Dpartement dInformatique

Facult des Sciences

Universit Mohammed Premier
Oujda

Administration Rseaux

Filire : SMI
Semestre : 6

Pr. Abdelhak LAKHOUAJA

a.lakhouaja@ump.ma
http:
//lakhouaja.oujda-nlp-team.net/teaching/bachlor-level/administration-reseaux

Anne universitaire 2015/2016

Table des matires

Bibliographie

1 Introduction

1.1

Outils systmes et rseaux de base . . . . . . . . . . . . . . . . . . . . . . .

1.2

Netstat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1.3

Wireshark . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2 Serveurs web
2.1

2.2
2.3

Protocole HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2.1.1

Pourquoi utiliser HTTP ?

. . . . . . . . . . . . . . . . . . . . . . . . . .

2.1.2

Fonctionnement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2.1.3

Code de retour . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2.1.4

Mthodes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2.1.5

Requte HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2.1.6

Rponse HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Serveurs Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2.2.1

Serveurs Web en ligne 2015 . . . . . . . . . . . . . . . . . . . . . . . . .

Serveur web apache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2.3.1

Gnralits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2.3.2

Installation minimale . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2.3.3

Vrification de linstallation . . . . . . . . . . . . . . . . . . . . . . . . .

2.3.4

Fichiers et rpertoires de configuration . . . . . . . . . . . . . . . . . . .

2.3.5

Activer/dsactiver un module . . . . . . . . . . . . . . . . . . . . . . . .

2.3.6

Activer/dsactiver un site . . . . . . . . . . . . . . . . . . . . . . . . . .

2.3.7

Configuration de base

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

2.3.8

Sites virtuelles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2.3.9

Configuration de deux sites virtuels par nom . . . . . . . . . . . . . . . . 10

2.3.10 Sites virtuels par adresse IP . . . . . . . . . . . . . . . . . . . . . . . . . 11

i

2.4

Scuriser apache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

3 Php et MySQL
3.1

3.2

13

PHP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
3.1.1

Vrification de linstallation . . . . . . . . . . . . . . . . . . . . . . . . . 13

3.1.2

Utilisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

MySQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
3.2.1

Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

3.2.2

Documentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

3.2.3

Oubli du mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

3.2.4

Utilisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

3.3

Utilisation de MySQL avec Php . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

3.4

PhpMyAdmin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

4 Serveur DHCP

18

4.1

Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

4.2

Installation du serveur isc-dhcp-server . . . . . . . . . . . . . . . . . . . . . . . . 19

4.3

Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

4.4

4.3.1

Interface(s) dcoute(s) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

4.3.2

Configuration du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

4.3.3

Redmarrage du serveur DHCP . . . . . . . . . . . . . . . . . . . . . . . 21

Fonctionnement de DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

5 ftp et ssh

23

5.1

Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

5.2

ftp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

5.3

5.2.1

Configuration de la connexion anonyme . . . . . . . . . . . . . . . . . . . 23

5.2.2

Configuration de la connexion authentifie . . . . . . . . . . . . . . . . . 24

5.2.3

Connexion partir dun client . . . . . . . . . . . . . . . . . . . . . . . . 24

ssh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
5.3.1

Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

5.3.2

Connexion partir dun client Linux . . . . . . . . . . . . . . . . . . . . 26

5.3.3

Connexion partir dun client Windows . . . . . . . . . . . . . . . . . . 26

5.3.4

Copie vers le serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

6 Partage de dossiers et dimprimantes

28

ii

6.1

Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

6.2

Le protocole NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

6.3

Ct serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
6.3.1

6.4

Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

Ct client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
6.4.1

Montage au dmarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

6.5

NFS et la Scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

6.6

Le protocole SAMBA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
6.6.1

Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

6.6.2

Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

6.6.3

Les principaux paramtres de smb.conf . . . . . . . . . . . . . . . . . . . 31

6.6.4

La section globale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

6.6.5

Le rpertoire personnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

6.6.6

Rendre un rpertoire public . . . . . . . . . . . . . . . . . . . . . . . . . 33

6.6.7

Utilitaires SAMBA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

6.6.8

Ajout dun utilisateur samba . . . . . . . . . . . . . . . . . . . . . . . . . 34

6.6.9

Problme de connexion avec Windwos . . . . . . . . . . . . . . . . . . . 34

6.6.10 Connexion partir dun client Linux . . . . . . . . . . . . . . . . . . . . 34

7 Domain Name Service (DNS)
Service de Nom de domaines

35

7.1

Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

7.2

Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

7.3

Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
7.3.1

Commentaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

7.4

Configuration comme serveur principale . . . . . . . . . . . . . . . . . . . . . . . 36

7.5

Ct client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

7.6

7.5.1

Vrification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

7.5.2

nslookup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

7.5.3

Fichier de la zone inverse (Reverse Zone) . . . . . . . . . . . . . . . . . . 38

Configuration dun serveur secondaire . . . . . . . . . . . . . . . . . . . . . . . . 39

8 Scurit

41

8.1

Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

8.2

Authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
8.2.1

Profile des utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

iii

8.2.2

Mots de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

8.3

Les Firewall (Pare Feu) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

8.4

iptables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
8.4.1

Initialisation des tables . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

8.4.2

Blocage des tables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

8.4.3

Test de sortie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

8.4.4

Test dentre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

8.4.5

Test vers la boucle locale . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

8.4.6

Examen de la table Filter . . . . . . . . . . . . . . . . . . . . . . . . . . 44

8.4.7

Autorisation de la boucle locale . . . . . . . . . . . . . . . . . . . . . . . 44

