annexe A. Où trouver de la documentation supplémentaire

196
Annexe B. La licence Publique Générale GNU (GPL)

Le texte qui suit est celui de la licence GPL qui s’applique à la plupart des programmes quise trouvent dans la
distribution Mandrake Linux.

B.1. Introduction
This is an unofficial translation of the GNU General Public License into French. It was not published by the
Free Software Foundation, and does not legally state the distribution terms for software that uses the GNU
GPL--only the original English text of the GNU GPL does that. However, we hope that this translation will
help French speakers understand the GNU GPL better.
Voici (http://www.linux-france.org/article/these/gpl.html) une adaptation non officielle de la Licence Pu-
blique Générale du projet GNU. Elle n’a pas été publiée par la Free Software Foundation et son contenu n’a
aucune portée légale car seule la version anglaise de ce document détaille le mode de distribution des logiciels
sous GNU GPL. Nous espérons cependant qu’elle permettra aux francophones de mieux comprendre la GPL.

Licence Publique Générale GNU Version 2, Juin 1991


Copyright © Free Software Foundation, Inc. 59 Temple Place, Suite 330, Boston, MA 02111-1307 États-Unis,
1989, 1991.
La copie et la distribution de copies exactes de ce document sont autorisées, mais aucune modification n’est
permise.

B.2. Préambule
Les licences d’utilisation de la plupart des programmes sont définies pour limiter ou supprimer toute liberté
à l’utilisateur. À l’inverse, la Licence Publique Générale (General Public License) est destinée à vous garantir
la liberté de partager et de modifier les logiciels libres, et de s’assurer que ces logiciels sont effectivement
accessibles à tout utilisateur.
Cette Licence Publique Générale s’applique à la plupart des programmes de la Free Software Foundation,
comme à tout autre programme dont l’auteur l’aura décidé (d’autres logiciels de la FSF sont couverts pour
leur part par la Licence Publique Générale pour Bibliothèques GNU (LGPL)). Vous pouvez aussi appliquer les
termes de cette Licence à vos propres programmes, si vous le désirez.
Liberté des logiciels ne signifie pas nécessairement gratuité. Notre Licence est conçue pour vous assurer la li-
berté de distribuer des copies des programmes, gratuitement ou non, de recevoir le code source ou de pouvoir
l’obtenir, de modifier les programmes ou d’en utiliser des éléments dans de nouveaux programmes libres, en
sachant que vous y êtes autorisé.
Afin de garantir ces droits, nous avons dû introduire des restrictions interdisant à quiconque de vous les
refuser ou de vous demander d’y renoncer. Ces restrictions vous imposent en retour certaines obligations si
vous distribuez ou modifiez des copies de programmes protégés par la Licence. En d’autre termes, il vous
incombera en ce cas de :

• transmettre aux destinataires tous les droits que vous possédez,


• expédier aux destinataires le code source ou bien tenir celui-ci à leur disposition,
• leur remettre cette Licence afin qu’ils prennent connaissance de leurs droits.

For example, if you distribute copies of such a program, whether gratis or for a fee, you must give the recipients
all the rights that you have. You must make sure that they, too, receive or can get the source code. And you
must show them these terms so they know their rights.
Nous protégeons vos droits de deux façons : d’abord par le copyright du logiciel, ensuite par la remise de cette
Licence qui vous autorise légalement à copier, distribuer et/ou modifier le logiciel.

197
Annexe B. La licence Publique Générale GNU (GPL)

En outre, pour protéger chaque auteur ainsi que la FSF, nous affirmons solennellement que le programme
concerné ne fait l’objet d’aucune garantie. Si un tiers le modifie puis le redistribue, tous ceux qui en rece-
vront une copie doivent savoir qu’il ne s’agit pas de l’original afin qu’une copie défectueuse n’entache pas la
réputation de l’auteur du logiciel.
Enfin, tout programme libre est sans cesse menacé par des dépôts de brevets. Nous souhaitons à tout prix
éviter que des distributeurs puissent déposer des brevets sur les Logiciels Libres pour leur propre compte.
Pour éviter cela, nous stipulons bien que tout dépôt éventuel de brevet doit accorder expressément à tout un
chacun le libre usage du produit.
Les dispositions précises et les conditions de copie, de distribution et de modification de nos logiciels sont les
suivantes :

