Académique Documents
Professionnel Documents
Culture Documents
(http://www.MandrakeSoft.com)
MandrakeSecurity: Multiple Network Firewall; Guide de l’utilisateur
Publié 2002-06-15
Copyright © 2002 MandrakeSoft SA
par Camille Bégnis, Christian Roy, Fabian Mandelbaum, Joël Pomerleau, et Florin Grad
Table des matières
Préface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i
1. Notice légale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i
2. À propos de Mandrake Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i
2.1. Contacter la communauté Mandrake. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .i
2.2. Contribuez au projet Mandrake Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ii
2.3. Acquisition de produits Mandrake . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ii
3. Au sujet de ce guide d’installation et d’utilisation MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iii
4. Auteurs et traducteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iii
5. Note des traducteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv
6. Outils utilisés dans la conception de ce manuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv
7. Conventions utilisées dans ce manuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv
7.1. Conventions typographiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv
7.2. Conventions générales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v
1. Démarrage rapide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.1. Survol des opérations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2. Étapes préliminaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
2. Installation avec DrakX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2.1. Introduction au programme d’installation de Mandrake Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2.2. Choix de la langue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
2.3. Licence de la distribution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.4. Détection et configuration des disques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.5. Configuration de la souris . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.6. Configuration du clavier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.7. Création des partitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.8. Choix des partitions à formater . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.9. Installation des paquetages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.10. Mot de passe root . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.11. Mot de passe de l’administrateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.12. Ajouter un utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.13. Configuration réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.14. Emplacement du programme d’amorce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
2.15. Disquette de démarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.16. Installation de mises à jour depuis Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.17. L’installation est maintenant terminée ! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
2.18. Désinstaller Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
I. Administration et configuration de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3. Configuration de base de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.2. Configuration de base du système . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.3. Configuration des cartes Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3.4. Changer le mot de passe de l’administrateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
3.5. Journaux système sur vos machines locales et distantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3.6. Configuration de l’heure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4. Configurer l’accès à Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.1. Section Accès Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.2. Configuration d’un modem analogique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
4.3. Configurer un accès Internet RNIS (ISDN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
4.4. Configurer un accès Internet ADSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4.5. Configurer un accès Internet par câble ou réseau local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
4.6. Configuration des comptes d’accès . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
4.7. Restriction de temps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
5. Services : DHCP, Proxy, DNS, et bien d’autres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
5.1. État des services hébergés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
5.2. Serveur DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
5.3. Serveur mandataire ("Proxy") Squid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
5.4. DNS antémémoire ("Caching") . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
5.5. Système de détection d’intrusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
iii
5.6. Activation de services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
6. Configuration du comportement du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
6.1. Contrôle principal du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
6.2. Définition des zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
6.3. Configuration du masquage, des traductions d’adresses réseau statiques et du Proxy ARP . . 71
6.4. Configuration des règles générales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
6.5. Configuration des règles du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
6.6. Entretien de la liste noire (BlackList) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
6.7. Configuration des règles de type de service (TDS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
7. Configuration d’un VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
7.1. Qu’est-ce qu’un réseau privé virtuel (VPN) ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
7.2. Pourquoi un VPN ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
7.3. Monter un serveur VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
7.4. Configurer un client VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
8. Configurer des clients de paserelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
8.1. Machine Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
8.2. Machine Windows XP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
8.3. Machine Windows 95 ou Windows 98 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
8.4. Machine Windows NT ou Windows 2000. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .102
8.5. Machine DOS utilisant le paquetage NCSA Telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
8.6. Windows pour Workgroup 3.11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
8.7. Machine MacOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
8.8. Machine OS/2 Warp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
9. Surveillez le pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
9.1. L’utilisation de votre système et de votre réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
9.2. Fichiers journaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
10. Outils de gestion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
10.1. Connexion distante en utilisant SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
10.2. Sauvegarde et restauration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
10.3. Mise à jour logiciel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
II. Théorie appliquée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
11. De la sécurité sous GNU/Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
11.1. Préambule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
11.2. Aperçu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
11.3. Sécurité physique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
11.4. Sécurité locale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
11.5. Sécurité des fichiers et des systèmes de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
11.6. Sécurité des mots de passe et cryptage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
11.7. Sécurité du noyau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
11.8. Sécurité réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
11.9. Préparation de sécurité (avant de vous connecter) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
11.10. Que faire, avant et pendant une effraction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
11.11. Documents de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
11.12. Foire aux questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
11.13. Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
Vocabulaire relatif à la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
12. Le réseau sous GNU/Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
12.1. Copyright . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
12.2. Comment utiliser ce document ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
12.3. Informations générales concernant le réseau sous Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
12.4. Informations générales sur la configuration du réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
12.5. Informations sur IP et Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
12.6. Informations relative à IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
12.7. Utilisation du matériel courant pour PC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
12.8. Autres technologies de réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
12.9. Câbles et câblages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
A. Où trouver de la documentation supplémentaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
........................................................................................................
B. La licence Publique Générale GNU (GPL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
iv
B.1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
B.2. Préambule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
B.3. Stipulations et conditions relatives à la copie, la distribution et la modification . . . . . . . . . . . . . . . . . . 198
C. Licence de documentation libre GNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
C.1. A propos de cette traduction française de la GFDL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
C.2. Licence de documentation libre GNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
0. PRÉAMBULE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
1. APPLICABILITÉ ET DÉFINITIONS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .201
2. COPIES CONFORMES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
3. COPIES EN NOMBRE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
4. MODIFICATIONS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
5. FUSION DE DOCUMENTS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
6. REGROUPEMENTS DE DOCUMENTS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
7. AGRÉGATION AVEC DES TRAVAUX INDÉPENDANTS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
8. TRADUCTION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
9. CADUCITÉ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
10. RÉVISIONS FUTURES DE CETTE LICENCE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
C.3. Comment utiliser cette Licence pour vos documents. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .205
v
vi
Liste des tableaux
1. Chapitres importés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i
1-1. Matériel requis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2
12-1. Allocations pour réseaux privés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
vii
viii
Préface
1. Notice légale
Ce manuel (à l’exception des chapitres cités ci-dessous) est la propriété intellectuelle de MandrakeSoft. Ce
manuel peut être librement copié, distribué et/ou modifié selon les termes de la Licence GNU Free Documen-
tation License, Version 1.1 ou ultérieure publiée par la Free Software Foundation ; avec la section inaltérable À
propos de Mandrake Linux, page i ; les textes de couvertures, cités ci-dessous, et sans texte de dos de couverture.
Une copie complète de la licence se trouve à la section Licence de documentation libre GNU, page 201.
Textes de couverture :
MandrakeSoft Mars 2002 http://www.mandrakesoft.com/
Copyright © 1999,2000,2001,2002 MandrakeSoft S.A. et MandrakeSoft inc.
« Mandrake », « Mandrake Linux » et « MandrakeSoft » sont des marques déposées par MandrakeSoft
S.A. ; Linux est une marque déposée de Linus Torvalds; UNIX est une marque déposée de « The Open
Group » aux États-Unis et d’autres pays. Toutes les autres marques déposées et copyrights appartiennent à
leurs propriétaires respectifs.
i
Préface
• paquetages : un système GNU/Linux est principalement constitué de programmes rassemblés depuis In-
ternet. Ils doivent être mis en forme de façon à ce qu’ils puissent fonctionner ensemble, si tout se passe
bien ;
• programmation : une foule de projets sont directement développés par MandrakeSoft : cherchez celui qui
vous intéresse le plus et proposez votre aide au développeur principal ;
• internationalisation : traduction des pages des sites Web, programmes et leur documentation respective.
• documentation : enfin, le livre que vous lisez actuellement lire demande beaucoup d’efforts pour suivre
l’évolution rapide du système. Rédacteurs et traducteurs seront accueillis à bras ouverts !
Consultez aussi les pages des contributeurs (http://www.mandrakesoft.com/labs/) pour en savoir plus sur
les différentes façons de contribuer à l’évolution de Mandrake Linux.
Le 3 août 2001, après avoir rejoint le peloton de tête des fournisseurs de solutions libres et de logiciels
GNU/Linux , MandrakeSoft est devenue la première société Linux à être cotée sur une bourse européenne.
Que vous soyez déjà actionnaire de MandrakeSoft ou que vous souhaitiez le devenir, nos pages investis-
seurs (http://www.mandrakesoft.com/company/investors) vous fourniront les meilleures informations fi-
nancières sur notre société.
ii
Préface
4. Auteurs et traducteurs
Les personnes suivantes ont contribué à l’élaboration de ce manuel Mandrake Linux :
• Camille Bégnis
• Fabian Mandelbaum
• Roberta Michel
• Rodrigo Pedrosa
• Joël Pomerleau
• Christian Roy
• Les personnes ayant écrit des documents que nous avons intégrés sont listées dans au tableau 1.
Ces personnes ont aussi participé à des degrés divers : Amaury Amblard-Ladurantie, Florin Grad, Philippe
Libat et Diane Tan.
iii
Préface
iv
Préface
Cette icône introduit une astuce. Il peut s’agir d’un conseil d’ordre
général sur la meilleure façon d’arriver à un but spécifique, ou une
fonctionnalité intéressante qui peut vous rendre la vie plus facile.
Ces conventions étant standardisées, vous les retrouverez en bien d’autres occasions (dans les pages de man,
par exemple).
Les signes « < » (supérieur) et « > » (inférieur) indiquent un argument obligatoire qui ne doit pas être recopié
tel quel mais remplacé par votre texte spécifique. Par exemple : <fichier> désigne le nom d’un fichier ; si ce
fichier est toto.txt, vous devrez taper toto.txt, et non <toto.txt> ou <fichier>.
Les crochets « [ ] » indiquent des arguments optionnels que vous déciderez ou non d’inclure dans la ligne de
commande.
Les points de suspension « ... » signifient qu’un nombre illimité d’options peut être inséré à cet endroit.
Les accolades « { } » contiennent les arguments autorisés à cet endroit. Il faudra obligatoirement insérer un
d’entre eux à cet endroit précis.
v
Préface
vi
Chapitre 1. Démarrage rapide
Dans ce chapitre d’introduction, nous passerons en revue toutes les étapes de pré-configuration requises avant
de pouvoir utiliser les produits s’appuyant sur MandrakeSecurity . Que vous utilisiez MandrakeSecurity sur
un serveur dédié ou par-dessus une distribution Mandrake Linux, ce chapitre est pour vous.
La liste chronologique présentée ici vous guidera à travers tout le cycle de vie de votre pare-feu. Lisez-la
attentivement avant tout, et référez-vous aux sections du manuel citées.
1. Configuration matériel requise. Si vous construisez votre pare-feu à partir d’un PC standard, vérifiez
l’adéquation entre vos besoins réels et le matériel en lisant Étapes préliminaires, page 1.
2. Installation. Installez une distribution minimale sur la machine, en suivant les instructions à Installation
avec DrakX, page 3.
3. Première connexion et configuration de base. Configurez les paramètres de base du système et la conne-
xion Internet : Configuration de base de MandrakeSecurity, page 21.
4. Activation des services. Activez ceux des services proposés par MandrakeSecurity dont vous avez be-
soin : Services : DHCP, Proxy, DNS, et bien d’autres, page 47.
5. Paramétrage des règles de pare-feu. Contrôlez le trafic sur la passerelle : Configuration du comportement du
pare-feu, page 65.
6. Configuration VPN. Si vous souhaitez établir un réseau privé virtuel (VPN : Virtual Private Network) avec
un autre site distant équipé avec MandrakeSecurity : Configuration d’un VPN, page 85.
7. Configuration des systèmes client. Il est maintenant temps de connecter vos différents serveurs et machi-
nes hôtes à votre pare-feu. Configurez les serveurs de la DMZ en fonction des règles que vous aurez
ajoutées dans MandrakeSecurity . Pour les clients, suivez les instructions du chapitre Configurer des clients
de paserelle, page 97.
8. Tests. Assurez-vous simplement que les différents services configurés fonctionnent comme prévu. Vérifiez
aussi que les différentes règles du pare-feu donnent bien le résultat attendu, dans toutes les directions.
9. Sauvegarde de la configuration. Obligatoire, inutile d’insister : Sauvegarde et restauration, page 125.
10. Surveillance du système. Tout le système est maintenant en étape de production et rempli ses missions
comme prévu. Pour faire en sorte que tout se passe bien dans le temps, prenez la bonne habitude de
vérifier régulièrement les indicateurs vitaux du système : Surveillez le pare-feu, page 111.
11. Changer les mots de passe. Il est extrêmement important pour la sécurité du système de changer pé-
riodiquement le mot de passe admin permettant d’accéder au système pare-feu. Pour ce faire, allez au
formulaire Configuration système Compte administrateur depuis l’interface Web: Changer le mot de passe de
l’administrateur, page 27.
12. Mise à jour du système. Afin d’être sûr que votre pare-feu est toujours au summum de la sécurité, Man-
drakeSoft publie régulièrement des mises à jour de paquetages des applications pour lesquelles des trous
de sécurité ou des bogues ont été découverts et supprimés. Faites en sorte d’installer toutes les mises à
jour dès qu’elles sont disponibles : Mise à jour logiciel, page 127.
13. Réinitialisation profonde. En cas d’absolue nécessité : Sauvegardez la configuration ; désinstallez les
paquetages naat-* du système ; installez le paquetage snf-en ; et restaurez la configuration.
1
Chapitre 1. Démarrage rapide
Si vous avez choisi d’installer MandrakeSecurity sur une machine du commerce, voici quelques conseils au
sujet du matériel nécessaire pour deux utilisations différentes. Ensuite, nous passerons rapidement en revue
le processus d’installation.
Configuration Réseau local modeste, sans DMZ et peu Réseau local avec DMZ hébergeant
de trafic plusieurs serveurs Internet publics
Processeur P166 PIII
Mémoire RAM 64Mo 128Mo
Disque dur 2Go 10Go
Interfaces réseau Ethernet (LAN) + Internet 2*Ethernet (LAN+DMZ) + Internet
Tableau 1-1. Matériel requis
Ces chiffres sont évidemment purement indicatifs et dépendent grandement de l’utilisation effective du ré-
seau. Selon les services activés sur le serveur, la configuration peut s’avérer à l’étroit. Vérifiez régulièrement la
charge du système (Surveillez le pare-feu, page 111). Ainsi, vous pourrez agir avant que votre système ne sature.
2
Chapitre 2. Installation avec DrakX
Au début de l’installation, que ce soit par CD-ROM ou disquette, le premier écran vous propose plusieurs
options d’installation (figure 2-1). Ne rien faire démarrera l’installation en mode standard ou « linux ». Les
quelques paragraphes qui suivent présentent quelques options et paramètres qui peuvent être passés au pro-
gramme d’installation en cas de problème.
En appuyant sur F1, un écran d’aide apparaît. Voici les options qui vous y sont proposées :
• vgalo : Si vous avez essayé une installation normale et qu’il vous a été impossible de voir l’interface graphi-
que telle que montrée plus loin (Choix de la langue, page 4), vous pouvez essayer de lancer l’installation en
mode basse résolution. Cela peut arriver avec quelques cartes graphiques et MandrakeSecurity vous pro-
pose de contourner ce problème. Pour lancer l’installation en mode basse résolution, tapez vgalo à l’invite.
• text : Dans la situation où vous utilisez une très vieille carte vidéo et que l’installation en mode graphique
refuse de démarrer, le mode text vous permettra de poursuivre l’installation.
• Le mode expert : Dans certains cas isolés, la détection du matériel peut bloquer votre ordinateur. Le
mode expert permet de contourner ce problème, mais sachez que vous devrez alors fournir l’ensemble des
paramètres de votre matériel manuellement. Enfin, expert est une option pour les modes précédents (ou
linux, le mode standard). Vous pouvez donc être amené à spécifier:
boot: vgalo expert
Pour lancer une installation en mode graphique basse résolution sans détection matérielle.
3
Chapitre 2. Installation avec DrakX
• options du noyau : vous permet de spécifier des options directement au noyau d’installation. On l’utilisera
particulièrement sur les systèmes où l’installeur est incapable de déterminer la quantité de mémoire ins-
tallée. Il vous suffit donc de l’inscrire manuellement, en option du mode d’installation avec la commande
mem=xxxxM. Par exemple, pour démarrer une installation en mode standard sur un PC ayant 256 Mo de
mémoire vive, entrez la commande suivante :
boot: linux mem=256M
Le processus d’installation proprement dit possède une interface graphique (figure 2-2). À gauche, les diffé-
rentes phases d’installation sont identifiées. Selon où vous en ètes dans le processus d’installation, certaines
étapes seront accessibles ou non. Si vous y avez accès, elles sont mises en surbrillance lorsque le curseur de la
souris les survole.
Par ailleurs, différentes couleurs identifient les phases de l’installation.
4
Chapitre 2. Installation avec DrakX
Veuillez choisir votre langue. Celle-ci sera utilisée durant le processus d’installation, ainsi que durant les mises
à jour de votre système.
En cliquant sur Avancé, le programme vous proposera également des langues complémentaires pouvant être
installées sur votre station de travail. En choisissant des langues supplémentaires, le programme vous ins-
tallera toute la documentation et les applications nécessaires à l’utilisation de ces langues. Par exemple, si
vous prévoyez d’accueillir des utilisateurs d’Espagne sur votre serveur, choisissez l’anglais comme langue
principale, et, dans la section avancée, cliquez sur l’étoile grise correspondant à Spanish|Spain.
Sachez que plusieurs langues peuvent être installées. Une fois votre sélection complète terminée, cliquez sur
OK pour continuer.
5
Chapitre 2. Installation avec DrakX
Avant d’aller plus loin, il est fortement recommandé de lire attentivement les termes et conditions
d’utilisations de la licence. Celle-ci régit l’ensemble de la distribution Mandrake Linux. Si, pour une raison
ou une autre, vous n’acceptez pas ces conditions, cliquez sur Refuser. L’installation sera alors immédiatement
interrompue. Pour continuer, cliquez sur Accepter.
6
Chapitre 2. Installation avec DrakX
DrakX détecte maintenant tous les périphériques IDE présents sur votre système. DrakX recherchera aussi les
périphériques SCSI. Finalement, selon les composantes détectées, DrakX installera tous les pilotes nécessaires
à son fonctionnement.
Compte tenu de la vaste gamme de périphériques disponibles sur le marché, dans certains cas la détection de
matériel ne fonctionnera pas. DrakX vous demandera alors de confirmer si des composantes SCSI sont pré-
sentes sur votre système. Cliquez sur Oui si vous ètes certain d’avoir un périphérique SCSI sur votre système.
DrakX vous présentera alors une liste de carte SCSI disponibles. Sélectionnez la vôtre. Vous devez évidem-
ment cliquer sur Non, si vous n’en avez pas. Si vous n’ètes pas certain, cliquez sur Voir les informations sur le
matériel, puis sur OK. Vérifiez la liste du matériel, puis cliquez sur OK pour retourner à la question concernant
les périphériques SCSI.
Si vous devez configurer votre carte SCSI manuellement, DrakX vous demandera si vous souhaitez spécifier à
la main les options du périphérique. Laissez en fait DrakX chercher automatiquement les options nécessaires
à la configuration de votre carte, cela fonctionne généralement.
Il peut arriver que DrakX soit incapable de vérifier les options nécessaires. Dans ce cas, vous devrez les déter-
miner manuellement.
7
Chapitre 2. Installation avec DrakX
DrakX détecte généralement le nombre de boutons de votre souris. Sinon, il prend pour acquis que vous avez
une souris à deux boutons et configurera l’émulation du troisième bouton. De plus, DrakX saura automatique-
ment si vous avez une souris PS/2, série ou USB.
Si vous désirez installer une souris différente, veuillez la sélectionner à partir de la liste qui vous est proposée.
Si vous sélectionnez une souris différente de celle choisie par défaut, DrakX vous présentera un écran de test.
Utilisez les boutons et la roue pour vous assurer que tout fonctionne correctement. Si votre souris ne fonc-
tionne pas normalement, appuyez sur la barre d’espacement ou Entrée ou encore Annuler, puis, sélectionnez
une autre souris.
8
Chapitre 2. Installation avec DrakX
Normalement, DrakX sélectionne le clavier approprié en fonction de la langue choisie et vous ne devriez pas
voir cette étape. Cela dit, il est possible que vous ayez un clavier ne correspondant pas exactement à votre
langue d’utilisation. Par exemple, si vous habitez le Québec et parlez le français et l’anglais, vous pouvez
vouloir avoir votre clavier anglais pour les tâches d’administration système et votre clavier français pour
écrire de la poésie. Dans ces cas, il vous faudra revenir à cette étape d’installation et sélectionner un autre
clavier à partir de la liste.
Cliquez sur Davantage pour voir toutes les options proposées.
9
Chapitre 2. Installation avec DrakX
Cette étape vous permet de déterminer précisément l’emplacement de votre installation de MandrakeSecuri-
ty . Si votre disque est vide ou utilisé par un autre système d’exploitation, vous devrez repartitionner votre
disque. Partitionner un disque signifie de le diviser précisément afin de créer un espace pour votre installation.
Comme les effets du partitionnement sont irréversibles (l’ensemble du disque est effacé), le partitionnement
est généralement intimidant et stressant pour un utilisateur inexpérimenté. Heureusement, un assistant a été
prévu à cet effet. Avant de commencer, révisez vos manuels et surtout, prenez votre temps.
Si des partitions ont déjà été définies, peu importe qu’elles proviennent d’une autre installation ou d’un autre
outil de partitionnement, il vous suffit de simplement choisir sur quelle partition vous voulez installer Man-
drake.
Si vos partitions ne sont pas définies, vous devrez les créer en utilisant l’assistant. Selon la configuration de
votre disque, plusieurs options sont disponibles :
• Utilisez l’espace disponible : cette option tentera simplement de partitionner automatiquement l’espace inu-
tilisé sur votre disque. Il n’y aura pas d’autre question.
• Utiliser les partitions existantes : l’ assistant a détecté une ou plusieurs partitions existants sur votre disque.
Si vous voulez les utiliser, choisissez cette option. Il vous sera alors demandé de choisir les points de mon-
tage associés à chacune des partitions. Les anciens points de montage sont sélectionnés par défaut, et vous
devriez généralement les garder.
• Utilisez l’espace libre sur une partition Windows : si Microsoft® Windows © est installé sur votre disque et
prend l’ensemble de l’espace vous devez créer une place pour votre installation Mandrake. Pour ce faire,
vous pouvez tout effacer (voir « effacer tout le disque » ou « Mode expert ») ou vous pouvez redimensionner
l’espace utilisé par Windows . Le redimensionnement peut être effectué sans pertes de données, à condition
que vous ayez préalablement défragmenté la partition Windows. Une sauvegarde de Vos données ne fera
pas de mal non plus. Cette seconde option peut être accomplie sans perte de données. Cette solution est
recommandée pour faire cohabiter Linux et Windows sur le même ordinateur.
Avant de choisir cette option, il faut comprendre qu’après cette procédure l’espace disponible pour Windows
sera réduit. Vous aurez moins d’espace pour installer des logiciels ou sauvegarder de l’information avec
Windows.
10
Chapitre 2. Installation avec DrakX
• Effacer tout le disque: si vous voulez effacer toutes les données et les applications installées sur votre système
et les remplacer par votre nouveau système MandrakeSecurity , choisissez cette option. Soyez prudent, car
ce choix est irréversible et permanent. Il vous sera impossible de retrouver vos données effacées.
• Supprimer Microsoft Windows: ce choix effacera tout simplement ce que contient le disque et recommencera
à zéro. Toutes les données et les programmes présents sur le disque seront effacés.
• Partitionnement personnalisé : permet de partitionner manuellement votre disque. Soyez prudent, parce
que bien que plus puissante, cette option est dangereuse. Vous pouvez facilement perdre l’ensemble du
contenu d’un disque. Donc, ne choisissez pas cette option si vous ne savez pas exactement ce que vous
devez faire. Pour en savoir plus sur DiskDrake , référez vous à la documentation en ligne de DiskDrake
(http://www.linux-mandrake.com/en/doc/82/en/user.html/diskdrake.html).
Les partitions ayant été nouvellement définies doivent être formatées (ce qui implique la création d’un système
de fichiers.
Lors de cette étape, vous pouvez reformater des partitions existantes pour effacer les données présentes. Vous
devrez alors les sélectionner également.
11
Chapitre 2. Installation avec DrakX
Sachez qu’il n’est pas nécessaire de reformater toutes les partitions existantes. Vous devez formater les parti-
tions contenant le système d’exploitation (comme /, /usr ou /var, mais il n’est pas nécessaire de formater les
partitions de données, notamment /home..
Soyez prudent. Une fois que les partitions sélectionnées seront reformatées, il sera impossible de récupérer
des données.
Cliquez sur OK lorsque vous ètes prêt à formater les partitions.
Cliquez sur Annuler pour ajouter ou enlever une partition à formater.
Cliquer sur Avancer si vous désirez sélectionner des partitions pour une vérification des secteurs défectueux
(Bad Blocks).
Vous devez prendre ici une décision cruciale pour la sécurité de votre système. L’utilisateur root est
l’administrateur du système qui a tous les droits d’accès aux fichiers de configuration, etc. Il est donc im-
pératif de choisir un mot de passe difficile à deviner (pensez aux systèmes prévus à cet effet qui anticipent
les combinaisons communes des utilisateurs). DrakX vous avertira si le mot de passe entré est trop facile à
deviner. Comme vous pouvez le voir, il est également possible de ne pas entrer de mot de passe. Nous dé-
conseillons fortement cette pratique. Comme l’erreur est humaine, un utilisateur avec tous les droits peut tout
détruire sur votre système, c’est pourquoi le mot de passe doit agir comme barrière à l’entrée.
Le niveau de sécurité MSEC est positionné à 4 (« haut ») par défaut. Le mot de passe choisi doit contenir au
moins 8 caractères alphanumériques. Ne jamais écrire un mot de passe, forcez-vous à vous en souvenir par
coeur.
12
Chapitre 2. Installation avec DrakX
Il faut donc ménager accessibilité et mémoire, donc un mot de passe de 30 caractères est presque impossible à
mémoriser.
Afin d’éviter les regards indiscrets, le mot de passe n’apparaîtra pas à l’écran. Il vous faudra donc l’inscrire
deux fois afin d’éviter les erreurs de frappe. Évidemment, si vous faites deux fois la même erreur, celle-ci sera
sauvegardée et vous devrez la reproduire afin d’accéder à votre système pour la première fois.
Tous les utilisateurs nécessaires au fonctionnement de MandrakeSecurity ont été définis. Cependant, si vous
prévoyez d’utiliser la fonction d’authentification PAM de squid , vous pouvez ajouter ici les utilisateurs qui
seront autorisés.
Il faut d’abord entrer le vrai nom de la personne. Évidemment, vous pouvez y inscrire n’importe quoi. DrakX
prendra le premier mot inséré et le transposera comme Nom de login. C’est le nom qui sera utilisé pour se
connecter au système. Vous pouvez le modifier. Il faut maintenant entrer un mot de passe. Celui-ci n’est pas
aussi crucial que le mot de passe de root, mais ce n’est pas une raison pour le laisser blanc ou trop simple.
Après tout, ceci mettrait vos fichiers en péril.
Vous pouvez alors choisir de rendre cet utilisateur membre d’un ou plusieurs groupes spéciaux ce qui lui don-
nera des privilèges particuliers. Cochez les cases correspondants aux privilèges que vous souhaitez accorder
à cet utilisateur.
Si vous cliquez Accepter, il vous sera possible d’ajouter d’autres utilisateurs. Une fois chaque utilisateur défini,
cliquez sur Terminer.
13
Chapitre 2. Installation avec DrakX
Vous allez pouvoir configurer maintenant votre accès au réseau local (LAN). MandrakeSecurity tentera de
détecter les périphériques réseau et modems. Si cette détection échouait, décochez la case Utiliser la détection
automatique.
Nous ne détaillerons pas ici chacune des configurations possibles. Assurez-vous seulement que vous avez
toutes les informations (adresse IP, passerelle, serveurs DNS) de votre fournisseur de service Internet ou de
l’administrateur système à portée de main.
Vous pourrez configurer toutes les autres interfaces réseau (Internet, DMZ, etc.) plus tard grâce à l’interface
de MandrakeSecurity .
14
Chapitre 2. Installation avec DrakX
Vous devez indiquer le répertoire où vous souhaitez enregistrer les informations nécessaires au démarrage
sous GNU/Linux .
A moins que vous ne maîtrisiez parfaitement les choix dans ce domaine, nous vous conseillons de choisir
Premier secteur du disque (MBR).
Les différentes options de démarrage seront alors présentées, vous pouvez les modifier si nécessaire.
15
Chapitre 2. Installation avec DrakX
16
Chapitre 2. Installation avec DrakX
Au moment où vous êtes en train d’installer MandrakeSecurity , il est possible que certains paquetages aient
été mis à jour depuis la sortie du produit. Des erreurs ont pu être corrigées, et des problèmes de sécurité
résolus. Pour vous permettre de bénéficier de ces mises à jour, il vous est maintenant proposé de les télécharger
depuis Internet. Choisissez Oui si vous avez une connexion Internet, ou Non si vous préférez installer les mises
à jour plus tard.
En choisissant Oui, la liste des sites depuis lesquels les mises à jour peuvent être téléchargées est affichée.
Choisissez le site le plus proche. Puis un arbre de choix des paquetages apparaît : vérifiez la sélection, puis
cliquez sur Installer pour télé-charger et installer les mises à jour sélectionnées, ou Annuler pour abandonner.
17
Chapitre 2. Installation avec DrakX
Votre installation de MandrakeSecurity est maintenant terminée et votre système est prêt à être utilisé. Notez
soigneusement l’adresse donnée par ce dialogue, c’est celle que vous devrez utiliser dans votre navigateur
Internet pour accéder à l’interface Web de MandrakeSecurity avec le compte admin. Cliquez maintenant sur
OK deux fois pour redémarrer votre système.
1. Détruire toutes les partitions sur votre disque et les remplacer par une seule partition FAT. Pour ce faire,
consulter la section Gérer ses partitions.
2. Désinstaller le programme d’amorce (généralement grub ). Pour ce faire, démarrer sous DOS et lancer la
commande : fdisk /mbr.
Évidemment, si vous utilisez un autre système d’exploitation, celui-ci inclut sans doute de la documenta-
tion concernant l’installation de son programme d’amorce (boot loader).
18
Présentation de l’interface de MandrakeSecurity
Les chapitres de cette partie sont dédiés à l’utilisation de l’outil d’administration Web de MandrakeSecurity ,
qui vous permet de contrôler votre pare-feu à distance depuis n’importe quelle machine connectée à votre
réseau local. Le premier chapitre, Configuration de base de MandrakeSecurity, page 21, vous guidera pour les
premières étapes de configuration de base du pare-feu. Vous pourrez y créer des comptes, configurer les cartes
réseau, le serveur de journaux (logs), ainsi que l’heure locale et un serveur local de temps NTP (Network Time
Protocol).
Vient ensuite le chapitre Configurer l’accès à Internet, page 31, qui vous permettra de configurer la connexion
Internet de votre serveur. Le troisième chapitre, Services : DHCP, Proxy, DNS, et bien d’autres, page 47, vous
conseille dans la configuration des services associés tels que DHCP, DNS et serveurs mandataires (Proxy). Vous
pourrez aussi activer un système de détection d’intrusion IDS (Intrusion Detection System) comme Prelude
ou Snort , ou encore bloquer l’accès à certaines adresses Internet auxquelles vous ne voulez pas que vos
utilisateurs accèdent.
Le chapitre Configuration du comportement du pare-feu, page 65 parcours toutes les pages de la section des règles
pare-feu de MandrakeSecurity . Cette section permet de réguler le trafic entre les différentes zones gérées par
le pare-feu.
Finalement, nous parlerons de surveillance du système (essentiel pour garantir le bon fonctionnement du
système) dans le chapitre Surveillez le pare-feu, page 111, et des outils d’entretien dans Outils de gestion, page
123.
Nous espérons que vous apprécierez MandrakeSecurity !
20
Chapitre 3. Configuration de base de MandrakeSecurity
3.1. Introduction
Nous allons maintenant présenter brièvement l’interface de configuration et comment y naviguer. Celle-ci est
faite de menus ouvrant des assistants de configuration.
3.1.1. Connexion
La connexion au serveur pare-feu depuis n’importe quel client est effectuée grâce à n’importe quel fureteur
Internet, suffisamment récent. La communication est intégralement cryptée. Ainsi les informations transmises
sur le réseau sont chiffrées et, presque impossible, à lire sans les codes d’accès.