8.4.8

Autoriser le trafic dune connexion dj tablie . . . . . . . . . . . . . . . 45

8.4.9

Ouverture de quelques ports/services . . . . . . . . . . . . . . . . . . . . 45

9 Commandes CISCO de base

46

9.1

Configuration du nom dhte IOS . . . . . . . . . . . . . . . . . . . . . . . . . . 46

9.2

Mots de Passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

9.3

9.2.1

Mot de passe de console . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

9.2.2

Mots de passe enable et enable secret . . . . . . . . . . . . . . . . . . . . 47

9.2.3

Chiffrement de laffichage des mots de passe . . . . . . . . . . . . . . . . 47

Configuration des interfaces Ethernet dun routeur . . . . . . . . . . . . . . . . . 48

9.3.1

9.4

Routage statique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
9.4.1

9.5

Activation de linterface . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Commande ip route . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

Routage dynamique (RIPv1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

9.5.1

Activation du protocole RIP . . . . . . . . . . . . . . . . . . . . . . . . . 49

9.5.2

Table de routage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

iv

Bibliographie
[1] Documentation SAMBA
Franais http: // doc. ubuntu-fr. org/ samba
Anglais https: // www. samba. org/ samba/ docs/
[2] Site officiel de wireshark https: // www. wireshark. org
[3] Christopher D. Manning, Prabhakar Raghavan, and Hinrich Schtze. Introduction to
Information Retrieval. Cambridge University Press, New York, NY, USA, 2009.
http://www-nlp.stanford.edu/IR-book/
[4] Cdric Pruski. Une approche adaptative pour la recherche dinformation sur le Web.
Theses, Universit Paris Sud - Paris XI ; universit du Luxembourg, April 2009.
[5] Ian H. Witten, Marco Gori, and Teresa Numerico. Web Dragons : Inside the Myths of
Search Engine Technology. Morgan Kaufmann Publishers Inc., San Francisco, CA, USA,
2007.
[6] A Little History of the World Wide Web. http://www.w3.org/History.html
[7] comScore Releases November 2014 U.S. Desktop Search Engine Rankings. http://www.
comscore.com/Insights/Market-Rankings/comScore-Releases-November-2014-U.
S.-Desktop-Search-Engine-Rankings

Chapitre 1
Introduction
1.1

Outils systmes et rseaux de base

ifconfig/ipconfig : pour configurer une interface rseau ou afficher les informations

concernant les interfaces rseaux (dj utiliss en S5).
route : pour afficher/modifier la table de routage.
ping : pour tester la connexion entre deux machines.
host : cest un utilitaire simple de conversion de noms DNS en adresse IP (et vice versa) :
Exemple :
alkhalil: $ host www.ump.ma
www.ump.ma has address 196.200.156.5
nslookup : disponible sous Linux et sous Windows, comme la commande host, cette
commande permet dafficher ladresse IP dun nom DNS. Exemple :
alkhalil:~$ nslookup www.ump.ma
Server: 127.0.1.1
Address: 127.0.1.1#53
Non-authoritative answer:
Name: www.ump.ma
Address: 196.200.156.5
netstat
tcpdump/wireshark

1.2

Netstat

netstat -s | -a | -r | -n
Netstat fournit des statistiques sur les :
paquets mis ou reus
erreurs
collisions
protocoles utiliss
le nom et ltat des interfaces du systme
netstat i
1

 le contenu de la table de routage

netstat -r | n
ainsi que ltat de tous les sockets
netstat -a

1.3

Wireshark

Wireshark 1 est un outil danalyse des rseaux qui permet de capturer et danalyser les paquets
qui circulent sur le rseau. Il peut tre utilis pour captur les paquets qui circulent sur une
interface ou pour visualiser le contenu dun fichier qui contient des paquets capturs par un
autre utilitaire tel que tcpdump. Il est multi-plateforme, il fonctionne sous Linux, Windows,
MacOS, ...
Son interface se prsente comme suit :

Les colonnes se prsentent comme suit :

No. : reprsente le numro du paquet ;
Time : reprsente le temps de capture du paquet ;
Source : reprsente ladresse IP ou MAC de la source ;
Destination : reprsente ladresse IP ou MAC destination ;
Protocol : reprsente le type du protocole captur ;
Length : reprsente la taille du paquet (en octets) ;
Info : reprsente une brve information concernant le paquet.
Remarque : sous Linux, comme pour la commande tcpdumd, wireshark ne peut pas tre
utilis pour captur des donnes en mode simple utilisateur. Pour capturer des donnes il faut
passer en mode administrateur.
1. Site officiel : https://www.wireshark.org/

Linterface est dcoup en trois zones :

1. Zone suprieure : contient lensemble des paquets capturs (figure suivante :)

2. Zone centrale : affiche les dtails dun paquet slectionn sous forme de couches (figure
suivante :)

3. Zone infrieure : prsente le paquet sous format octale et ASCII (figure suivante :)

Filtres
Il est possible de ne pas afficher tous les paquets on les filtrant. Par exemple, on peut afficher
juste les paquets http, en tapant http dans la zone Filter :. Il est possible aussi dutiliser des
expressions.
Exemples :
Filtre/expression
tcp
ip.src==192.168.1.2
ip.dst==192.168.1.1 && http
ip && !udp

Signification
afficher seulement les paquets TCP
afficher seulement les paquets qui sortent de 192.168.1.2
afficher les paquets HTTP qui partent vers 192.168.1.2
afficher les paquets IP mais nafficher pas les paquets UDP

Chapitre 2
Serveurs web
2.1

Protocole HTTP

Le protocole HTTP (HyperText Transfer Protocol) est le protocole de transport de donnes le

plus utilis sur Internet depuis 1990. La version 0.9 tait uniquement destine transfrer des
donnes sur Internet (en particulier des pages Web crites en HTML. La version 1.0 du protocole
(la plus utilise) permet dsormais de transfrer des messages avec des en-ttes dcrivant le
contenu du message.
Le but du protocole HTTP est de permettre un transfert de fichiers entre un navigateur (le
client) et un serveur Web.