B.3. Stipulations et conditions relatives à la copie, la distribution et la


modification

1. La présente Licence s’applique à tout Programme (ou autre travail) où figure une note, placée par le
détenteur des droits, stipulant que ledit Programme ou travail peut être distribué selon les termes de la
présente Licence. Le terme Programme désigne aussi bien le Programme lui-même que tout travail qui
en est dérivé selon la loi, c’est-à-dire tout ouvrage reproduisant le Programme ou une partie de celui-ci, à
l’identique ou bien modifié, et/ou traduit dans une autre langue (la traduction est considérée comme une
modification). Chaque personne concernée par la Licence Publique Générale sera désignée par le terme
Vous.
Les activités autres que copie, distribution et modification ne sont pas couvertes par la présente Licence et
sortent de son cadre. Rien ne restreint l’utilisation du Programme et les données issues de celui-ci ne sont
couvertes que si leur contenu constitue un travail basé sur le logiciel (indépendamment du fait d’avoir été
réalisé en lançant le Programme). Tout dépend de ce que le Programme est censé produire.

2. Vous pouvez copier et distribuer des copies conformes du code source du Programme, tel que Vous l’avez
reçu, sur n’importe quel support, à condition de placer sur chaque copie un copyright approprié et une
restriction de garantie, de ne pas modifier ou omettre toutes les stipulations se référant à la présente
Licence et à la limitation de garantie, et de fournir avec toute copie du Programme un exemplaire de la
Licence.
Vous pouvez demander une rétribution financière pour la réalisation de la copie et demeurez libre de
proposer une garantie assurée par vos soins, moyennant finances.

3. Vous pouvez modifier votre copie ou vos copies du Programme ou partie de celui-ci, ou d’un travail basé
sur ce Programme, et copier et distribuer ces modifications selon les termes de l’article 1, à condition de
Vous conformer également aux conditions suivantes :
a. Ajouter aux fichiers modifiés l’indication très claire des modifications effectuées, ainsi que la date de
chaque changement.
b. Distribuer sous les termes de la Licence Publique Générale l’ensemble de toute réalisation contenant
tout ou partie du Programme, avec ou sans modifications.
c. Si le Programme modifié lit des commandes de manière interactive lors de son exécution, faire en
sorte qu’il affiche, lors d’une invocation ordinaire, le copyright approprié en indiquant clairement la
limitation de garantie (ou la garantie que Vous Vous engagez à fournir Vous-même), qu’il stipule que
tout utilisateur peut librement redistribuer le Programme selon les conditions de la Licence Publique
Générale GNU, et qu’il montre à tout utilisateur comment lire une copie de celle-ci (exception : si
le Programme original est interactif mais n’affiche pas un tel message en temps normal, tout travail
dérivé de ce Programme ne sera pas non plus contraint de l’afficher).
Toutes ces conditions s’appliquent à l’ensemble des modifications. Si des éléments identifiables de ce tra-
vail ne sont pas dérivés du Programme et peuvent être raisonnablement considérés comme indépendants,
la présente Licence ne s’applique pas à ces éléments lorsque Vous les distribuez seuls. Mais, si Vous distri-
buez ces mêmes éléments comme partie d’un ensemble cohérent dont le reste est basé sur un Programme

198
Annexe B. La licence Publique Générale GNU (GPL)

soumis à la Licence, ils lui sont également soumis, et la Licence s’étend ainsi à l’ensemble du produit, quel
qu’en soit l’auteur.
Cet article n’a pas pour but de s’approprier ou de contester vos droits sur un travail entièrement réalisé
par Vous, mais plutôt d’ouvrir droit à un contrôle de la libre distribution de tout travail dérivé ou collectif
basé sur le Programme.
En outre, toute fusion d’un autre travail, non basé sur le Programme, avec le Programme (ou avec un
travail dérivé de ce dernier), effectuée sur un support de stockage ou de distribution, ne fait pas tomber
cet autre travail sous le contrôle de la Licence.