Pour démarrer la session, pointez votre fureteur sur l’adresse qui vous a été fournie lors de la dernière étape
de la procédure d’installation. Ce devrait être une adresse qui ressemble à :
https://192.168.1.160:8443/
Remplissez-la avec les informations de connexion du compte admin tel que défini durant l’installation. À
chaque fois que vous devrez vous identifier pour vous connecter à l’interface, utilisez le compte admin. Le mot
de passe doit être modifié dès la première connexion, voyez Changer le mot de passe de l’administrateur, page 27.
21
Chapitre 3. Configuration de base de MandrakeSecurity
3.1.2. L’interface
L’interface est disposée de manière traditionnelle, avec un menu à deux niveau sur la gauche et un cadre de
contenus sur la droite. Ce dernier contiendra les différentes étapes des assistants correspondant aux entrées
de menu de second niveau. Par la suite, nous appellerons « section » le sujet couvert par une entrée de menu
de premier niveau, et « sous-section » pour les entrées de second niveau (les assistants).
Les pages des assistants sont composées de :
Le bouton d’aide. Ouvre une fenêtre d’aide contextuelle, détaillant les divers éléments
présents dans la page courante.
Le bouton d’annulation. Annule toutes les modification faites depuis le début de
l’assistant, et vous ramène à la page d’accueil de MandrakeSecurity.
Le bouton de retour. Revient à l’étape précédente de l’assistant.
Le bouton « suivant ». Passe à l’étape suivante. Notez que les choix effectués sur une page
ne sont rendus effectifs que lorsque le bouton de confirmation de l’assistant tout entier
(ci-dessous) est pressé.
Le bouton de confirmation. Lorsque vous atteignez le dernier écran de confirmation d’un
assistant, ce bouton confirme tous les choix afférant à cet assistant et les applique au
système. N’oubliez pas de l’utiliser lorsque vous avez fini un assistant, si non tous vos
changements seront perdus !
22
Chapitre 3. Configuration de base de MandrakeSecurity
3.1.3. Déconnexion
Il est très important de se déconnecter explicitement de l’interface lorsque vous avez fini de travailler, ou si
vous abandonnez votre bureau pour un certain temps. Notez bien que fermer le navigateur ne suffit généra-
lement pas, car le serveur n’a alors aucun moyen de savoir que vous abandonnez votre machine, et une autre
personne utilisant l’ordinateur juste après vous pourrait reprendre votre session là où vous l’avez laissée.
Dès que vous avez fini une session, cliquez sur cet icône. La prochaine fois que vous essaierez de vous connec-
ter, vous devrez vous identifier à nouveau.
Cette section vous guidera pour la configuration de base du serveur. Elle permet aussi à l’administrateur de
changer son mot de passe d’accès à l’interface.
L’information affichée ici est très générale, quoique essentielle. Votre système doit être associé à un nom ainsi
qu’à un nom de domaine. Les champs Informations du système et temps d’utilisation (Uptime) vous donnent
de l’information de base au sujet de votre système.
Un nom sera attribué au système. Celui-ci sera ensuite alloué à un réseau local. À ce stade, les paramètres à
entrer dépendront du fait que vous ayez ou non un accès permanent à Internet avec une adresse IP fixe.
Ce champ contient le nom d’hôte complet de votre machine: le nom de la machine suivi du nom de domaine,
tel que parefeu.société.net.
Ce champ abrite le nom de domaine de votre machine. Si vous possédez un nom de domaine et que les DNS
requis pointe vers votre adresse IP, utilisez votre nom de domaine dans ce champ. Sinon, utilisez le nom de
domaine de votre fournisseur Internet.
23
Chapitre 3. Configuration de base de MandrakeSecurity
Dans ce champ sont listés 1) le type de système d’exploitation 2) le nom complet de la machine 3) la version
du noyau 4) la date à laquelle le système a été installé 5) et le type de processeur.
Temps d’utilisation 4:33pm up 1 day, 23:26, 7 users, load average: 0.00, 0.00, 0.00
Ce champ affiche 1) l’heure locale 2) temps d’utilisation en jour, minutes et secondes 3) le nombre d’utilisateurs
4) et la charge moyenne ("load average") des dernières 1, 5 et 15 minutes.
Modifier
Cliquez sur cette icône si vous voulez change le nom de votre système ou le nom de domaine.
Cette section vous aidera à changer le nom de votre système et de votre nom de domaine.
Lorsque vous aurez terminé vos changements, cliquez sur le bouton Next, puis sur le bouton Apply. Vous
reviendrez alors à la page System Properties Group, qui affichera le nom du système, le nom de domaine,
ainsi que de l’information sur le système et le temps disponible ("uptime").
Cette page liste les cartes d’interface réseau ("Network Interface Cards" ou NIC) qui sont actuellement confi-
gurées sur votre machine. Cela vous permettra de choisir une carte particulière et de la configurer à nouveau,
ou d’ajouter une autre carte.
24
Chapitre 3. Configuration de base de MandrakeSecurity
Chaque ligne correspond à une carte d’interface réseau dans votre ordinateur:
• pour la configurer à nouveau, cliquez sur cette icône située à la gauche de la corbeille. Vous serez
également en mesure de choisir si vous voulez l’activer (ou non) lors de l’amorçage depuis la page Ethernet
Interface Configuration;
• pour permettre au réseau associé à cette interface de se connecter à l’interface Web, cliquez sur Admin (voir
"Administration Interface" plus bas);
• - Détection des cartes d’interface réseau courantes: en cliquant sur cette icône, vous lancerez un
processus d’auto-détection de cartes d’interface réseau. Utilisez cette fonctionnalité si vous avez installé
une nouvelle carte d’interface réseau dans votre ordinateur. Note: après votre clic, il pourrait prendre un
certain temps avant que le prochain écran apparaisse puisque l’ordinateur cherche les nouvelles cartes.
• - Ajouter une carte d’interface réseau manuellement: si l’opération précédente devait échouer, vous
pouvez configurer manuellement votre carte en cliquant sur cette icône.
Cet écran montre les cartes d’interface réseau qui viennent tout juste d’être détectées automatiquement sur
votre machine. Si la carte que vous souhaitez configurer n’apparaît pas sur cet écran, retournez à la page
précédente et cliquez sur le bouton "Ajouter une carte d’interface réseau manuellement".
Chaque ligne correspond à une carte d’interface réseau physique dans votre ordinateur. Pour en choisir une et
la configurer en tant qu’interface d’accès au réseau local, revenez à la page précédente, cliquez sur et
remplissez les champs.
25
Chapitre 3. Configuration de base de MandrakeSecurity
Dans cette section, vous devez définir les paramètres de la carte d’interface nécessaires pour ajuster les besoins
de votre réseau local (ou vos réseaux locaux, le cas échéant). Certains des paramètres auront peut-être été
déjà définis lors de l’installation, ou durant une configuration précédente, ou complétés avec des valeurs par
défaut. Faites les modifications nécessaires pour répondre à vos besoins actuels.
Vous devez choisir dans quel sorte de réseau vous travaillerez. Voici vos choix :
• lan, ou les systèmes de votre réseau local (ou réseaux locaux, le cas échéant). Ces systèmes doivent être
protégés d’Internet et de la DMZ et, dans certains cas, entre eux également. Choisissez cette zone pour
définir votre réseau local ;
• dmz, qui signifie "Demilitarized Zone" (soit zone démilitarisée). Choisissez ce type de zone si vos systèmes
doivent être accessibles depuis Internet et depuis votre réseau local ;
• wan - "Wide Area Network" (soit réseau étendu). Il peut être soit public, soit privé, et il assure
l’interconnexion entre les réseaux à l’extérieur de votre LAN (soit Internet). Choisissez ce type de zone
pour vous connecter directement au monde extérieur.
Adresse IP 192.168.1.1
Remplissez ce champ si vous avez une adresse IP statique pour cette interface. C’est l’adresse de votre serveur :
elle est essentielle puisque les systèmes client se référeront à cette adresse.
Dans ce champ, entrez le nom du masque de sous-réseau relié au réseau auquel l’interface est connectée.
Maintenant, réglez le protocole d’amorçage à utiliser lorsque l’interface est initialisée. Cela dépend du proto-
cole utilisé par votre FAI ("ISP"). Choisissez la bonne boîte à cocher, par exemple, une des suivantes :
• static. C’est une adresse IP permanente assignée à votre serveur par votre FAI ;
• dhcp. C’est une adresse IP dynamique assignée par votre FAI lors de l’amorçage de la machine. La plupart
des FAI câble et DSL utilise une forme de DHCP ou une autre pour assigner une adresse IP à votre système.
Notez également que les postes de travail devraient être configurés de cette façon pour simplifier la gestion
de réseau ;
• bootp. Permet à une machine Linux de récupérer son information réseau depuis un serveur à travers le
réseau.
26
Chapitre 3. Configuration de base de MandrakeSecurity
Ensuite, vous pouvez décider d’activer (ou non) cette interface lors de l’amorçage.
Ce champ vous permet de choisir quel client DHCP sera utilisé sur votre réseau. Vous pouvez choisir un des
suivants :
• dhcpcd - démon client qui récupère une adresse IP et d’autres informations depuis un serveur DHCP. Il
configure automatiquement l’interface réseau, et essaie de renouveler le temps de location selon le RFC2131
ou RFC1541 (ce dernier est désuet) ;
• pump - démon client pour BOOTP et DHCP. Il permet à votre machine de récupérer de l’information de
configuration depuis un serveur ;
• dhclient - avec celui-ci, vous pouvez configurer une ou plusieurs interfaces utilisant le protocole DHCP ou
BOOTP ;
• dhcpxd - son but premier est de se conformer aux spécifications DHCP définies par le RFC2131. Il prend en
charge un processus par session et est aussi capable de gérer des sessions processus-tout-en-un ("all-in-one-
process sessions"). Une de ses fonctionnalités les plus avancées réside sous forme de scripts, lesquels sont
exécutés lorsque nécessaire, dans le but de configurer tout ce qui est requis pour régler les interfaces.
Finalement, vous pouvez choisir de remplir le champ Nom d’hôte DHCP (optionnel) avec une valeur appro-
priée.
Ce formulaire vous permettra de modifier le mot de passe de l’administrateur. Nous recommandons que vous
le changiez de façon périodique.
Vous devez choisir un mot de passe sécuritaire. Lorsque vous avez terminé, cliquez sur le bouton "Modifier".
27
Chapitre 3. Configuration de base de MandrakeSecurity
Les journaux constituent une partie essentielle d’un système à vocation sécuritaire tel qu’un pare-feu. Ils ne
font pas que donner de l’information en temps réel sur ce qui se passe sur votre système: ils peuvent en
retracer l’historique, par exemple, lorsque quelque chose cloche sur votre système - un crash ou une intrusion
- ils trouveront la source de votre problème et, généralement, une solution à ce problème.
Premièrement, vous avez le choix d’activer (ou non) le système de journaux sur la machine locale (soit le pare-
feu). Évidemment, ceci ne sera pertinent que si un affichage est directement relié au pare-feu. Il sera possible
de contrôler:
Serveur Syslog (ex: 10.1.1.10) Vous pouvez choisir d’entrer soit le nom du serveur syslog (ex:
syslog.entreprise.com) ou l’adresse IP. Si vous ne connaissez pas cette
dernière, utilisez la commande ifconfig en tant que root, ou
/sbin/ifconfig en tant qu’utilisateur normal.
Ensuite, entrez l’adresse du serveur syslog. C’est une façon de mieux sécuriser vos journaux en ne les héber-
geant pas directement sur votre serveur, mais bien sur une autre machine.
Ce paramètre contrôle l’information qui sera affichée, selon le niveau que vous choisirez:
• Information: affiche en sortie tous les messages sur le pare-feu, en passant des messages normaux aux plus
critiques;
• Notification: retourne les messages qui ne poseront pas de problèmes au système, mais qui sont inhabituels;
• Attention: vous informe que quelque chose d’anormal est peut-être en train de se réaliser et que vous devriez
commencer à penser à passer à l’acte;
• Erreur: affiche en sortie les messages d’erreur qui pourraient mener à un mauvais fonctionnement du systè-
me;
• Critique: retourne les messages indiquant que votre système est en sérieux danger;
• Alertes: vous indique d’agir immédiatement;
• Panique: affiche en sortie seulement les messages critiques qui mènent généralement à une panne totale de
votre système. À cette étape, votre système pourrait être inutilisable. À moins que vous sachiez exactement
ce que vous faites, nous vous déconseillons fortement d’utiliser ce niveau d’information.
28
Chapitre 3. Configuration de base de MandrakeSecurity
• date et heure : si vous ne possédez pas de serveur NTP ("Network Time Protocol"), cliquez sur le bouton
Modifier pour régler manuellement la date actuelle et l’heure sur la machine ;
• fuseau horaire et adresse du serveur NTP : cliquez sur le bouton sous le champ Adresse du serveur
NTP (optionnel) pour indiquer la location physique du serveur et éventuellement, configurer un serveur de
temps, qui règlerait automatiquemnt la date et l’heure du système.
29
Chapitre 3. Configuration de base de MandrakeSecurity
Vous devez choisir le fuseau horaire de votre location géographique et indiquer la présence éventuelle d’un
serveur NTP.
Dans la liste de fuseau horaire, choisissez celui qui est situé le plus près de votre emplacement géographique,
ainsi que la ville la plus près de votre location.
Éventuellement, vous pouvez entrer le nom d’un serveur NTP, qui règle automatiquement et vérifie l’heure
sur votre machine de façon périodique. Si votre société possède son propre serveur, utilisez-le. Sinon, vous
pouvez utiliser un serveur public, tels que ceux contenus sur le site Web Public NTP Secondary (stratum 2)
Time Servers (http://www.eecis.udel.edu/~mills/ntp/clock2.htm).
30
Chapitre 4. Configurer l’accès à Internet
Dans cette section, vous pourrez configurer le ou les accès Internet dont dispose votre pare-feu. Il est pos-
sible de configurer des interfaces vers les protocoles supportés par votre version de MandrakeSecurity . Vous
pourrez aussi définir tous vos comptes de fournisseurs d’accès.
Cette page d’introduction aux interfaces de configurations résume l’état des connexions à Internet. Elle permet
d’arrêter, de démarrer et de tester la connexion à Internet.
La première partie du cadre présente tous les paramètres d’accès à Internet selon la configuration active : type,
interface, compte (Account), etc.
Ensuite, on présente l’état de l’accès à Internet: "Up" (actif) ou "Down" (inactif); et quelques informations
supplémentaires à propos de la connexion courante. Ceci est suivit de trois boutons:
31
Chapitre 4. Configurer l’accès à Internet
Si vous utilisez un service de DNS dynamique pour configurer votre nom de domaine (lorsque votre adresse
IP est dynamique), cliquez sur Modifier et remplissez les champs correspondants pour établir la configuration.
Ce formulaire contient l’ensemble des paramètres requis pour configurer un modem analogique standard
pour se brancher à Internet. Assurez d’avoir l’ensemble des informations remises par votre fournisseur de
services Internet (ISP)
D’abord, il se peut que vous receviez des rappels concernant la configuration actuelle.
Remplissez ce champ avec n’importe quel nom vous permettant d’identifier cette connexion.
Vous pouvez ensuite essayer le mode auto détection du modem, en cliquant sur l’icône détection:
Cette liste contient tous les modems détectés sur votre machine (le premier port série, selon notre exemple).
Choisissez celui que vous désirez utiliser pour cette connexion.
Si vous modem n’a pas été détecté, vous pouvez également configurer manuellement le port auquel il est relié
32
Chapitre 4. Configurer l’accès à Internet
Dans certaines situations, il est nécessaire de fournir des paramètres supplémentaire au deamon PPP. Vous
pouvez les inclure ici. Dans la majorité des cas, ces cases seront laissées vides.
Le numéro de téléphone d’accès internet de votre fournisseur de service. Il est important d’inscrire ici les
préfixes d’appel nécessaire.
Entrez votre nom d’usager et votre mot de passe fournis par votre fournisseur de service internet.
Authentification PAP
DNS 1 123.456.789.122
DNS 2 123.456.789.123
33
Chapitre 4. Configurer l’accès à Internet
Cette page affiche tous les modems analogiques trouvés sur votre machine. Assurez-vous qu’ils sont brahcc-
nez correctement et bien branché à internet avant d’aller sur cette page.
Dans le menu déroulant, choississez simplement le port sur lequel le modem choisi est branché, et cliquer sur
suivant.
Cette première étape de la configuration d’une carte internet ISDN vous offre plusieurs options:
• Détecter un carte interne: en cliquant sur cet icône, une liste des cartes ISDN détectées sur votre système
vous sera présentées. Si vous avez une carte interne, c’est la première étape à essayer. Si non:
• Sélectionnez une carte interne: une liste des cartes supportées sera présentée si l’étape précédente à échouée.
• Configurer une carte externe: sélectionnez cet icône si vous avez un modem ISDN externe.
34
Chapitre 4. Configurer l’accès à Internet
On vous présente la liste des cartes ISDN détectées sur votre système.
Sélectionnez simplement la carte que vous désirez utiliser pour votre branchement à Internet, puis continuez
vers la prochaine étape. Si votre carte n’a pas été détectée, cliquez sur "Configurer une carte manuellement "
pour la configurer manuellement.
Choisissez simplement le modèle de votre carte dans la liste des modèles suggérés, et passez à l’étape suivante.
Si votre modèle de carte n’est pas dans la liste, identifiez un modèle compatible avec le vôtre dans la docu-
mentation fournie avec votre carte.
35
Chapitre 4. Configurer l’accès à Internet
On vous présente une liste étendue des fournisseurs ISDN à travers le monde. Si le votre est absent, il vous
faudra le créer manuellement.
• Europe
• Reste du monde
Puis, il vous faudra configurer votre fournisseur :
• Sélectionnez votre FAI : pour choisir votre fournisseur dans une liste classée par pays, ville et par nom du
fournisseur. Si le votre y est, choisissez-le et passer à l’autre étape.
• Modifier manuellement les paramètres du FAI: Si votre fournisseur n’apparaît pas dans la liste, cliquez ici.
36
Chapitre 4. Configurer l’accès à Internet
Cette page énumère tous les paramètres nécessaires pour configurer un connexion Internet ISDN. Assurez-
vous d’avoir toutes les informations nécessaires remis par votre fournisseur de service Internet.
Si votre fournisseur est présenté dans la liste, il vous suffit de remplir les champs vides suivants :
Ce sont les noms d’usager et mot de passe remis par votre ISP.
Il faut entrer ici le numéro de téléphone de la ligne utilisée pour votre branchement ISDN.
Il suffit ici d’identifier votre fournisseur, mais plus important, son numéro de téléphone pour l’accès à Internet..
37
Chapitre 4. Configurer l’accès à Internet
• Automatic: (automatique) Dès que votre serveur reçois un requête pour Internet, la connexion sera établie
automatiquement.
• Manual: (manuel) Cette option requiert que l’administrateur du système démarre et arrête la connexion
manuellement.
Si votre carte n’a pas été détectée, vous devrez indiquer ces informations.
Lorsque tous les champs sont remplis ou laissé vide, allez à la prochaine étape. Vous pourrez réviser les
changements et confirmer vos choix. La connexion sera alors automatiquement créée.
38
Chapitre 4. Configurer l’accès à Internet
Cette première interface vous guidera vers les prochaines étapes de configuration. Premièrement, sélectionnez
la carte réseau (NIC) à utiliser.
Dans la liste présenté, cliquez sur l’interface désirée pour votre connexion DSL. Si votre carte est absente,
essayer de la détecter en cliquant sur "Détecter".
Cette page affiche les interfaces réseau détectées sur votre mur coupe-feu.
39
Chapitre 4. Configurer l’accès à Internet
Sur cette page sont définis les paramètres de la carte d’interface nécessaire pour mapper les paramètres de
votre accès xDSL. La plupart des paramètres auront déjà été choisis ou remplis avec des valeurs standards :
vérifiez qu’elles correspondent à vos besoins.
Remplissez ce champ si vous avec une adresse IP statique pour cette interface. Assurez-vous que c’est bien
celle qui vous est assignée.
Remplissez ce champ avec le sous-réseau du réseau auquel cette interface est connectée. Assurez-vous que
c’est bien celui qui vous est assigné.
C’est la passerelle à travers laquelle vos requêtes Internet passeront. Ce paramètre est crucial pour que votre
pare-feu puisse accéder à Internet.
Finalement, vous pouvez choisir que cette interface soit activée lors du démarrage, ou non.
40
Chapitre 4. Configurer l’accès à Internet
Pour que votre fournisseur de service vous reconnaisse comme usager, vous devez spécifier des informations
de comptes. Les informations nécessaires auraient due vous être fournies par votre ISP.
Entrez précisément le nom d’usager et le mot de passe fournies par votre ISP. Attention au lettre majus-
cules/minuscules.
Un formule simple pour identifier votre fournisseur de service et ses serveurs de DNS.
Une fois tous les champs remplis, passez à prochaine étape. Vous aurez une dernière chance de réviser vos
changements avant de le appliquer.
41
Chapitre 4. Configurer l’accès à Internet
Cet écran apparaît lorsque vous avez déjà configurer ce type de connexion à Internet pour résumer les infor-
mations principales.
• Cliquez sur "change" si vous désirez utiliser une autre carte réseau avec cet accès Internet.
• Cliquez sur "Configure" si vous désirez reconfigurer la carte réseau sélectionnée.
Cette première interface vous guidera vers les autres étapes de configuration. Ces deux types sont plus ou
moins identiques, c’est pourquoi ils sont traités ensemble. Choisissez d’abord la carte réseau à configurer.
Dans la liste de suggestions, sélectionner le nom de la carte que vous désirez utiliser.
42
Chapitre 4. Configurer l’accès à Internet
Vous définirez ici les paramètres de la carte réseau pour accéder à Internet. La plupart de ceux-ci auront été
remplis par les valeurs par défaut, commercer par les valider.
Il faut remplir ce champ si vous avez une adresse IP fixe. Assurez qu’il s’agit de la bonne adresse car des
conflits d’adresse IP génère de nombreux problèmes intermittent.
Indique ici le masque de sous-réseau correspondant au réseau sur lequel l’interface est branchée.
Il s’agit de la passerelle par laquelle toutes vos requêtes Internet seront acheminés. Il s’agit d’une information
cruciale pour que votre coupe-feu accède à Internet.
Il faudra ensuite déterminer le protocole de démarrage à utiliser. Ceci dépend généralement de votre ISP.
Choisissez parmi les suivants:
43
Chapitre 4. Configurer l’accès à Internet
Ces adresses IP sont généralement celles des serveur de DNS de votre ISP.
Réviser tous les paramètres et clique sur "Apply" pour appliquer votre changements. Cliquez sur "Back" pour
revenir en arrière.
44
Chapitre 4. Configurer l’accès à Internet
Cet écran présente les configurations courantes. Dans le cas où vous avec plusieurs comptes d’accès, vous
pouvez changer de compte à l’intérieur d’un même type d’accès.
45
Chapitre 4. Configurer l’accès à Internet
Si vous avez une connexion non permanente, cette page vous permettra de définir vos schèmes de connexion
Internet. Pour chacune des trois périodes définies, vous aurez 5 options de connexion.
46
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres
Cette section permet de contrôler l’utilisation d’autres services tels que DHCP, DNS ou mandataire (proxy)
Internet.
Cette page affiche l’état des services hébergés sur votre machine.
Vous pouvez les changer en cliquant sur les différents services, tels que serveur DHCP, mandataire ("Proxy"),
DNS et détection d’intrusion, lesquels sont tous situés à la gauche de votre fenêtre MandrakeSecurity.
Afin de permettre la configuration dynamique de nouvelles machines connectées sur votre LAN ("Local Area
Network" ou, simplement, réseau local), vous devez configurer un serveur DHCP sur votre pare-feu. Si ces
machines sont configurées pour utiliser le serveur DHCP au démarrage, elles seront automatiquement réglées
47
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres
selon les paramètres réseau nécessaires à l’intégration au réseau local. Ensuite, vous n’avez qu’à configurer
les clients pour utiliser un serveur DHCP. Cette fonctionnalité est disponible sur la plupart des systèmes
d’exploitation modernes.
Choisissez, si vous désirez utiliser un serveur DHCP (ou non), en sélectionnant Oui ou Non et en cliquant sur
le bouton Next.
Vous devez maitenant, à l’aide de cet assistant, établir certain paramètres afin que votre coupe-feu agisse
comme serveur DHCP sur votre réseau.
Ce champ abrite le nom de l’interface connectée au LAN. Seulement les ordinateurs qui partagent le même
sous-réseau avec cette adresse recevront une réponse de la part du serveur DHCP.
Adresse IP du serveur WINS Si vous hébergez un serveur de noms de domaine Windows sur votre
réseau local, entrez son IP dans ce champ. Ainsi, le serveur DHCP dira
aux postes de travail Windows de votre réseau, à l’amorçage, quelle est
l’IP du serveur WINS, au lieu d’avoir à configurer en conséquence
chacun des postes de travail Windows.
Ces champs contiennent l’étendue d’adresses IP allouée pour les hôtes de client DHCP. L’exemple donné est
pour un sous-réseau de classe C. Assurez-vous de ne pas inclure la première IP (0 dans notre exemple) ni
48
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres
la dernière (255) dans l’étendue : elles sont réservées. Notez que les premières adresses sont généralement
réservées pour les hôtes d’IP statique, tandis que les dernières sont utilisées par les serveurs DHCP.
L’assignation d’une adresse IP à un hôte est toujours limitée dans le temps. Lorsque le client ne règle pas la
période d’assignation nécessaire, le serveur interviendra et réassignera une IP à l’hôte à chaque "Intervalle
de temps par défaut". Toutefois, une requête client pour une période spécifique, inférieure à l’"Intervalle de
temps maximale" sera honorée. Sinon, une adresse IP sera réassignée automatiquement après l’expiration de
l’"Intervalle de temps maximale".
À ce stade, la page de confirmation affiche les données qui seront appliquées à la MNF.
Si vous cliquez sur le bouton Appliquer, tous vos changements seront sauvegardés, et ils remplaceront la
configuration par défaut ou la précédente. Si vous souhaitez changer les paramètres, cliquez sur le bouton
Précédent, changez les paramètres, cliquez sur le bouton Suivant, et appliquer vos changements.
49
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres
Afin d’être capable de mettre en cache (mémoire temporaire) les requêtes HTTP et FTP faites depuis votre
réseau local vers Internet, vous devez configurer un serveur mandataire (Proxy) sur votre pare-feu. Ceci per-
met de récupérer une page Web depuis Internet une seule fois, et de la mettre à la disposition de tous les
utilisateurs du réseau. En conséquence, ceci accélère de façon substantielle l’accès aux pages mises en cache et
permet d’économiser de la précieuse bande passante.
MandrakeSecurity utilise le serveur mandataire Squid. Il agit comme un agent et il accepte les requêtes des
clients (tel que les fureteurs) et les passent au serveur Internet approprié. Ensuite, il stocke une copie des
données retournées dans une mémoire locale.
Choisissez une des quatre options qui suivent avant de passer à la prochaine étape :
• désactiver : si vous choisissez de ne pas utiliser un mandataire, les requêtes faites par les utilisateurs seront
transférées directement au monde extérieur ;
• transparent : active le mandataire et le configure afin qu’il agisse en tant que mandataire transparent. Par
exemple, les utilisateurs n’auront pas à configurer leur client pour l’utiliser : toutes les requêtes sont inter-
ceptées automatiquement et gérées par le mandataire ;
• manuel : même fonctions que l’option précédente, mais les navigateurs client devront être configurés à
nouveau pour utiliser le serveur mandataire installé sur votre serveur MandrakeSecurity ;
• activer le mandataire manuel avec un niveau d’authentification : même chose que l’option précédente. AT-
TENTION : sur le pare-feu, créez des comptes pour les utilisateurs qui ont le droit de se connecter à Internet.
C’est ici que vous pourrez configurer les paramètres du mandataire. Après avoir réglé quelques paramètres
communs, vous avez l’option d’activer (ou non) le filtrage Web ("web filtering").
50
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres
Ce champ est défini par le mode de serveur mandataire que vous avez précédemment choisi, soit "désactiver",
"transparent", "manuel" ou "manuel avec authentification". Dans notre exemple, nous avons choisi le mode
"manuel".
Voici le port du le pare-feu sur lequel Squid écoutera les requêtes. Il n’y a pas lieu de faire de changements à
moins que ce port soit déjà utilisé par un autre service.
Ce champ vous laisse contrôler la somme des données en cache que Squid peut stocker et gérer. Pour que
votre cache soit efficace, vous devez ajuster l’espace cache au nombre d’usagers : plus il y a d’utilisateurs, plus
vous aurez besoin d’espace. Cet espace peut varier entre 10 Mo et 10 Go ou plus.
Si un pépin devait survenir, tapez le courriel de l’administrateur dans ce champ (root@entreprise.com dans
notre exemple). Ainsi, vos utilisateurs sauront qui contacter en cas de problèmes/bogues.
Ce champ ne sera affiché que si vous avez choisi le mode "manuel avec authentification". Il permet de choisir
entre les modes suivants : PAM ("Pluggable Authentication Modules", soit modules d’authentification enfi-
chables), un mécanisme flexible pour l’authentification d’usagers (et l’action par défaut sous MandrakeSecu-
rity) ; LDAP ("Lightweight Directory Access Protocol", soit protocole d’annuaire) qui permet d’accéder à des
services de répertoire en ligne ; Samba, qui vous permettra de vous connecter à un groupe de travail Samba tel
que SOCIÉTÉ si vous utilisez un tel serveur ; et finalement, NIS ("Network Information Service" soit service
d’information réseau), qui facilite le flux d’informations essentielles à chacune des machines de votre réseau.
Lorsque vous serez de retour sur la page principale du serveur mandataire Squid, vous pourrez activer le
filtrage Web. Cette fonctionnalité vous permettra de refuser ou de restreindre l’accès à certaines pages sur
Internet, tout dépendant des adresses Web. Par exemple, il est utile de bloquer l’accès aux publicités ou aux
sites pour adultes.
Vous pouvez filtrer par adresse Web ou par contenu. Choisissez l’icône pour un ou l’autre. Ensuite, vous
pouvez appliquer des règles de filtrage pour les réseaux autorisés ("Authorized Networks"), la restriction de
temps ("Time Restriction"), les publicités à supprimer ("Advertising to Be Removed"), les adresses bannies
("Banned Destination URLs"), les IPs privilégiées ("Privileged IPs") les IPs source bannies ("Banned Source
IPs") ou faire une sauvegarde de vos données.
51
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres
Pour utiliser LDAP, vous devez régler quelques paramètres de base tels que ceux qui suivent.
Cette page permet de régler le nom de votre groupe de travail ("Workgroup") Samba.
Groupe de travail Samba (ex. : Entrez simplement le nom de votre groupe de travail Samba dans le
MANDRAKESOFT) champ.
52
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres
La page d’authentification NIS permet de régler deux paramètres essentiels : le domaine NIS et la liste NIS.
Domaine NIS (ex. : Dans ce champ, tapez votre nom de domaine NIS en empruntant le
yp.mandrakesoft.com) format suivant : yp.mandrakesoft.com, soit "yp" pour "Yellow Pages"
(pages jaunes), suivi de votre nom de domaine.
Liste NIS (d’habitude, Même principe pour la liste NIS : commencez avec "yp", suivi du
yp_liste.parnom) symbole de soulignement ("_"), puis le nom de la liste sous la forme
"liste.nom".
Vous avez activé Proxy-Guard et cette page vous permettra de le configurer. Vous êtes en face du premier
écran de l’assistant. Des suggestions vous seront faites pour configurer les divers aspects du filtrage.
• Réseau autorisé : entrez les réseaux/masques autorisés dans le but de leur permettre d’utiliser les services
du mandataire.
53
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres
• Restriction du temps : permet de définir un horaire de connexion, par exemple, lorsque les utilisateurs ont
le droit de se connecter à Internet, ou non.
• Publicité à supprimer : entrez les adresses ou les domaines complets de sites de publicité. Les images procé-
dant de ces sites ne seront pas transférées aux clients.
• URLS de destination interdits : entrez les adresses ou les domaines complets pour lesquels l’accès devrait
être bloqué.
• Adresse IP privilégiées : entrez les IPs des machines privilégiées votre réseau local. Elles seront libérées des
restrictions imposées par le filtre aux autres hôtes.
• Adresse IP interdite : désignes les machines qui n’ont pas l’autorisation d’utiliser le mandataire.
• Sauvegarde et restauration : permet de faire une sauvegarde de vos règles de mandataire, ainsi que de les
restaurer.
Lorsque vous aurez terminé de configurer une des sections précédentes, vous reviendrez à la page d’accueil
Proxy Web.
Ce formulaire vous permettra de spécifier les sous-réseaux qui peuvent utiliser les services du mandataire.
Si des classes différentes de réseau doivent être spécifiées (une pour les personnes qui ont le droit d’accéder
au Web, une autre pour celles qui n’ont pas ce droit), vous devrez créer un sous-réseau pour les machines
autorisées et assigner des IP selon le statut d’authentification d’un ordinateur donné.