2.1.1

Pourquoi utiliser HTTP ?

HTTP est devenu le protocole de communication de lInternet. Il :

est disponible sur toutes les plates-formes ;
est simple. Ne require que peu de support pour fonctionner correctement ;
offre un niveau de scurit simple et efficace ;
est utilisable travers des pare-feu.

2.1.2

Fonctionnement

HTTP fonctionne selon le schma classique client/serveur :

connexion du client vers le serveur ;
demande dune information via une mthode ;
renvoi de linformation ou une erreur ;
dconnexion.

2.1.3

Code de retour

1xx : Information
2xx : Succs (par exemple : 200 ok).
3xx : Redirection.
4

4xx : Erreurs (par exemple : 404 Not Found).

5xx : Erreurs venant du serveur HTTP (par exemple : 501 Not Implemented).
On verra en TP plus de codes de retours.

2.1.4

Mthodes

Les mthodes HTTP sont les suivantes :

GET : demande de la ressource situe lURL spcifie ;
HEAD : demande de len-tte de la ressource situe lURL spcifie ;
POST : envoi de donnes au programme situ lURL spcifie ;
PUT : envoi de donnes lURL spcifie ;
DELETE : suppression de la ressource situe lURL spcifie.

2.1.5

Requte HTTP

Une requte HTTP est un ensemble de lignes envoy au serveur par le navigateur. Elle comprend :
une ligne de requte prcise la mthode qui doit tre applique, et la version du protocole
utilise. La ligne comprend trois lments devant tre spars par un espace :
la mthode ;
lURL ;
la version du protocole utilis par le client (gnralement HTTP/1.0) ;
Exemple :
GET / HTTP/1.0
les champs den-tte de la requte : il sagit dun ensemble de lignes facultatives permettant de donner des informations supplmentaires sur la requte et/ou le client (Navigateur, systme dexploitation, ...).

2.1.6

Rponse HTTP

Une rponse HTTP est un ensemble de lignes envoyes au navigateur par le serveur. Elle
comprend :
Une ligne de statut : cest une ligne prcisant la version du protocole utilis et ltat du
traitement de la requte laide dun code et dun texte explicatif. La ligne comprend
trois lments devant tre spars par un espace :
La version du protocole utilis
Le code de statut
La signification du code
Les champs den-tte de la rponse : il sagit dun ensemble de lignes facultatives permettant de donner des informations supplmentaires sur la rponse et/ou le serveur.
Chacune de ces lignes est compose dun nom qualifiant le type den-tte, suivi de deux
points ( :) et de la valeur de len-tte
Le corps de la rponse : il contient le document demand
5

2.2

Serveurs Web

Principaux serveurs :
Apache
Microsoft : Internet Information Server (IIS)
nginx
gws (Google Web Server)

2.2.1

Serveurs Web en ligne 2015

Daprs Netcraft 1 , le serveur apache est toujours les serveur web le plus utilis (voir figure
suivante).

Le tableau suivant, montre la part du march des principaux fournisseurs de serveurs web (selon
netcraft).
Dveloppeur
Apache
Microsoft
nginx
Google

12/2014
358 159 405
272 967 294
132 467 763
20 011 260

Pourcentage
39,11%
29,81%
14,47%
2,19%

1. http://survey.netcraft.com

01/2015
348 460 753
241 276 347
128 083 920
20 209 649

Pourcentage
39,74%
27,52%
14,61%
2,30%

Changement
0,63
-2,29
0,14
0,12

2.3
2.3.1

Serveur web apache

Gnralits

Comme on la vu dans la section prcdente, apache 2 est le serveur web le plus populaire sur
Internet. Il est robuste et extensible. Il est distribu sous une licence "Open source" (Licence
Apache).
Il est disponible sur plusieurs plateformes (Linux,windows, ... )

2.3.2

Installation minimale

Une installation minimale peut tre faite en ligne de commande de la faon suivante :
#sudo apt-get install apache2

2.3.3

Vrification de linstallation

Pour vrifier linstallation, il suffit dutiliser un navigateur web.

2.3.4

Fichiers et rpertoires de configuration

Les fichiers et rpertoires de configuration dapache se trouvent dans le rpertoire /etc/apache2.

apache2.conf : fichier de configuration principale.
envars : contient les variables denvironnement propres apache.
conf-available/ : contient des fichiers de configuration additionnels disponibles.
2. Site officiel : http://httpd.apache.org/

conf-enabled/ : contient des fichiers de configuration activs. Il sont utiliss dans apache2.conf
par la ligne :
IncludeOptional conf-enabled/*.conf
ports.conf : directives de configuration pour les ports et les adresses IP dcoutes.
mods-available/ : contient une srie de fichiers .load et .conf. Un fichier .load contient les
paramtres de configuration ncessaires pour charger un module en question. Le fichier
.conf correspondant, les paramtres de configuration ncessaires pour utiliser le module
en question.
mods-enabled/ : pour utiliser un module (activer), il faut mettre un lien symbolique vers le
fichier .load (et .conf, sil existe) du module associ dans le dossier mods-available.
sites-available/ : mme chose que modsavailable/, mais cette fois pour les sites virtuels. Ce
nest pas oblig davoir le mme nom pour le site et le fichier.
sites-enabled/ : mme chose que modsenabled/.
magic : instructions pour dterminer le type MIME dun fichier (Multipurpose Internet
Mail Extensions - Extensions Multi-usages de la Messagerie par Internet). Par exemple
text/html et image/gif.