4. Vous pouvez copier et distribuer le Programme (ou tout travail dérivé selon les conditions énoncées dans
l’article 1) sous forme de code objet ou exécutable, selon les termes des articles 0 et 1, à condition de
respecter les clauses suivantes :
a. Fournir le code source complet du Programme, sous une forme lisible par un ordinateur et selon les
termes des articles 0 et 1, sur un support habituellement utilisé pour l’échange de données ; ou,
b. Faire une offre écrite, valable pendant au moins trois ans, prévoyant de donner à tout tiers qui en fera
la demande une copie, sous forme lisible par un ordinateur, du code source correspondant, pour un
tarif n’excédant pas le coût de la copie, selon les termes des articles 0 et 1, sur un support couramment
utilisé pour l’échange de données informatiques ; ou,
c. Informer le destinataire de l’endroit où le code source peut être obtenu (cette solution n’est recevable
que dans le cas d’une distribution non commerciale, et uniquement si Vous avez reçu le Programme
sous forme de code objet ou exécutable avec l’offre prévue à l’alinéa b ci-dessus).
Le code source d’un travail désigne la forme de cet ouvrage sous laquelle les modifications sont les plus
aisées. Sont ainsi désignés la totalité du code source de tous les modules composant un Programme exécu-
table, de même que tout fichier de définition associé, ainsi que les scripts utilisés pour effectuer la compi-
lation et l’installation du Programme exécutable. Toutefois, l’environnement standard de développement
du système d’exploitation mis en oeuvre (source ou binaire) -- compilateurs, bibliothèques, noyau, etc. --
constitue une exception, sauf si ces éléments sont diffusés en même temps que le Programme exécutable.
Si la distribution de l’exécutable ou du code objet consiste à offrir un accès permettant de copier le Pro-
gramme depuis un endroit particulier, l’offre d’un accès équivalent pour se procurer le code source au
même endroit est considéré comme une distribution de ce code source, même si l’utilisateur choisit de ne
pas profiter de cette offre.

5. Vous ne pouvez pas copier, modifier, céder, déposer ou distribuer le Programme d’une autre manière
que l’autorise la Licence Publique Générale. Toute tentative de ce type annule immédiatement vos droits
d’utilisation du Programme sous cette Licence. Toutefois, les tiers ayant reçu de Vous des copies du Pro-
gramme ou le droit d’utiliser ces copies continueront à bénéficier de leur droit d’utilisation tant qu’ils
respecteront pleinement les conditions de la Licence.
6. Ne l’ayant pas signée, Vous n’êtes pas obligé d’accepter cette Licence. Cependant, rien d’autre ne Vous
autorise à modifier ou distribuer le Programme ou quelque travaux dérivés : la loi l’interdit tant que Vous
n’acceptez pas les termes de cette Licence. En conséquence, en modifiant ou en distribuant le Programme
(ou tout travail basé sur lui), Vous acceptez implicitement tous les termes et conditions de cette Licence.
7. La diffusion d’un Programme (ou de tout travail dérivé) suppose l’envoi simultané d’une licence auto-
risant la copie, la distribution ou la modification du Programme, aux termes et conditions de la Licence.
Vous n’avez pas le droit d’imposer de restrictions supplémentaires aux droits transmis au destinataire.
Vous n’êtes pas responsable du respect de la Licence par un tiers.
8. Si, à la suite d’une décision de Justice, d’une plainte en contrefaçon ou pour toute autre raison (liée ou
non à la contrefaçon), des conditions Vous sont imposées (que ce soit par ordonnance, accord amiable ou
autre) qui se révèlent incompatibles avec les termes de la présente Licence, Vous n’êtes pas pour autant
dégagé des obligations liées à celle-ci : si Vous ne pouvez concilier vos obligations légales ou autres avec
les conditions de cette Licence, Vous ne devez pas distribuer le Programme.
Si une partie quelconque de cet article est invalidée ou inapplicable pour quelque raison que ce soit, le reste
de l’article continue de s’appliquer et l’intégralité de l’article s’appliquera en toute autre circonstance.
Le présent article n’a pas pour but de Vous pousser à enfreindre des droits ou des dispositions légales
ni en contester la validité ; son seul objectif est de protéger l’intégrité du système de distribution du

199
Annexe B. La licence Publique Générale GNU (GPL)

Logiciel Libre. De nombreuses personnes ont généreusement contribué à la large gamme de Programmes
distribuée de cette façon en toute confiance ; il appartient à chaque auteur/donateur de décider de diffuser
ses Programmes selon les critères de son choix.
Cet article est censé clarifié une conséquence supposée du reste de cette licence.

9. Si la distribution et/ou l’utilisation du Programme est limitée dans certains pays par des brevets ou des
droits sur des interfaces, le détenteur original des droits qui place le Programme sous la Licence Publique
Générale peut ajouter explicitement une clause de limitation géographique excluant ces pays. Dans ce cas,
cette clause devient une partie intégrante de la Licence.
10. La Free Software Foundation se réserve le droit de publier périodiquement des mises à jour ou de nouve-
lles versions de la Licence. Rédigées dans le même esprit que la présente version, elles seront cependant
susceptibles d’en modifier certains détails à mesure que de nouveaux problèmes se font jour.
Chaque version possède un numéro distinct. Si le Programme précise un numéro de version de cette
Licence et « toute version ultérieure », Vous avez le choix de suivre les termes et conditions de cette
version ou de toute autre version plus récente publiée par la Free Software Foundation. Si le Programme
ne spécifie aucun numéro de version, Vous pouvez alors choisir l’une quelconque des versions publiées
par la Free Software Foundation.