Dans ce champ, entrez l’adresse IP du réseau/masque du sous-réseau (notre exemple montre une étendue IP
de 192.168.1.0 à 192.168.1.127 - où 0 est l’adresse réseau et 127 l’adresse de diffusion). Ensuite, cliquez sur le
Si vous désirez supprimer une IP de la liste, choisissez-la et cliquez sur le bouton Suppress:
54
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres
Lorsque vous aurez tout parcouru la liste, passez à la prochaine étape qui vous ramènera à la page principale
"WebProxy Filtering".
Ce formulaire vous permettra de définit des plages de temps à l’intérieur desquelles l’accès au mandataire
sera alloué. Notez que cela n’affecte pas les hôtes privilégiés de votre réseau local. À l’extérieur de ces plages
de temps, les machines à accès restreint ne seront pas en mesure de naviguer sur le Web.
Premièrement, vous devez choisir d’activer ou non cette fonctionnalité. Si vous l’activez, vous devrez définir
les plages de temps en question : il existe deux périodes par jour.
Dim AM 09:00-13:00
Assurez-vous de respecter strictement le format d’heure tel qu’illustré : HH:MM-HH:MM. Modifiez toutes les
périodes à votre convenance.
Lorsque vous aurez terminé de définir lesdites plages de temps, passez à l’étape suivante. Vos choix seront
alors affichés. Révisez-les et passez à l’étape suivante. Vous retournerez ensuite à la page principale du filtrage
Proxy Web.
55
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres
Comment peut-on se débarrasser des encombrantes publicités sur nos sites Web préféré ? Examinons deux
exemples : freshmeat.net et yahoo.com.
Sur le site Web de freshmeat.net, faites un clic droit sur l’image publicitaire puis cliquez "Copier l’adresse
de l’image". Ensuite, allez dans la section New Banned Advertising Domain (nouveau domaine publicitaire
banni), cliquez sur le bouton du milieu de votre souris ou sur les deux boutons simultanément. Effacez la
dernière partie de l’adresse et vous obtiendrez ads.freshmeat.net. Maintenant, ajoutez ce domaine à la liste.
Sur le site de Yahoo.com, faites un clic droit sur l’image publicitaire et ensuite, choisissez l’option "Copier
l’adresse de l’image". Ensuite, placez-vous dans le champ New Banned URL (nouvelle adresse bannie) cliquez
sur le bouton du milieu de votre souris, ou sur les deux boutons simultanément pour copier l’information.
Effacez la dernière partie de l’adresse et vous obtiendrez us.a1.yimg.com/us.yimg.com/a/pr/promo/anchor.
Maintenant, ajoutez cette adresse à la liste. Si vos cliquez sur le bouton Rafraîchir de votre navigateur plusieurs
fois et que vous copiez l’adresse de l’image, vous obtiendrez plusieurs adresse différents :
us.a1.yimg.com/us.yimg.com/a/ya/promo/anchor
us.a1.yimg.com/us.yimg.com/a/an/promo/anchor
us.a1.yimg.com/us.yimg.com/a/ya/yahoopager/messenger
us.a1.yimg.com/us.yimg.com/a/ya/yahoo_auctions
ainsi de suite...
56
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres
Une fois que vous aurez passé à travers ces listes, passez à l’étape suivante. Vous reviendrez alors à la page
principale de filtrage Proxy Web
Ce formulaire offre trois façon différentes pour filtrer les pages lues à l’intérieur de votre réseau local. Ces trois
types de filtrage dépendent des adresses des pages à bannir.
Toutes les adresses contenant ce mot seront bloquées. Cliquez sur "Ajouter ce mot clé à la liste" pour ce faire.
Toutes les pages dépendant d’un serveur dont le nom ce termine par ce domaine seront bloquées. Dans notre
exemple : "http://eshop.msn.com/category.asp?catId=212" ne sera pas affiché. Cliquez sur "Ajouter ce do-
maine à la liste" pour ce faire.
ne sera pas supprimer. Cliquez sur "Ajouter cet URL à la liste) pour ce faire.
Ensuite, les listes pour les trois catégories seront affichées. Vous pouvez choisir un item d’une de ces listes et
57
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres
Lorsque vous aurez terminé de réviser ces listes, passez à l’étape suivante. Vous reviendrez alors à la page
principale de filtrage Proxy Web.
Ce formulaire vous permettra d’ajouter ou de supprimer des IPs privilégiées sur votre réseau local. Ces ma-
chines seront libérées de toute restriction imposée par le filtre qui s’applique aux autres hôtes.
Entrez l’adresse IP complète de l’hôte privilégié. Ensuite, cliquez sur le bouton Ajouter : L’IP appa-
raîtra dans la liste au bas de la page.
Pour supprimer les privilèges d’une IP sur la liste, choisissez-la simplement et cliquez sur le bouton Suppri-
mer :
Lorsque vous aurez passé à travers la liste, passez à l’étape suivante. Vous reviendrez alors à la page principale
de filtrage Proxy Web.
58
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres
Ce formulaire vous permettra d’ajouter ou de supprimer les IPs des machines qui n’ont pas le droit d’utiliser
le mandataire. Ceci signifie que s’il n’y a aucune autre passerelle vers Internet depuis le réseau local, ces
utilisateurs ne pourront pas naviguer sur le Web.
Entrez l’adresse IP complète de l’hôte banni. Ensuite, cliquez sur le bouton Ajouter : L’IP apparaîtra
au bas de la liste.
Si vous souhaitez supprimer une IP de la liste, sélectionnez-la et cliquez sur le bouton Supprimer :
Lorsque vous aurez passé à travers la liste, passez à l’étape suivante. Vous reviendrez alors à la page principale
Proxy Web.
59
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres
Faire une copie de sauvegarde de vos règles de mandataire est une excellente idée. D’être capable de pouvoir
les restaurer est également très commode. Suivez ces étapes simples pour ce faire.
• Sauvegarde : pour créer une copie de sauvegarde de vos règles de mandataire, cliquez sur le bouton gris
appelé Sauvegarde. Une nouvelle page s’affichera : appuyez sur la touche Shift et cliquez sur le lien "Web-
Proxy Backup File" (ou faites un clic droit et choisissez Télécharger ce lien) et le fichier WebProxyRulesBac-
kup.tar.bz2 sera sauvegardé sur votre disque dur.
• Restauration : pour restaurer vos règles de mandataire, cliquez sur le bouton Browse ("Naviguer") pour
localiser le fichier approprié (tel que WebProxyRulesBackup.tar.bz2). Ensuite, cliquez sur le bouton Charger
et, sur la prochaine page, cliquez sur Appliquer.
Votre opération de sauvegarde a été réussie avec succès. Maintenant, suivez les instructions plus bas pour
sauvegarder votre fichier de règles du mandataire.
Faites simplement un shift-click sur le lien "WebProxy Backup" (ou en faisant un clic droit et en choisissant
Télécharger ce lien) et le fichier WebProxyRulesBackup.tar.bz2 sera sauvegardé sur votre disque dur. Ensuite,
cliquez sur le bouton Suivant.
Toutefois, si vous souhaitez terminer cette opération, cliquez sur le bouton Annuler : vous reviendrez alors à
la page principale de MandrakeSecurity.
60
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres
DNS est un acronyme qui signifie Système de nom de domaine ("Domain Name System"). Il traduit des noms
de machine lisibles par des humains en adresses IP lisibles par des machines, et vice versa. Cet assistant
de configuration fournira un service DNS local aux ordinateurs connectés à votre réseau local, et toutes les
requêtes non locales seront transférées à un serveur DNS externe.
Pour activer ce service, veuillez cocher la boîte Activer et cliquez sur le bouton Suivant.
En cliquant sur le bouton Annuler, vous reviendrez à la page par défaut et vous annulerez cet assistant de
configuration.
À partir de cette page, vous pouvez spécifier les serveurs DNS utilisés pour transférer les requêtes.
Vous devez entrer les adresses IP des serveurs de relais primaire DNS et, en option, celles des relais secon-
daires, dans les champs respectifs. Normalement, vous devriez entrer les adresses IP de vos serveurs de relais
61
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres
primaire/secondaire DNS ici, mais peut-être utilisez-vous un autre serveur DNS vers lesquels les requêtes
sont transférés.
Une fois que vous aurez entré les adresses IP de vos serveurs de relais DNS, cliquez sur le bouton .
En cliquant sur , vous reviendrez à l’étape précédente de cet assistant de configuration.
En cliquant sur , vous reviendrez à la page d’accueil de MandrakeSecurity.
Cette page permet de choisir et d’activer un système de détection d’intrusion ou SDI (soit « Intrusion Detection
System » ou IDS en anglais) sur votre serveur. Les SDI sont des applications de filtrage de paquets à base de
signature utilisés pour générer des alarmes lorsque des activités anormales ont lieu sur un réseau.
• SDI Prelude
Prelude est un SDI hybride qui combine la détection d’intrusion réseau (« Network Intrusion Detection ») et
la détection d’intrusion à base d’hôte (« Host-Based Intrusion Detection »).
• SDI Snort
Snort est un SDI de réseau open source.
62
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres
Cette page liste les services présents sur votre machine. Vous aurez l’opportunité de les activer (ou non).
Status
[...]
Gpm Running reload restart stop start Details
Httpd-naat Running reload restart stop start Details
Squid Running reload restart stop start Details
[...]
63
Chapitre 5. Services : DHCP, Proxy, DNS, et bien d’autres
64
Chapitre 6. Configuration du comportement du pare-feu
Dans ce chapitre, nous allons parcourir toutes les pages de configuration de la section Règles pare-feu de
l’interface. C’est ici que nous autoriserons ou bloquerons le trafic entre les différentes zones et machines aux-
quelles le pare-feu est relié.
Cette section permet de contrôler tout le trafic entrant et sortant sur le pare-feu. Plus particulièrement, il
permet de définir les différents groupes d’ordinateurs (zones) avec lesquels votre pare-feu interopère, ainsi
que le trafic alloué entre ces zones.
Sur l’écran principal, vous trouverez les Actions du Firewall pour tous les services de filtrage et de routage.
Quatre actions peuvent être appliquées au pare-feu :
• démarrer : met le pare-feu en route, ainsi que tous les services définis dans cette section ;
• arrêter : arrête le pare-feu. Tous les canaux de communication seront perdus, isolant la machine du ré-
seau externe. Cette opération peut être utile lorsque vous vous appercevez que certaines machines ont été
compromises. Toutefois, l’interface d’administration ne sera plus accessible. Vous pourrez toujours vous
connecter physiquement sur la consôle du pare-feu.
• redémarrer : arrête le pare-feu (s’il est en fonction) et le démarre à nouveau ;
• effacer (« clear ») : efface toute la configuration effectuée par l’administrateur dans la section Règles du
pare-feu (« firewall rules »). Utilisez cette action avec beaucoup de prudence ! Ensuite, cette action réinstalle
et active la configuration par défaut du manufacturier. Utilisez « démarrer » ou « redémarrer » pour revenir
à la configuration personnalisée.
65
Chapitre 6. Configuration du comportement du pare-feu
Cette sous-section permet de déterminer précisément chaque groupes de machines (zones) avec lequel le
coupe-feu devra interagir. Les écrans d’introduction résument les configurations actuelles et permettent de
gérer les trois composantes de la définition d’une zone.
D’abord, vous devez définir le nom de chaque zone. Réfléchissez aux zones nécessaires à votre réseau. Trois
noms sont fournis pas défaut comme en témoigne la première table résumant les noms définis. Ces valeurs
prédéterminées permettent une configuration simple et sécuritaire de votre coupe-feu.
• LAN : Local Area Network (réseau local). Le réseau interne où sont branchés les postes clients. Les conne-
xions de l’extérieur vers cette zone sont généralement refusées.
• DMZ : DeMilitarized Zone (zone démilitarisée). Généralement réservée aux serveurs Internet, cette zone
sera dédiée à des serveurs publics offrants des services tel que "WWW", "SMTP" ou "POP". Les connexions
de l’extérieur sont donc permises.
• WAN : Wide Area Network (réseau étendu). Cette appellation désigne le réseau Internet, ou plus précisé-
ment, un réseau relié à Internet.
Pour chaque nom de zone définis, cliquez sur l’icône pour modifier les noms associés à cette zone ou
66
Chapitre 6. Configuration du comportement du pare-feu
Si vous désirez définir une nouvelle zone, cliquez sur Rajouter une interface
Il y une zone spéciale ”fw” qui n’est pas affichée ici mais qui existe
toujours. Elle est utilisée pour désigner la zone coupe-feu ”firewall”:
une zone composée d’une seule machine, le coupe-feu lui-même.
Puis, il faut informer le système de chaque interface réseau configurée sur le coupe-feu, et les zones leur étant
associées.
Les tables qui suivent listent les interfaces et les zones respectives. Si le nom de zone est "-", ça signifie que
plusieurs zones sont associées à cette interface. La procédure de création de zones "host" est définies plus bas.
Pour chaque interface définie, cliquez sur pour modifier une zone associée à cette interface ou
pour la détruire.
Pour ajouter une nouvelle interface, cliquer sur Rajouter une interface
Vous pouvez définir, dans la dernière partie de la page les zones hôtes ("host"). Ces zones sont composées
d’un groupe de machines partageant la même interface sur le coupe-feu. Vous voulez que ces machines soient
traitées différemment des autres postes du réseau. Les machines appartenant à ces zones hôtes sont identifiées
par leur masque de sous-réseau ("subnet mask").
Par exemple, ceci pourrait être utile si votre serveur Internet est branché physiquement à votre réseau local.
Il faut alors le séparer virtuellement en associant la zone DMZ à une zone hôte composée exclusivement du
serveur Internet.
Pour chaque zone hôte, cliquez sur pour modifier la configuration ou sur pour la détruire.
Pour ajouter une nouvelle zone hôte, cliquez sur "Add Host" .
Ce formulaire permet d’ajouter/modifier une identification de zone. On compte trois façons d’identifier une
zone, utilisée selon l’endroit où elle est affichée.
No de zone (unique) : Ce numéro sera utilisé partout où la zone doit être identifiée. Il est
recommandé de ne pas modifier la valeur par défaut.
67
Chapitre 6. Configuration du comportement du pare-feu
Attention : certains caractères ou symboles peuvent causer des conflits. Il est fortement recommandé de limiter
votre créativité à des lettres, des chiffres et des traits de soulignement ("_").
Attention 2 : si vous renommez ou détruisez une zone, vous devez arrêter ("stop") puis démarrer le serveur
("start") pour que les changements prennent effets. Un redémarrage "restart" ne prendra pas en compte les
changements.
Par exemple : vous avez plusieurs serveurs Web sur le même sous réseau. Nous créerons ici la zone pour la
configurer plus tard.
Pour chaque interface Ethernet, au moins une zone doit y être associée. On peut associer plusieurs zones à
une interface réseau par les zones "host". Ce formulaire permet donc de configurer les options associées aux
interfaces.
68
Chapitre 6. Configuration du comportement du pare-feu
ID d’interface : Cette valeur numérique sera utilisée partout pour identifier l’interface.
Il est recommandé de ne pas modifier les valeurs proposées par défaut.
Zone : Dans le menu déroulant, choisissez la zone que vous voulez assigner à
cette interface. La zone spéciale "-" signifie que plusieurs zones "host"
seront associées à cette interface.
Interface : Choisissez l’interface à configurer dans le menu déroulant. Si vous ne
retrouver par l’interface désirée, c’est qu’il faut d’abord la déclarer dans
la section "System setup".
Diffusion (Broadcast) : L’adresse de diffusion pour le sous-réseau relié à l’interface. Cette
valeur doit rester vide pour les interfaces P-T-P (ppp*, ippp*); si vous
devez spécifier une valeur, entrez "-" dans ce champ. Si vous indiquer
"detect", le coupe-feu déterminera automatiquement l’adresse de
diffusion.
Options : Neuf options de configurations avancées de l’interface. Voir le tableau
suivant:
Voici quelques informations supplémentaires sur les options disponibles. Réviser-les biens puisque pour cer-
taines interfaces, certaines options sont fortement recommandées.
Par exemple, selon notre exemple de serveur Web, nous allons indiquer que la zone "www" est attribuée au
sous-réseau branché à l’interface "eth3".
69
Chapitre 6. Configuration du comportement du pare-feu
Zone : www
Interface : eth3
Diffusion : detect
Si vous avez assigné la zone spéciale "-" à une interface, vous devez maintenant déterminer la zone hôte
pour cette interface. Une zone hôte est simplement un groupe de machines identifiées par leur sous-réseau
commun. Cette zone peut être réduite à une seule machine.
Par exemple : vous désirez que certains postes de votre réseau local puissent administrer le pare-feu même
lorsque celui-ci est arrêter. Après avoir configuré "eth2" avec la zone spéciale "-" et l’option "multi", vous devez
configurer la zone hôte spéciale "adm", qui correspond exclusivement aux machines qui doivent administrer
le pare-feu à partir du sous-réseau.
Zone : adm
Interface : eth2
Adresse IP : 192.168.1.0/25
70
Chapitre 6. Configuration du comportement du pare-feu
Options : routestopped
Cette sous-section propose des services pour faciliter les communications entre Internet et vos machines in-
ternes, quelles soient client ou serveur.
ATTENTION : souvenez-vous de cliquer sur le bouton Appliquer lorsque vous aurez terminé de configurer
les services nécessaires de cette sous-section.
La partie "Masquage classique" gère les règles qui permettent aux clients internes d’accéder à Internet.
Pour chacune des règles définies (s’il y a lieu), cliquez sur l’icône correspondante pour modifier la
Si vous souhaitez définir un nouveau masquage, cliquez sur l’icône Ajouter un masque
La partie "Traduction statique", pour sa part, gère les règles de traduction d’adresse réseau (NAT). Ceci permet
aux serveurs internes (généralement dans la DMZ) d’apparaître comme s’ils faisaient partie d’Internet pour
les clients externes.
Pour chacune des règles définies (s’il y a lieu), cliquez sur l’icône correspondante pour modifier la
71
Chapitre 6. Configuration du comportement du pare-feu
Si vous souhaitez ajouter une nouvelle règle de traduction d’adresse réseau, cliquez sur l’icône Ajouter NAT
Finalement, vous pouvez définir, dans la dernière partie de la page, les "Règles Proxy ARP".
Afin de permettre aux clients de votre réseau local d’accéder à Internet, vous devez masquer ce réseau en
toute déférence d’Internet, puisque votre réseau s’appuie sur des adresses privées invalides sur Internet.
Exemple1 : vous avez de nombreux tunnels IPSEC à travers ipsec0 et vous voulez masquer le trafic depuis
votre sous-réseau 192.168.9.0/24 au sous-réseau 10.1.0.0/16 seulement.
Exemple2 : vous avez une ligne DSL connectée sur eth0 et un réseau local (192.168.10.0/24) connecté sur eth1.
Vous voulez que toutes les connexions local->Internet utilisent l’adresse source 206.124.146.176. De plus, vous
72
Chapitre 6. Configuration du comportement du pare-feu
La traduction d’adresse réseau statique est une façon de présenter les systèmes derrière un pare-feu, et confi-
gurés avec des adresses IP privées (celles réservées pour un usage privé dans le RFC1918), comme s’ils avaient
des adresses IP publiques. Pour permettre aux clients de votre réseau local d’accéder à Internet, vous devez
masquer ce réseau en toute déférence d’Internet, puisque votre réseau local s’appuie sur des adresses privées
invalides sur Internet.
IMPORTANT : si vous voulez seulement transférer des ports à des serveurs derrière votre pare-feu, vous
ne devez PAS utiliser une traduction d’adresse réseau statique. Le transfert de port peut être accompli avec
des entrées simples dans la sous-section Règles. Aussi, dans la plupart des cas, Proxy ARP est une meilleure
solution que la traduction d’adresse réseau statique puisqu’on accède aux systèmes internes en utilisant la
même adresse IP à l’interne qu’à l’externe.
ID: Le numéro d’ID unique qui identifie cette règle de traduction d’adresse
réseau statique.
IP publique externe : Adresse IP externe pour la traduction - Ceci ne devrait PAS être
l’adresse IP primaire de l’interface nommée dans le champ suivant.
Sur cette interface réseau : Interface sur laquelle vous voulez que l’adresse IP publique externe
apparaisse.
IP privée interne (RFC1918) : Adresse IP interne pour traduction. Doit être une adresse IP privée tel
que défini par le RFC 1918.
73
Chapitre 6. Configuration du comportement du pare-feu
Tous les hôtes Si activé, cette traduction d’adresse réseau sera en fonction pour tous
les hôtes. Sinon, la traduction d’adresse réseau s’appliquera
uniquement à travers l’interface nommée dans le champ « Sur cette
interface réseau ».
Système pare-feu Si activé, la traduction d’adresse réseau s’appliquera aussi depuis le
système pare-feu en tant que tel.
Exemple : nous voulons que le système interne avec l’adresse IP 10.1.1.2 apparaisse sur Internet en tant que
sous-réseau 130.252.100.*. Si nous assumons que l’interface à Internet est eth0, donc la règle suivante affichera
le système 10.1.1.2 comme ayant l’adresse IP 130.252.100.18.
Note 1 : l’option « Tous les hôtes » est utilisée pour spécifier que l’accès à l’IP externe depuis toutes les in-
terfaces pare-feu devraient passer par la traduction d’adresse réseau. Si cette option est réglée à « Non »,
seulement l’accès depuis l’interface dans le champ Interface devrait passer par la traduction d’adresse réseau.
Note 2 : le fait de régler l’option « Système pare-feu » fait en sorte que le paquet originaire du pare-feu lui-
même, et destiné à l’adresse externe, sera redirigé à l’IP privée interne.
Ce formulaire est utilisé pour définir les règles de Proxy ARP ("Address Resolution Protocol", soit protocole
de résolution d’adresse). Vous avez besoin d’une règle pour chaque système sur lequel vous voulez utiliser le
protocole de résolution d’adresse.
74
Chapitre 6. Configuration du comportement du pare-feu
Interface externe : L’interface externe avec laquelle vous voulez honorer les requêtes ARP
pour l’adresse IP du serveur spécifié plus haut.
Route vers le serveur IP déjà Si vous avez déjà une route à travers l’"Interface interne" vers l’"adresse
active : IP du serveur", cochez cette option. Si vous voulez que le pare-feu
lui-même ajoute la route, assurez-vous que la case n’est pas cochée.
Exemple : vous avez les adresses IP publiques 155.182.235.0/28. Vous configurez votre pare-feu ainsi :
eth0 - 155.186.235.1 (Internet connection)
eth1 - 192.168.9.0/24 (masqueraded local systems)
eth2 - 192.168.10.1 (interface to your DMZ)
Dans votre DMZ, vous voulez installer un serveur Web/FTP avec l’adresse publique 155.186.235.4. Sur le
serveur Web, vous faites un sous-réseau exactement comme l’eth0 du pare-feu et vous configurez l’adresse
155.186.235.1 en tant que passerelle par défaut :
Note : il est possible que vous vouliez configurer les serveurs de votre DMZ avec un sous-réseau similaire à
celui de votre interface Internet. Dans ce cas, choisissez Oui dans la colonne HAVEROUTE.
Cette sous-section décrit la politique du pare-feu relative à l’établissement de connexion. Cette dernière est
75
Chapitre 6. Configuration du comportement du pare-feu
décrite selon la dichotomie suivante : les clients qui initient les connexions ; et les serveurs qui reçoivent les
requêtes de connexion. Les politiques définies dans cette section sont celles par défaut. Si aucune règle dans la
section suivante appelée Règles ne s’applique à une requête de connexion particulière, la politique par défaut
définit ici sera en vigueur.
La table fait un résumé de toutes les politiques par défaut actuellement configurées. La configuration des
politiques par défaut est réglée à REFUSER pour toutes les règles, dans le but de ne permettre l’accès qu’aux
connexions explicitement permises dans la sous-section Règles qui suit.
ATTENTION : l’ordre est important. Le pare-feu exécute les règles de la politique de haut en bas et utilise la
première politique applicable qu’il trouve. Par exemple, dans le fichier de politique qui suit, la politique pour
les connexions (loc, loc) serait ACCEPTER tel que spécifié dans la première entrée même si la troisième entrée
du fichier spécifie de REFUSER.
S’il y a plusieurs règles, vous pouvez les filtrer par client et zones serveur. Choisissez les zones "client" et
"Serveur" disponibles que vous désirez dans le menu contextuel et cliquez sur l’icône La zone spéciale
"*" est simplement un métacaractère (« wildcard ») qui permet de rejoindre toutes les zones.
Rappel : la zone « fw » désigne le pare-feu lui-même.
Pour toutes les politiques définies, cliquez sur l’icône correspondante pour modifier cette politique
ou pour la supprimer définitivement. Pour ajouter une nouvelle politique, cliquez sur l’icône
Vous êtes sur le point de définir une politique par défaut pour les requêtes de connexion entre des zones Client
et Serveur.
Pour que cette politique soit en fonction, la connexion doit provenir d’une machine de la zone Client et doit
être dirigée vers une machine appartenant à la zone Serveur. Ensuite, l’action de politique par défaut sera
prise pour cette connexion. En option, si cette politique est déjà active, elle générera une entrée journal ("log
entry") au niveau "Niveau journal".
76
Chapitre 6. Configuration du comportement du pare-feu
Zone client La zone depuis laquelle la connexion doit provenir pour la politique à
activer.
Zone serveur La zone vers laquelle la connexion est ciblée.
Comportement par défaut L’action qui sera entreprise si la politique est activée. Voir le tableau
ci-bas pour de plus amples détails au sujet des actions possibles.
Niveau journal Si réglé à "-", aucun message journal n’est généré lorsque la politique
est en fonction. Sinon, un message syslog est généré avec le niveau de
syslog choisi. Voir la page de man "syslog.conf" pour obtenir une
description de chacun des niveaux journal.
Exemple : vous faites confiance aux gens de votre réseau local et vous voulez autoriser l’accès à tous les
services Web (zone WAN). Vous ne souhaitez pas journaliser leurs activités non plus.
77
Chapitre 6. Configuration du comportement du pare-feu
Voici le coeur du pare-feu. La sous-section Règles définit les exceptions des politiques établies dans la section
Politiques par défaut. Une entrée correspond à chacune de ses règles dans le tableau.
Le tableau fait un sommaire de toutes les règles présentement configurées. Par défaut, MandrakeSecurity
définies des valeurs standards pour les zones par défaut (LAN, WAN, DMZ). Vu que la politique par défaut
est de « RETIRER » (« DROP ») toutes les connexions, les règles par défaut permettent d’en définir de plus
précises :
• les ordinateurs du réseau local peuvent se connecter à Internet (WAN) pour naviguer sur le Web, accéder
aux services du courrier électronique, au protocole FTP et aux connexions SSH ;
• les ordinateurs du réseau local peuvent se connecter au serveur SSH du pare-feu ou à l’interface Web de
MandrakeSecurity ;
• toutes les requêtes DNS (« Domain Name Service ») vers Internet sont acceptées ;
• les échos Ping sont permis entre les zones internes.
Si beaucoup de règles existent, vous pouvez les filtrer. Choisissez les zones Client et Serveur désirées, ainsi
qu’un Port dans le menu contextuel, et cliquez sur l’icône La zone spéciale ou le port « * » est tout
simplement un métacaractère (« wildcard ») qui correspond à toutes les possibilités.
Rappel : la zone « fw » désigne le pare-feu en tant que tel.
Pour chacune des règles définies dans le tableau, cliquez sur l’icône correspondante pour modifier
78
Chapitre 6. Configuration du comportement du pare-feu
Si vous souhaitez ajouter une nouvelle règle, deux formulaires sont disponibles : cliquez sur l’icône corres-
Ajouter une règle simple Vous obtiendrez le formulaire de règle simple, permettant de définir
une règle « ACCEPTER » en spécifiant seulement la source, la
destination et le protocole.
Ajouter une règle personnalisée Le formulaire affiché permet de définir une ou plusieurs règles
complexes, avec toutes sortes d’actions disponibles, et quelques
options, comme la connexion, le transfert et le SNAT (« Source
Network Address Translation »).
Vous êtes sur le point de définir une nouvelle règle pour autoriser une connexion spécifique entre deux zones
différentes.
Lorsque une connexion rejoint les critères définis sur cette page, la connexion sera permise.
79
Chapitre 6. Configuration du comportement du pare-feu
Exemple : vous désirez transférer toutes les requêtes de connexion SSH depuis Internet à votre système local
192.168.1.3.
Vous êtes sur le point de définir une nouvelle règle pour gérer une connexion spécifique entre deux zones
différentes. Si la requête rejoint les critères définis sur cette page, l’action « Résultat » sera entreprise.
Voici une description des différents champs disponibles pour ce formulaire. Remplissez-les selon les critères
correspondants pour que cette règle soit activée. Quelques options sont également disponibles afin de gérer
ces connexions :
80
Chapitre 6. Configuration du comportement du pare-feu
Exemple : vous voulez que le serveur FTP sur 192.168.2.2 dans votre DMZ en mascarade soit accessible de-
puis votre sous-réseau local 192.168.1.0/24. Puisque le serveur est dans le sous-réseau 192.168.2.0/24, nous
pouvons assumer que l’accès au serveur depuis ce sous-réseau n’impliquera pas le pare-feu.
Résultat ACCEPTER
Connexion
Services prédéfinis ftp
Protocole tcp
Client loc | 192.168.1.0/24
Serveur dmz | 192.168.2.2
Adresse de renvoi 155.186.235.151
SNAT
81
Chapitre 6. Configuration du comportement du pare-feu
Cette page liste les hôtes et les sous-réseaux pour lesquels les requêtes de connexion sont annulés systémati-
quement, même si, normalement, une règle explicite permet la connexion. Notez que pour que cette liste soit
en fonction, les options « liste noire » doivent être réglées dans la sous-section « Paramétrage de zone » (« Zone
setup ») de l’interface (ou les interfaces, selon le cas) à laquelle ces IPs sont connectés.
• Pour ajouter un nouveau sous-réseau ou IP à la liste noire, entrez-le dans le champ « Ajouter une entrée » et
82
Chapitre 6. Configuration du comportement du pare-feu
Cette page liste et permet de gérer les règles de TDS (type de service) du pare-feu. Les règles de TDS in-
dique AU pare-feu les en-têtes de paquet modifiées en leur ajoutant une valeur TDS. Cette valeur donne de
l’information supplémentaire, notamment aux routeurs, pour que les paquets reçoivent un traitement optimal
concernant leur utilisation.
Port dans le menu contextuel et cliquez sur l’icône Le port ou la zone spéciale « * » est simplement
un métacaractère (« wildcard ») correspondant à toutes les possibilités
Rappel : la zone « fw » désigne le pare-feu lui-même.
Pour toutes les politiques définies, cliquez sur l’icône correspondante pour modifier cette politique
83
Chapitre 6. Configuration du comportement du pare-feu
Ce formulaire définit les règles de TDS (type de service), lesquelles règles ajoutent une valeur TDS aux en-têtes
de paquet correspondant.
Lorsqu’un paquet passant à travers le pare-feu correspond à un critère définit sur cette page, la valeur de TDS
correspondante sera ajoutée.
Exemple : vous voulez que les paquets de données FTP soient gérés de façon à ce que le taux de transfert soit
maximisé, passant outre la fiabilité et le délai, dans toutes les directions.
84
Chapitre 7. Configuration d’un VPN
Ce chapitre explique ce qu’est un VPN. Il décrit également comment en configurer un avec MandrakeSecurity ,
que ce soit coté serveur ou client.
Les VPNs utilisent la tunnellisation pour créer des réseaux privés virtuels sur Internet. Pour résumer, la tunnel-
lisation consiste à encapsuler un paquet à l’intérieur d’un autre, puis de le transmettre sur un réseau (Internet,
dans le cas d’un VPN). MandrakeSecurity utilise IPSec 1 comme protocole de tunnellisation.
Le « réseau de confiance » (« network of trust ») entre plusieurs ordinateurs privés sur Internet s’établit
grâce aux Certificats et aux Autorités de certification (Certificate Authority --CA). Le CA est l’entité de
« confiance » de chacun des participants du VPN. Les certificats créés par votre système MandrakeSecuri-
ty , bien qu’adhérant à tous les standards de l’industrie, ne seront pas garantis par un tiers, tel que VeriSign.
Vous pourrez évidement utilisez vos propres certificats, approuvés par une CA publique, avec votre système
MandrakeSecurity .
• La possibilité de relier des réseaux privés géographiquement éloignés. C’est la raison principale pour la-
quelle les VPNs ont été conçus. Faites un parallèle avec le concept suivant : lier les différentes sociétés sœur
de votre entreprise où qu’elles soient situées dans le monde.
• Communications sécurisées. Tout le trafic VPN étant chiffré, vous pouvez être assuré que vos données
transiteront de façon sûre sur le réseau.