Remarque :
Par dfaut, un seul serveur est disponible (le serveur par dfaut). Il est disponible dans apache2.conf
par la ligne :
IncludeOptional sites-enabled/*.conf

2.3.5

Activer/dsactiver un module

Les commandes a2enmod et a2dismod sont disponibles pour activer ou dsactiver un module.

Exemple : pages web personnelles

Pour permettre aux utilisateurs davoir leurs propres pages web disponibles via un lien de type :
http://NomSite/~utilisateur
http://localhost/~smi
On tape la commande
#a2enmod userdir
Il faut ensuite redmarrer apache en tapant la commande :
#service apache2 restart

Exemple dune page personnelle :

Dans le rpertoire personnelle de lutilisateur smi, il faut crer le rpertoire public_html avec
les droits -rwxr-xr-x et mettre dedans le fichier index.html, avec les droits -rwxr--r--.

2.3.6

Activer/dsactiver un site

Les commandes a2ensite et a2dissite sont disponibles pour activer ou dsactiver un site. On
verra leurs utilisation dans les sections suivantes.

2.3.7

Configuration de base

Avant de commencer la configuration, il faut faire une sauvegarde des fichiers que vous voulez
modifier. Par exemple :
#cp apache2.conf apache2.conf.save
Port couter (ports.conf) :
Listen 80
Emplacement par dfaut des pages html : /var/www/html
mettre les fichiers concernant le site web dans ce rpertoire.
Pages par dfaut (mods-enabled/dir.conf ) :
DirectoryIndex index.html index.cgi index.pl index.php index.xhtml index.htm

2.3.8

Sites virtuelles

Apache permet de grer plusieurs sites web. Chaque site est appel serveur virtuel et possde
sa propre configuration.
Il y a deux types de serveurs virtuels :
Serveurs par nom ; les mmes sites utilisent la mme adresse IP. Par exemple :
IP
Nom
192.168.56.2 smi.ump.ma
192.168.56.2 sma.ump.ma
Serveurs par adresse IP ; chaque site utilise sa propre adresse IP. Par exemple :
IP
Nom
192.168.56.2
smi.ump.ma
192.168.56.10 sma.ump.ma

2.3.9

Configuration de deux sites virtuels par nom

Dans cette exemple, nous allons configurer deux sites virtuels, le premier smi.ump.ma et le
deuxime sma.ump.ma. Les deux sites utilisent la mme adresse IP 192.168.56.2.
Il faut dclarer les deux noms dans le fichier /etc/hosts :
192.168.56.2
192.168.56.2

smi . ump . ma
sma . ump . ma

www. smi . ump . ma

www. sma . ump . ma

On pourra utiliser un serveur DNS pour dclarer les noms (voir chapitre concernant le DNS).
Il faut crer les rpertoires smi et sma associs dans /var/www/html :
# mkdir /var/www/html/smi
# mkdir /var/www/html/sma
Dans /etc/apache2/sites-available/, il faut crer deux fichiers : smi.conf et sma.conf

Contenu du fichier smi.conf

<V i r t u a l H o s t :80 >
DocumentRoot / var /www/ html / smi
ServerName smi . ump . ma
S e r v e r A l i a s www. smi . ump . ma
</V i r t u a l H o s t >
Avec :
DocumentRoot : emplacement par dfaut des pages html ;
ServerName : nom du serveur virtuel ;
ServerAlias : autre nom (alias) du serveur virtuel.

Contenu du fichier sma.conf

<V i r t u a l H o s t :80 >
DocumentRoot / var /www/ html /sma
ServerName sma . ump . ma
S e r v e r A l i a s www. sma . ump . ma
</V i r t u a l H o s t >

Activation des deux sites

Il faut activer les deux sites en tapant les commandes :

10

# a2ensite smi
# a2ensite sma
Aprs lactivation, il faut recharger le serveur apache en tapant la commande
# service apache2 reload
Les deux sites seront accessibles via les liens :
http://smi.ump.ma ou http://www.smi.ump.ma
http://sma.ump.ma ou http://www.sma.ump.ma

2.3.10

Sites virtuels par adresse IP

Dans cette exemple, nous allons configurer un nouveau site virtuel smp.ump.ma, qui utilise
une adresse IP diffrente.
Dans cette exemple, la machine doit tre muni, soit de plusieurs interfaces rseaux soit de
plusieurs adresses IP associes la mme interface rseau (on parle dIP aliasing).

IP aliasing
Pour affecter une seconde adresse IP une interface rseau, il faut excuter la commande :
# ifconfig eth0:0 192.168.56.10 up
Remplacez eth0 par une autre interface (par exemple eth1).
Linterface dispose, maintenant, de deux adresses distinctes :
Adresse IP :192.168.56.2
Alias IP : 192.168.56.10
A vrifier avec la commande :
# ifconfig
Pour rendre cette configuration permanente, il faut ajouter les lignes suivantes au fichier
/etc/network/interfaces :
auto eth0 : 0
i f a c e eth0 : 0 i n e t s t a t i c
address 192.168.56.10
netmask 2 5 5 . 2 5 5 . 2 5 5 . 0
Remarque : on peut ajouter autant dinterfaces quon veut (eth0:1, eth0:2 ...).