11. Si Vous désirez incorporer des éléments du Programme dans d’autres Programmes libres dont les condi-
tions de distribution diffèrent, Vous devez écrire à l’auteur pour lui en demander la permission. Pour ce
qui est des Programmes directement déposés par la Free Software Foundation, écrivez-nous : une excep-
tion est toujours envisageable. Notre décision sera basée sur notre volonté de préserver la liberté de notre
Programme ou de ses dérivés et celle de promouvoir le partage et la réutilisation du logiciel en général.

LIMITATION DE GARANTIE

12. Parce que l’utilisation de ce Programme est libre et gratuite, aucune garantie n’est fournie, comme le
permet la loi. Sauf mention écrite, les détenteurs du copyright et/ou les tiers fournissent le Programme en
l’état, sans aucune sorte de garantie explicite ou implicite, y compris les garanties de commercialisation
ou d’adaptation dans un but particulier. Vous assumez tous les risques quant à la qualité et aux effets du
Programme. Si le Programme est défectueux, Vous assumez le coût de tous les services, corrections ou
réparations nécessaires.
13. Sauf lorsqu’explicitement prévu par la Loi ou accepté par écrit, ni le détenteur des droits, ni quiconque
autorisé à modifier et/ou redistribuer le Programme comme il est permis ci-dessus ne pourra être tenu
pour responsable de tout dommage direct, indirect, secondaire ou accessoire (pertes financières dues au
manque à gagner, à l’interruption d’activités ou à la perte de données, etc., découlant de l’utilisation du
Programme ou de l’impossibilité d’utiliser celui-ci).
FIN DES TERMES ET CONDITIONS

200
Annexe C. Licence de documentation libre GNU

C.1. A propos de cette traduction française de la GFDL


Ceci est une traduction française non officielle de la Licence de documentation libre GNU. Elle n’a pas été pu-
bliée par la Free Software Foundation, et ne fixe pas légalement les conditions de redistribution des documents
qui l’utilisent – seul le texte original en anglais le fait. Nous espérons toutefois que cette traduction aidera les
francophones à mieux comprendre la FDL GNU.

C.2. Licence de documentation libre GNU


Traduction française non officielle de la GFDL Version 1.1 (Mars 2000)

Copyright (C) 2000 Free Sofware Foundation, inc. 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA
Traduction adaptée de la Version 1.1.2 FR (Christian Casteyde et César Alexanian, mars 2001)
Chacun est libre de copier et de distribuer des copies conformes de cette Licence, mais nul n’est autorisé à la modifier.

0. PRÉAMBULE
L’objet de cette Licence est de rendre tout manuel, livre ou autre document écrit « libre » au sens de la liberté
d’utilisation, à savoir : assurer à chacun la liberté effective de le copier ou de le redistribuer, avec ou sans mo-
difications, commercialement ou non. En outre, cette Licence garantit à l’auteur et à l’éditeur la reconnaissance
de leur travail, sans qu’ils soient pour autant considérés comme responsables des modifications réalisées par
des tiers.
Cette Licence est une sorte de « copyleft », ce qui signifie que les travaux dérivés du document d’origine
sont eux-mêmes « libres » selon les mêmes termes. Elle complète la Licence Publique Générale GNU, qui est
également une Licence copyleft, conçue pour les logiciels libres.
Nous avons conçu cette Licence pour la documentation des logiciels libres, car les logiciels libres ont besoin
d’une documentation elle-même libre : un logiciel libre doit être accompagné d’un manuel garantissant les
mêmes libertés que celles accordées par le logiciel lui-même. Mais cette Licence n’est pas limitée aux seuls ma-
nuels des logiciels ; elle peut être utilisée pour tous les documents écrits, sans distinction particulière relative
au sujet traité ou au mode de publication. Nous recommandons l’usage de cette Licence principalement pour
les travaux destinés à des fins d’enseignement ou devant servir de document de référence.