• Réduction des coûts. En utilisant un réseau déjà établi à travers le monde (Internet), toute l’infrastructure
dont vous avez besoin pour interconnecter vos réseaux privés distribués est en place. Nul besoin de payer
pour des liens dédiés (très) dispendieux. L’utilisation de quelques liens Internet haute vitesse tel que ceux
de type DSL est suffisant.
85
Chapitre 7. Configuration d’un VPN
En fait, les VPNs peuvent également être utilisés avec des liens
par modem analogique, mais d’habitude, une connexion de type
permanent (tel que le DSL ou le modem-câble) est plus appropriée.
Ceci dépend de la façon dont vous voulez utiliser votre VPN.
• Vous ne gérez pas tout le réseau. Vu que les réseaux publiques sont une partie inhérentes d’un réseau VPN,
la partie « publique » du réseau est totalement hors de votre contrôle.
Toutefois, c’est également un de ses plus grands avantages : moins de gestion de réseau donc une réduc-
tion des coûts. De plus, la partie publique du réseau est Internet, et ce dernier est bien géré par des gens
intelligents qui possèdent assez de ressources pour assurer un service de qualité supérieure.
• Un point d’échec unique. Généralement, on n’utilise qu’un serveur VPN donc, si cette machine échoue,
le réseau est mort. Toutefois, ce risque peut être diminué en utilisant des machines qui tolèrent certaines
erreurs. Ceci dépend évidemment du niveau d’importance de vos opérations.
86
Chapitre 7. Configuration d’un VPN
Veuillez-vous référer à Configuration du comportement du pare-feu, page 65 pour une explication des différents
champs.
Ensuite, cliquez sur le bouton Suivant pour ajouter une nouvelle zone identifiant le VPN en tant que tel. Une
fois que vous verrez la zone listée dans la page Définition des zones, appuyez sur le bouton Appliquer pour
que vos changements s’effectuent.
87
Chapitre 7. Configuration d’un VPN
ci-bas.
Référez-vous à Configuration du comportement du pare-feu, page 65 pour une explication plus en profondeur de
la signification de ces champs.
Ensuite, cliquez sur le bouton Suivant pour ajouter une interface IPSec au VPN. Une fois que vous verrez que
l’interface est listée dans la page Définition des zones, appuyez sur Appliquer pour activer vos changements.
Les interfaces ipsecN sont des interfaces logiques liées à des in-
terfaces physiques, eth0 par exemple. Vous pouvez associer plus
d’un VPN à la même interface ipsecN, et ajouter des zones VPN
différentes pour régler une politique par zone, si nécessaire.
7.3.4. Ajouter des politiques par défaut au pare-feu pour gérer le trafic du VPN
Maintenant, vous devez ajouter des politiques par défaut de pare-feu pour gérer le trafic VPN. Pour ce faire,
allez dans la sous-section Règles par défaut de la section Configuration du pare-feu et cliquez sur le bouton
Ajout d’une règle. La figure ci-dessous montre la politique pour le trafic entrant depuis n’importe quelle zone
88
Chapitre 7. Configuration d’un VPN
Vous devez également ajouter une politique similaire pour le trafic provenant du VPN et se dirigeant vers
toutes les autres zones (vpn->all), dans le but de monter un lien de communication bidirectionnel.
Référez-vous à Configuration du comportement du pare-feu, page 65 pour une explication plus approfondie des
différents champs.
Ensuite, cliquez sur le bouton Suivant pour ajouter la politique de pare-feu pour le VPN. Une fois que vous
avez ajouté les deux politiques et que vous les voyez listées dans la page Règles par défaut, appuyez sur
Appliquer pour que vos changements soient activés.
89
Chapitre 7. Configuration d’un VPN
• ID (unique). L’identifiant unique pour ce tunnel. Il est hautement recommandé de laisser cette valeur
inchangée.
• Type. Le type de tunnel. ipsec pour un tunnel IPSec (la valeur par défaut et celle que nous recommandons) ;
ipip pour un tunnel IPIP.
• Zone. La zone depuis/vers laquelle le trafic VPN se dirigera. Pour ce type de VPN que nous sommes en
train de configurer, il doit être réglé à wan (la zone Internet).
• IP de la passerelle. L’adresse IP de la machine passerelle « distante ». Dans notre exemple, nous l’avons
réglé à 0.0.0.0/0, ce qui signifie que le trafic VPN sera autorisé depuis n’importe où sur Internet.
• Zone passerelle (Gateway Zone) ––optionnel. Réglez-la à vpn parce que ce dernier sera la « passerelle »
entre les deux réseaux privés.
Puis, cliquez sur le bouton Suivant pour ajouter le tunnel pare-feu au VPN. Une fois que vous le verrez listé
sur la page Tunnels, cliquez sur le bouton Appliquer pour activer vos changements.
90
Chapitre 7. Configuration d’un VPN
7.3.6.1. Clé de CA
Allez dans la sous-section CA de la section VPN et cliquez sur le lien Clé du CA puis cliquez sur le bouton
Suivant. La figure ci-dessous montre un exemple des valeurs associées à chacun des champs.
Ce qui suit est une brève explication de certains champs (les autres sont explicites) :
• Nom commun. Ce champ doit être réglé au nom de domaine complet (FQDN) de votre hôte MandrakeSe-
curity .
• Jours. Le temps d’expiration de ce certificat en termes de jours. Réglé à 10 ans dans notre exemple.
91
Chapitre 7. Configuration d’un VPN
• Jours Crl. Le nombre de jours avant que la Liste de révocation de certificat (Certificate Revocation List ou
CRL) soit considérée comme obsolète.
• Bits. Le nombre de bits à utiliser pour la génération de la clé. Généralement réglé à 1024 ou 2048. N’utilisez
pas de valeurs inférieures à 1024 pour ce champ.
• Pays. Le code ISO de deux lettres identifiant le pays où MandrakeSecurity réside physiquement.
• Courrier électronique. L’adresse de courrier électronique de l’administrateur de MandrakeSecurity . Géné-
ralement, ce champ devrait être réglé à admin@fqdn_de_mandrakesecurity.ext.
Une fois que la configuration vous convient, cliquez sur le bouton Suivant puis cliquez sur le lien Généré le
certificat autosigné pour générer le certificat du CA.
Donc, votre serveur MandrakeSecurity (Serveur MNF A) est du « côté gauche » et tous les autres ser-
veurs/clients sont du « côté droit » du VPN. C’est une convention qui doit être établie à priori et les deux
extrémités (gauche et droite) doivent être configurées pour que la configuration soit complète.
92
Chapitre 7. Configuration d’un VPN
Allez dans la sous-section Serveur de la section VPN et cliquez sur le lien Ajouter un serveur VPN. La figure
ci-dessous montre les valeurs typiques attribuées à chaque champs.
• ID du serveur VPN. Identifiant numérique unique. Il est plus sûr (et recommandé) de ne pas toucher à cette
valeur.
• Position. Réglé à gauche pour votre système MandrakeSecurity et à droite pour le système distant.
• Nom commun. Ce champ doit contenir le nom de domaine complet (FQDN) de votre hôte MandrakeSecu-
rity pour le côté gauche et le nom de domaine complet de votre hôte distant sur le côté droit.
• IP. L’adresse IP sur l’interface Internet de votre hôte MandrakeSecurity pour le côté gauche, ainsi que
l’adresse IP de votre hôte distant sur le côté droit.
• Adresse réseau/masque. L’adresse IP et le masque de réseau pour le côté correspondant (gauche ou
droit). Dans notre exemple, le côté gauche est réglé à 192.168.0.0/24, tandis que le côté droit est réglé
à 172.16.1.0/24.
• VPN distant. L’adresse IP de la passerelle du système. Elle sera dépendante de l’adresse IP de l’hôte que
vous êtes en train de configurer, mais généralement, c’est identique à l’hôte IP sauf que le dernier numéro
est 1. Par exemple, si l’IP de votre hôte est 123.234.123.200, sa valeur devrait être réglée à 123.234.123.1.
• Authentification. x509 est le seul type de certificat pris en charge.
Une fois que vous aurez ajouté les côtés gauche et droit, cliquez sur le bouton Appliquer puis sur Redémarrer
IPSEC pour activer vos changements.
Félicitations ! Le serveur VPN est configuré.
93
Chapitre 7. Configuration d’un VPN
Maintenant, vous devez distribuer tous les certificats et clé nécessaires aux intervenants. Cette distribution
doit être faite de façon sécurisée puisque la sécurité de toute l’architecture VPN dépend de ces certificats et
clés. Vous pouvez chiffrer les fichiers puis les envoyer (ex. : en utilisant OpenPGP ), rencontrer les parties en
personne et leur donner une disquette abritant les données, ou toute autre façon sûre. N’envoyez jamais ces
fichiers sans qu’ils ne soient chiffrés.
Voici les fichiers que vous devez distribuer aux tiers :
• /etc/freeswan/ipsec.d/fqdn_of_mandrakesecurity.crt
• /etc/freeswan/ipsec.d/fqdn_of_remote_system.crt
• /etc/freeswan/ipsec.d/private/fqdn_of_remote_system.key
Les tiers doivent alors copier ces fichiers à leur place sur leurs systèmes. Cette opération dépend du système
en question et nous ne la détaillerons pas ici.
Après que les certificats et clés aient été distribués et copiés aux
endroits appropriés sur les systèmes distants, le service ipsec doit
être redémarré sur les hôtes distants afin que les clés et certificats
distribués soient inclus.
94
Chapitre 7. Configuration d’un VPN
Une fois que vous aurez rempli tous les champs, cliquez sur le bouton Appliquer pour activer vos change-
ments.
95
Chapitre 7. Configuration d’un VPN
Une fois que le VPN est configuré, les rôles client/serveur ne sont
pas obligés de demeurer les mêmes. Par exemple, vous pourriez
configurer un serveur VPN sur votre réseau et rendre les services
(serveurs) disponibles à travers ce dernier sur le réseau distant.
Vous devez copier les fichiers listés dans Distribution des certificats et des clés, page 93 sur votre système
(souvenez-vous que ces fichiers dépendent du système donc, nous ne décrirons pas comment procéder ici)
puis cliquer sur le lien Redémarrer IPSEC pour que les réglages soient pris en considération.
96
Chapitre 8. Configurer des clients de paserelle
Ce chapitre vous montrera comment faire interagir différents systèmes d’opération avec une machine
GNU/Linux , laquelle agit comme dispositif mandataire (masquerading) réglé en tant que passerelle vers le
monde extérieur. Les tests de configuration sur les systèmes d’exploitation suivants ont tous été couronnés
de succès :
97
Chapitre 8. Configurer des clients de paserelle
Vous n’avez qu’à entrer les informations pertinentes. Si votre réseau local abrite un serveur bootp ou DHCP,
cochez la boîte Attribution automatique de l’adresse IP, et votre configuration sera réglée. Si votre machine
possède une adresse IP fixe, entrez-la dans le premier champ après vous être assuré que le champ Attribution
automatique de l’adresse IP est bien désactivé. Ensuite, cliquez sur le bouton Suivant ->.
98
Chapitre 8. Configurer des clients de paserelle
Vous devez écrire les bonnes adresses IP pour la passerelle et le serveur DNS. Une fois fait, suivez les étapes
de l’assistant et redémarrez votre réseau lorsque proposé. Et c’est tout. Votre réseau est correctement configuré
et prêt à être utilisé. Maintenant, la configuration est permanente.
99
Chapitre 8. Configurer des clients de paserelle
1. Sur le bureau, faites un clic droit sur l’icône My network places, et sélectionnez Properties dans le menu
contextuel ;
2. Dans la fenêtre Network Connections, faites la même chose avec la connexion liée au réseau où se trouve
la passerelle ;
3. Dans le prochain menu, choisissez le champ Internet Protocol (TCP/IP) et cliquez sur le bouton Proprié-
tés ;
4. Dans ce menu, vous pouvez sélectionner Obtenir une adresse IP automatiquement si votre réseau abrite un
serveur DHCP. Ensuite, la passerelle devrait être configurée automatiquement. Sinon, choisissez Utiliser
l’adresse IP suivante et entrez les données pertinentes dans les champs appropriés.
100
Chapitre 8. Configurer des clients de paserelle
Dans la liste affichée, vous devriez trouver le protocole TCP/IP. Sinon, vous devrez vous référer à la documen-
tation de votre système pour savoir comment l’installer. S’il l’est déjà, sélectionnez-le et cliquez sur Propriétés.
101
Chapitre 8. Configurer des clients de paserelle
À travers cette fenêtre, vous pourrez régler les paramètres TCP/IP. Votre administrateur système vous dira si
vous avez une adresse IP statique ou si vous utilisez un DHCP (adresse IP automatique). Cliquez sur l’onglet
Passerelle (gateway).
Le reste est un jeu d’enfants ! Remplissez les champs vides avec l’adresse IP de votre passerelle (dans notre
exemple, 192.168.0.1). Finalement, cliquez sur les boutons Ajouter et OK.
Évidemment, vous devrez redémarrer votre machine. Une fois fait, vérifiez que vous pouvez rejoindre le reste
du monde Internet.
102
Chapitre 8. Configurer des clients de paserelle
2. Premièrement, sélectionnez le Protocole TCP/IP dans la liste de protocoles réseau. Ensuite, cliquez sur le
bouton Propriétés, et choisissez la carte réseau connectée au réseau local (figure 8-9 ). Dans cet exemple,
nous montrons une configuration faite avec un serveur DHCP activé sur le serveur MandrakeSecurity :
l’option Obtenir une adresse IP du serveur DHCP (Obtain an IP address from a DHCP server) est cochée.
103
Chapitre 8. Configurer des clients de paserelle
Si tel est votre cas, vous n’avez qu’à confirmer tous ces choix et redémarrer votre machine. Sinon, suivez
les prochaines étapes.
3. Si vous ne possédez pas de serveur DHCP, vous devez régler les paramètres manuellement. Première-
ment, cochez l’option Spécifiez une adresse IP (figure 8-10).
104
Chapitre 8. Configurer des clients de paserelle
105
Chapitre 8. Configurer des clients de paserelle
Vous devez également fournir le nom d’hôte et le nom de domaine qui y est associé.
Cliquez sur OK dans les menus contextuels qui apparaîtront et redémarrez votre ordinateur pour tester la
configuration.
106
Chapitre 8. Configurer des clients de paserelle
Évidemment, écrivez le nom de votre machine Linux au lieu de yourlinuxhostname et changez l’adresse de
passerelle donnée dans notre exemple (192.168.0.1).
Maintenant, sauvegardez le fichier, essayez de faire un telnet sur votre machine Linux , puis sur une machine
branchée à Internet.
Premièrement, vous devez ouvrir le panneau de contrôle TCP/IP tel qu’illustré dans le menu Apple.
107
Chapitre 8. Configurer des clients de paserelle
Si vous configurez votre mur pare-feu pour qu’il agisse en tant que serveur DHCP, suivez cette procédure à
la lettre. Sinon, allez à la section suivante.
Dans le menu contextuel qui apparaît, remplissez les champs comme indiqué plus bas :
Si votre réseau local n’abrite pas de serveur DHCP, suivez la procédure ci-bas :
108
Chapitre 8. Configurer des clients de paserelle
8.7.2. MacTCP
1. Dans le Panneau de contrôle MacTCP , choisissez le pilote de réseau Ethernet (attention, ce n’est pas
EtherTalk) puis cliquez sur le bouton Encore... ( More... ).
2. Dans le champ Adresse de la passerelle , entrez l’adresse de la machine Linux qui partage la connexion
(dans notre exemple, 192.168.0.1 ).
3. Cliquez sur OK pour sauvegarder les réglages. Peut-être aurez-vous à redémarrer votre système pour
tester ces réglages.
109
Chapitre 8. Configurer des clients de paserelle
110
Chapitre 9. Surveillez le pare-feu
Dans cette section, nous détaillerons les outils permettant de surveiller votre pare-feu : nous discuterons des
graphiques résumant l’utilisation de votre système et de votre réseau, ainsi que des fichiers journaux (logs files)
de votre système.
Les deux graphiques de cette page affichent de l’information au sujet de la charge de votre système. Ce sont
de bons indicateurs des performances de votre système, démontrant sa charge réelle. Ils peuvent également
fournir des arguments valables quant à la décision potentielle d’actualiser les unités centrales et la quantité de
RAM.
111
Chapitre 9. Surveillez le pare-feu
• avgload : représente l’utilisation moyenne de l’unité centrale pour les dernières 24 heures. L’unité utilisée
indique approximativement le nombre de processus tentant d’accéder à l’unité centrale simultanément. Une
charge normale devrait se maintenir sous 2. Si la charge se situe entre 2 et 5, votre système est plutôt occupé.
Au-deçà de 6, vous devriez considérer l’actualisation de votre unité centrale (CPU).
• memusage : représente l’utilisation de votre mémoire RAM principale (en mégaoctets). Des couleurs diffé-
rentes sont utilisées pour donner de l’information plus précise au sujet de la façon dont est utilisée cette
mémoire (utilisation de la RAM en noir, RAM libre en vert, Swap en rouge, et la cache en jaune).
Par défaut, un graphique quotidien est affiché. En cliquant sur à droite du graphique, vous obtien-
drez les graphiques par jour, semaine, mois et année sur une seule page. Ceci peut être utile afin de planifier
l’utilisation système. Cliquez sur le bouton Arrière pour retourner au graphique quotidien.
En cliquant sur le bouton Rafraîchir, vous actualiserez les graphiques.
Vous trouverez sur cette page des graphiques démontrant l’utilisation de l’unité centrale, selon différentes
échelles de temps.
La charge moyenne de l’unité centrale est représentée graphiquement par jour, par semaine, par mois et par
année, le tout sur une page. L’unité utilisée indique sommairement le nombre de processus tentant d’accéder
simultanément à l’unité centrale. Les valeurs normales sont en-deçà de 2. Les valeurs au-deçà de 6 indiquent
que vous devriez considérer l’actualisation de votre unité centrale.
Cliquez sur le bouton Rafraîchir pour actualiser les graphiques.
Cliquez sur pour retourner à la section Utilisation système.
En cliquant sur vous reviendrez à la page d’accueil de MandrakeSecurity.
112
Chapitre 9. Surveillez le pare-feu
Sur cette page, vous trouverez des graphiques se rapportant à l’utilisation de mémoire RAM, selon différentes
échelles de temps.
L’utilisation de mémoire RAM (physique) est exprimée graphiquement par jour, semaine, mois et année, le
tout sur une page. Des couleurs différentes sont employées pour donner de l’information plus précise au sujet
de la façon dont la mémoire est utilisée (utilisation de la RAM en noir, RAM libre en vert, Swap en rouge, et la
cache en jaune).
Cliquez sur le bouton Rafraîchir pour actualiser les graphiques.
Cliquez sur pour revenir à la section Utilisation système.
En cliquant sur vous reviendrez à la page d’accueil de MandrakeSecurity.
113
Chapitre 9. Surveillez le pare-feu
Les graphiques présentés ici vous informent au sujet du trafic réseau entrant/sortant sur vos interfaces.
La première page montre le trafic pour toutes les interfaces durant la dernière heure (par défaut). Les unités
utilisées seront ajustées selon le trafic sur chaque interface. Ainsi, vous pouvez obtenir des statistiques en
octets/sec., koctets/sec., moctets/sec., etc.
Au haut de la page se trouve une liste des échelles temporelles disponibles pour les graphiques : par heure,
par jour, par semaine, par mois et par année. Pour changer cette échelle temporelle, cliquez sur le lien corres-
pondant.
Chaque graphique vous informe également au sujet du trafic entrant/sortant moyen et maximal sur vos in-
terfaces réseau. Le trafic entrant est représenté en vert et le trafic sortant en gris foncé.
En cliquant sur à la droite de chaque graphique (disponible seulement en mode Heure), vous arrive-
rez sur une page montrant les statistiques de trafic pour chaque interface.
En cliquant sur le bouton Rafraîchir, vous actualiserez les graphiques.
Vous pourriez utilisez les graphiques susmentionnés pour planifier vos temps de connexion et votre bande
passante, par exemple.
114
Chapitre 9. Surveillez le pare-feu
La table affiche tous les messages système journalisés par cet outil, par exemple : mots de passe accep-
tés/refusés pour sshd, mises à jour NTP, mise en marche de scripts d’entretien de système, etc.
Les colonnes de la table représentent respectivement : la date et l’heure, ainsi que le message qui a été généré
pour chaque événement journalisé.
Cliquez sur le bouton Rafraîchir pour obtenir les entrées les plus récentes.
115
Chapitre 9. Surveillez le pare-feu
L’item d’authentification permet de regarder les journaux d’authentification de votre système reliés à la sécu-
rité.
La table décrit les événements journalisés concernant l’authentification, comme les changements de mode de
fichier pour les fichiers journaux, les services démarrant/s’arrêtant, les tentatives de connexion sur la console
et utilisant sshd qui ont échoué, etc. Les services typiques pour ces types de messages sont :
116
Chapitre 9. Surveillez le pare-feu
L’item pare-feu permet de regarder les journaux de filtrage de paquets pour votre pare-feu.
Vous trouverez des rapports pour toutes les chaînes pare-feu. Les rapports peuvent être générés selon diffé-
rents critères :
• tout et résolution de nom : affiche tous les détails au sujet des paquets, soit : le numéro de paquet, début,
intervalle, protocole, IP source, nom d’hôte et de port, IP de destination, nom d’hôte et de port et les options
de paquet.
• IP de destination : affiche seulement les détails suivants au sujet des paquets : numéro de paquet, début,
intervalle et IP de destination.
• IP source : affiche seulement les détails suivants au sujet des paquets : numéro de paquet, début, intervalle
et IP source.
• IP source et de destination : affiche seulement les détails suivants au sujet des paquets : numéro de paquet,
début, intervalle, IP source et IP de destination.
• avec port de destination : affiche seulement les détails suivants au sujet des paquets : numéro de paquet,
début, intervalle, IP source, IP de destination et port de destination.
• avec port source : affiche seulement les détails suivants au sujet des paquets : numéro de paquet, début,
intervalle, IP et port source ainsi que l’IP et le port de destination.
• avec port source et de destination : affiche seulement les détails suivants au sujet des paquets : numéro de
paquet, début, intervalle, IP et port source, ainsi que l’IP et le port de destination.
• avec les options TCP : affiche les mêmes détails que l’option « tout et résolution de nom », sauf les noms
d’hôte source et de destination.
En cliquant sur à la gauche de chacun des éléments susmentionnés, une fenêtre de sommaire des
journaux du pare-feu correspondant à l’item qui y est associé sera affiché. Par exemple :
Generated Mon Apr 15 11:16:09 ART 2002 by root.
5 of 456 items in the file "/var/log/messages" are packet logs, one has unique characteristics.
First packet log entry: Apr 15 10:53:26; last: Apr 15 10:53:26.
All entries where logged by the same host: "e500".
117
Chapitre 9. Surveillez le pare-feu
Après les messages ci-haut vient une table contenant de l’information supplémentaire au sujet des paquets.
Cliquez sur le bouton Rafraîchir pour obtenir les entrées les plus récentes.
L’item SDI Prelude permet de lire les journaux SDI Prelude sur votre système qui sont reliés à la sécurité.
Le système de détection d’intrusion (SDI) Prelude fait un rapport des paquets « anormaux » (imprévus, sus-
pects; en fait, il applique une stratégie de reconnaissance de signatures d’attaques) que votre système reçoit et
qui ciblent votre réseau. Prelude essaie également d’éviter de recevoir de telles attaques.
Si l’SDI Prelude n’est pas activé sur votre système, le rapport montrera quelque chose du genre :
Reports
empty Prelude IDS was not activated yet
Si l’SDI Prelude est actif mais qu’aucune attaque n’a été tentée sur votre système, le rapport affichera quelque
chose comme :
Reports
empty No log available!
118
Chapitre 9. Surveillez le pare-feu
Lorsque les journaux deviennent disponibles, le fait de cliquer sur montrera la fenêtre de sommaire
des journaux SDI.
Cliquez sur le bouton Rafraîchir pour obtenir les entrées les plus récentes.
L’item SDI Snort permet de lire les journaux relatifs à la sécurité de votre système.
Le système de détection d’intrusion (SDI) Snort analyse le trafic entrant sur votre réseau et recherche des
correspondances en vérifiant les règles prédéfinies. Ensuite, il réagit selon ces règles.
Si Snort n’est pas activé sur votre système, le rapport affichera quelque chose du genre :
Reports
empty Snort IDS was not activated yet
Si Snort est activé mais qu’aucune attaque n’a été tentée sur votre système, le rapport affichera quelque chose
du genre :
Reports
empty No log available!
Lorsque les journaux deviendront disponibles, vous obtiendrez une fenêtre sommaire des journaux de Snort
119
Chapitre 9. Surveillez le pare-feu
L’item mandataire (« proxy ») Web permet de lire les journaux du serveur mandataire Squid de votre système.
Squid est un serveur antémémoire (« caching ») mandataire de haute performance pour les clients Web qui
prennent en charge les données (« data objects ») FTP, Gopher et HTTP. Il place également en antémémoire les
consultations DNS (« DNS lookups »). Tous ces composants procurent une utilisation plus efficace de votre
bande passante, et engendrent une meilleure réactivité de la part des clients Web, ce qui signifie habituellement
de meilleures performances d’accèss à Internet.
120
Chapitre 9. Surveillez le pare-feu
Sur cette page, vous trouverez de l’information d’accès, la consommation de ressources (mémoire, espace
disque) et les erreurs de configuration du serveur Web mandataire Squid.
Si le serveur Squid n’est pas activé sur votre système, le rapport émettra quelque chose du genre
Reports
empty The WebProxy server was not activated yet
Si le serveur Squid est activé mais qu’aucune événement n’a été journalisé, le rapport affichera quelque chose
du genre :
Empty list...
Lorsque les journaux deviendront disponibles, vous obtiendrez une fenêtre sommaire des journaux du serveur
L’item DHCP permet de regarder les journaux du serveur DHCP de votre système.
Les messages du serveur DHCP, tels que l’assignation d’IP aux interfaces, les paquets DHCP provenant de
clients, et des informations du même ordre, sont affichées ici.
Si le serveur DHCP n’est pas activé sur votre système, le rapport affichera quelque chose du genre :
Reports
empty The DHCP server was not activated yet
Si le serveur DHCP est actif sur votre système, en cliquant sur une table contenant de l’information au
sujet du sous-réseau DHCP apparaîtra. La table contient les colonnes suivantes : Emplacement (« Location »),
Sous-réseau, Masque de réseau, Étendue IP, Routeur, IPs définies, IPs utilisées et IPs libres.
121
Chapitre 9. Surveillez le pare-feu
Cliquez sur le bouton Rafraîchir pour obtenir les entrées les plus récentes.
122
Chapitre 10. Outils de gestion
Dans cette section, nous aborderons les outils disponibles pour faciliter la gestion de votre pare-feu : console
distante, copie de sauvegarde des configurations et mise à jour.
Lorsque vous cliquez sur Outils, l’écran suivant vous sera retourné : figure 10-1 où vous remarquerez le bouton
Arrêter le pare-feu (Shutdown the Firewall). En cliquant dessus, le pare-feu sera arrêté, coupant par le fait même
toutes les connexions actives à Internet. Soyez prudent !
123
Chapitre 10. Outils de gestion
Après avoir entré l’adresse IP (ou le nom d’hôte) de l’hôte auquel vous voulez vous connecter, une fenêtre
roulant une console SSH apparaîtra. Elle vous permettra de réaliser certaines opérations comme si vous étiez
assis devant la console du système pare-feu.
En général, le système auquel vous voulez vous connecter est le pare-feu lui-même. À l’invite (« prompt »),
entrez « admin » (sans les guillemets) en tant que nom de connexion, ainsi que le mot de passe admin :
firewall login:admin
Si vous vous connectez avec succès, une console apparaîtra et vous serez en mesure d’accomplir des tâches
d’administration comme si vous étiez assis devant l’écran de votre pare-feu.
124
Chapitre 10. Outils de gestion
Finalement, notez que si un client SSH est installé sur votre machine, vous pouvez vous connecter sur l’hôte
pare-feu directement et outrepasser l’interface Web. Notez toutefois que l’avertissement précédent est toujours
valide.
Cette fonctionnalité permet de faire une copie de sauvegarde complète de la configuration de votre pare-
feu. En conséquence, vous pouvez facilement récupérer vos données en cas de crash majeur, ou facilement
reconfigurer un nouveau système pare-feu s’appuyant sur la configuration sauvegardée.
Pour créer une copie de sauvegarde de votre fichier de configuration, cliquez sur le bouton « Sauvegarde ».
Conséquemment, une copie de sauvegarde sera créée et vous serez guidez vers une autre page depuis laquelle
vous pourrez la récupérer. Veuillez vous référer à la page d’aide de la page Sauvegarde pour obtenir des
instructions précises pour récupérer ledit fichier de configuration.
Pour restaurer la configuration, vous devez « Choisir le fichier de configuration » en cliquant sur le bouton
« Naviguer » (« Browse »). Une fenêtre apparaîtra, depuis laquelle vous pourrez sélectionner le fichier qui
abrite la configuration sauvegardée. Si vous avez suivi la procédure décrite dans la page d’aide Sauvegarde,
le chemin devrait être « /mnt/floppy/ConfigurationBackup » (sans les guillemets). Si vous ne sauvegardez
pas vos copies de sauvegarde sur une disquette, nous vous recommandons de les copier régulièrement sur
une disquette et de les stocker dans un endroit sécuritaire.
Lorsque vous aurez terminé, cliquez sur le bouton « Télécharger ». Vous arriverez sur une page de confirma-
tion qui vous permettra d’appliquer, de modifier ou d’annuler vos changements. Veuillez vous référer à la
page d’aide de Restauration pour de plus amples renseignements.
125
Chapitre 10. Outils de gestion
Plus bas, vous trouverez un exemple de l’écran Récupérer (Restore), permettant de restaurer les fichiers de
configuration à partir d’une archive.
Après avoir cliqué sur le bouton Télécharger, une confirmation comme celle-ci figure 10-3 vous sera présentée.
Cliquez sur Appliquer afin que les changements à votre pare-feu soient activés.
126
Chapitre 10. Outils de gestion
à Travers cette page, vous pouvez stocker votre configuration de pare-feu sur une disquette (ou un autre
médium amovible).
Après avoir cliqué sur le bouton Sauvegarde de la page précédente, vous pourrez cliquer sur un lien nommé
« Fichier de sauvegarde » dans le but de récupérer la configuration que vous avez sauvegardée. Veuillez
procéder ainsi (nous assumons que vous voulez stocker la configuration sur une disquette) :
127
Chapitre 10. Outils de gestion
Cet assistant vous aidera à actualiser tous les paquetages installés sur votre système. Pour des raisons de
sécurité, il est essentiel que vous vérifiez régulièrement les actualisations logiciel.
Les champs susmentionnés montrent le site miroir actuellement utilisé pour récupérer les actualisations logi-
ciel.
• Miroir enregistré : cette option vous donnera accès aux actualisations dédiées à MandrakeSecurity. Il con-
tient des mises à jour pour la distribution Mandrake Linux de base sur laquelle repose MandrakeSecurity. Il
abrite également des paquetages spécifiques à MandrakeSecurity, ainsi que des modules optionnels.
• Miroir officiel : sur la page suivante, vous trouverez une liste des sites miroirs officiels de Mandrake Linux.
Il est fortement recommandé de choisir un de ces miroirs.
• Miroir personnel : sur la page suivante, vous serez en mesure d’entrer manuellement l’adresse d’un site
hébergeant les mises à jour pour votre système.
Faites votre choix et cliquez sur pour passer à l’étape suivante. Veuillez vous référer aux pages d’aide
de l’étape suivante pour de plus amples renseignements.
En cliquant sur vous reviendrez à la page d’accueil de MandrakeSecurity et vous annulerez cet assis-
tant de configuration.
128
Questions de sécurité et de réseau
Jusqu’à maintenant dans ce manuel, vous avez lu de l’information très pratique. Vous devriez être en mesure
de configurer votre serveur de façon efficace et d’en être satisfait.
Toutefois, cette information pratique ne constitue qu’une parcelle des possibilités de votre système Mandrake
Linux. Afin d’approfondir vos connaissances, nous avons choisi d’ajouter deux chapitres à ce manuel :
• De la sécurité sous GNU/Linux, page 131 : la lecture de ce chapitre est impérative pour tout administrateur
système. Même si vous pouvez rendre votre système Mandrake Linux assez sécuritaire avec les outils par
défaut, un système n’est vraiment sécuritaire que lorsqu’il est administré de manière pro-active, en prenant
soin d’entretenir la sécurité globale, autant physique que logique de votre système ;
• Le réseau sous GNU/Linux, page 171 : le but d’un serveur est de rendre disponible des services sur un réseau.