Configuration du site virtuel

Il faut ajouter au fichier /etc/hosts, les lignes suivantes :
192.168.56.10
192.168.56.10

smp . ump . ma
www. smp . ump . ma
11

Il faut crer le rpertoire smp associ dans /var/www/html :

# mkdir /var/www/html/smp
Dans /etc/apache2/sites-available/, il faut crer le fichier : smp.conf

Contenu du fichier smp.conf

<V i r t u a l H o s t 1 9 2 . 1 6 8 . 5 6 . 1 0 : 8 0 >
DocumentRoot / var /www/ html /smp
ServerName smp . ump . ma
S e r v e r A l i a s www. smp . ump . ma
</V i r t u a l H o s t >

Activation du nouveau site

Il faut activer le site en tapant la commande :
# a2ensite smp
Aprs lactivation, il faut recharger le serveur apache en tapant la commande
# service apache2 reload
Le nouveau site sera accessible via les liens :
http://smp.ump.ma ou http://www.smp.ump.ma

2.4

Scuriser apache

Apache est trs modulaire. Dans le chapitre suivant, on verra un module concernant php. Dans
cette section, on va utiliser un module important dans laspect scurit. Le module mod_ssl
ajoute la possibilit de crypter les communications entre le client et le serveur.
Le mode mod_ssl se trouve dans le package apache2-common. Pour lactiver, il faut taper
la commande :
sudo a2enmod ssl
suivie de la commande
sudo service apache2 restart
Aprs lactivation, il faut utiliser le prfixe https :// devant ladresse du serveur dans la barre
du navigateur (par exemple : https://192.168.56.2/).
Remarque : dans le chapitre prcdent, on a vu que le site officiel de wireshark (https:
//www.wireshark.org) utilise une connexion scuris.

12

Chapitre 3
Php et MySQL
3.1

PHP

PHP est un Langage de script interprt (non compil) spcialement conu pour le dveloppement dapplications web. Il peut tre intgr facilement au HTML 1 .
Pour installer la version 5 de PHP, il faut excuter la commande :
# sudo apt-get install php5 libapache2-mod-php5
Il faut ensuite redmarrer apache :
# sudo service apache2 restart

3.1.1

Vrification de linstallation

Dans le rpertoire /var/www/html, crez le script info.php :

<?php
phpinfo ( ) ;
?>
Dans votre navigateur, tapez ladresse http://localhost/info.php ; remplacez localhost
par ladresse du serveur, par exemple 192.168.56.2, il fournira un ensemble dinformations et
de paramtres de configuration.
Dans le figure suivante, nous donnons le rsultat de lexcution du script info.php.
1. voir php.net

13

3.1.2

Utilisation

Lutilisation de php sort du cadre de ce cours, il concerne le cours Technologie du web .

La documentation complte est disponible sur le site php.net. Il existe aussi plusieurs livres
concernant php.

3.2

MySQL

MySQL est un systme de gestion de bases de donnes relationnel (SGBDR) libre, open-source
et gratuit. Il est performant et trs populaire. Il est multi-utilisateurs.

3.2.1

Installation

Pour linstaller, il faut taper la commande :

# sudo apt-get install mysql-server
Durant linstallation, vous devez saisir le mot de passe de ladministrateur (root) de MySQL.
Il a le mme nom que ladministrateur Linux ( ne pas confondre les noms !)

14

3.2.2

Documentation

Pour plus dinformations sur MySQL, veuillez consulter les sites : http://www.mysql.com/
et http://dev.mysql.com/doc/. Il existe aussi plusieurs livres concernant lutilisation de
MySQL. Vous pouvez appliquer ce que vous avez vu dans le cours de Bases de donnes .

3.2.3

Oubli du mot de passe

Si vous avez oublier le mot de passe de root de MySQL, vous pouvez tablir un nouveau mot
passe en tapant la commande :
sudo dpkg-reconfigure mysql-server-5.5
Le dmon MySQL sera arrt et vous devez saisir un nouveau mot de passe. Aprs la saisie, le
dmon MySQL sera de nouveau dmarr.

3.2.4

Utilisation

Dans une console, tapez la commande :

mysql -u root -p
et tapez votre mot de passe.
Vous arriverez alors sur un prompt de type :
mysql>
Vous pouvez alors taper des requtes MySQL. Noubliez pas le point-virgule la fin de la
requte.
Par exemple, pour crer une base de donnes qui sappelle smi, tapez la requte :
mysql> create database smi;
Pour voir les bases de donnes, tapez la requte :
mysql> show databases;

3.3

Utilisation de MySQL avec Php

Pour utiliser MySQL avec Php, il faut installer le paquet php5-mysql. Pour installer php5mysql, il faut taper la commande :
sudo apt-get install php5-mysql
Aprs linstallation de php5-mysql, vous pouvez utiliser des applications web qui utilisent php
comme langage de programmation et peuvent accder MySQL. Dans la section suivante, nous
allons voir phpmyadmin qui est une application web crite en php et se connecte MySQL.

15

3.4

PhpMyAdmin

phpMyAdmin est une application crite en PHP trs utile pour ladministration de MySQL.
Elle est accessible via un navigateur. Pour linstaller, tapez la commande :
sudo apt-get install phpmyadmin
Pour son utilisation, saisissez ladresse http://localhost/phpmyadmin. Vous pouvez remplacer
localhost par ladresse de votre serveur. Dans le figure suivante, nous donnons la page de
connexion de phpmyadmin.

Dans le figure suivante, nous donnons la page daccueil de phpmyadmin.