1. APPLICABILITÉ ET DÉFINITIONS
Cette Licence couvre tout manuel ou tout autre travail écrit contenant une notice de copyright autorisant la
redistribution selon les termes de cette Licence. Le mot « Document » se réfère ci-après à un tel manuel ou
travail. Toute personne en est par définition concessionnaire, et est référencée ci-après par le terme « Vous ».
Une « Version modifiée » du Document désigne tout travail en contenant la totalité ou seulement une portion
de celui-ci, copiée mot pour mot, modifiée et/ou traduite dans une autre langue.
Une « Section secondaire » désigne une annexe au Document, ou toute information indiquant les rapports
entre l’auteur ou l’éditeur et le sujet (ou tout autre sujet connexe) du document, sans toutefois être en rapport
direct avec le sujet lui-même (par exemple, si le Document est un manuel de mathématiques, une Section
secondaire ne traitera d’aucune notion mathématique). Cette section peut contenir des informations relatives à
l’historique du Document, des sources documentaires, des dispositions légales, commerciales, philosophiques,
ou des positions éthiques ou politiques susceptibles de concerner le sujet traité.
Les « Sections inaltérables » sont des sections secondaires considérées comme ne pouvant être modifiées et
citées comme telles dans la notice légale qui place le Document sous cette Licence.
Les « Textes de couverture » sont les textes courts situés sur les pages de couverture avant et arrière du Docu-
ment, et cités comme tels dans la mention légale de ce Document.
Le terme « Copie transparente » désigne une version numérique du Document représentée dans un format
dont les spécifications sont publiquement disponibles et dont le contenu peut être visualisé et édité directe-
ment et immédiatement par un éditeur de texte quelconque, ou (pour les images composées de pixels) par un
programme de traitement d’images quelconque, ou (pour les dessins) par un éditeur de dessins courant. Ce

201
Annexe C. Licence de documentation libre GNU

format doit être pouvoir être accepté directement ou être convertible facilement dans des formats utilisables
directement par des logiciels de formatage de texte. Une copie publiée dans un quelconque format numérique
ouvert mais dont la structure a été conçue dans le but exprès de prévenir les modifications ultérieures du Do-
cument ou dans le but d’en décourager les lecteurs n’est pas considérée comme une Copie Transparente. Une
copie qui n’est pas « Transparente » est considérée, par opposition, comme « Opaque ».
Le format de fichier texte codé en ASCII générique et n’utilisant pas de balises, les formats de fichiers Texinfo
ou LaTeX, les formats de fichiers SGML ou XML utilisant une DTD publiquement accessible, ainsi que les
formats de fichiers HTML simple et standard, écrits de telle sorte qu’ils sont modifiables sans outil spécifique,
sont des exemples de formats acceptables pour la réalisation de Copies Transparentes. Les formats suivants
sont opaques : PostScript, PDF, formats de fichiers propriétaires qui ne peuvent être visualisés ou édités que
par des traitements de textes propriétaires, SGML et XML utilisant des DTD et/ou des outils de formatage qui
ne sont pas disponibles publiquement, et du code HTML généré par une machine à l’aide d’un traitement de
texte quelconque et dans le seul but de la génération d’un format de sortie.
La « Page de titre » désigne, pour les ouvrages imprimés, la page de titre elle-même, ainsi que les pages
supplémentaires nécessaires pour fournir clairement les informations dont cette Licence impose la présence
sur la page de titre. Pour les travaux n’ayant pas de Page de titre comme décrit ci-dessus, la « Page de titre »
désigne le texte qui s’apparente le plus au titre du document et situé avant le texte principal.

2. COPIES CONFORMES
Vous pouvez copier et distribuer le Document sur tout type de support, commercialement ou non, à condition
que cette Licence, la notice de copyright et la notice de la Licence indiquant que cette Licence s’applique
à ce Document soient reproduits dans toutes les copies, et que vous n’y ajoutiez aucune condition restrictive
supplémentaire. Vous ne pouvez pas utiliser un quelconque moyen technique visant à empêcher ou à contrôler
la lecture ou la reproduction ultérieure des copies que vous avez créées ou distribuées. Toutefois, vous pouvez
solliciter une rétribution en échange des copies. Si vous distribuez une grande quantité de copies, référez-vous
aux dispositions de la section 3.
Vous pouvez également prêter des copies, sous les mêmes conditions que celles précitées, et vous pouvez
afficher publiquement des copies de ce Document.