Ce manuel aurait été incomplet sans un chapitre entièrement dédié à la réseautique. La configuration du
réseau en lui-même, et les différents protocoles, y sont définis et explicités.
130
Chapitre 11. De la sécurité sous GNU/Linux
Ce document est un aperçu général des problèmes de sécurité auxquels pourrait être confronté un administra-
teur de système GNU/Linux . Il traite de la philosophie de la sécurité en général et aborde quelques exemples
spécifiques pour mieux sécuriser votre système GNU/Linux des intrus. De nombreux liens vers de la documen-
tation et des programmes relatifs à la sécurité sont aussi fournis.
11.1. Préambule
Ce chapitre est basé sur un HOWTO de Kevin Fenzi et Dave Wreski dont l’original est hébergé par le Linux
Documentation Project (http://www.tldp.org)
11.1.2. Introduction
Ce chapitre traite certains des principaux problèmes affectant la sécurité de GNU/Linux . La philosophie géné-
rale ainsi que les ressources réseau sont abordées.
Un certain nombre d’autres HOWTOs débordent sur les questions de sécurité et ces documents ont été réfé-
rencés chaque fois qu’ils s’y prêtaient.
Ce chapitre n’est pas destiné à recenser tous les trous de sécurité. Un grand nombre de nouvelles techniques
sont sans arrêt utilisées. Ce chapitre vous apprendra où rechercher ce type d’information mise à jour, et don-
nera des méthodes générales pour empêcher de telles exactions d’avoir lieu.
11.2. Aperçu
Ce chapitre tentera d’expliquer certaines procédures et programmes communément employés pour vous aider
à rendre votre système plus sûr. Il est important de discuter de certains des concepts de base en premier, et
créer une base de sécurité, avant de commencer.
131
Chapitre 11. De la sécurité sous GNU/Linux
• Le risque est la possibilité qu’un intrus puisse réussir à accéder à votre ordinateur. Un intrus peut-il lire ou
écrire des fichiers, ou exécuter des programmes qui pourraient faire des dégâts? Peut il détruire des données
critiques? Peut-il vous empêcher vous ou votre compagnie de réaliser un travail important? N’oubliez pas :
quelqu’un ayant accès à votre compte ou votre système peut se faire passer pour vous.
Mais encore, un seul compte non sécurisé sur votre système peut conduire à compromettre le réseau tout
entier. Si vous autorisez un seul utilisateur à se connecter en utilisant un fichier .rhosts, ou à utiliser un
service non sécurisé tel que tftp, vous prenez le risque de voir un intrus « mettre un pied dans la porte ».
Une fois que l’intrus a un compte utilisateur sur votre système, ou le système de quelqu’un d’autre, il peut
être utiliser pour obtenir l’accès à un autre système ou un autre compte.
• Le danger vient généralement de quelqu’un ayant des motivations pour obtenir un accès pervers à votre
réseau ou ordinateur. Vous devez décider en qui vous avez confiance pour leur donner accès à votre système,
et quelle menace ils représentent.
Il y a plusieurs types d’intrus, et il est utile d’avoir à l’esprit leurs différentes caractéristiques pendant que
vous mettez en place la sécurité de votre système.
• Le Curieux - Ce type d’intrus est surtout intéressé par le type de votre système et les données qui s’y
trouvent.
• Le Malveillant - Cet intrus est là pour faire écrouler votre système, modifier vos pages Web, ou même
vous obliger à dépenser du temps et de l’argent pour vous remettre des dommages causés.
• L’intrus Célèbre - Ce type d’intrus essaye d’utiliser votre système pour augmenter sa côte de popularité
et d’infamie. Il est susceptible d’utiliser la popularité de votre système pour afficher ses capacités.
• Le Concurrent - Cet intrus est intéressé par les données qui se trouvent sur votre système. Il peut d’agir
de quelqu’un qui pense que vous possédez des informations dont il pourrait tirer profit, financièrement
ou autre.
• Le Locataire - Ce type d’intrus souhaite s’installer sur votre système, et utiliser ses ressources pour son
propre compte. Ils font généralement tourner des serveurs chat ou IRC, site d’archives pornographiques,
ou même des serveurs DNS.
132
Chapitre 11. De la sécurité sous GNU/Linux
• Le Passager - Cet intrus n’est intéressé par votre système que pour obtenir l’accès à d’autres systèmes.
Si votre système est bien connecté, ou une passerelle vers certains hôtes internes, vous êtes directement
exposé à ce type d’individu.
• La vulnérabilité décrit le degré de protection de votre ordinateur depuis d’autres réseaux, et la possibilité
pour quelqu’un d’obtenir un accès non autorisé.
Qu’y a-t-il en jeu si quelqu’un casse votre système? Bien sûr, les soucis d’un particulier en connexion PPP
seront différents d’une société connectant leurs machines à Internet, ou un autre grand réseau.
Combien de temps cela prendrait-il de récupérer/recréer quelque donnée qui serait perdue? Un investis-
sement de temps maintenant peut économiser dix fois plus de temps plus tard, si vous devez recréer des
données perdues. Avez vous vérifié votre stratégie de sauvegarde, et vérifié vos donnés récemment?
133
Chapitre 11. De la sécurité sous GNU/Linux
• Soyez conscient de votre système. Consulter les logs systèmes /var/log/messages, garder un oeil sur votre
système, et
• Gardez votre système à jour en vous assurant que sont installées les dernières versions des programmes
mises à jours pour les alertes de sécurité. Cette simple précaution rendra votre système notablement plus
sûr.
134
Chapitre 11. De la sécurité sous GNU/Linux
J’ai testé un BIOS Award et AWARD_PW a fonctionné. Ces mots de passe sont assez faciles à obtenir sur les
sites Web des favricants ou sur astalavista (http://astalavista.box.sk) et en tant que tel, un mot de passe
de BIOS ne peut pas être considéré comme une protection adéquate contre les attaquants informés.
Beaucoup de BIOS x86 vous permettent aussi de spécifier plusieurs autres bons paramètres de sécurité.
Consultez le manuel de votre BIOS ou explorez le la prochaine fois que vous redémarrez. Par exemple, certains
135
Chapitre 11. De la sécurité sous GNU/Linux
BIOS désactivent le démarrage depuis une disquette et d’autres demandent un mot de passe pour pouvoir ac-
céder aux caractéristiques du BIOS .
1.
2. Vous pouvez choisir entre trois niveaux de sécurité en modifiant la variable security-mode :
a. full: Toutes les commandes sauf go requièrent le mot de passe.
b. command: Toutes les commandes sauf boot et go requièrent le mot de passe.
c. none: Aucun mot de passe nécessaire (défaut).
Voici un exemple d’interaction sur la manière de définir votre mode de sécurité :
> setenv security-mode full
>
136
Chapitre 11. De la sécurité sous GNU/Linux
and of course generate a new config file /boot/grub/menu2.lst where you move unsecure entries previously
removed from /boot/grub/menu.lst.
From the grub info page:
- Command: password passwd new-config-file
Disable all interactive editing control (menu entry editor and
command line). If the password PASSWD is entered, it loads the
NEW-CONFIG-FILE as a new config file and restarts the GRUB Stage 2.
password=password
Protéger le chargement de l’image par un mot de passe.
restricted
Ne demander un mot de passe que si l’on ajoute des paramètres sur la ligne
de commande (par exemple ‘single’ pour redémarrer en mode mono-utilisateur).
137
Chapitre 11. De la sécurité sous GNU/Linux
restricted
Un mot de passe n’est nécessaire pour lancer l’image
spécifiée dans /etc/silo.conf que si des paramètres
sont rajoutés sur la ligne de commande, ou si
l’image n’est pas du tout citée dans le fichier de
configuration (par exemple. lecture d’un fichier arbitraire).
138
Chapitre 11. De la sécurité sous GNU/Linux
Nous parlerons des donnés log système dans le chapitre Gardez trace des données de journalisation du système,
page 162.
139
Chapitre 11. De la sécurité sous GNU/Linux
• Leur donner la plus petite quantité de privilèges dont ils ont besoin.
• S’assurer de quand/où ils se connectent, ou devraient se connecter.
• S’assurer de supprimer les comptes inutilisés, que vous trouverez aisément en utilisant la commande last
ou en vérifiant les fichiers journaux pour déterminer si ses utilisateurs sont encore actifs.
• Pour faciliter la maintenance des comptes et l’analyse des données de log, il est conseillé d’utiliser du même
numéro d’usager (userid) sur tous les ordinateurs et réseaux.
• La création de groupes de userids devrait être strictement interdite. Les comptes d’utilisateurs permettent
aussi la responsabilisation, ce qui est rendu impossible par les comptes groupés.
Beaucoup de comptes d’utilisateurs locaux qui sont utilisés dans des infractions de sécurité n’ont pas été
utilisés pendant des mois ou des années. Comme personne ne les utilise, ils sont des vecteurs d’attaque idéaux.
• Lorsque vous effectuez des commandes complexes, essayer de les faire tourner d’abord de manière non
destructive... tout particulièrement les commandes qui utilisent l’englobement. i.e., si vous voulez faire rm
-f foo*.bak, lancez d’abord ls foo*.bak et assurez vous que vous allez effectivement effacer les fichiers
que vous pensiez. Utiliser echo à la place d’une commande destructive marche aussi parfois.
• Ne devenez root que pour lancer des tâches spécifiques. Si vous vous retrouvez en train de vous demandez
comment faire pour résoudre un problème, revenez sous votre compte normal, jusqu’à ce que vous soyez
sûr de ce que vous avez besoin de faire en tant que root.
• Le chemin de commandes pour l’utilisateur root est très important. Ce chemin de commandes (c’est a dire,
la variable d’ environnement PATH) désigne les répertoires dans lesquelles le shell cherche les programmes.
Essayez de limiter le chemin de commandes pour l’utilisateur root le plus possible, et n’y incluez jamais
. (qui signifie « le répertoire courant ») dans votre PATH. De plus, n’ayez jamais de répertoires en écriture
dans votre chemin de recherche, car cela pourrait permettre aux attaquants de modifier ou placer de nou-
veaux binaires dans votre chemin de recherche, leur permettant de se lancer comme root la prochaine fois
que vous utilisez la commande.
• N’utilisez jamais le suite d’outils rlogin/rsh/rexec (appelés les « r-utilitaire ») en tant que root. Ils sont
sujet de plusieurs attaques, et sont cruellement dangereux utilisés comme root. Ne créez jamais un fichier
.rhosts pour root.
• le fichier /etc/securetty contient la liste de terminaux depuis lesquels root peut se connecter. Par défaut,
cela est arrêté aux consoles virtuelles locales (ttys). Soyez très prudent lors de l’ajout de nouvelles choses à
ce fichier. Vous devriez être capable de vous connecter à distance avec votre compte normal, puis utiliser su
si nécessaire (de préférence sous couvert de ssh ou un autre tube crypté), il n’y a donc pas de besoin de se
connecter directement sous root.
• Soyez toujours lent et réfléchi sous root. Vos actions peuvent modifier beaucoup de choses, faites sept fois
le tour du clavier avant de taper!
Si vous avez assurément absolument besoin d’autoriser quelqu’un (de préférence de toute confiance) à avoir
un accès root sur votre machine, il y a un certain nombre d’outils qui peuvent vous y aider. sudo autorise
les utilisateurs à accéder à un certain nombre de commandes comme root avec leur propre mot de passe.
Cela devrait vous permettre ainsi de laisser un utilisateur éjecter et monter un support amovible, sans aucun
autre privilège root. sudo garde aussi une trace de toutes les tentatives fructueuses ou non d’utilisation, vous
permettant de savoir qui a utilisé quelle commande pour faire quoi. Pour cette raison sudo marche bien même
à des endroits où certaines personnes ont des accès root, car il vous aide à suivre les changements apportés.
140
Chapitre 11. De la sécurité sous GNU/Linux
Bien que sudo puisse être utilisé pour donner à certains utilisateurs des privilèges pour effectuer certaines
tâches, il présente quelques inconvénients. Il devrait être utilisé uniquement pour un ensemble de tâches
limitées, comme redémarrer un serveur ou ajouter de nouveaux utilisateurs. Tout programme offrant une fuite
vers un shell donnera l’accès root à un utilisateur l’invoquant depuis sudo. Cela inclus la plupart des éditeurs,
par exemple. De même, un programme aussi inoffensif que /bin/cat peut être utilisé pour écraser des fichiers,
ce qui pourrait être utilisé pour exploiter root. Envisagez sudo comme un moyen de responsabilisation, mais
n’espérez pas qu’il remplace l’utilisateur root tout en étant sûr.
• Il ne devrait y avoir aucune raison pour que le répertoire « maison » d’un utilisateur y autorise l’exécution
de programmes SUID/SGID. Utiliser l’option nosuid dans /etc/fstab pour les partitions en écriture par
d’autres que root. vous pourrez aussi souhaiter utiliser nodev et noexec sur la partition des répertoires des
utilisateurs, ainsi que sur /var, interdisant ainsi l’exécution de programmes, et la création de périphériques
caractère ou bloc, qui ne devraient jamais être nécessaires de toute façon.
• Si vous exportez des systèmes de fichier via NFS, assurez vous de configurer /etc/exports avec le plus de
restrictions d’accès possibles. Cela signifie ne pas utiliser de caractères d’englobement (* ?) ni autoriser un
accès pour root en écriture, et exporter en lecture seule chaque fois que c’est possible.
• Configurez le umask de création de fichier des utilisateurs le plus restrictif possible, voir Paramètres umask ,
page 142.
• Si vous montez des systèmes de fichier en utilisant un système de fichier réseau comme NFS, assurez vous
de configurer /etc/exports avec des restrictions appropriées. Généralement, utiliser ‘nodev’, ‘nosuid’, et
même ‘noexec’, est désirable.
• Fixer les limites du système de fichier, au lieu de le laisser illimité comme il est par défaut. Vous pouvez
contrôler des limites par utilisateurs en utilisant le module de limites de ressources PAM et le fichier /etc/
pam.d/limits.conf. Par exemple, les limites pour le groupe users pourraient ressembler à cela :
@users hard core 0
@users hard nproc 50
@users hard rss 5000
Cela interdit la création de fichiers « core », limite le nombre de processus à 50, et limite l’utilisation de la
mémoire par utilisateur à 5Mo.
Vous pouvez aussi utiliser le fichier de configuration /etc/login.defs pour régler les mêmes limites.
• Les fichiers /var/log/wtmp et /var/run/utmp contiennent les registres de connexion pour tous les utilisa-
teurs de votre système. Leur intégrité doit être assurée, car ils peuvent être utilisé pour déterminer quand
et d’où un utilisateur (ou un possible intrus est entré sur le système. Ces fichiers devraient aussi avoir des
permissions en 644, sans affecter la marche normale du système.
• Le bit « inaltérable » peut être utilisé pour empêcher l’effacement ou l’écrasement accidentel d’un fichier qui
doit être protégé. Cela empêche aussi quelqu’un de créer un lien dur vers le fichier. Voir la page de man de
chattr(1) pour plus d’information sur le bit « inaltérable ».
• Les fichiers suid et SGID sur votre système présentent un risque potentiel de sécurité, et devraient être
surveillés de près. Du fait que ces programmes donnent des privilèges particuliers aux utilisateurs qui les
exécutent, il est nécessaire de s’assurer que des programmes non surs ne sont pas installés. Un coup favori
des « crackers » est d’exploiter les programmes SUID-root, puis laisser un programme suid comme porte
dérobée (backdoor) pour rentrer à nouveau plus tard, même si le trou original a été bouché.
Cherchez tous les programmes SUID/SGID sur votre système, et garder une trace de ce qu’ils sont, de sorte
que vous puissiez vous rendre compte de tout changement, ce qui pourrait indiquer un intrus potentiel.
Utilisez les commandes suivantes pour trouver tous les programmes SUID/SGID de votre système :
root# find / -type f \( -perm -04000 -o -perm -02000 \)
141
Chapitre 11. De la sécurité sous GNU/Linux
Vous pouvez supprimer la permission suid ou SGID sur un programme suspect avec la commande chmod,
puis changez la à nouveau si vous vous rendez compte que c’est absolument nécessaire.
• Les fichiers en écriture non restreinte (world-writable), plus particulièrement les fichiers systèmes, peuvent
être un trou de sécurité si un cracker obtient l’accès à votre système, et les modifie. De plus, les répertoires
en écriture non restreinte sont dangereux, car ils autorisent à un cracker de créer ou effacer des fichiers à
volonté. pour localiser de tels fichiers sur votre système, utilisez la commande suivante :
root# find / -perm -2 ! -type l -ls
et assurez vous de la cause de l’existence de tels fichiers. En utilisation normale, plusieurs fichiers seront
en écriture non restreinte, même certains fichiers de /dev, et les liens symboliques„ d’où le ! -type l qui
exclus ces derniers de la commande find.
• Les fichiers sans propriétaires peuvent aussi être un signe qu’un intrus est passé par là. Vous pouvez locali-
ser les fichiers qui n’ont pas de propriétaire ou de groupe propriétaire grâce à la commande :
root# find / -nouser -o -nogroup -print
• Trouver les fichiers .rhosts devrait faire partie de vos devoirs d’administrateur système, car ils devraient
être bannis de votre système Rappelez vous qu’un cracker n’a besoin que d’un compte ouvert pour avoir
l’opportunité d’accéder au réseau entier. Vous pouvez localiser les fichiers .rhosts avec la commande :
root# find /home -name .rhosts -print
• Enfin, avant de changer les permissions de quelque fichier système, assurez vous que vous comprenez ce
que vous faites, Ne changez jamais les permissions d’un fichier parce que cela semble être une manière facile
pour que tout marche bien. Cherchez toujours à savoir pourquoi ce fichier à ces permissions avant de les
modifier.
Assurez vous d’utiliser un umask pour root’s de 077, qui interdira lecture, écriture, et exécution pour les
autres utilisateurs a moins que vous ne changiez cela explicitement avec la commande chmod. Dans ce cas, les
répertoires nouvellement créÂés devraient avoir des permissions de 744, obtenues en soustrayant 033 de 777.
Les fichiers nouvellement créÂés avec un umask de 033 devraient avoir des permissions de 644.
142
Chapitre 11. De la sécurité sous GNU/Linux
Écriture:
Exécution:
143
Chapitre 11. De la sécurité sous GNU/Linux
Les lignes suivantes sont des exemples d’ensembles de permissions qui sont nécessaires pour avoir l’accès
décrit. Vous voudrez sans doute donner plus de permissions que celles données ici, mais on ne décrit ici que
l’effet de ces permissions minimales :
-r-------- Autoriser l’accès en lecture au fichier par le propriétaire
--w------- Autoriser le propriétaire à modifier ou effacer le fichier
(Notez que quiconque ayant les droits d’écriture sur le répertoire
dans lequel se trouve le fichier peut l’écraser/effacer)
---x------ Le propriétaire peut exécuter ce programme, mais pas de script shell,
qui de plus nécessite un droit en lecture
---s------ Sera exécuté avec l’UID du propriétaire
--------s- Sera exécuté avec le GID du groupe
-rw------T Pas de mise à jour du "last modified time" (Heure de dernière modification).
Généralement utilisé pour le fichiers d’échange (swap)
---t------ Aucun effet. (anciennement bit de conservation)
Exemple de répertoires :
drwxr-xr-x 3 kevin users 512 Sep 19 13:47 .public_html/
1e bit - répertoire? (oui, il contient de nombreux fichiers)
2e bit - lecture propriétaire? (oui, par kevin)
3e bit - écriture propriétaire? (oui, par kevin)
4e bit - exécution propriétaire? (oui, par kevin)
5e bit - lecture groupe? (oui, par users)
6e bit - écriture groupe? (non)
7e bit - exécution groupe? (oui, par users)
8e bit - lecture par tous? (oui, par tous)
9e bit - écriture par tous? (non)
10e bit - exécution par tous? (oui, par tous)
Les lignes qui suivent sont des exemples des ensembles de permissions minimums requis pour autoriser
l’accès décrit. Vous voudrez sans doute donner plus de permissions que celles données ici, mais on ne décrit
ici que l’effet de ces permissions minimales :
144
Chapitre 11. De la sécurité sous GNU/Linux
Les fichiers de configuration système (généralement dans /etc) ont souvent un mode de 640 (-rw-r-----),
et possédés par root. Selon les besoins en sécurité de votre site, vous pouvez les ajuster. Ne laissez jamais
un fichier système en écriture pour un groupe ou tous. Certains fichiers de configuration, dont /etc/shadow,
devraient n’être en lecture que par root, et les répertoires de /etc ne devraient pas être accessibles par tous,
au moins.
145
Chapitre 11. De la sécurité sous GNU/Linux
Bien que cela puisse être complexe, assurez vous que vous obtenez le code source d’un programme depuis
son site réel de distribution. Si le programme doit être lancé par root, assurez vous que vous ou quelqu’un de
confiance a regardé les sources et les a vérifiées.
Une des caractéristiques de sécurité les plus importantes utilisée aujourd’hui est le mot de passe. Il est im-
portant que vous et vos utilisateurs ayez des mots de passe sûrs et impossibles à deviner. Votre distribution
Mandrake Linux fournit le programme passwd qui interdit l’utilisation d’un mot de passe trop simple. Assu-
rez vous que votre version de passwd est à jour.
une discussion en profondeur du thème du cryptage est au delà de la portée de ce document, mais une intro-
duction est de rigueur. Le cryptage est très utile, parfois même nécessaire à notre époque. Il y a toutes sortes
de méthodes de cryptage des données, chacune avec ses propres caractéristiques.
La plupart des UNIX s (et GNU/Linux n’y fait pas exception) utilise principalement un algorithme de chiffrement
à sens unique appelé DES (Data Encryption Standard, soit Standard de cryptage de données) pour crypter vos
mots de passe. Ce mot de passe crypté est alors gardé dans le fichier /etc/shadow. Quand vous essayez de
vous connecter, le mot de passe que vous tapez est crypté à nouveau et comparé avec l’entrée contenue dans
le fichier qui contient les mots de passe. S’ils coïncident, cela doit être le même mot de passe, et l’accès est
alors autorisé. Bien que DES soit un algorithme de cryptage à double sens (vous pouvez coder puis décoder
un message, la bonne clé étant fournie), les variantes utilisées par la plupart des UNIX s est à sens unique. Cela
signifie qu’il ne devrait pas être possible de renverser le chiffrement pour récupérer le mot de passe d’après le
contenu du fichier /etc/shadow.
Des attaques en force, du type « Crack » ou « John the Ripper » (voir la section “Crack” et “John the Ripper”, page
150) peuvent souvent deviner vos mots de passe, à moins qu’ils ne soient suffisamment aléatoires. Les modules
PAM (voir ci-dessous) vous permettent d’utiliser différentes routines de cryptage pour vos mots de passe
(MD5 ou similaire). Vous pouvez aussi utiliser Crack à votre avantage. Envisagez de le lancer périodiquement
sur votre propre base de mots de passe, pour trouver les mots de passe non sûrs. Contactez alors l’utilisateur
en infraction, et demandez lui de changer son mot de passe.
Vous pouvez vous rendre à http://consult.cern.ch/writeup/security/security_3.html (http://consult.
cern.ch/writeup/security/security_3.html) pour des conseils sur le choix d’un bon mot de passe.
146
Chapitre 11. De la sécurité sous GNU/Linux
Les contrôles d’exportation des US sont maintenant gérés par EAR (Export Administration Regulations), et non
plus par ITAR.
Il y a aussi un guide pas à pas pour configurer PGP sous GNU/Linux disponible à LinuxFocus (http:
//mercury.chem.pitt.edu/~angel/LinuxFocus/English/November1997/article7.html). Il a été écrit pour
la version internationale de PGP , mais est aisément transposable à la version des États-Unis. Vous pourriez
aussi avoir besoin de correctifs pour certaines des dernières versions de GNU/Linux ; le correctif (patch) est
disponible chez metalab (ftp://metalab.unc.edu/pub/Linux/apps/crypto).
Il y a un projet travaillant dur une réimplantation libre de PGP sous licence « open source ». GnuPG est un
remplaçant complet et libre pour PGP . Du fait qu’il n’utilise pas IDEA ou RSA il peut être utilisé sans aucune
restriction. GnuPG respecte pratiquement OpenPGP (http://www.faqs.org/rfcs/rfc2440.html). Voir la page
Web « GNU Privacy Guard » pour plus d’information : http://www.gnupg.org/ (http://www.gnupg.org).
Vous trouverez plus de renseignements au sujet de la cryptographie dans la FAQ du site de la cryptographie
RSA (http://www.rsasecurity.com/rsalabs/faq/). Vous trouverez ici toute l’information sur des sujets tels
que « Diffie-Hellman », « cryptographie à clé publique », « certificats électroniques », etc.
• SSL : - SSL (Secure Sockets Layer) est une méthode de cryptage développée par Netscape pour fournir de
la sécurité sur Internet. Il prend en charge plusieurs protocoles de cryptage et fournit l’authentification du
client et du serveur. SSL agit sur la couche transport, crée un canal crypté de données et peut ainsi encoder
des données de diverses natures. Vous constaterez cela lorsque vous visiterez un site sécurisé pour consul-
ter un document en ligne avec Communicator . C’est également la base des communications sécuritaires
avec Communicator , ainsi qu’avec plusieurs composantes de chiffrement de données de Netscape Commu-
nications. Vous trouverez plus de renseignements sur le site Openssl.org (http://www.openssl.org). Des
informations sur les autres implémentations de sécurité de Netscape et un bon point de départ pour ces pro-
tocoles sont disponibles sur le site de Netscape (http://home.netscape.com/info/security-doc.html).
Mentionnons aussi que le protocole SSL peut être utilisé pour passer nombre de protocoles communs, les
enveloppant par sécurité. Voir le site de Quiltaholic (http://www.quiltaholic.com/rickk/sslwrap/).
• S-HTTP : - S-HTTP est un autre protocole qui fournit des services de sécurité par Internet. Il a été conçu
pour pourvoir, aux deux parties impliquées dans les transactions, confidentialité, authentification, intégrité,
et non répudiation [ne pas pouvoir être pris pour un autre] tout en gérant des mécanismes à clés multiples
et des algorithmes de cryptographie à négociation d’options. S-HTTP est limité au logiciel spécifique qui
l’implémente et crypte chaque message individuellement. [ extrait de « RSA Cryptography FAQ », page
138]
• S/MIME : - S/MIME (Secure Multipurpose Internet Mail Extension, soit extension de courrier électronique
sécurisé à portée multiple) est un standard de cryptage utilisé pour crypter le courrier électronique et autres
types de messages sur Internet. C’est un standard ouvert développé par la RSA, de sorte qu’il est probable
qu’il apparaisse sous GNU/Linux un jour ou l’autre. plus de renseignements sur S/MIME peuvent être trou-
vées sur RFC2311 (http://www.ietf.org/rfc/rfc2311.txt).
147
Chapitre 11. De la sécurité sous GNU/Linux
html). En clair, le x-kernel est une méthode pour passer les messages au niveau du noyau, ce qui facilite
l’implémentation.
Une autre implémentation librement disponible de IPSEC est l’IPSEC « FreeS/WAN » GNU/Linux . Leur page
Web indique : « Ces services vous permettent de monter un tuyau sécurisé à travers des réseaux non fiables.
Tout ce qui passe à travers le réseau non fiable est crypté par la machine passerelle IPSEC et décrypté par la
passerelle à l’autre bout. Cela conduit à un réseau privé virtuel ou VPN (Virtual Private Network). Cela est un
réseau qui est effectivement privé, même si il inclut des machines de plusieurs sites différents interconnectés
par Internet, incertain. »
Elle est disponible en téléchargement sur le site Linux FreeS/WAN (http://www.xs4all.nl/~freeswan/).
De même que d’autres formes de cryptographie, elle n’est pas distribuées dans le noyau par défaut, à cause
des restrictions à l’export.
SRP est une autre implémentation sécurisée de telnet/ftp. Extrait de leur page Web :
« Le projet SRP développe des logiciels Internet sûrs pour utilisation mondiale gratuite. À partir d’une dis-
tribution de Telnet et FTP totalement sécurisés, nous espérons supplanter les systèmes d’authentification
148
Chapitre 11. De la sécurité sous GNU/Linux
réseau vulnérables par des substituts solides qui ne sacrifient en rien la facilité d’utilisation pour la sécurité.
La sécurité devrait être de fait et non pas une option! »
Pour plus de renseignements, visiter stanford.edu (http://srp.stanford.edu/srp).
• Utiliser un cryptage autre que DES pour vos mots de passe. (Les rendant plus résistant aux décodages par
la force)
• Fixer des limites de ressources pour tous vos utilisateurs, de sorte qu’ils ne puissent mener des attaques de
type dénis de service (denial of service) (nombre de processus, quantité de mémoire, etc.)
• Activer les mots de passe fantôme (shadow) (voir ci-dessous) à la volée
• autoriser certains utilisateurs à se connecter uniquement à certaines heures depuis des sites spécifiques
En quelques heures d’installation et de configuration de votre système, vous pouvez empêcher plusieurs at-
taques avant qu’elles ne surviennent. Par exemple, utilisez PAM pour désactiver l’utilisation sur tout le sys-
tème des fichiers .rhosts dans les répertoires des utilisateurs en ajoutant ces lignes dans /etc/pam.d/rlogin :
#
# Désactiver rsh/rlogin/rexec pour les utilisateurs
#
login auth required pam_rhosts_auth.so no_rhosts
149
Chapitre 11. De la sécurité sous GNU/Linux
De même que d’autres formes de cryptographie, il n’est pas distribué avec le noyau par défaut du fait de
restrictions à l’export.
11.6.7. Kerberos
Kerberos est un système d’authentification développé par The Athena Project au MIT. Quand un utilisateur
se connecte, Kerberos authentifie cet utilisateur (en utilisant un mot de passe), et fournit à cet utilisateur un
moyen de prouver son identité aux autres serveurs et hôtes disséminés sur le réseau.
Cette authentification est alors utilisée par des programmes tels que rlogin pour autoriser l’utilisateur à se
connecter à d’autres hôtes sans mot de passe (au lieu du fichier .rhosts). Cette méthode d’authentification
peut aussi être utilisée par le système de courrier électronique pour garantir que les messages seront délivrés
à la bonne personne, ainsi que pour garantir l’authenticité de l’expéditeur.
Kerberos et les programmes qui l’accompagnent, empêchent les utilisateurs de tromper le système en lui fai-
sant croire qu’ils sont quelqu’un d’autre (« spoofing »). Malheureusement, installer Kerberos est très intrusif,
et demande le remplacement ou la modification de nombreux programmes standards.
Vous pourrez trouver plus d’informations à propos de Kerberos en visitant la FAQ Kerberos (http://www.
faqs.org/faqs/kerberos-faq/general/), et le code peut être obtenu depuis le site de la Kerberos: The Network
Authentication Protocol (http://web.mit.edu/kerberos/www/).
[Stein, Jennifer G., Clifford Neuman, and Jeffrey L. Schiller. "Kerberos: An Authentication Service for Open
Network Systems." USENIX Conference Proceedings, Dallas, Texas, Winter 1998.]
Kerberos ne devrait pas être votre premier pas pour améliorer la sécurité de votre hôte. Il est plutôt compli-
qué, et pas aussi répandu que, disons SSH.
11.6.9. CFS - Système de Fichiers Crypté et TCFS - Système de Fichiers Crypté Transparent
CFS (Cryptographic File System) permet de chiffer une arborescence complète ; pour leur part, les utilisateurs
peuvent y enregistrer des fichiers cryptés. Il utilise un serveur NFS tournant sur la machine locale. Plus de
renseignements ainsi que les sources sont disponibles sur le site de AT&T (ftp://ftp.research.att.com/
dist/mab/).
TCFS (Transparent Cryptographic File System) améliore CFS en lui ajoutant une meilleure intégration dans le
système de fichiers, de sorte qu’il devient transparent aux utilisateurs. Plus d’information sur le site de TCFS
(http://www.tcfs.it/).
il n’a pas non plus besoin d’être utilisé sur des systèmes de fichiers complets. Il fonctionne aussi bien sur de
simples arborescences.
150
Chapitre 11. De la sécurité sous GNU/Linux
11.6.10.1. X11
Il est important de sécuriser votre affichage graphique pour empêcher les attaquants de saisir vos mots de
passe lorsque vous les tapez Lire des documents ou des informations que vous consultez à l’écran, ou même
utiliser un trou de sécurité pour obtenir l’accès root. Lancer des applications X par réseau peut aussi être plein
de dangers, en autorisant des « sniffers » à voir votre interaction avec le système distant.