16

17

Chapitre 4
Serveur DHCP
4.1

Introduction

Une adresse rseau peut tre configurer soit de manire statique ou dynamique :
Statique : lutilisateur configure lui mme ladresse IP de la machine.
Dynamique : la machine obtient ladresse grce un serveur DHCP.
Le serveur DHCP (Dynamic Host Configuration Protocol) est un protocole de configuration
dynamique de machines, il permet laffectation, de faon automatique, des paramtres rseaux
une machine.
En gnral, le serveur DHCP affecte un client :
ladresse IP ;
la passerelle par dfaut ;
les adresses IP des serveurs DNS.
Le serveur DHCP peut affecter aussi :
le nom de la machine ;
le nom du domaine ;
le serveur dimpression ;
le serveur de temps (qui donne le temps la machine).
Le serveur DHCP attribue les paramtres suivant deux mthodes :
automatique : pour une priode de temps, il affecte une adresse IP partir dun intervalle au
client. Si le client nest pas connect pour une certaine priode de temps, ladresse peut
tre affect une autre machine ;
fixe : en utilisant ladresse MAC dune machine, le serveur DHCP affecte toujours la mme
adresse IP la machine. Ceci pour assurer quune machine avec une cette adresse MAC,
reoive toujours la mme adresse IP.
Remarque : il ne faut pas confondre statique et fixe. Statique veut dire que cest lutilisateur
qui configure ladresse IP de sa machine.
Lavantage de lutilisation dun serveur DHCP est que toute changement dans les paramtres
rseaux se fera au niveau du serveur DHCP. Un autre avantage est la facilit dajout de nouvelles
machines dans e rseau.
On peut avoir des serveurs DHCP sous Linux et sous windows-server. Dans ce qui suit, nous
allons utiliser le serveur isc-dhcp-server.
18

4.2

Installation du serveur isc-dhcp-server

#sudo apt-get install isc-dhcp-server

Vous devez changer la configuration par dfaut, en modifiant les deux fichiers /etc/dhcp/dhcpd.conf
et /etc/default/isc-dhcp-server.

4.3

Configuration

Deux cas seront traits :

adresse fixe allou la machine web-smi ;
adresses dynamiques allous aux autres machines.
On suppose que le serveur dispose de trois interfaces rseaux :
eth0 : interface pour se connecter Internet ; adresse obtenue par dhcp partir dun
autre serveur DHCP ;
eth1 dont ladresse IP est : 192.168.1.1 ;
eth2 dont ladresse IP est : 192.168.10.1 ;

4.3.1

Interface(s) dcoute(s)

Si vous voulez que le serveur coute sur certaines interfaces vous devez les spcifier dans
/etc/default/isc-dhcp-server. Dans notre cas, le fichier doit contenir la ligne :
INTERFACES=" eth1 eth2 "
Lcoute se fera sur les interfaces eth1 et eth2.

4.3.2

Configuration du serveur

La configuration se fait dans le fichier /etc/dhcp/dhcpd.conf.

Les options sont dfinies de faon globale ou par rseau. Dans ce qui suit, nous allons voir un
exemple de configuration pour le cas trait.
Options gnrales
Dans lexemple suivant, on donnera les options communes aux diffrents reseaux.
# Nom du domaine DNS
o p t i o n domainname "ump . ma" ;
# Nom( s ) de ( s ) s e r v e u r ( s ) DNS
o p t i o n domainnames e r v e r s 1 9 2 . 1 6 8 . 1 0 0 . 1 0 , 1 9 2 . 1 6 8 . 1 0 . 1 1 ;
# Temps de r e n o u v e l l e m e n t des a d r e s s e s en s ( 1 h )
d e f a u l t l e a s e time 3 6 0 0 ;
19

# maximum ( 2 h )
maxl e a s e time 7 2 0 0 ;
# Mode a u t o r i t a i r e
# Estceque c e s e r v e u r DHCP e s t l e s e r v e u r p r i n c i p a l ?
authoritative ;
# Masque de sousr e s e a u
o p t i o n subnetmask 2 5 5 . 2 5 5 . 2 5 5 . 0 ;

Configuration du rseau 192.168.1.0

# d e c l a r a t i o n du s o u s r e s e a u 1 9 2 . 1 6 8 . 1 .
subnet 1 9 2 . 1 6 8 . 1 . 0 netmask 2 5 5 . 2 5 5 . 2 5 5 . 0 {
# A d r e s s e de d i f f u s i o n
o p t i o n b r o a d c a s t a d d r e s s 1 9 2 . 1 6 8 . 1 . 2 5 5 ;
# r o u t e u r par d e f a u t
option routers 1 9 2 . 1 6 8 . 1 . 1 ;

# i n t e r v a l l e des a d r e s s e s
r an g e 1 9 2 . 1 6 8 . 1 . 2 1 9 2 . 1 6 8 . 1 . 1 0 0 ;

Configuration du rseau 192.168.10.0

# d e c l a r a t i o n du s o u s r e s e a u 1 9 2 . 1 6 8 . 1 0 .
subnet 1 9 2 . 1 6 8 . 1 0 . 0 netmask 2 5 5 . 2 5 5 . 2 5 5 . 0 {
# s p e c i f i e r un domaine d i f f e r e n t de c e l u i par d e f a u t :
o p t i o n domainname " f s o . ump . ma" ;
# A d r e s s e de d i f f u s i o n
o p t i o n b r o a d c a s t a d d r e s s 1 9 2 . 1 6 8 . 1 0 . 2 5 5 ;
# r o u t e u r par d e f a u t
option routers 1 9 2 . 1 6 8 . 1 0 . 1 ;

# i n t e r v a l l e des a d r e s s e s
r an g e 1 9 2 . 1 6 8 . 1 0 . 2 0 1 9 2 . 1 6 8 . 1 0 . 2 0 0 ;

20

Configuration de la machine web-smi

h o s t websmi {
# a d r e s s e mac de l a c a r t e r e s e a u
# A r e m p l a c e r par c e l l e de l a machine
hardware e t h e r n e t 0 8 : 0 0 : 2 7 : A6 : C2 : 5 0 ;

# adresse attribue
f i x e d a d d r e s s 1 9 2 . 1 6 8 . 1 . 2 0 0 ;

Remarque : si le rseau 192.168.1.0, ne figure pas dans le fichier de configuration, il faut le

signaler de la faon suivante :
# A j o u t e r pour comprendre a t o p o l o g i e du r e s e a u
# Ne f o u r n i aucun s e r v i c e
subnet 1 9 2 . 1 6 8 . 1 . 0 netmask 2 5 5 . 2 5 5 . 2 5 5 . 0 {
}

4.3.3

Redmarrage du serveur DHCP

Aprs avoir chang les fichiers de configuration, il faut redmarrer le dmon dhcpd :
sudo service isc-dhcp-server restart

4.4

Fonctionnement de DHCP

La figure suivante, prsente une visualisation par wireshark dune capture de paquet lors de
laffectation dune adresse un client DHCP.