3. COPIES EN NOMBRE
Si vous publiez des copies imprimées de ce Document à plus de 100 exemplaires, et que la Licence du Do-
cument indique la présence de Textes de couverture, vous devez fournir une couverture pour chaque copie,
qui présente les Textes de couverture des première et dernière pages de couverture du Document. Les pre-
mière et dernière pages de couverture doivent également vous identifier clairement et sans ambiguïté comme
étant l’éditeur de ces copies. La première page de couverture doit comporter le titre du Document en mots
d’importance et de visibilité égale. Vous pouvez ajouter des informations complémentaires sur les pages de
couverture. Les copies du Document dont seules la couverture a été modifiée peuvent être considérées comme
des copies conformes, à condition que le titre du Document soit préservé et que les conditions indiquées pré-
cédemment soient respectées.
Si les textes devant se trouver sur la couverture sont trop importants pour y tenir de manière claire, vous
pouvez ne placer que les premiers sur la première page et placer les suivantes sur les pages consécutives.
Si vous publiez plus de 100 Copies opaques du Document, vous devez soit fournir une Copie transparente
pour chaque Copie opaque, soit préciser ou fournir avec chaque Copie opaque une adresse réseau publique-
ment accessible d’une Copie transparente et complète du Document, sans aucun ajout ou modification, et à
laquelle tout le monde peut accéder en téléchargement anonyme et sans frais, selon des protocoles réseau com-
muns et standards. Si vous choisissez cette dernière option, vous devez prendre les dispositions nécessaires,
dans la limite du raisonnable, afin de garantir l’accès non restrictif à la Copie transparente durant une année
pleine après la diffusion publique de la dernière Copie opaque (directement ou via vos revendeurs).
Nous recommandons, mais ce n’est pas obligatoire, que vous contactiez l’auteur du Document suffisamment
tôt avant toute publication d’un grand nombre de copies, afin de lui permettre de vous donner une version à
jour du Document.

202
Annexe C. Licence de documentation libre GNU

4. MODIFICATIONS
Vous pouvez copier et distribuer une Version modifiée du Document en respectant les conditions des sections
2 et 3 précédentes, à condition de placer cette Version modifiée sous la présente Licence, dans laquelle le
terme « Document » doit être remplacé par les termes « Version modifiée », donnant ainsi l’autorisation de
redistribuer et de modifier cette Version modifiée à quiconque en possède une copie. De plus, vous devez
effectuer les actions suivantes dans la Version modifiée :

A. Utiliser sur la Page de titre (et sur les pages de couverture éventuellement présentes) un titre distinct
de celui du Document d’origine et de toutes ses versions antérieures (qui, si elles existent, doivent être
mentionnées dans la section « Historique » du Document). Vous pouvez utiliser le même titre si l’éditeur
d’origine vous en a donné expressément la permission.
B. Mentionner sur la Page de titre en tant qu’auteurs une ou plusieurs des personnes ou entités responsables
des modifications de la Version modifiée, avec au moins les cinq principaux auteurs du Document (ou
tous les auteurs si il y en a moins de cinq).
C. Préciser sur la Page de titre le nom de l’éditeur de la Version modifiée, en tant qu’éditeur du Document.
D. Préserver intégralement toutes les notices de copyright du Document.
E. Ajouter une notice de copyright adjacente aux autres notices pour vos propres modifications.
F. Inclure immédiatement après les notices de copyright une notice donnant à quiconque l’autorisation
d’utiliser la Version modifiée selon les termes de cette Licence, sous la forme présentée dans l’annexe
indiqué ci-dessous.
G. Préserver dans cette notice la liste complète des Sections inaltérables et les Textes de couverture donnés
avec la notice de la Licence du Document.
H. Inclure une copie non modifiée de cette Licence.
I. Préserver la section nommée « Historique » et son titre, et y ajouter une nouvelle entrée décrivant le titre,
l’année, les nouveaux auteurs et l’éditeur de la Version modifiée, tels que décrits sur la Page de titre, ainsi
qu’un descriptif des modifications apportées depuis la précédente version.
J. Conserver l’adresse réseau éventuellement indiquée dans le Document permettant à quiconque d’accéder
à une Copie transparente du Document, ainsi que les adresses réseau indiquées dans le Document pour
les versions précédentes sur lesquelles le Document se base. Ces liens peuvent être placées dans la section
« Historique ». Vous pouvez ne pas conserver les liens pour un travail datant de plus de quatre ans avant
la version courante, ou si l’éditeur d’origine vous en accorde la permission.
K. Si une section « Dédicaces » ou une section « Remerciements » sont présentes, les informations et les appré-
ciations concernant les contributeurs et les personnes auxquelles s’adressent ces remerciements doivent
être conservées, ainsi que le titre de ces sections.
L. Conserver sans modification les Sections inaltérables du Document, ni dans leurs textes, ni dans leurs
titres. Les numéros de sections ne sont pas considérés comme faisant partie du texte des sections.
M. Effacer toute section intitulée « Approbations ». Une telle section ne peut pas être incluse dans une Version
modifiée.
N. Ne pas renommer une section existante sous le titre « Approbations » ou sous un autre titre entrant en
conflit avec le titre d’une Section inaltérable.
Si la Version modifiée contient de nouvelles sections préliminaires ou de nouvelles annexes considérées
comme des Sections secondaires, et que celles-ci ne contiennent aucun élément copié depuis le Document,
vous pouvez à votre convenance en désigner une ou plusieurs comme étant des Sections inaltérables. Pour
ce faire, ajoutez leurs titres dans la liste des Sections inaltérables au sein de la notice de Licence de la Version
modifiée. Ces titres doivent êtres distincts des titres des autres sections.
Vous pouvez ajouter une section nommée « Approbations », à condition que ces approbations ne concernent
que les modifications ayant donné naissance à la Version modifiée (par exemple, comptes-rendus de revue
de document, ou acceptation du texte par une organisation le reconnaissant comme étant la définition d’un
standard).
Vous pouvez ajouter un passage comprenant jusqu’à cinq mots en première page de couverture, et jusqu’à
vingt-cinq mots en dernière page de couverture, à la liste des Textes de couverture de la Version modifiée.
Il n’est autorisé d’ajouter qu’un seul passage en première et en dernière page de couverture par personne
ou groupe de personnes ou organisation ayant contribué à la modification du Document. Si le Document