X possède un certain nombre de mécanismes d’accès de contrôle. Le plus simple d’entre eux est basé sur
l’hôte : vous utilisez xhost pour spécifier quels hôtes sont autorisés à accéder à votre affichage. Cela n’est pas
du tout sûr, car si quelqu’un a accès à votre machine, il peut xhost + sa.machine et rentrer aisément. Ainsi,
si vous devez autoriser l’accès à une machine peu sûre, quiconque là bas peut violer votre affichage.
Si vous utilisez xdm (X Display Manager), ou son équivalent pour KDE KDM , pour vous connecter, vous disposez
d’une bien meilleure méthode d’accès : MIT-MAGIC-COOKIE-1. Un « cookie » de 128 bits est généré et placé
dans votre fichier .Xauthority. Si vous avez besoin d’autoriser un accès distant à votre affichage, vous pouvez
alors utiliser la commande xauth et l’information qui se trouve dans votre fichier .Xauthority pour fournir
l’accès à cette seule connexion. Voyez le Remote-X-Apps mini-howto : LDP (http://metalab.unc.edu/LDP/
HOWTO/mini/Remote-X-Apps.html).
Vous pouvez aussi utiliser ssh (voir ssh (shell sécurisé) et stelnet, page 148, ci-dessus) pour permettre des
connexions X sécurisées. Cela possède l’avantage d’être totalement transparent pour l’utilisateur, et signifie
qu’aucune donnée en clair ne circule sur le réseau.
Vous pouvez aussi désactiver n’importe quelle connexions distantes à votre serveur X en utilisant l’option
-nolisten tcp vers votre serveur X . Ainsi, vous préviendrez toutes les connexions réseau vers votre serveur
sur des interfaces de connexion (sockets) TCP.
Jetez un coup d’œil à la page de man de Xsecurity pour plus de renseignements concernant la sécurité sous
X . La bonne manière est d’utiliser kdm pour vous connecter à la console, puis utiliser ssh pour aller sur un site
distant sur lequel vous lancez votre application X .
11.6.10.2. SVGA
Les programmes SVGAlib sont généralement suid -root de façon à pouvoir accéder à tout vos périphériques
vidéo. Cela les rends très dangereux. S’ils plantent, Vous devez généralement redémarrer la machine pour
récupérer une console utilisable. Assurez vous que chaque programme SVGA que vous utilisez est authentique,
et que vous pouvez leur faire confiance. Ou mieux, me les utilisez pas du tout.
151
Chapitre 11. De la sécurité sous GNU/Linux
choses qui ne peuvent pas être inclues dans le noyau principal, à cause des restrictions à l’export. Pour plus
d’information, consulter : http://www.kerneli.org (http://www.kerneli.org)
152
Chapitre 11. De la sécurité sous GNU/Linux
Ceci devrait être activé. Les structures routées à la source contiennent le chemin complet vers leur destina-
tion à l’intérieur du paquet. Cela signifie que les routeurs n’ont pas besoin de les vérifier et ne font que les
réexpédier. Cela pourrait conduire à laisser entrer des données sur votre système qui pourraient représenter
une possible violation.
• Redirection de port
La redirection de port (Port Forwarding) est une extension du masquage IP qui autorise la redirection
de paquets depuis l’intérieur d’un pare-feu sur des ports spécifiques. Cela peut être utile si, par exemple,
vous voulez utiliser un serveur Web derrière le pare-feu ou hôte de masquage et ce serveur Web doit être
accessible du monde externe. Un client externe envoie une requête au port 80 du pare-feu, le pare-feu fait
suivre la requête au serveur Web, le serveur Web traite la requête et les résultats sont envoyés par le réseau
153
Chapitre 11. De la sécurité sous GNU/Linux
au client original. Le client croit que c’est le pare-feu lui-même qui est le serveur Web. Cela peut aussi être
utiliser pour répartir la charge si vous avez une « ferme » de serveurs identiques en deçÂà du pare-feu.
Toute l’information à propos de cette caractéristique est disponible à monmouth (http://www.monmouth.
demon.co.uk/ipsubs/portforwarding.html). Pour des informations générales, consulter compsoc (ftp:
//ftp.compsoc.net/users/steve/ipportfw/linux21/)
• IP: Masquage
Le masquage pour les noyaux 2.2 a été amélioré. Il propose des supports additionnels pour masquer des
protocoles particuliers, etc. Assurez vous de lire le HOWTO ipchains pour plus d’information.
Cela imprimera six caractères aléatoires à la console, convenables pour un mot de passe. Vous pourrez trouver
mimencode dans le paquetage metamail.
Consultez /usr/src/linux/drivers/char/random.c pour une description de l’algorithme.
154
Chapitre 11. De la sécurité sous GNU/Linux
• ftp
• telnet (ou ssh)
• courrier électronique, comme pop-3 ou imap
• identd
Si vous savez que vous n’allez pas utiliser un paquetage en particulier, vous pouvez aussi le supprimer com-
plètement. rpm -e packagename effacera un paquetage entier.
De plus, vous devriez vraiment désactiver les utilitaires rsh/rlogin/rcp, y inclus login (utilisé par rlogin),
shell (utilisé par rcp),et exec (utilisé par rsh) depuis /etc/inetd.conf. Ces protocoles sont extrêmement vul-
nérables et ont été la cause de violations dans le passé.
155
Chapitre 11. De la sécurité sous GNU/Linux
Vous devriez vérifier les répertoires /etc/rc.d/rc[0-9].d, et regarder si des serveurs présent ne sont pas
superflu. Les fichiers de ces répertoires sont en fait des liens symboliques vers des fichiers de /etc/rc.d/
init.d. Renommez ces fichiers dans init.d désactive tous les liens symboliques qui pointent vers ce fichier.
Si vous ne souhaitez désactiver un service que pour un niveau d’exécution (runlevel) particulier, renommez le
lien symbolique approprié en remplaçant le S avec un K, comme cela :
root# cd /etc/rc6.d
root# mv S45dhcpd K45dhcpd
Vous pouvez aussi utiliser un petit utilitaire pour faire cela : chk-
config ou l’interface graphique sous KDE : ksysv.
Votre distribution de Mandrake Linux est fournie avec un encapsuleurs (wrapper) TCP « encapsulant » tous
vos services TCP. L’encapsuleur TCP (tcpd) est appelé depuis inetd au lieu du service réel. tcpd vérifie alors
l’hôte demandant le service, et soit exécute le vrai serveur, soit refuse l’accès à cet hôte. tcpd vous permet de
restreindre l’accès aux services TCP. Vous devriez éditer /etc/hosts.allow et y ajouter uniquement les hôtes
qui ont besoin d’avoir accès aux services de votre machine.
Si vous possédez une connexion par simple modem, nous vous suggérons de refuser tous (ALL). tcpd enre-
gistre aussi les tentatives échouées pour accéder aux services, de sorte que cela peut vous alerter si on est en
train de vous attaquer. Si vous ajoutez de nouveaux services, vous devriez vous assurer de les configurer pour
utiliser l’encapsuleur TCP s’ils sont basés sur TCP. Par exemple, une machine connectée par modem peut
être protégé de l’extérieur, tout en pouvant charger son courrier électronique, et faire des connexions réseau à
Internet. Pour faire cela, vous devez ajouter ce qui suit à votre /etc/hosts.allow :
ALL: 127.
Et bien sûr, /etc/hosts.deny contiendra :
ALL: ALL
Ce qui empêchera des connexions extérieures à votre machine, vous permettant néanmoins de vous connecter
depuis l’intérieur aux services de Internet.
Gardez à l’esprit que les encapsuleurs TCP ne protègent que les services exécutés depuis inetd, et quelques
rares autres. Il y a sûrement d’autres serveurs tournant sur votre machine. Vous pouvez utiliser netstat -ta
pour afficher la liste de tous les services que votre machine offre.
11.8.4. identd
identd est un petit programme qui est lancé typiquement depuis votre serveur inetd. Il garde la trace de qui
utilise quel service TCPet le rapporte alors à qui en fait la demande.
Beaucoup de gens ne comprennent pas l’utilité de identd, et le désactivent ou bloquent toutes le requêtes de
l’extérieur qui lui sont destinées. identd n’est pas là pour aider les sites distants. Il n’y a pas moyen de savoir
si l’information que vous obtenez de l’identd distant est correcte ou non. Il n’y a pas d’authentification dans
les requêtes identd.
Pourquoi voudriez-vous l’utiliser alors? Parce qu’il vous aide, et est une autre source pour le suivi. Si votre
identd n’est pas corrompu, alors, vous savez qu’il informe les sites distants des noms d’utilisateur ou UID
des personnes utilisant les services TCP. Si l’administrateur du site distant revient et vous dit que l’utilisateur
untel essayait de pénétrer dans leur site, vous pouvez facilement prendre des mesures contre cet utilisateur. Si
vous n’utilisez pas identd, vous devrez chercher dans un grand nombre de « logs », deviner qui était connecté
à ce moment, et en général prendre beaucoup de temps pour rechercher l’utilisateur.
156
Chapitre 11. De la sécurité sous GNU/Linux
Le identd fourni est plus facile à configurer que beaucoup de gens ne le pensent. Vous pouvez le désactiver
pour certains utilisateurs (Ils peuvent créer un fichier .noident file), vous pouvez garder trace de toutes les
requêtes identd (recommandé), vous pouvez même faire en sorte que identd retourne un UID au lieu du nom
de l’utilisateur, ou même NO-USER.
157
Chapitre 11. De la sécurité sous GNU/Linux
1
11.8.7. sendmail, qmail et les MTA
Un des services les plus importants que vous puissiez fournir est un serveur de courrier électronique. Malheu-
reusement, c’est aussi un des plus vulnérables aux attaques, simplement à cause du grand nombre de tâches
qu’il doit effectuer et des privilèges dont il a besoin.
Si vous utilisez sendmail il est très important de garder votre version à jour. sendmail a une très longue
tradition d’attaques. Assurez vous de toujours utiliser la version la plus récente de sendmail (http://www.
sendmail.org/).
Gardez à l’esprit que vous n’avez pas forcément besoin de sendmail pour envoyer du courrier. Si vous êtes
un particulier, vous pouvez désactiver complètement sendmail , et utiliser simplement votre client de courrier
pour envoyer vos messages. Vous pouvez aussi choisir d’enlever l’option -bd du fichier de démarrage de
sendmail , désactivant ainsi les requêtes pour le courrier rentrant. En d’autres termes, vous pouvez exécuter
sendmail depuis vos fichiers de démarrage en utilisant plutôt :
# /usr/lib/sendmail -q15m
De la sorte, sendmail videra la file de courrier toutes les quinze minutes pour tous les messages n’ayant pu
être délivrés à la première tentative.
Beaucoup d’administrateurs choisissent de ne pas utiliser sendmail , et choisissent à la place un des autres
agents de transport de courrier. qmail par exemple a été conçu dans un but de sécurité, depuis le néant. Il est
plus rapide, stable, et sûr. Qmail peut être trouvé à qmail (http://www.qmail.org)
En compétition directe avec qmail , on trouve postfix , écrit par Wietse Venema, l’auteur des encapsuleurs
TCP et d’autres outils de sécurité. Anciennement nommé vmailer , et soutenu par IBM, il est aussi un agent de
transport de courrier complètement ré-écrit avec la sécurité à l’esprit. Vous pouvez trouver plus d’information
à propos de postfix à postfix (http:/www.postfix.org)
• SYN Flooding - Inondation SYN est une attaque de dénis de service réseau. Il exploite une ouverture dans la
façon dont sont créÂées les connexions TCP. Les derniers noyaux GNU/Linux (2.0.30 et au delà) proposent
plusieurs options de configuration pour empêcher ce type d’attaque de refuser aux gens l’accès à votre
machine ou services. Consultez Sécurité du noyau, page 151 pour les options de noyaux en question.
• Ping Flooding - Inondation de Ping est une attaque simple en force brute de dénis de service. L’attaquant
envoie une « vague » de paquets ICMP à votre machine. S’ils font cela depuis un hôte qui possède plus de
largeur de bande que le votre, votre machine sera incapable d’envoyer quoi que ce soit vers le réseau. Une
variation de cette attaque, appelée « smurfing », envoie les paquets ICMP à un hôte avec l’IP de retour de
votre machine, leur permettant de vous inonder de manière moins détectable. vous pouvez trouver plus
d’information sur l’attaque « smurf » sur le site de linuxsecurity.com (http://www.linuxsecurity.com/
articles/network_security_article-4258.html).
Si vous êtes en train de subir une attaque en inondation de ping, utilisez un outils comme tcpdump pour
déterminer l’origine des paquets (ou l’origine apparente), puis contactez votre fournisseur d’accès avec
cette information. Les inondations ping peuvent être le plus facilement stoppées au niveau du routeur ou
en utilisant un pare-feu.
158
Chapitre 11. De la sécurité sous GNU/Linux
• Ping o’ Death - L’attaque en ping mortel envoie des paquets ICMP ECHO REQUEST qui sont trop grands pour
être contenus dans les structures de données du noyaux prévues pour les accueillir. Parce que envoyer un
seul, gros (65.510 octets) paquet ping à plusieurs système les fera s’arrêter ou même planter, ce problème a
rapidement été surnommé « Ping o’ Death » (ping mortel). Celui-ci a été contourné depuis longtemps, et il
n’y a plus à s’en préoccuper.
Vous pouvez trouver le code pour la plupart de ces attaques, et une description plus détaillée de leur fonc-
tionnement à http://www.insecure.org/sploits.html (http://www.insecure.org/sploits.html) en utilisant
leur moteur de recherche.
11.8.11. Pare-feu
Les pare-feu sont un moyen de contrôler les informations autorisées à sortir et à rentrer dans votre réseau
local. Généralement, l’hôte pare-feu est connecté à Internet et à votre réseau local, et le seul accès depuis votre
réseau vers Internet est à travers le pare-feu. De cette façon, le pare-feu peut contrôler ce qui rentre et sort de
Internet et de votre réseau local.
Plusieurs types de pare-feu et de méthodes pour les mettre en place existent. Les machines GNU/Linux consti-
tuent de bons pare-feu. Le code pare-feu peut être inséré directement dans les noyaux 2.0 et supérieurs. Les
outils utilisateur ipchains pour les noyaux 2.2, et iptables pour noyau 2.4 vous permettent de changer, à la
volée, les types de trafics réseau que vous autorisez. Vous pouvez aussi garder trace de certains trafics réseau.
159
Chapitre 11. De la sécurité sous GNU/Linux
Les pare-feu sont une technique utile et importante pour sécuriser votre réseau. Néanmoins, ne pensez jamais
que, parce que vous avec un pare-feu, vous n’avez pas besoin de sécuriser les machines derrière lui. C’est une
erreur fatale. Consultez le très bon HOWTO pour plus d’information sur les pare-feu et GNU/Linux . Firewall-
HOWTO (http://www.ibiblio.org/mdw/HOWTO/Firewall-HOWTO.html).
Si vous n’avez aucune expérience avec les pare-feu, et envisagez d’en mettre un en place pour plus qu’une
simple politique de sécurité, le livre Firewalls de chez O’Reilly and Associates ou tout autre document en
ligne sur les pare-feu est indispensable. Consultez O’Reilly (http://www.ora.com) pour plus d’information.
Le NIST (National Institute of Standards and Technology) a rassemblé un excellent document sur les pare-feu.
Bien que daté de 1995, il est toujours très bon. Vous pouvez le trouver à nist.gov (http://cs-www.ncsl.nist.
gov/publications/nistpubs/800-10/main.html). Il y a aussi :
• Le projet Freefire -- une liste d’outils de pare-feu libres, disponible sur le site de freefire (http://sites.
inka.de/sites/lina/freefire-l/index_en.html)
• Mason - the automated firewall builder for Linux (Mason, le bâtisseur de pare-feu automatique pour
GNU/Linux ). C’est un script de pare-feu qui apprend comment vous faites les choses dont vous avez besoin
de faire sur votre réseau ! Plus de renseignements sur le site de Mason (http://www.pobox.com/~wstearns/
mason/)
Assurez-vous de lire le HOWTO IP Chains pour plus d’information. Il est disponible sur le site de Linuxdoc
(http://www.tldp.org/HOWTO/IPCHAINS-HOWTO.html).
160
Chapitre 11. De la sécurité sous GNU/Linux
De plus, de petits modules peuvent être développés pour produire des fonctions supplémentaires spécifiques,
telles que le passage de paquets à des programmes dans l’espace utilisateur pour traitement, puis leur réintro-
duction dans le flux normal de paquets. La possibilité de développer ces programmes dans l’espace utilisateur
réduit le niveau de complexité y étant associé précédemment : les changements n’ont plus à être faits directe-
ment au niveau du noyau.
Voici d’autres références en matières de tables IP :
Consultez aussi la section sur IPSEC pour des références vers plus d’information.
161
Chapitre 11. De la sécurité sous GNU/Linux
pour vérifier tous les fichiers du système. Consultez la page de man de rpm, car il y a quelques autres options
qui peuvent être inclues pour le rendre moins verbeux. Gardez à l’esprit que vous devez aussi être sûr que
votre binaire RPM n’a pas lui aussi été corrompu.
Cela signifie que chaque fois qu’un nouveau RPM est ajouté au système, la base de données RPM devra être
archivée à nouveau. Vous devrez peser les avantages et les inconvénients.
162
Chapitre 11. De la sécurité sous GNU/Linux
exploiter un programme pour obtenir le compte root. Vous devriez voir des entrées de log avant que l’intrus
n’ait eu le temps de les modifier.
Vous devriez aussi vous assurer de bien séparer les entrées auth des autres données de log, y inclus les ten-
tatives de changer d’utilisateur en utilisant su, tentatives de connexion, et autres informations des comptes
utilisateurs.
Si possible, configurez syslog pour envoyer une copie des données les plus importantes vers un système sûr.
Cela empêchera un intrus d’effacer ses traces en effaçant ses tentatives de login/su/ftp/etc. Voir la page de
man de syslog.conf, et consulter l’option @.
Il y a plusieurs programmes syslogd plus évolués. Consultez http://www.core-sdi.com/ssyslog/ (http:
//www.core-sdi.com/ssyslog/) pour Secure Syslog . Secure Syslog vous permet de crypter vos entrées
syslog et vous assure que personne ne les a modifiées.
Un autre syslogd avec plus de fonctions est syslog-ng (http://www.balabit.hu/en/downloads/syslog-ng/).
Il permet beaucoup plus de flexibilité dans la journalisation et peut crypter vos flots syslog distants pour
empêcher leur corruption.
Enfin, les fichiers de log sont encore plus inutiles lorsque personne ne les lit. Prenez un peu de temps réguliè-
rement pour parcourir vos fichiers de log, et imprégnez vous de ce à quoi ils ressemblent les jours normaux.
Cela peut vous aider à repérer les choses anormales.
163
Chapitre 11. De la sécurité sous GNU/Linux
Si vous ne pouvez pas déconnecter le réseau (si vous avez un site occupé, ou n’avez pas le contrôle phy-
sique des machines), la meilleure étape suivante est d’utiliser quelque chose comme les encapsuleurs TCP ou
ipfwadm pour refuser l’accès au site de l’intrus.
Si vous ne pouvez pas refuser tous les utilisateurs du même hôte que celui de l’intrus, bloquer le compte de
cet utilisateur devrait fonctionner. Notez que bloquer un compte n’est pas chose aisée. Vous devez prendre en
compte les fichiers .rhosts, accès FTP, et une foule de portes dérobées possibles.
Après que vous avez fait l’une des choses précédentes (déconnecté le réseau, refusé l’accès depuis leur site,
et/ou désactivé leur compte), vous devez tuer tous leurs processus utilisateurs et les déconnecter.
Vous devriez soigneusement surveiller votre site dans les minutes qui suivent, car l’attaquant pourra essayer
de revenir. Peut-être en utilisant un autre compte, et/ou en utilisant une autre adresse réseau.
164
Chapitre 11. De la sécurité sous GNU/Linux
165
Chapitre 11. De la sécurité sous GNU/Linux
166
Chapitre 11. De la sécurité sous GNU/Linux
Références
D. Brent Chapman, Elizabeth D. Zwicky, Building Internet Firewalls, 1e Édition Septembre 1995, ISBN 1-56592-
124-0.
Simson Garfinkel, Gene Spafford, Practical UNIX & Internet Security, 2e Édition Avril 1996, ISBN 1-56592-148-8.
Deborah Russell, G.T. Gangemi, Sr., Computer Security Basics, 1e Édition Juillet 1991, ISBN 0-937175-71-4.
Olaf Kirch, Linux Network Administrator’s Guide, 1e Édition Janvier 1995, ISBN 1-56592-087-2.
Simson Garfinkel, PGP: Pretty Good Privacy, 1e Édition Décembre 1994, ISBN 1-56592-098-8.
David Icove, Karl Seger, William VonStorch, Computer Crime A Crimefighter’s Handbook, 1ère édition août 1995,
ISBN 1-56592-086-4.
John S. Flowers, Linux Security, New Riders, Mars 1999, ISBN 0735700354.
Anonymous, Maximum Linux Security : A Hacker’s Guide to Protecting Your Linux Server and Network, Juillet 1999,
ISBN 0672313413.
Terry Escamilla, Intrusion Detection, John Wiley and Sons, Septembre 1998, ISBN 0471290009.
Donn Parker, Fighting Computer Crime, John Wiley and Sons, Septembre 1998, ISBN 0471163783.
167
Chapitre 11. De la sécurité sous GNU/Linux
Vous devriez aussi essayer ZEDZ net (http://www.zedz.net) qui a plusieurs paquetages pré-compilés, et est
situé en dehors des États-Unis.
Q : Comment puis-je manipuler des comptes les utilisateurs tout en assurant la sécurité ?
R : Votre distribution Mandrake Linux propose un grand nombre d’outils pour changer les propriétés des
comptes utilisateurs.
• Les commandes pwconv et unpwconv peuvent être utilisés pour passer entre des mots de passe fantômes
(shadow) ou non.
• Les commandes pwck et grpck peuvent être utilisées pour vérifier la cohérence des fichiers passwd et group.
• Les commandes useradd, usermod, et userdel peuvent être utilisées pour ajouter, supprimer, et modifier des
comptes utilisateurs. Les commandes groupadd, groupmod, et groupdel feront de même pour les groupes.
• Des mots de passe de groupes peuvent être créÂés en utilisant gpasswd.
Tous ces programmes sont « compatibles shadow » -- c’est à dire, si vous activez les procédures shadow, ils
utiliseront /etc/shadow pour l’information de mots de passes, sinon non.
11.13. Conclusion
En vous abonnant aux listes de diffusion d’alertes de sécurité, et en vous maintenant au courant, vous pouvez
faire beaucoup pour la sécurité de votre machine. Si vous gardez un œil sur vos fichiers de log et lancer
régulièrement quelque chose comme tripwire, Vous pouvez faire encore plus.
Un niveau raisonnable de sécurité informatique n’est pas difficile à maintenir sur une machine personnelle.
Plus d’effort est nécessaire sur des machines de travail, mais GNU/Linux peut en fait être une plate-forme sûre.
Du fait de la nature du développement de GNU/Linux , des correctifs de sécurité sortent souvent beaucoup
plus rapidement qu’ils ne le font sur des systèmes d’exploitation commerciaux, faisant de GNU/Linux une
plate-forme idéale lorsque la sécurité est une nécessité.
168
Vocabulaire relatif à la sécurité
Voici quelques-uns des termes les plus utilisés en sécurité informatique Un dictionnaire complet de termes
de sécurité informatique est disponible sur le site de LinuxSecurity (http://www.linuxsecurity.com/
dictionary/)
authentication (authentification)
Le processus qui conduit à savoir que les données reçues sont bien les mêmes que celles qui ont été
envoyées, et que celui qui prétend être l’expéditeur est l’expéditeur réel.
firewall (pare-feu)
Un composant ou ensemble de composants qui limitent les transferts entre un réseau protégé et Internet,
ou entre deux ensemble de réseaux.
host (hôte)
Un système informatique relié à un réseau.
non-repudiation
La caractéristique d’un destinataire capable de prouver que l’expéditeur de données est bien l’expéditeur
réel, même s’il dément plus tard en être à l’origine.
packet (paquet)
L’unité de communication fondamentale sur Internet.
packet filtering (filtrage de paquets)
L’action qu’un périphérique réalise pour faire du contrôle sélectif sur le flot de données entrant et sortant
d’un réseau. Le filtrage de paquets autorise eu bloque des paquets, généralement en les routant d’un
réseau vers un autre (plus généralement de Internet vers un réseau interne, et vice-versa). Pour accomplir
le filtrage de paquets, vous définissez des règles qui spécifient quels types de paquets (ceux de ou vers
une adresse IP particulière ou un port) doivent être autorisés, et quels autres doivent être bloqués.
169
Vocabulaire relatif à la sécurité
170
Chapitre 12. Le réseau sous GNU/Linux
12.1. Copyright
Ce chapitre s’appuie sur un HOWTO de Joshua D. Drake {POET} dont l’original est hébergé sur le site the-
linuxreview.com (http://www.thelinuxreview.com/). La traduction en français est basée sur l’adaptation
française par Jacques.Chion@wanadoo.fr .
Les HOWTOs NET-3/4-HOWTO, NET-3, et Networking-HOWTO, renseignements au sujet de l’installation
et la configuration de réseau prenant en charge Linux. Copyright (©) 1997 Terry Dawson, 1998 Alessandro
Rubini, 1999 Joshua D. Drake {POET} – thelinuxreview.com/ (http://www.thelinuxreview.com/), est un do-
cument LIBRE. Vous pouvez le redistribuer sous les termes de la Licence Publique Générale GNU (GPL).
Les modifications depuis la version « v1.6.9, 3 juillet 2000 », sont (C)opyright 2000 - 2002 MandrakeSoft.
Lisez la section Informations sur IP et Ethernet, page 178 si vous êtes connecté en direct sur un réseau local ou à
Internet :
Cette section traite de la configuration de base d’Ethernet et des différentes possibilités qu’offre Linux,
concernant le réseau, telles que le pare-feu, le routage avancé, etc.
Lisez la suite si les réseaux locaux à bas coût ou les connexions par téléphone vous intéressent
Dans cette section, il s’agira de PLIP, PPP, SLIP, et RNIS : les technologies utilisées habituellement sur les
stations personnelles.
171
Chapitre 12. Le réseau sous GNU/Linux
Amusez-vous !
On peut vraiment prendre son pied sur le réseau. Foncez ! N’hésitez pas !
subscribe linux-net
Lorsque vous faites part d’un problème, n’omettez aucun détail. Plus spécifiquement, indiquez de quelles
versions de logiciels vous vous servez - en particulier celle du noyau, des outils tels que pppd ou dip, et
décrivez précisément la nature exacte des problèmes rencontrés. Il faudra donc noter la syntaxe exacte des
messages d’erreurs reçus, et les commandes que vous avez exécutées.
12.3.2. Où obtenir des informations sur le réseau, non spécifiques à Linux ?
Si vous désirez des informations générales sur TCP/IP, lisez les documents suivants :
Introduction à TCP/IP.
ce document se trouve à la fois sur en version texte (ftp://athos.rutgers.edu/runet/tcp-ip-intro.
doc) et en version postscript (ftp://athos.rutgers.edu/runet/tcp-ip-intro.ps).
172
Chapitre 12. Le réseau sous GNU/Linux
Administration TCP/IP.
ce document se trouve à la fois sur en version texte (ftp://athos.rutgers.edu/runet/tcp-ip-admin.
doc) et en version postscript (ftp://athos.rutgers.edu/runet/tcp-ip-admin.ps).
Si vous recherchez des informations plus détaillées, ceci est très recommandé :
« Internetworking with TCP/IP, Volume 1 :principes, protocoles et architectures, par Douglas E. Comer,
ISBN 0-13-227836-7, Prentice Hall publications, 3ème édition, 1995. »
Si vous voulez apprendre comment écrire des applications réseau dans un environnement compatible avec
UNIX , je vous recommande également :
« Unix Network Programming par W. Richard Stevens ISBN 0-13-949876-1, Prentice Hall publications, 1990. »
Une deuxième édition de ce livre est disponible en trois volumes, consultez le site Web de Prentice-Hall (http:
//www.phptr.com/) pour plus d’information.
Vous pouvez essayer aussi le groupe de discussions :comp.protocols.tcp-ip (news:comp.protocols.tcp-ip).
Une importante source d’informations techniques concernant Internet et la suite des protocoles TCP/IP sont
les RFC. RFC est l’acronyme de « Request For Comment », c’est le moyen habituel de soumettre et de
s’informer des normes de protocoles Internet. Il y a beaucoup d’endroits où sont stockées ces RFC. Beau-
coup de ceux-ci sont des sites FTP, d’autres fournissent des accès WWW avec un moteur de recherche qui
cherche les bases de données RFC avec des mots-clés particuliers.
Une source possible de RFC est :la base de données RFC de Nexor (http://pubweb.nexor.co.uk/public/
rfc/index/rfc.html).
Si le noyau que vous utilisez actuellement ne reconnaît pas les types de réseau ou les cartes dont vous avez
besoin, il vous faudra les sources du noyau pour pouvoir le recompiler avec les options adéquates.
Mais tant que vous conservez un matériel de grande diffusion, il n’est pas nécessaire de recompiler le noyau,
à moins que vous n’ayez un besoin bien particulier
Vous pouvez toujours obtenir les sources du dernier noyau sur : sunsite.unc.edu (ftp://sunsite.unc.
edu/pub/linux/kernel.org/pub/linux/kernel/). Ce n’est pas le site officiel mais ils ont BEAUCOUP de
bande passante et BEAUCOUP d’utilisateurs peuvent se connecter en même temps. Le site officiel est ker-
nel.org, mais dans la mesure du possible, il est recommandé d’utiliser ce dernier. Il faut en effet se rappe-
ler que ftp.kernel.org est particulièrement surchargé. Utilisez un miroir. (NdT :et bien sûr ftp.lip6.fr (ftp:
//ftp.lip6.fr/pub/linux/kernel/sources/)).
Les sources du noyau doivent être décompactées dans le répertoire /usr/src/linux. Pour savoir com-
ment appliquer les correctifs et compiler le noyau, lisez le Kernel-HOWTO (http://linuxdoc.org/HOWTO/
Kernel-HOWTO.html). Pour savoir comment configurer les modules du noyau, lisez le Modules-mini-HOWTO.
173
Chapitre 12. Le réseau sous GNU/Linux
Enfin, le fichier README qui se trouve dans les sources du noyau ainsi que le répertoire Documentation four-
nissent d’amples renseignements au lecteur courageux.
Sauf indication contraire, il est recommandé de s’en tenir à une version stable du noyau (celle qui comporte
un chiffre pair en seconde place dans le numéro de version). Il est possible que les versions de développe-
ment (chiffre impair en seconde place du numéro de version) posent certains problèmes avec les logiciels de
votre système (problèmes de structure ou autre). Si vous ne pensez pouvoir résoudre ce type de problèmes
particulier ou ceux qui risqueraient également de se présenter sur d’autres logiciels, il vaut mieux ne pas les
utiliser.
Si on effectue un ET logique sur une adresse avec son masque de réseau, on obtient l’adresse du réseau auquel
elle appartient. L’adresse du réseau, par conséquent, sera l’adresse de plus petit nombre dans l’ensemble des
adresses de la plage du réseau et aura toujours la partie hôte codée avec des zéros.
L’adresse de diffusion est une adresse spéciale que chaque hôte du réseau écoute en même temps que son
adresse personnelle. Cette adresse est celle à laquelle les datagrammes sont envoyés si tous les hôtes du réseau
sont en mesure de les recevoir. Certains types de données telles que les informations de routage et les messages
d’alerte sont transmis vers l’adresse de diffusion de telle sorte que tous les hôtes du réseau peuvent les recevoir
en même temps. Il y a deux standards utilisés de manière courante pour définir ce que doit être l’adresse de
diffusion. Ce qui est le plus courant est de prendre l’adresse la plus haute possible du réseau comme adresse
de diffusion. Dans l’exemple ci-dessus ce serait 192.168.110.255. Pour d’autres raisons, certains sites ont
adopté la convention suivante: utiliser l’adresse de réseau comme adresse de diffusion. En pratique cela n’a
guère d’importance. Cependant, il faudra s’assurer que tous les hôtes du réseau possèdent la même adresse
de diffusion dans leur configuration.
Pour faciliter la gestion, il a été décidé, il y a quelque temps, lors du développement du protocole IP, que les
ensembles d’adresses seraient organisés en réseaux et ces réseaux regroupés en "classes" qui fournissent un
certain nombre de réseaux de tailles standards auxquels on peut assigner des adresses. Ces classes sont les
suivantes :
174
Chapitre 12. Le réseau sous GNU/Linux
Le type d’adresse que vous devez utiliser dépend de ce que vous voulez faire exactement. On pourra combiner
les actions suivantes pour obtenir l’ensemble des adresses dont on aura besoin:
• Adresse hôte ;
• Adresse réseau ;
• Adresse de diffusion ;
• Masque de réseau ;
• Adresse de routage ;
• Adresse du serveur de noms de domaine (DNS).