Source
0.0.0.0

Destination
255.255.255.255

192.168.1.1

192.168.1.2

Protocol Info
DHCP
DHCP Discover (utilise UDP)
Le client utilise ladresse 0.0.0.0 (hte inconnu) et envoi la demande toutes les machines du rseau.
ICMP
Echo (ping) request
Avant daffecter ladresse 192.168.1.2 au
client, le serveur DHCP sassure que cette
adresse nest pas utilis par une autre machine.
21

Source
192.168.1.1

Destination
192.168.1.2

Protocol Info
DHCP
DHCP Offer
Le serveur DHCP offre ladresse 192.168.1.2
au client.
0.0.0.0
255.255.255.255 DHCP
DHCP Request
Le client demande ladresse.
192.168.1.1
192.168.1.2
DHCP
DHCP ACK (acknowledgment - acquittement)
Le serveur envoi un accus dacceptation.
0e:e5:85:cc:fb:38 6e:5f:98:37:0c:07 ARP
Who has 192.168.1.2? Tell 192.168.1.1
Demande ARP de la part du serveur
6e:5f:98:37:0c:07 0e:e5:85:cc:fb:38 ARP
192.168.1.2 is at 6e:5f:98:37:0c:07
Rponse ARP

22

Chapitre 5
ftp et ssh
5.1

Introduction

FTP (File Transfer Protocol - Protocle pour le Transfert de Fichiers) est un protocole TCP qui
permet le tlchargement de fichiers partir dun serveur. Ce protocole nest pas scuris du
que lenvoie des donnes entre le client et le serveur nest pas crypt. Pour lopration inverse
(chargement) et pour plus de scurit, on peut utiliser ssh (Secure shell).

5.2

ftp

Il existe plusieurs serveurs ftp, tftpd, proftp, twoftpd, ...

ftp permet laccs de deux faons :
anonyme : laccs se fera au serveur via le nom dutilisateur par dfaut anonymous
ou ftp ;
authentifi : lutilisateur doit dispos sur le systme distant dun compte. Cette est
dconseill du fait que la connexion au serveur nest pas scurise.
Dans cette section, nous allons utiliser vsftpd qui est facile installer et maintenir. Pour
linstaller, tapez la commande :
sudo apt-get install vsftpd

5.2.1

Configuration de la connexion anonyme

Par dfaut, vsftpd nest pas configur pour autoris la connexion anonyme. Pour lautorise,
modifiez le fichier /etc/vsftpd.conf en changeant la ligne :
anonymous_enable=YES
Par dfaut, la valeur tait NO. Aprs cette modification, il faut redmarrer le serveur ftp en
tapant la commande :
sudo restart vsftpd
Durant linstallation, lutilisateur ftp avec le rpertoire personnel /srv/ftp seront crs. Les
fichiers qui seront visibles par connexion ftp anonyme doivent tre mises dans ce rpertoire.
23

La commande :
tail -n1 /etc/passwd
Fournira le rsultat :
ftp:x:111:119:ftp daemon,:/srv/ftp:/bin/false

5.2.2

Configuration de la connexion authentifie

Par dfaut, vsftpd est configur pour autoris les utilisateurs authentifis tlcharger des
fichiers. Il nautorise ni le chargement de fichiers ni la cration de rpertoires. Pour autoriser le
chargement de fichiers et la cration de rpertoires, il faut diter le fichier /etc/vsftpd.conf
et enlever le commentaire la ligne :
#write_enable=YES
pour devenir :
write_enable=YES
Aprs, il faut redmarrer le serveur vsftpd en tapant la commande :
sudo restart vsftpd

Remarque
Pour dautres options, consulter le manuel du fichier vsftpd.conf :
man vsftpd.conf

5.2.3

Connexion partir dun client

On peut se connecter un serveur ftp, soit partir dun :

terminal ;
navigateur.

Connexion partir dun terminal

Pour se connecter partir dun terminal, il faut taper la commande :
ftp 192.168.56.2
Changez 192.168.56.2 par ladresse ou le nom de votre serveur.
En validant la commande, vous obtiendrez :
Connected to 192.168.56.2.
220 (vsFTPd 3.0.2)
Name (192.168.56.2:lakhouaja): ftp
331 Please specify the password.
Password:
230 Login successful.
24

Remote system type is UNIX.

Using binary mode to transfer files.
ftp>
Pour fermer la connexion, tapez quit ou exit dans linvite de commandes de ftp. Pour plus de
commandes, tapez dans linvite help ou ? . Pour laide sur une commande, tapez : ? commande (par exemple : ftp> ? get). Vous pouvez aussi utiliser le manuel en ligne de ftp :
man ftp.
Pour une connexion :
anonyme, tapez ftp ou anonymous aprs : de Name ; pour le mot de passe, il faut juste
valider par la touche Entre ;
authentifi, tapez votre nom de connexion aprs : de Name et saisissez votre mot de
passe.