203
Annexe C. Licence de documentation libre GNU

comporte déjà un passage sur la même couverture, ajouté en votre nom ou au nom de l’organisation au nom
de laquelle vous agissez, vous ne pouvez pas ajouter de passage supplémentaire ; mais vous pouvez remplacer
un ancien passage si vous avez expressément obtenu l’autorisation de l’éditeur de celui-ci.
Cette Licence ne vous donne pas le droit d’utiliser le nom des auteurs et des éditeurs de ce Document à des
fins publicitaires ou pour prétendre à l’approbation d’une Version modifiée.

5. FUSION DE DOCUMENTS
Vous pouvez fusionner le Document avec d’autres documents soumis à cette Licence, suivant les spécifications
de la section 4 pour les Versions modifiées, à condition d’inclure dans le document résultant toutes les Sec-
tions inaltérables des documents originaux sans modification, et de toutes les lister dans la liste des Sections
inaltérables de la notice de Licence du document résultant de la fusion.
Le document résultant de la fusion n’a besoin que d’une seule copie de cette Licence, et les Sections inaltérables
existant en multiples exemplaires peuvent être remplacées par une copie unique. S’il existe plusieurs Sections
inaltérables portant le même nom mais de contenu différent, rendez unique le titre de chaque section en
ajoutant, à la fin de celui-ci, entre parenthèses, le nom de l’auteur ou de l’éditeur d’origine, ou, à défaut, un
numéro unique. Les mêmes modifications doivent être réalisées dans la liste des Sections inaltérables de la
notice de Licence du document final.
Dans le document résultant de la fusion, vous devez rassembler en une seule toutes les sections « Historique »
des documents d’origine. De même, vous devez rassembler les sections « Remerciements » et « Dédicaces ».
Vous devez supprimer toutes les sections « Approbations ».

6. REGROUPEMENTS DE DOCUMENTS
Vous pouvez créer un regroupement de documents comprenant le Document et d’autres documents soumis à
cette Licence, et remplacer les copies individuelles de cette Licence des différents documents par une unique
copie incluse dans le regroupement de documents, à condition de respecter pour chacun de ces documents
l’ensemble des règles de cette Licence concernant les copies conformes.
Vous pouvez extraire un document d’un tel regroupement, et le distribuer individuellement sous couvert de
cette Licence, à condition d’y inclure une copie de cette Licence et d’en l’ensemble des règles concernant les
copies conformes.