Il vous faudra alors configurer votre réseau Linux à l’aide de ces données, qu’il est donc impossible
d’inventer soi-même en espérant que la configuration fonctionnera.
Il faudra dans un premier temps décider de la dimension du réseau requis avant de choisir les adresses
nécessaires.
12.4.2. Routage
La question du routage pourrait faire couler beaucoup d’encre. Mais il est fort probable que la plupart des
lecteurs ne nécessitera qu’un routage simple, et les autres aucun! Il ne sera donc question ici que des principes
même du routage. Pour plus amples informations, il est suggéré de se référer au début du présent document.
Commençons par proposer une définition du routage. Par exemple :
« Le routage IP est le processus par lequel un hôte, ayant des connexions réseau multiples, décide du chemin
par lequel délivrer les datagrammes IP qu’il a reçus. »
Donnons une petite illustration. Imaginons un routeur dans un bureau :il peut avoir un lien PPP sur Internet,
un certain nombre de segments Ethernet alimentant les stations de travail et un second lien PPP vers un autre
bureau. Lors de la réception par le routeur d’un datagramme de l’une de ses connexions, le routage est le
mécanisme utilisé pour déterminer vers quelle interface, ce datagramme devra être renvoyé. De simples hôtes
ont besoin aussi de routage, tous les hôtes Internet ayant deux périphériques réseau, l’un étant l’interface
loopback décrite auparavant, et l’autre celui qui est utilisé pour parler avec le reste du monde, soit un lien
Ethernet, soit une interface série PPP ou SLIP.
175
Chapitre 12. Le réseau sous GNU/Linux
Comment fonctionne le routage ? Chaque hôte possède une liste spéciale de règles de routage, appelée une
table de routage. Cette table est composée de colonnes qui contiennent au moins trois champs : le premier
étant une adresse de destination, le deuxième le nom de l’interface vers lequel le datagramme doit être routé
et le troisième, qui est optionnel, l’adresse IP d’une autre machine qui transportera le datagramme vers sa
prochaine destination sur le réseau passerelle. Sur Linux, cette table apparaît à la commande suivante :
user% cat /proc/net/route
Le processus de routage est plutôt simple : un datagramme entrant est reçu, l’adresse de destination est exa-
minée et comparée avec chaque entrée de la table. L’entrée qui correspond le mieux à cette adresse est choisie,
et le datagramme est renvoyé vers l’interface spécifiée. Si le champ passerelle est rempli, alors le datagramme
est renvoyé vers cet hôte via l’interface spécifiée, sinon l’adresse de destination est présupposée comme étant
sur le réseau supporté par l’interface.
176
Chapitre 12. Le réseau sous GNU/Linux
A B eth0
eth0
192.168.2.0
192.168.1.0 255.255.255.0
255.255.255.0
ppp0 ppp0
ppp1
ppp1
ppp0 ppp1
C eth0
192.168.3.0
255.255.255.0
Nous avons trois routeurs A, B et C. Chacun supporte un segment Ethernet avec un réseau IP de classe C
(masque de réseau 255.255.255.0). Chaque routeur a également une liaison PPP vers chacun des autres rou-
teurs. Ce réseau forme un triangle.
La table de routage sur le routeur A ressemblera évidemment à ceci :
root# route add -net 192.168.1.0 netmask 255.255.255.0 eth0
root# route add -net 192.168.2.0 netmask 255.255.255.0 ppp0
root# route add -net 192.168.3.0 netmask 255.255.255.0 ppp1
Tout fonctionnera à merveille jusqu’à ce que le lien entre A et B tombe en panne. Si cette liaison défaille, alors
l’entrée de routage montre que, sur le segment A, les hôtes ne peuvent en atteindre d’autres sur le segment
B car leurs datagrammes seront dirigés sur le lien ppp0 du routeur A qui est rompu. Ils pourront continuer
à communiquer avec les hôtes du segment C, et ces derniers avec ceux du segment B car la liaison restera
intacte.
Mais, si A peut parler à C et si C peut toujours parler à B, pourquoi A ne routerait-il pas ses datagrammes
pour B via C, et laisserait ensuite C les envoyer à B ? C’est exactement le type de problèmes que les protocoles
de routage dynamique comme RIP sont en mesure de résoudre. Si chacun des routeurs A, B et C utilisent
un Démon de routage (NdT7nbsp;: « démon » est la francisation courante du vocable informatique anglais
daemon, sigle du Disk And Extension MONitor, ce qui signifie « qui n’est pas invoqué manuellement mais
attend en tâche de fond que quelque chose se passe, qu’un quelconque prérequis soit rempli ». Ce terme fut
introduit au départ sous CTSS (Compatible Time Sharing System), un ancêtre du système MULTICS, lui-même
parent de UNIX – voir la traduction de René Cougnenc de Le système Linux de M. Welsh et L. Kaufman chez
O’Reilly International Thomson), alors leurs tables de routage seront automatiquement réglées pour refléter le
nouvel état du réseau même si l’une des liaisons est défectueuse. Configurer un tel réseau est simple, il s’agira
d’accomplir deux choses sur chaque routeur. Pour le routeur A :
root# route add -net 192.168.1.0 netmask 255.255.255.0 eth0
root# /usr/sbin/routed
Le démon de routage routed trouve automatiquement tous les ports actifs vers le réseau quand il démarre et
écoute tous les messages sur chacun des périphériques réseau. Ceci lui permet de déterminer et de mettre à
jour sa table de routage.
Ce qui précède explique brièvement ce qu’est le routage dynamique et la façon de s’en servir. Pour de plus
amples explications, on se reportera à la liste de références du début du présent document.
Récapitulons les points importants relatifs au routage dynamique :
177
Chapitre 12. Le réseau sous GNU/Linux
1. Un démon de routage dynamique n’est nécessaire que lorsque votre machine Linux est capable, de choisir
entre plusieurs routes, pour une destination donnée, par exemple lorsque vous envisagez d’utiliser la
mascarade IP.
2. Le démon de routage dynamique modifiera automatiquement votre table de routage pour tenir compte
des changements survenus dans votre réseau.
3. RIP est adapté aux réseaux de petite et moyenne taille.
12.5.1.1. 3Com
• Cabletron E21xx ;
• Cogent EM110 ;
• Crystal Lan CS8920, Cs8900.
178
Chapitre 12. Le réseau sous GNU/Linux
• Danpex EN-9400 ;
• DEC DE425 (EISA) / DE434/DE435 (PCI) / DE450/DE500 (pilote DE4x5) ;
• DEC DE450/DE500-XA (dc21x4x) (pilote Tulip) ;
• DEC DEPCA et EtherWORKS ;
• DEC EtherWORKS 3 (DE203, DE204, DE205) ;
• DECchip DC21x4x « Tulip » ;
• DEC QSilver (pilote Tulip) ;
• Digi International RightSwitch ;
• DLink DE-220P, DE-528CT, DE-530+, DFE-500TX, DFE-530TX.
• Fujitsu FMV-181/182/183/184 ;
• HP PCLAN (séries 27245 et 27xxx) ;
• HP PCLAN PLUS (27247B et 27252A) ;
• HP 10/100VG PCLAN (J2577, J2573, 27248B, J2585) (ISA/EISA/PCI) ;
• ICL EtherTeam 16i / 32 (EISA) ;
• Intel EtherExpress ;
• Intel EtherExpress Pro.
• KTI ET16/P-D2, ET16/P-DC ISA (fonctionne sans jumpers et avec les options de configuration hardware) ;
• Macromate MN-220P (mode PnP ou NE2000) ;
• NCR WaveLAN ;
• NE2000/NE1000 (se méfier des clones) ;
• Netgear FA-310TX (puce Tulip) ;
• New Media Ethernet.
179
Chapitre 12. Le réseau sous GNU/Linux
12.5.1.8. Sun Lance, Sun Intel, Schneider, WD, Zenith, IBM, Enyx
La plupart des pilotes Ethernet ont été mis au point par Donald Becker (mailto:becker@CESDIS.gsfc.nasa.
gov).
Le programme modprobe est appelé à rechercher trois cartes du type NE aux adresses en question. Les péri-
phériques auxquels elles devraient être assignées sont également indiqués.
La plupart des modules ISA peuvent prendre de multiples arguments I/O séparés par des virgules. Par
exemple :
alias eth0 3c501
alias eth1 3c501
options eth0 -o 3c501-0 io = 0x280 irq = 5
options eth1 -o 3c501-1 io = 0x300 irq = 7
L’option -o permet à un nom unique d’être assigné à chaque module. La raison en est qu’il est impossible de
charger deux copies d’un même module.
L’option irq= est utilisée pour indiquer l’IRQ matériel et le io= pour les différents ports io.
Par défaut, le noyau GNU/Linux ne teste qu’un seul périphérique Ethernet. Il faudra donc passer des argu-
ments au noyau pour le forcer à détecter les autres cartes.
Pour apprendre à faire fonctionner votre carte réseau sous GNU/Linux référez vous au HOWTO HOWTO
(http://linuxdoc.org/HOWTO/Ethernet-HOWTO.html).
180
Chapitre 12. Le réseau sous GNU/Linux
12.6.1. DNS
DNS signifie Domain Name System, système responsable de la production du nom d’une machine, tel que
www.mandrakesoft.com avec l’adresse IP de cet ordinateur, c’est-à-dire ici : 216.71.116.162 (à l’heure où
nous mettons sous presse). Avec DNS, la production est disponible dans les deux sens, du nom vers le IP et
vice-versa.
Le DNS est constitué d’un grand nombre d’ordinateurs dans tout le réseau Internet ayant la charge d’un cer-
tain nombre de noms. A chaque machine correspond un serveur DNS auquel il peut se référer pour produire
un nom en particulier avec son adresse. Si ce serveur ne possède pas la réponse, il en fait la demande à un
autre, et ainsi de suite. Il est possible également d’avoir un DNS local qui aurait la charge de produire les
adresses sur votre LAN.
Il est possible de diviser les DNS en deux grandes catégories: DNS antémémoire (caching DNS) et le serveur
DNS maître (master server). Le premier se contente de « se souvenir » de requêtes précédentes auxquelles
il pourra répondre sans reposer la question au serveur DNS maître. Ce dernier est un serveur à utiliser en
dernier recours pour produire une adresse avec un nom - ou pour vérifier qu’un nom produit bien telle ou
telle adresse.
12.7.1. RNIS
Le Réseau Numérique à Intégration de Service (RNIS) (en anglais ISDN : Integrated Services Digital Network) est
une série de normes attribuant les caractéristiques particulières d’un réseau de données numériques à usage
général. Un « appel » RNIS permet de synchroniser des données point par point vers la destination. RNIS est
généralement distribué sur une ligne à haut débit, divisée en un certain nombre de canaux discrets. Il existe
deux types de canaux, les « canaux B » qui transportent de fait les données utilisateurs, et un canal unique
appelé « canal D », utilisé pour envoyer les informations de contrôle pendant l’échange RNIS afin d’établir
appels et autres fonctions. En Australie, par exemple, RNIS peut être fourni sur une liaison 2 Mps qui est
divisée en 30 canaux B discrets de 64 kps et un canal D de 64 kps. Le nombre de canaux utilisé en même
temps importe peu, et ceci avec toutes les combinaisons possibles. Vous pouvez par exemple établir 30 appels
différents de 64 kps vers 30 destinations différentes, ou bien 15 appels de 128 kps chacun vers 15 destinations
différentes (2 canaux utilisés par appel), ou seulement un petit nombre d’appels, le reste restant inactif. Un
canal peut être utilisé pour des appels entrants ou sortants. Le but initial de RNIS était de permettre aux
sociétés de Télécommunications de fournir un seul service de données pouvant distribuer soit le téléphone
(avec voix numérisée) ou bien des services de données vers le domicile ou le bureau sans que cela nécessite
des modifications pour obtenir une configuration spéciale.
On pourra connecter son ordinateur à un service RNIS de différentes façons : en utilisant un dispositif appelé
« adaptateur de terminal » qui se branche sur l’unité de terminal réseau que votre opérateur de télécommuni-
cations a installé au moment de l’obtention de votre service RNIS, et qui présente des interfaces séries - une
de ces interfaces est utilisée pour entrer les commandes et établir les appels et la configuration; les autres sont
reliées aux périphériques réseau qui utiliseront les circuits de données quand la connexion sera faite. Linux
peut travailler avec ce type de configuration sans modification. Il suffira de traiter le port de l’adaptateur de
181
Chapitre 12. Le réseau sous GNU/Linux
terminal comme tout périphérique série. L’autre moyen, la raison d’être du support RNIS dans le noyau, vous
permet d’installer une carte RNIS dans votre machine Linux et ce sera le logiciel Linux qui alors prendra en
charge les protocoles et fera lui-même les appels.
Options de compilation du noyau :
ISDN subsystem --->
<*> ISDN support
[ ] Support synchronous PPP
[ ] Support audio via ISDN
< > ICN 2B and 4B support
< > PCBIT-D support
< > Teles/NICCY1016PC/Creatix support
L’implémentation Linux de RNIS reconnaît différents types de cartes internes RNIS dont celles qui sont énu-
mérées dans les options de configuration du noyau :
• ICN 2B et 4B ;
• Octal PCBIT-D ;
• Teles cartes RNIS et compatibles.
Certaines de ces cartes exigent certains logiciels téléchargeables pour être opérationnelles. Il existe pour cela
un utilitaire séparé.
Tous les détails nécessaires à la configuration du support RNIS Linux se trouvent dans le répertoire /usr/src/
linux/Documentation/isdn/ et un document FAQ consacré à isdn4linux est disponible sur lrz-muenchen.de
(http://www.lrz-muenchen.de/~ui161ab/www/isdn/) (une version anglaise existe sous le drapeau de même
nationalité).
12.7.2. PLIP
Lors de la mise au point des versions 2.1 du noyau, le support des ports parallèles s’est amélioré.
Options de compilation du noyau :
General setup --->
[*] Parallel port support
Network device support --->
<*> PLIP (parallel port) support
Le nouveau code pour PLIP fonctionne de la même façon (on utilise les mêmes commandes ifconfig et
route comme dans le paragraphe précédent), mais l’initialisation du système est différente en raison de
l’amélioration du support du port parallèle.
Le « premier » périphérique PLIP est toujours appelé plip0 (premier signifiant ici « qui est détecté en premier
par le système » comme pour les périphériques Ethernet). Le port parallèle utilisé de fait est l’un de ceux qui
sont disponibles, comme indiqué dans /proc/parport. Par exemple, si vous n’avez qu’un seul port parallèle,
vous n’aurez qu’un seul répertoire appelé /proc/parport/0.
Si votre noyau ne détecte pas l’IRQ utilisée par votre port parallèle, insmod plip échouera. Dans ce cas, il
vous suffit d’écrire le chiffre qui convient dans /proc/parport/0/irq, ce qui invoque de nouveau insmod.
Une information complète sur la gestion des ports parallèles est disponible dans le fichier Documenta-
tion/parport.txt, qui se trouve dans les sources du noyau.
182
Chapitre 12. Le réseau sous GNU/Linux
12.7.3. PPP
De par la nature, la taille, la complexité et la flexibilité de PPP, il possède maintenant son propre HOWTO.
Le PPP-HOWTO est toujours un document du Linux Documentation Project (http://www.linuxdoc.org),
dont la page officielle se situe sur le site Web thelinuxreview.com (http://www.thelinuxreview.com), dans la
section PPP (http://www.thelinuxreview.com/howto/ppp).
12.8.1. ARCNet
Les noms du système ARCNet sont arc0e, arc1e, arc2e etc., ou arc0s, arc1s, arc2s etc. À la première carte
détectée par le noyau, est assigné arc0e ou arc0s, le reste sera assigné de façon séquentielle selon leur ordre
de détection. La lettre finale indique votre choix :le format de paquet par encapsulation Ethernet ou le format
de paquet RFC1051.
Options de compilation du noyau. :
Network device support --->
[*] Network device support
<*> ARCnet support
[ ] Enable arc0e (ARCnet "Ether-Encap" packet format)
[ ] Enable arc0s (ARCnet RFC1051 packet format)
Une fois votre noyau construit pour reconnaître votre carte Ethernet, la configuration de celle-ci est très aisée.
On utilisera quelque chose comme ceci :
Le support Appletalk permet à votre machine Linux d’interagir avec les réseaux Apple. Il sera d’une grande
utilité pour partager imprimantes ou disquettes, etc..., entre les deux systèmes. Un matériel logiciel supplé-
mentaire sera requis appelé netatalk. netatalk@umich.edu de Wesley Craig est le représentant d’une équipe,
appelée le « Research Systems Unix Group » basé à l’Université du Michigan, qui a produit le paquetage ne-
tatalk qui permet d’implémenter le protocole Appletalk ainsi que d’autres utilitaires... utiles. Le paquetage
netatalk vous aura été fourni avec votre distribution Linux. Sinon vous pourrez la télécharger à partir de
University of Michigan (ftp://terminator.rs.itd.umich.edu/unix/netatalk/)
Pour construire et installer le paquetage, on accomplira ceci :
183
Chapitre 12. Le réseau sous GNU/Linux
Il est sans doute recommandé d’éditer Makefile avant d’appeler make pour enclencher la compilation du
matériel. En particulier, on pourra changer la variable DESTDIR qui définit le lieu d’installation ultérieure des
fichiers. L’assignation par défaut, /usr/local/atalk, est assez sécuritaire.
La prochaine étape est de créer des dossiers de configuration Appletalk dans le répertoire /usr/local/atalk/
etc (ou l’endroit où vous avez installé le paquetage).
Le premier fichier qu’il faudra créer est le /usr/local/atalk/etc/atalkd.conf. Pour commencer, ce fichier
ne nécessite qu’une seule ligne pour indiquer le nom du système réseau qui reconnaît le réseau où sont instal-
lées vos machines Apple :
eth0
Le programme démon Appletalk ajoutera des détails supplémentaires après son lancement.
/tmp Scratch
/home/ftp/pub "Zone publique"
Ceci exportera votre système de fichiers /tmp comme volume AppleShare « Scratch » et votre répertoire public
ftp en tant que volume AppleShare « Zone publique ». Les noms de volume ne sont nullement obligatoires,
le démon en choisira pour vous. Mais cela ne coûte rien d’essayer de le faire soi-même.
184
Chapitre 12. Le réseau sous GNU/Linux
TricWriter:\
:pr = lp:op = cg:
Ce qui rendrait disponible pour votre réseau Appletalk une imprimante appelée « TricWriter ». Toutes les
tâches acceptées seraient alors imprimées par l’imprimante Linux lp (telles que définies par le fichier /etc/
printcap) en utilisant CUPS . La commande op=cg indique que l’utilisateur cg est l’opérateur de l’imprimante.
root# /usr/local/atalk/etc/rc.atalk
et le reste démarrera et fonctionnera sans problème. Il ne devrait pas y avoir de message d’erreur et le logiciel
enverra des messages vers la console indiquant le déroulement de chaque étape.
1. Il faudra peut-être lancer le support Appletalk avant de configurer votre réseau IP. En cas de problèmes de
démarrage des programmes Appletalk, ou de problèmes avec votre réseau IP, essayez de lancer le logiciel
Appletalk avant votre fichier /etc/rc.d/rc.inet1.
2. Le démon du Protocole de Classement de Fichiers Apple, afpd (Apple Filing Protocol Daemon) crée de sé-
rieux dérangements dans votre disque dur. Au dessous du point de montage, il crée deux répertoires
appelés .AppleDesktop et NetworkTrashFolder. Ensuite, pour chaque répertoire auquel vous avez accé-
dé, il créera un .AppleDouble en dessous pour pouvoir emmagasiner des embranchements ressource, etc.
Il faudra donc réfléchir à deux fois avant d’exporter / sinon le nettoyage subséquent vous mettra dans la
joie !
3. Le programme afpd s’attend à recevoir des mots de passe en texte clair de la part des Mac. La sécurisa-
tion pourrait donc vous causer des soucis. Soyez alors vigilant lorsque, comme son nom l’indique, vous
démarrez le démon sur votre machine connectée à Internet. Vous serez le seul responsable en cas d’une
manoeuvre malveillante de la part d’un méchant!
4. Les outils de diagnostic existants, tels que netstat et ifconfig ne reconnaissent pas Appletalk. En cas de
besoin, l’information brute est disponible dans le répertoire /proc/net/.
185
Chapitre 12. Le réseau sous GNU/Linux
12.8.3. ATM
Werner Almesberger <werner.almesberger@lrc.di.epfl.ch> gère un projet de support d’un mode de trans-
fert asynchrone pour Linux. Des informations mises à jour sur l’état du projet peuvent être obtenues sur le site
ATM on Linux (http://linux-atm.sourceforge.net/).
Les protocoles AX25, Netrom et Rose sont couverts par AX25-HOWTO (http://linuxdoc.org/HOWTO/
AX25-HOWTO.html). Ces protocoles sont utilisés par les opérateurs radio amateurs dans le monde entier dans
les paquetages d’expérimentations radio.
Le plus gros du travail d’implémentation de ces protocoles a été accompli par Jonathon Naylor, jsn@cs.nott.ac.uk,
et le nouveau mainteneur du HOWTO est Jeff Tranter (tranter@pobox.com).
12.8.5. DECNet
Le support pour DECNet est maintenant inclus dans un noyau stable mis à jour. Mandrake Linux (2.4) l’a
également rendu disponible dans ses noyaux 2.2.
12.8.6. FDDI
Les noms du système FDDI sont fddi0, fddi1, fddi2 etc. À la première carte détectée par le noyau sera
assignée fddi0 et le reste, selon l’ordre séquentiel de leur détection.
Larry Stefani, lstefani@ultranet.com, a mis au point un gestionnaire de périphériques pour la Digital Equip-
ment Corporation FDDI EISA et les cartes PCI.
Options de compilation du noyau :
Support de système réseau --->
[*] support de gestionnaire de périphériques FDDI
[*]DEFEA digital et support d’adaptateur DEFPA
La configuration de l’interface FDDI étant quasiment identique à celle de l’interface Ethernet, dans un noyau
construit et installé pour reconnaître un gestionnaire de périphériques FDDI, il vous suffira de préciser le nom
de l’interface FDDI appropriée dans les commandes ifconfig et route.
186
Chapitre 12. Le réseau sous GNU/Linux
Mike McLagan, mike.mclagan@linux.org, a mis au point le support de Frame Relay et des outils de configu-
ration.
En ce moment, et à notre connaissance, le seul FRAD à être supporté est Sangoma Technologies (http://www.
sangoma.com/) S502A, S502E et S508 et les Technologies Émergeantes (Emerging Technologies). Leur site Web
est ici (http://www.etinc.com/).
Pour configurer les systèmes FRAD et DLCI après avoir reconstruit votre noyau, il vous faudra les outils de
configuration Frame Relay. Ils sont disponibles sur ftp.invlogic.com (ftp://ftp.invlogic.com/pub/linux/
fr/).
La compilation et l’installation des outils sont assez simples et directes, mais elles restent des opérations assez
manuelles à cause du manque d’un fichier Makefile de haut niveau :
Notez que les commandes précédentes utilisent la syntaxe sh, lorsqu’on utilise un soupçon de csh à la place
(comme tcsh), la boucle for aura une toute autre allure.
Après l’installation des outils, il faudra créer un fichier /etc/frad/router.conf, on pourra utiliser ce modèle,
qui est une version modifiée d’un des fichiers exemple :
# /etc/frad/router.conf
# Configuration template pour Frame Relay.
# Tous les tags sont inclus. Les valeurs par défaut sont basées sur le code.
# fourni avec les gestionnaires de périphériques DOS de la carte Sangoma S502A.
#
# Un ’#’ n’importe où dans une ligne constitue un commentaire.
# Les blancs ne sont pas pris en compte (on peut également espacer avec des tabulations).
# Entrées [] et touches inconnues ne sont pas prises en compte.
#
[Devices]
Count = 1 # nombre de systèmes (devices) à configurer.
Dev_1 = sdla0 # nom du système.
#Dev_2 = sdla1 # nom du système.
# Tels que spécifiés ici, ces paramètres sont applicables à tous les périphériques
# et peuvent ^
etre écrasés pour chaque carte.
#
Access = CPE
Clock = Internal
Kbaud = 64
Flags = TX
#
187
Chapitre 12. Le réseau sous GNU/Linux
# MTU = 1500 # Maximum transmit IFrame length, 4096 = valeur par défaut
# T391 = 10 # T391 valeur 5 - 30, 10 = valeur par défaut
# T392 = 15 # T392 valeur 5 - 30, 15 = valeur par défaut
# N391 = 6 # N391 valeur 1 - 255, 6 = valeur par défaut
# N392 = 3 # N392 valeur 1 - 10, 3 = valeur par défaut
# N393 = 4 # N393 valeur 1 - 10, 4 = valeur par défaut
# Tels que spécifiés ici, établissent les valeurs par défaut pour toutes les cartes
# CIRfwd = 16 # CIR forward 1 - 64
# Bc_fwd = 16 # Bc forward 1 - 512
# Be_fwd = 0 # Be forward 0 - 511
# CIRbak = 16 # CIR backward 1 - 64
# Bc_bak = 16 # Bc backward 1 - 512
# Be_bak = 0 # Be backward 0 - 511
#
#
# configuration spécifique au système
#
#
#
# Le premier système est un Sangoma S502E
#
[sdla0]
Type = Sangoma # Type de système à configurer, à ce jour seul
# SANGOMA est reconnu
#
# Ces touches sont particulières au type ’Sangoma’
#
# Le type de la carte Sangoma - S502A, S502E, S508
Board = S502E
#
# Le nom du matériel expérimental pour la carte Sangoma
# Testware = /usr/src/frad-0.10/bin/sdla_tst.502
#
# Le nom du matériel d’usine FR
# Firmware = /usr/src/frad-0.10/bin/frm_rel.502
#
Port = 360 # Port pour cette carte précise
Mem = C8 # Adresse de la fen^ etre de mémoire, A0-EE, selon la carte
IRQ = 5 # chiffre IRQ, indisponible pour S502A
DLCIs = 1 # Nombre des DLCI attribué à ce périphérique
DLCI_1 = 16 # DLCI #1’s number, 16 - 991
# DLCI_2 = 17
# DLCI_3 = 18
# DLCI_4 = 19
# DLCI_5 = 20
#
# Tels que spécifiés ici, s’applique exclusivement à ce périphérique,
# et annule les valeurs défaut ci-dessus
#
# Access = CPE # CPE or NODE, défaut is CPE
# Flags = TXIgnore,RXIgnore,BufferFrames,DropAborted,Stats,MCI,AutoDLCI
# Clock = Internal # External or Internal, défaut is Internal
# Baud = 128 # Specified baud rate of attached CSU/DSU
# MTU = 2048 # Maximum transmit IFrame length, défaut is 4096
# T391 = 10 # T391 valeur 5 - 30, 10 = valeur par défaut
# T392 = 15 # T392 valeur 5 - 30, 15 = valeur par défaut
# N391 = 6 # N391 valeur 1 - 255, 6 = valeur par défaut
# N392 = 3 # N392 valeur 1 - 10, 3 = valeur par défaut
# N393 = 4 # N393 valeur 1 - 10, 4 = valeur par défaut
#
# Le deuxième système provient d’une autre carte
#
# [sdla1]
# Type = FancyCard # Type de système à configurer.
# Board = # Type de carte Sangoma
# Key = Valeur # valeurs spécifiques à ce type de système
#
# DLCI Paramètres par défaut de cette configuration
# Peuvent ^
etre écrasés dans les configurations spécifiques dans le DLCI
#
188
Chapitre 12. Le réseau sous GNU/Linux
#
# DLCI Configuration
# Tous sont en option. La convention de nommage est
# [DLCI_D<devicenum>_<DLCI_Num>]
#
[DLCI_D1_16]
# IP =
# Net =
# Mask =
# Flags defined by Sangoma: TXIgnore,RXIgnore,BufferFrames
# DLCIFlags = TXIgnore,RXIgnore,BufferFrames
# CIRfwd = 64
# Bc_fwd = 512
# Be_fwd = 0
# CIRbak = 64
# Bc_bak = 512
# Be_bak = 0
[DLCI_D2_16]
# IP =
# Net =
# Mask =
# Flags defined by Sangoma: TXIgnore,RXIgnore,BufferFrames
# DLCIFlags = TXIgnore,RXIgnore,BufferFrames
# CIRfwd = 16
# Bc_fwd = 16
# Be_fwd = 0
# CIRbak = 16
# Bc_bak = 16
# Be_bak = 0
Une fois construit votre fichier /etc/frad/router.conf, il reste une seule étape :la configuration des périphé-
riques eux-mêmes. Le processus nécessite légèrement plus de doigté qu’une configuration de système réseau
normal. Il faudra se rappeler d’ouvrir le système FRAD avant les systèmes d’encapsulation DLCI. A cause de
leur nombre, ces commandes doivent être écrites dans un script shell :
#!/bin/sh
# Configure le hardware FRAD et les paramètres DLCI
/sbin/fradcfg /etc/frad/router.conf || exit 1
/sbin/dlcicfg file /etc/frad/router.conf
#
# Ouvre le système FRAD
ifconfig sdla0 up
#
# Configure les interfaces d’encapsulation et le routage
ifconfig dlci00 192.168.10.1 pointopoint 192.168.10.2 up
route add -net 192.168.10.0 netmask 255.255.255.0 dlci00
#
ifconfig dlci01 192.168.11.1 pointopoint 192.168.11.2 up
route add -net 192.168.11.0 netmask 255.255.255.0 dlci00
#
route add default dev dlci00
#
189
Chapitre 12. Le réseau sous GNU/Linux
Les protocoles AX25, Netrom et Rose sont couverts par AX25-HOWTO (http://linuxdoc.org/HOWTO/
AX25-HOWTO.html). Ces protocoles sont utilisés par les opérateurs radio amateurs (Amateur Radio Operators)
du monde entier dans des paquetages d’expérimentation radio.
La plus grande partie du travail d’implémentation de ces protocoles a été accomplie par Jonathon Naylor,
jsn@cs.nott.ac.uk.
Les protocoles AX25, Netrom et Rose sont couverts dans AX25-HOWTO (http://linuxdoc.org/HOWTO/
AX25-HOWTO.html). Ces protocoles sont utilisés par les opérateurs radio amateurs (Amateur Radio Operators)
du monde entier dans des paquetages d’expérimentation radio.
La plus grande partie du travail d’implémentation de ces protocoles a été accomplie par Jonathon Naylor,
jsn@cs.nott.ac.uk.
190
Chapitre 12. Le réseau sous GNU/Linux
STRIP est un protocole construit spécifiquement pour une série de modems radio Metricom dans le cadre d’un
projet de recherche de l’Université Stanford appelé ; MosquitoNet Project (http://mosquitonet.Stanford.
edu). La lecture en est très intéressante même si on n’est pas directement impliqué par le projet.
Les radios Metricom se connectent à un port série, s’appuie sur la technologie Spread Spectrum et ont en général
une capacité d’environ 100kbps. De l’information sur les radios Metricom est disponible sur le site Metricom
Web Server (http://www.metricom.com/).
Actuellement, les outils et utilitaires réseau standard ne reconnaissent pas le gestionnaire STRIP. Quelques
outils taillés sur mesure devront donc être téléchargés à partir du serveur Web MosquitoNet. Des détails
précis sur les logiciels nécessaires sont disponibles à :: MosquitoNet Software Page (http://mosquitonet.
Stanford.EDU/software.html).
Pour résumer la configuration, disons que l’on utilise un programme slattach modifié pour établir le type de
ligne d’un périphérique tty série à STRIP, puis on configure le système qui en résulte, st[0-9], comme on le
ferait pour Ethernet mais avec une exception de taille :pour des raisons techniques, STRIP ne reconnaît pas
le protocole ARP, il faudra donc configurer manuellement les entrées ARP pour chacun des hôtes de votre
sous-réseau. Ce qui n’est pas, de prime abord, très coûteux.
La configuration de Token Ring est semblable à celle d’Ethernet à l’exception du nom du système réseau qui
est à configurer.
191
Chapitre 12. Le réseau sous GNU/Linux
12.8.14. X.25
X.25 est un protocole matériel d’échange de paquetages défini par le ITU-T (un ensemble de standards recon-
nus par les compagnies de télécommunications en vigueur dans la majeure partie du monde). Une implémen-
tation de X.25 et de LAPB est en train d’être mise à jour et les récents noyaux ( à partir de 2.1.*) incluent ces
travaux en cours.
Jonathon Naylor jsn@cs.nott.ac.uk est le chef de ce projet et il existe une liste mail de discussion sur Linux
X.25. Pour vous enregistrer, envoyez un message à : majordomo@vger.rutgers.edu avec le texte subscribe
linux-x25 dans le corps du message.
La carte WaveLAN est une carte réseau sans-fil à large spectre. Pour ce qui est de son utilisation et de sa
configuration, la carte ressemble beaucoup à une carte Ethernet.
Des informations sont disponibles sur la carte Wavelan sur le site Web d’ORINOCO (http://www.
orinocowireless.com/).
192
Chapitre 12. Le réseau sous GNU/Linux
Bien que l’on puisse utiliser des câbles PLIP sur des longues distances, évitez de le faire si possible. Les spé-
cifications du câble permettent d’avoir une longueur d’environ 1 mètre. Faites attention si vous utilisez de
grandes longueurs, car les sources de champs magnétiques élevées comme la foudre, les lignes à haute ten-
sion et les émetteurs radio peuvent interférer et parfois endommager votre carte contrôleur. Si vous voulez
vraiment connecter deux de vos ordinateurs sur une grande distance, utilisez plutôt des cartes Ethernet et un
câble coaxial.
193
Chapitre 12. Le réseau sous GNU/Linux
T T T T
Les | à chaque extrémité représentent une terminaison, les = = = = = = représentent une longueur de câble
coaxial avec des prises BNC au bout et les T représentent un connecteur en T. Gardez la longueur de câble
entre les connecteurs en T et les cartes Ethernet aussi courte que possible, l’idéal étant que ces connecteurs
soient branchés directement sur la carte Ethernet.
194
Annexe A. Où trouver de la documentation supplémentaire
Nous avons décrit l’interface de MandrakeSecurity et abordé quelques notions de sécurité et de réseaux.
Toutefois, ce manuel peut s’avérer insuffisant si vous ne maîtrisez pas les techniques associées à certaines des
fonctionnalités proposées. C’est pourquoi nous vous proposons dans cet appendice plusieurs liens vers des
documents sur le Web qui vous aideront à comprendre les mécanismes sous-jacents à MandrakeSecurity .
Bibliographie
L’application Shorewall , sur laquelle MandrakeSecurity s’appuie, est bien documentée. Sur le site sus-
mentionné, vous trouverez des exemples supplémentaires, et des informations complètes au sujet des
processus internes de MandrakeSecurity .
Cache DNS : ISC Bind (http: // www. isc. org/ products/ BIND/ ) .
Système de détection d’intrusion SNORT (SNORT Intrusion Detection System) (http: // www. snort. org/ ) .
Linux FreeS/WAN : implémentation de IPSEC & IKE pour Linux (http: // freeswan. org ) .
195
Annexe A. Où trouver de la documentation supplémentaire
196
Annexe B. La licence Publique Générale GNU (GPL)
Le texte qui suit est celui de la licence GPL qui s’applique à la plupart des programmes quise trouvent dans la
distribution Mandrake Linux.
B.1. Introduction
This is an unofficial translation of the GNU General Public License into French. It was not published by the
Free Software Foundation, and does not legally state the distribution terms for software that uses the GNU
GPL--only the original English text of the GNU GPL does that. However, we hope that this translation will
help French speakers understand the GNU GPL better.
Voici (http://www.linux-france.org/article/these/gpl.html) une adaptation non officielle de la Licence Pu-
blique Générale du projet GNU. Elle n’a pas été publiée par la Free Software Foundation et son contenu n’a
aucune portée légale car seule la version anglaise de ce document détaille le mode de distribution des logiciels
sous GNU GPL. Nous espérons cependant qu’elle permettra aux francophones de mieux comprendre la GPL.
B.2. Préambule
Les licences d’utilisation de la plupart des programmes sont définies pour limiter ou supprimer toute liberté
à l’utilisateur. À l’inverse, la Licence Publique Générale (General Public License) est destinée à vous garantir
la liberté de partager et de modifier les logiciels libres, et de s’assurer que ces logiciels sont effectivement
accessibles à tout utilisateur.
Cette Licence Publique Générale s’applique à la plupart des programmes de la Free Software Foundation,
comme à tout autre programme dont l’auteur l’aura décidé (d’autres logiciels de la FSF sont couverts pour
leur part par la Licence Publique Générale pour Bibliothèques GNU (LGPL)). Vous pouvez aussi appliquer les
termes de cette Licence à vos propres programmes, si vous le désirez.
Liberté des logiciels ne signifie pas nécessairement gratuité. Notre Licence est conçue pour vous assurer la li-
berté de distribuer des copies des programmes, gratuitement ou non, de recevoir le code source ou de pouvoir
l’obtenir, de modifier les programmes ou d’en utiliser des éléments dans de nouveaux programmes libres, en
sachant que vous y êtes autorisé.
Afin de garantir ces droits, nous avons dû introduire des restrictions interdisant à quiconque de vous les
refuser ou de vous demander d’y renoncer. Ces restrictions vous imposent en retour certaines obligations si
vous distribuez ou modifiez des copies de programmes protégés par la Licence. En d’autre termes, il vous
incombera en ce cas de :
For example, if you distribute copies of such a program, whether gratis or for a fee, you must give the recipients
all the rights that you have. You must make sure that they, too, receive or can get the source code. And you
must show them these terms so they know their rights.
Nous protégeons vos droits de deux façons : d’abord par le copyright du logiciel, ensuite par la remise de cette
Licence qui vous autorise légalement à copier, distribuer et/ou modifier le logiciel.
197
Annexe B. La licence Publique Générale GNU (GPL)
En outre, pour protéger chaque auteur ainsi que la FSF, nous affirmons solennellement que le programme
concerné ne fait l’objet d’aucune garantie. Si un tiers le modifie puis le redistribue, tous ceux qui en rece-
vront une copie doivent savoir qu’il ne s’agit pas de l’original afin qu’une copie défectueuse n’entache pas la
réputation de l’auteur du logiciel.
Enfin, tout programme libre est sans cesse menacé par des dépôts de brevets. Nous souhaitons à tout prix
éviter que des distributeurs puissent déposer des brevets sur les Logiciels Libres pour leur propre compte.
Pour éviter cela, nous stipulons bien que tout dépôt éventuel de brevet doit accorder expressément à tout un
chacun le libre usage du produit.
Les dispositions précises et les conditions de copie, de distribution et de modification de nos logiciels sont les
suivantes :
1. La présente Licence s’applique à tout Programme (ou autre travail) où figure une note, placée par le
détenteur des droits, stipulant que ledit Programme ou travail peut être distribué selon les termes de la
présente Licence. Le terme Programme désigne aussi bien le Programme lui-même que tout travail qui
en est dérivé selon la loi, c’est-à-dire tout ouvrage reproduisant le Programme ou une partie de celui-ci, à
l’identique ou bien modifié, et/ou traduit dans une autre langue (la traduction est considérée comme une
modification). Chaque personne concernée par la Licence Publique Générale sera désignée par le terme
Vous.
Les activités autres que copie, distribution et modification ne sont pas couvertes par la présente Licence et
sortent de son cadre. Rien ne restreint l’utilisation du Programme et les données issues de celui-ci ne sont
couvertes que si leur contenu constitue un travail basé sur le logiciel (indépendamment du fait d’avoir été
réalisé en lançant le Programme). Tout dépend de ce que le Programme est censé produire.
2. Vous pouvez copier et distribuer des copies conformes du code source du Programme, tel que Vous l’avez
reçu, sur n’importe quel support, à condition de placer sur chaque copie un copyright approprié et une
restriction de garantie, de ne pas modifier ou omettre toutes les stipulations se référant à la présente
Licence et à la limitation de garantie, et de fournir avec toute copie du Programme un exemplaire de la
Licence.
Vous pouvez demander une rétribution financière pour la réalisation de la copie et demeurez libre de
proposer une garantie assurée par vos soins, moyennant finances.
3. Vous pouvez modifier votre copie ou vos copies du Programme ou partie de celui-ci, ou d’un travail basé
sur ce Programme, et copier et distribuer ces modifications selon les termes de l’article 1, à condition de
Vous conformer également aux conditions suivantes :
a. Ajouter aux fichiers modifiés l’indication très claire des modifications effectuées, ainsi que la date de
chaque changement.
b. Distribuer sous les termes de la Licence Publique Générale l’ensemble de toute réalisation contenant
tout ou partie du Programme, avec ou sans modifications.
c. Si le Programme modifié lit des commandes de manière interactive lors de son exécution, faire en
sorte qu’il affiche, lors d’une invocation ordinaire, le copyright approprié en indiquant clairement la
limitation de garantie (ou la garantie que Vous Vous engagez à fournir Vous-même), qu’il stipule que
tout utilisateur peut librement redistribuer le Programme selon les conditions de la Licence Publique
Générale GNU, et qu’il montre à tout utilisateur comment lire une copie de celle-ci (exception : si
le Programme original est interactif mais n’affiche pas un tel message en temps normal, tout travail
dérivé de ce Programme ne sera pas non plus contraint de l’afficher).
Toutes ces conditions s’appliquent à l’ensemble des modifications. Si des éléments identifiables de ce tra-
vail ne sont pas dérivés du Programme et peuvent être raisonnablement considérés comme indépendants,
la présente Licence ne s’applique pas à ces éléments lorsque Vous les distribuez seuls. Mais, si Vous distri-
buez ces mêmes éléments comme partie d’un ensemble cohérent dont le reste est basé sur un Programme
198
Annexe B. La licence Publique Générale GNU (GPL)
soumis à la Licence, ils lui sont également soumis, et la Licence s’étend ainsi à l’ensemble du produit, quel
qu’en soit l’auteur.
Cet article n’a pas pour but de s’approprier ou de contester vos droits sur un travail entièrement réalisé
par Vous, mais plutôt d’ouvrir droit à un contrôle de la libre distribution de tout travail dérivé ou collectif
basé sur le Programme.
En outre, toute fusion d’un autre travail, non basé sur le Programme, avec le Programme (ou avec un
travail dérivé de ce dernier), effectuée sur un support de stockage ou de distribution, ne fait pas tomber
cet autre travail sous le contrôle de la Licence.
4. Vous pouvez copier et distribuer le Programme (ou tout travail dérivé selon les conditions énoncées dans
l’article 1) sous forme de code objet ou exécutable, selon les termes des articles 0 et 1, à condition de
respecter les clauses suivantes :
a. Fournir le code source complet du Programme, sous une forme lisible par un ordinateur et selon les
termes des articles 0 et 1, sur un support habituellement utilisé pour l’échange de données ; ou,
b. Faire une offre écrite, valable pendant au moins trois ans, prévoyant de donner à tout tiers qui en fera
la demande une copie, sous forme lisible par un ordinateur, du code source correspondant, pour un
tarif n’excédant pas le coût de la copie, selon les termes des articles 0 et 1, sur un support couramment
utilisé pour l’échange de données informatiques ; ou,
c. Informer le destinataire de l’endroit où le code source peut être obtenu (cette solution n’est recevable
que dans le cas d’une distribution non commerciale, et uniquement si Vous avez reçu le Programme
sous forme de code objet ou exécutable avec l’offre prévue à l’alinéa b ci-dessus).
Le code source d’un travail désigne la forme de cet ouvrage sous laquelle les modifications sont les plus
aisées. Sont ainsi désignés la totalité du code source de tous les modules composant un Programme exécu-
table, de même que tout fichier de définition associé, ainsi que les scripts utilisés pour effectuer la compi-
lation et l’installation du Programme exécutable. Toutefois, l’environnement standard de développement
du système d’exploitation mis en oeuvre (source ou binaire) -- compilateurs, bibliothèques, noyau, etc. --
constitue une exception, sauf si ces éléments sont diffusés en même temps que le Programme exécutable.
Si la distribution de l’exécutable ou du code objet consiste à offrir un accès permettant de copier le Pro-
gramme depuis un endroit particulier, l’offre d’un accès équivalent pour se procurer le code source au
même endroit est considéré comme une distribution de ce code source, même si l’utilisateur choisit de ne
pas profiter de cette offre.
5. Vous ne pouvez pas copier, modifier, céder, déposer ou distribuer le Programme d’une autre manière
que l’autorise la Licence Publique Générale. Toute tentative de ce type annule immédiatement vos droits
d’utilisation du Programme sous cette Licence. Toutefois, les tiers ayant reçu de Vous des copies du Pro-
gramme ou le droit d’utiliser ces copies continueront à bénéficier de leur droit d’utilisation tant qu’ils
respecteront pleinement les conditions de la Licence.
6. Ne l’ayant pas signée, Vous n’êtes pas obligé d’accepter cette Licence. Cependant, rien d’autre ne Vous
autorise à modifier ou distribuer le Programme ou quelque travaux dérivés : la loi l’interdit tant que Vous
n’acceptez pas les termes de cette Licence. En conséquence, en modifiant ou en distribuant le Programme
(ou tout travail basé sur lui), Vous acceptez implicitement tous les termes et conditions de cette Licence.
7. La diffusion d’un Programme (ou de tout travail dérivé) suppose l’envoi simultané d’une licence auto-
risant la copie, la distribution ou la modification du Programme, aux termes et conditions de la Licence.
Vous n’avez pas le droit d’imposer de restrictions supplémentaires aux droits transmis au destinataire.
Vous n’êtes pas responsable du respect de la Licence par un tiers.
8. Si, à la suite d’une décision de Justice, d’une plainte en contrefaçon ou pour toute autre raison (liée ou
non à la contrefaçon), des conditions Vous sont imposées (que ce soit par ordonnance, accord amiable ou
autre) qui se révèlent incompatibles avec les termes de la présente Licence, Vous n’êtes pas pour autant
dégagé des obligations liées à celle-ci : si Vous ne pouvez concilier vos obligations légales ou autres avec
les conditions de cette Licence, Vous ne devez pas distribuer le Programme.
Si une partie quelconque de cet article est invalidée ou inapplicable pour quelque raison que ce soit, le reste
de l’article continue de s’appliquer et l’intégralité de l’article s’appliquera en toute autre circonstance.
Le présent article n’a pas pour but de Vous pousser à enfreindre des droits ou des dispositions légales
ni en contester la validité ; son seul objectif est de protéger l’intégrité du système de distribution du
199
Annexe B. La licence Publique Générale GNU (GPL)
Logiciel Libre. De nombreuses personnes ont généreusement contribué à la large gamme de Programmes
distribuée de cette façon en toute confiance ; il appartient à chaque auteur/donateur de décider de diffuser
ses Programmes selon les critères de son choix.
Cet article est censé clarifié une conséquence supposée du reste de cette licence.
9. Si la distribution et/ou l’utilisation du Programme est limitée dans certains pays par des brevets ou des
droits sur des interfaces, le détenteur original des droits qui place le Programme sous la Licence Publique
Générale peut ajouter explicitement une clause de limitation géographique excluant ces pays. Dans ce cas,
cette clause devient une partie intégrante de la Licence.
10. La Free Software Foundation se réserve le droit de publier périodiquement des mises à jour ou de nouve-
lles versions de la Licence. Rédigées dans le même esprit que la présente version, elles seront cependant
susceptibles d’en modifier certains détails à mesure que de nouveaux problèmes se font jour.
Chaque version possède un numéro distinct. Si le Programme précise un numéro de version de cette
Licence et « toute version ultérieure », Vous avez le choix de suivre les termes et conditions de cette
version ou de toute autre version plus récente publiée par la Free Software Foundation. Si le Programme
ne spécifie aucun numéro de version, Vous pouvez alors choisir l’une quelconque des versions publiées
par la Free Software Foundation.
11. Si Vous désirez incorporer des éléments du Programme dans d’autres Programmes libres dont les condi-
tions de distribution diffèrent, Vous devez écrire à l’auteur pour lui en demander la permission. Pour ce
qui est des Programmes directement déposés par la Free Software Foundation, écrivez-nous : une excep-
tion est toujours envisageable. Notre décision sera basée sur notre volonté de préserver la liberté de notre
Programme ou de ses dérivés et celle de promouvoir le partage et la réutilisation du logiciel en général.
LIMITATION DE GARANTIE
12. Parce que l’utilisation de ce Programme est libre et gratuite, aucune garantie n’est fournie, comme le
permet la loi. Sauf mention écrite, les détenteurs du copyright et/ou les tiers fournissent le Programme en
l’état, sans aucune sorte de garantie explicite ou implicite, y compris les garanties de commercialisation
ou d’adaptation dans un but particulier. Vous assumez tous les risques quant à la qualité et aux effets du
Programme. Si le Programme est défectueux, Vous assumez le coût de tous les services, corrections ou
réparations nécessaires.
13. Sauf lorsqu’explicitement prévu par la Loi ou accepté par écrit, ni le détenteur des droits, ni quiconque
autorisé à modifier et/ou redistribuer le Programme comme il est permis ci-dessus ne pourra être tenu
pour responsable de tout dommage direct, indirect, secondaire ou accessoire (pertes financières dues au
manque à gagner, à l’interruption d’activités ou à la perte de données, etc., découlant de l’utilisation du
Programme ou de l’impossibilité d’utiliser celui-ci).
FIN DES TERMES ET CONDITIONS
200
Annexe C. Licence de documentation libre GNU
Copyright (C) 2000 Free Sofware Foundation, inc. 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA
Traduction adaptée de la Version 1.1.2 FR (Christian Casteyde et César Alexanian, mars 2001)
Chacun est libre de copier et de distribuer des copies conformes de cette Licence, mais nul n’est autorisé à la modifier.
0. PRÉAMBULE
L’objet de cette Licence est de rendre tout manuel, livre ou autre document écrit « libre » au sens de la liberté
d’utilisation, à savoir : assurer à chacun la liberté effective de le copier ou de le redistribuer, avec ou sans mo-
difications, commercialement ou non. En outre, cette Licence garantit à l’auteur et à l’éditeur la reconnaissance
de leur travail, sans qu’ils soient pour autant considérés comme responsables des modifications réalisées par
des tiers.
Cette Licence est une sorte de « copyleft », ce qui signifie que les travaux dérivés du document d’origine
sont eux-mêmes « libres » selon les mêmes termes. Elle complète la Licence Publique Générale GNU, qui est
également une Licence copyleft, conçue pour les logiciels libres.
Nous avons conçu cette Licence pour la documentation des logiciels libres, car les logiciels libres ont besoin
d’une documentation elle-même libre : un logiciel libre doit être accompagné d’un manuel garantissant les
mêmes libertés que celles accordées par le logiciel lui-même. Mais cette Licence n’est pas limitée aux seuls ma-
nuels des logiciels ; elle peut être utilisée pour tous les documents écrits, sans distinction particulière relative
au sujet traité ou au mode de publication. Nous recommandons l’usage de cette Licence principalement pour
les travaux destinés à des fins d’enseignement ou devant servir de document de référence.
1. APPLICABILITÉ ET DÉFINITIONS
Cette Licence couvre tout manuel ou tout autre travail écrit contenant une notice de copyright autorisant la
redistribution selon les termes de cette Licence. Le mot « Document » se réfère ci-après à un tel manuel ou
travail. Toute personne en est par définition concessionnaire, et est référencée ci-après par le terme « Vous ».
Une « Version modifiée » du Document désigne tout travail en contenant la totalité ou seulement une portion
de celui-ci, copiée mot pour mot, modifiée et/ou traduite dans une autre langue.
Une « Section secondaire » désigne une annexe au Document, ou toute information indiquant les rapports
entre l’auteur ou l’éditeur et le sujet (ou tout autre sujet connexe) du document, sans toutefois être en rapport
direct avec le sujet lui-même (par exemple, si le Document est un manuel de mathématiques, une Section
secondaire ne traitera d’aucune notion mathématique). Cette section peut contenir des informations relatives à
l’historique du Document, des sources documentaires, des dispositions légales, commerciales, philosophiques,
ou des positions éthiques ou politiques susceptibles de concerner le sujet traité.
Les « Sections inaltérables » sont des sections secondaires considérées comme ne pouvant être modifiées et
citées comme telles dans la notice légale qui place le Document sous cette Licence.
Les « Textes de couverture » sont les textes courts situés sur les pages de couverture avant et arrière du Docu-
ment, et cités comme tels dans la mention légale de ce Document.
Le terme « Copie transparente » désigne une version numérique du Document représentée dans un format
dont les spécifications sont publiquement disponibles et dont le contenu peut être visualisé et édité directe-
ment et immédiatement par un éditeur de texte quelconque, ou (pour les images composées de pixels) par un
programme de traitement d’images quelconque, ou (pour les dessins) par un éditeur de dessins courant. Ce
201
Annexe C. Licence de documentation libre GNU
format doit être pouvoir être accepté directement ou être convertible facilement dans des formats utilisables
directement par des logiciels de formatage de texte. Une copie publiée dans un quelconque format numérique
ouvert mais dont la structure a été conçue dans le but exprès de prévenir les modifications ultérieures du Do-
cument ou dans le but d’en décourager les lecteurs n’est pas considérée comme une Copie Transparente. Une
copie qui n’est pas « Transparente » est considérée, par opposition, comme « Opaque ».
Le format de fichier texte codé en ASCII générique et n’utilisant pas de balises, les formats de fichiers Texinfo
ou LaTeX, les formats de fichiers SGML ou XML utilisant une DTD publiquement accessible, ainsi que les
formats de fichiers HTML simple et standard, écrits de telle sorte qu’ils sont modifiables sans outil spécifique,
sont des exemples de formats acceptables pour la réalisation de Copies Transparentes. Les formats suivants
sont opaques : PostScript, PDF, formats de fichiers propriétaires qui ne peuvent être visualisés ou édités que
par des traitements de textes propriétaires, SGML et XML utilisant des DTD et/ou des outils de formatage qui
ne sont pas disponibles publiquement, et du code HTML généré par une machine à l’aide d’un traitement de
texte quelconque et dans le seul but de la génération d’un format de sortie.
La « Page de titre » désigne, pour les ouvrages imprimés, la page de titre elle-même, ainsi que les pages
supplémentaires nécessaires pour fournir clairement les informations dont cette Licence impose la présence
sur la page de titre. Pour les travaux n’ayant pas de Page de titre comme décrit ci-dessus, la « Page de titre »
désigne le texte qui s’apparente le plus au titre du document et situé avant le texte principal.
2. COPIES CONFORMES
Vous pouvez copier et distribuer le Document sur tout type de support, commercialement ou non, à condition
que cette Licence, la notice de copyright et la notice de la Licence indiquant que cette Licence s’applique
à ce Document soient reproduits dans toutes les copies, et que vous n’y ajoutiez aucune condition restrictive
supplémentaire. Vous ne pouvez pas utiliser un quelconque moyen technique visant à empêcher ou à contrôler
la lecture ou la reproduction ultérieure des copies que vous avez créées ou distribuées. Toutefois, vous pouvez
solliciter une rétribution en échange des copies. Si vous distribuez une grande quantité de copies, référez-vous
aux dispositions de la section 3.
Vous pouvez également prêter des copies, sous les mêmes conditions que celles précitées, et vous pouvez
afficher publiquement des copies de ce Document.
3. COPIES EN NOMBRE
Si vous publiez des copies imprimées de ce Document à plus de 100 exemplaires, et que la Licence du Do-
cument indique la présence de Textes de couverture, vous devez fournir une couverture pour chaque copie,
qui présente les Textes de couverture des première et dernière pages de couverture du Document. Les pre-
mière et dernière pages de couverture doivent également vous identifier clairement et sans ambiguïté comme
étant l’éditeur de ces copies. La première page de couverture doit comporter le titre du Document en mots
d’importance et de visibilité égale. Vous pouvez ajouter des informations complémentaires sur les pages de
couverture. Les copies du Document dont seules la couverture a été modifiée peuvent être considérées comme
des copies conformes, à condition que le titre du Document soit préservé et que les conditions indiquées pré-
cédemment soient respectées.
Si les textes devant se trouver sur la couverture sont trop importants pour y tenir de manière claire, vous
pouvez ne placer que les premiers sur la première page et placer les suivantes sur les pages consécutives.
Si vous publiez plus de 100 Copies opaques du Document, vous devez soit fournir une Copie transparente
pour chaque Copie opaque, soit préciser ou fournir avec chaque Copie opaque une adresse réseau publique-
ment accessible d’une Copie transparente et complète du Document, sans aucun ajout ou modification, et à
laquelle tout le monde peut accéder en téléchargement anonyme et sans frais, selon des protocoles réseau com-
muns et standards. Si vous choisissez cette dernière option, vous devez prendre les dispositions nécessaires,
dans la limite du raisonnable, afin de garantir l’accès non restrictif à la Copie transparente durant une année
pleine après la diffusion publique de la dernière Copie opaque (directement ou via vos revendeurs).
Nous recommandons, mais ce n’est pas obligatoire, que vous contactiez l’auteur du Document suffisamment
tôt avant toute publication d’un grand nombre de copies, afin de lui permettre de vous donner une version à
jour du Document.
202
Annexe C. Licence de documentation libre GNU
4. MODIFICATIONS
Vous pouvez copier et distribuer une Version modifiée du Document en respectant les conditions des sections
2 et 3 précédentes, à condition de placer cette Version modifiée sous la présente Licence, dans laquelle le
terme « Document » doit être remplacé par les termes « Version modifiée », donnant ainsi l’autorisation de
redistribuer et de modifier cette Version modifiée à quiconque en possède une copie. De plus, vous devez
effectuer les actions suivantes dans la Version modifiée :
A. Utiliser sur la Page de titre (et sur les pages de couverture éventuellement présentes) un titre distinct
de celui du Document d’origine et de toutes ses versions antérieures (qui, si elles existent, doivent être
mentionnées dans la section « Historique » du Document). Vous pouvez utiliser le même titre si l’éditeur
d’origine vous en a donné expressément la permission.
B. Mentionner sur la Page de titre en tant qu’auteurs une ou plusieurs des personnes ou entités responsables
des modifications de la Version modifiée, avec au moins les cinq principaux auteurs du Document (ou
tous les auteurs si il y en a moins de cinq).
C. Préciser sur la Page de titre le nom de l’éditeur de la Version modifiée, en tant qu’éditeur du Document.
D. Préserver intégralement toutes les notices de copyright du Document.
E. Ajouter une notice de copyright adjacente aux autres notices pour vos propres modifications.
F. Inclure immédiatement après les notices de copyright une notice donnant à quiconque l’autorisation
d’utiliser la Version modifiée selon les termes de cette Licence, sous la forme présentée dans l’annexe
indiqué ci-dessous.
G. Préserver dans cette notice la liste complète des Sections inaltérables et les Textes de couverture donnés
avec la notice de la Licence du Document.
H. Inclure une copie non modifiée de cette Licence.
I. Préserver la section nommée « Historique » et son titre, et y ajouter une nouvelle entrée décrivant le titre,
l’année, les nouveaux auteurs et l’éditeur de la Version modifiée, tels que décrits sur la Page de titre, ainsi
qu’un descriptif des modifications apportées depuis la précédente version.
J. Conserver l’adresse réseau éventuellement indiquée dans le Document permettant à quiconque d’accéder
à une Copie transparente du Document, ainsi que les adresses réseau indiquées dans le Document pour
les versions précédentes sur lesquelles le Document se base. Ces liens peuvent être placées dans la section
« Historique ». Vous pouvez ne pas conserver les liens pour un travail datant de plus de quatre ans avant
la version courante, ou si l’éditeur d’origine vous en accorde la permission.
K. Si une section « Dédicaces » ou une section « Remerciements » sont présentes, les informations et les appré-
ciations concernant les contributeurs et les personnes auxquelles s’adressent ces remerciements doivent
être conservées, ainsi que le titre de ces sections.
L. Conserver sans modification les Sections inaltérables du Document, ni dans leurs textes, ni dans leurs
titres. Les numéros de sections ne sont pas considérés comme faisant partie du texte des sections.
M. Effacer toute section intitulée « Approbations ». Une telle section ne peut pas être incluse dans une Version
modifiée.
N. Ne pas renommer une section existante sous le titre « Approbations » ou sous un autre titre entrant en
conflit avec le titre d’une Section inaltérable.
Si la Version modifiée contient de nouvelles sections préliminaires ou de nouvelles annexes considérées
comme des Sections secondaires, et que celles-ci ne contiennent aucun élément copié depuis le Document,
vous pouvez à votre convenance en désigner une ou plusieurs comme étant des Sections inaltérables. Pour
ce faire, ajoutez leurs titres dans la liste des Sections inaltérables au sein de la notice de Licence de la Version
modifiée. Ces titres doivent êtres distincts des titres des autres sections.
Vous pouvez ajouter une section nommée « Approbations », à condition que ces approbations ne concernent
que les modifications ayant donné naissance à la Version modifiée (par exemple, comptes-rendus de revue
de document, ou acceptation du texte par une organisation le reconnaissant comme étant la définition d’un
standard).
Vous pouvez ajouter un passage comprenant jusqu’à cinq mots en première page de couverture, et jusqu’à
vingt-cinq mots en dernière page de couverture, à la liste des Textes de couverture de la Version modifiée.
Il n’est autorisé d’ajouter qu’un seul passage en première et en dernière page de couverture par personne
ou groupe de personnes ou organisation ayant contribué à la modification du Document. Si le Document
203
Annexe C. Licence de documentation libre GNU
comporte déjà un passage sur la même couverture, ajouté en votre nom ou au nom de l’organisation au nom
de laquelle vous agissez, vous ne pouvez pas ajouter de passage supplémentaire ; mais vous pouvez remplacer
un ancien passage si vous avez expressément obtenu l’autorisation de l’éditeur de celui-ci.
Cette Licence ne vous donne pas le droit d’utiliser le nom des auteurs et des éditeurs de ce Document à des
fins publicitaires ou pour prétendre à l’approbation d’une Version modifiée.
5. FUSION DE DOCUMENTS
Vous pouvez fusionner le Document avec d’autres documents soumis à cette Licence, suivant les spécifications
de la section 4 pour les Versions modifiées, à condition d’inclure dans le document résultant toutes les Sec-
tions inaltérables des documents originaux sans modification, et de toutes les lister dans la liste des Sections
inaltérables de la notice de Licence du document résultant de la fusion.
Le document résultant de la fusion n’a besoin que d’une seule copie de cette Licence, et les Sections inaltérables
existant en multiples exemplaires peuvent être remplacées par une copie unique. S’il existe plusieurs Sections
inaltérables portant le même nom mais de contenu différent, rendez unique le titre de chaque section en
ajoutant, à la fin de celui-ci, entre parenthèses, le nom de l’auteur ou de l’éditeur d’origine, ou, à défaut, un
numéro unique. Les mêmes modifications doivent être réalisées dans la liste des Sections inaltérables de la
notice de Licence du document final.
Dans le document résultant de la fusion, vous devez rassembler en une seule toutes les sections « Historique »
des documents d’origine. De même, vous devez rassembler les sections « Remerciements » et « Dédicaces ».
Vous devez supprimer toutes les sections « Approbations ».
6. REGROUPEMENTS DE DOCUMENTS
Vous pouvez créer un regroupement de documents comprenant le Document et d’autres documents soumis à
cette Licence, et remplacer les copies individuelles de cette Licence des différents documents par une unique
copie incluse dans le regroupement de documents, à condition de respecter pour chacun de ces documents
l’ensemble des règles de cette Licence concernant les copies conformes.
Vous pouvez extraire un document d’un tel regroupement, et le distribuer individuellement sous couvert de
cette Licence, à condition d’y inclure une copie de cette Licence et d’en l’ensemble des règles concernant les
copies conformes.
8. TRADUCTION
La traduction est considérée comme une forme de modification, vous pouvez donc distribuer les traductions
du Document selon les termes de la section 4. Vous devez obtenir l’autorisation spéciale des auteurs des Sec-
tions inaltérables pour les remplacer par des traductions, mais vous pouvez inclure les traductions des Sec-
tions inaltérables en plus des textes originaux. Vous pouvez inclure une traduction de cette Licence à condition
d’inclure également la version originale en anglais. En cas de contradiction entre la traduction et la version
originale en anglais, c’est cette dernière qui prévaut.
204
Annexe C. Licence de documentation libre GNU
9. CADUCITÉ
Vous ne pouvez pas copier, modifier, sous-licencier ou distribuer le Document autrement que selon les termes
de cette Licence. Toute autre acte de copie, modification, sous-licence ou distribution du Document est sans
objet et vous prive automatiquement des droits que cette Licence vous accorde. En revanche, les personnes
qui ont reçu de votre part des copies ou les droits sur le document sous couvert de cette Licence ne voient pas
leurs droits caducs tant qu’elles en respectent les principes.
Copyright (c) ANNÉE VOTRE NOM Permission vous est donnée de copier, distribuer et/ou modifier ce document
selon les termes de la Licence GNU Free Documentation License, Version 1.1 ou ultérieure publiée par la Free Software
Foundation ; avec les sections inaltérables suivantes :
Une copie de cette Licence est incluse dans la section appelée GNU Free Documentation License de ce document.
Si votre Document ne comporte pas de section inaltérable, de textes de première et dernière pages de couver-
ture, veuillez insérer les mentions suivantes dans les sections adéquates :
205
Annexe C. Licence de documentation libre GNU
206