7. AGRÉGATION AVEC DES TRAVAUX INDÉPENDANTS


La compilation du Document ou ses dérivés avec d’autres documents ou travaux séparés et indépendants sur
un support de stockage ou sur un média de distribution quelconque ne représente pas une Version modifiée
du Document tant qu’aucun copyright n’est déposé pour cette compilation. Une telle compilation est appelée
« agrégat », et cette Licence ne s’applique pas aux autres travaux indépendants compilés avec le Document,
s’ils ne sont pas eux-mêmes des travaux dérivés du Document.
Si les exigences de la section 3 concernant les Textes de couverture sont applicables à ces copies du Document,
et si le Document représente un volume inférieur à un quart du volume total de l’agrégat, les Textes de cou-
verture du Document peuvent être placés sur des pages de couverture qui n’encadrent que le Document au
sein de l’agrégat. Dans le cas contraire, ils doivent apparaître sur les pages de couverture de l’agrégat complet.

8. TRADUCTION
La traduction est considérée comme une forme de modification, vous pouvez donc distribuer les traductions
du Document selon les termes de la section 4. Vous devez obtenir l’autorisation spéciale des auteurs des Sec-
tions inaltérables pour les remplacer par des traductions, mais vous pouvez inclure les traductions des Sec-
tions inaltérables en plus des textes originaux. Vous pouvez inclure une traduction de cette Licence à condition
d’inclure également la version originale en anglais. En cas de contradiction entre la traduction et la version
originale en anglais, c’est cette dernière qui prévaut.

204
Annexe C. Licence de documentation libre GNU

9. CADUCITÉ
Vous ne pouvez pas copier, modifier, sous-licencier ou distribuer le Document autrement que selon les termes
de cette Licence. Toute autre acte de copie, modification, sous-licence ou distribution du Document est sans
objet et vous prive automatiquement des droits que cette Licence vous accorde. En revanche, les personnes
qui ont reçu de votre part des copies ou les droits sur le document sous couvert de cette Licence ne voient pas
leurs droits caducs tant qu’elles en respectent les principes.

10. RÉVISIONS FUTURES DE CETTE LICENCE


La Free Software Foundation peut publier de temps en temps de nouvelles versions révisées de cette Licence.
Ces nouvelles versions seront semblables à la présente version dans l’esprit, mais pourront différer sur des
points de détail en fonctions de nouvelles questions ou problèmes. Voyez http://www.gnu.org/copyleft/
(http://www.gnu.org/copyleft/) pour plus de détails.
Chaque version de cette Licence est dotée d’un numéro de version distinct. Si un Document spécifie un numéro
de version particulier de cette Licence, et porte la mention « ou toute autre version ultérieure », vous pouvez
choisir de suivre les termes de la version spécifiée ou ceux de n’importe quelle version ultérieure publiée par
la Free Software Foundation. Si aucun numéro de version n’est spécifié, vous pouvez choisir n’importe quelle
version officielle publiée par la Free Sofware Foundation.

C.3. Comment utiliser cette Licence pour vos documents


Pour utiliser cette Licence avec un document que vous avez écrit, incorporez une copie du texte de cette
Licence en anglais et placez le texte ci-dessous juste après la page de titre :

Copyright (c) ANNÉE VOTRE NOM Permission vous est donnée de copier, distribuer et/ou modifier ce document
selon les termes de la Licence GNU Free Documentation License, Version 1.1 ou ultérieure publiée par la Free Software
Foundation ; avec les sections inaltérables suivantes :

LISTE DES TITRES DES SECTIONS INALTÉRABLES

Avec le texte de première page de couverture suivant :

TEXTE DE PREMIÈRE PAGE DE COUVERTURE

Avec le texte de dernière page de couverture suivant :

TEXTE DE DERNIÈRE PAGE DE COUVERTURE

Une copie de cette Licence est incluse dans la section appelée GNU Free Documentation License de ce document.
Si votre Document ne comporte pas de section inaltérable, de textes de première et dernière pages de couver-
ture, veuillez insérer les mentions suivantes dans les sections adéquates :

• pas de section inaltérable


• pas de texte de première page de couverture
• pas de texte de dernière page de couverture
Vous pouvez également fournir une traduction de la Licence GNU FDL dans votre document, mais celle-ci ne
doit pas remplacer la version anglaise. La section intitulée GNU Free Documentation License doit contenir la
version anglaise de la Licence GNU FDL, c’est la seule qui fait foi.
Si votre Document contient des exemples non triviaux de code programme, nous recommandons de distribuer
ces exemples en parallèle sous Licence GNU General Public License, qui permet leur usage dans les logiciels
libres.

205
Annexe C. Licence de documentation libre GNU

206