Connexion partir dun navigateur

Vous pouvez vous connecter au serveur ftp en utilisant un navigateur.Pour une connexion :
anonyme, tapez ftp ://adresse (par exemple : ftp://192.168.56.2) ;

authentifi, tapez ftp://login@adresse (par exemple : ftp://smi@192.168.56.2) aprs

validation, saisissez votre mot de passe.

5.3

ssh

Comme nous lavons signal au dbut de ce chapitre, pour le transfert de fichiers en utilisant
une connexion scurise, il faut utiliser ssh (Secure Shell). Sous Linux, le serveur ssh disponible
de faon libre et gratuite sappelle OpenSSH.

5.3.1

Installation

Pour installer le client, tapez la commande

sudo apt-get install openssh-client
Pour installer le serveur, tapez la commande :
sudo apt-get install openssh-server

25

5.3.2

Connexion partir dun client Linux

Pour se connecter partir dun client, tapez : ssh login@adresse. Par exemple :
ssh smi@192.168.56.2
Pour utiliser le serveur ssh comme serveur ftp scuris, tapez la commande : sftp login@adresse.
Par exemple :
sftp smi@192.168.56.2
Aprs saisi du mot de passe, vous obtiendrez linvite de commandes :
sftp>
Pour fermer la connexion, tapez quit, bye ou exit dans linvite de commandes. Pour plus de
commandes, tapez dans linvite help ou ? . Vous pouvez aussi utiliser le manuel en ligne
de sftp :
man sftp.

Remarque
Si votre navigateur supporte le protocole sftp, vous pouvez tapez par exemple :
sftp://smi@192.168.56.2/

5.3.3

Connexion partir dun client Windows

Sous Windows il existe lapplication winscp disponible en tlchargement partir su site officiel
http://winscp.net. Son interface graphique se prsente comme suit :

26

5.3.4

Copie vers le serveur

Pour copier un fichier ou un rpertoire dans le serveur ssh, vous pouvez utiliser la commande
scp (analogue la commande cp de Linux). Son utilisation est comme suit :
scp fichier1 fichier2 ... smi@192.168.56.2:
Pour copier un rpertoire, il faut simplement ajouter loption -r :
scp -r Rep smi@192.168.56.2:
Remarque : il ne faut pas oublier :, sinon la copie se fera en local (utilisation de cp).

27

Chapitre 6
Partage de dossiers et dimprimantes
6.1

Introduction

Le partage de dossiers et dimprimantes permet de :

rduire le cot dinvestissement ;
mutualiser les ressources.
Pour partager des dossiers entre des machines Unix/Linux on utilise le protocole NFS (Network
File System).
Pour partager des dossiers et des imprimantes entre des machines Unix/Linux et des machines
Windows on utilise le service samba.

6.2

Le protocole NFS

Cest un protocole qui fonctionne suivant le modle client/serveur :

un serveur met des dossiers la disposition des machines sur le rseau suivant des droits
daccs.
dautres machines peuvent monter ces dossiers. Qui seront vus comme des dossiers locaux.

6.3

Ct serveur

Il faut installer e serveur NFS, en tapant la commande :

# sudo apt-get install nfs-kernel-server

6.3.1

Configuration

Le fichier de configuration est /etc/exports. On indique dans ce fichier la liste des rpertoires
exporter (partags) et les noms des machines autorises les utiliser.
Exemple :
28

/home machine1(rw,sync,no_subtree_check)
*(ro,sync,no_subtree_check)
/projet machine1(rw,sync,no_root_squash,no_subtree_check)
/test *(ro,sync,no_subtree_check)
Explication :
machine1 peut monter /home en lecture/criture (rw) ;
toutes les autres machines du rseau peuvent monter /home en lecture seulement (ro) ;
machine1 peut monter /projet en lecture/criture (rw) ;
toutes les machines du rseau peuvent monter /test en lecture seule (ro).
On peut utiliser des noms ou adresses IP pour les machines.
Une fois le fichier /etc/exports bien configurer il faut redmarrer (ou relancer) nfs :
# sudo service nfs-kernel-server restart
ou bien
# sudo service nfs-kernel-server reload
Principales options du fichier exports 1 :
Option
ro
rw
root_squash
no_root_squash
all_squash
sync
no_subtree_check

Signification
read-only (accs en lecture seule au rpertoire export)
read-write : le client accde au rpertoire en lecture/criture
convertit les UID/GID root, en utilisateur anonyme. Ladministrateur de la machine cliente ne peut pas modifier le contenu des
rpertoires et des fichiers.
dsactive la conversion des UID/GID root.
convertit tous les UID/GID en utilisateurs anonymes. Utile pour
exporter avec NFS des rpertoires publics.
ne rpondre aux requtes quaprs lexcution de tous les changements sur le support rel.
annule la vrification des sous-rpertoires

Remarque : les options doivent tre spares par des virgules, SANS ESPACE.
Pour plus doptions, veuillez consulter le manuel du fichier export (man exports).

6.4

Ct client

Pour pouvoir monter des rpertoires, il faut installer la package nfs-common :

#sudo apt-get install nfs-common
En tant quadministrateur du systme, pour monter un rpertoire distant, il faut utiliser la
commande mount avec loption -t nfs.
Exemple :
#mount -t nfs nom_machine:/home /test
ou
#mount -t nfs 192.168.56.2:/home /test
1. manuel de exports : man exports

29

6.4.1

Montage au dmarrage

Pour monter un rpertoire au dmarrage du systme, il suffit dajouter les renseignements

ncessaire au fichier /etc/fstab
Par exemple :
nom_machine:/home /home nfs auto,rw,user 0 0

6.5

NFS et la Scurit

NFS nest pas un protocole trs scuris :

lauthentification des clients repose uniquement sur le nom de domaine ou ladresse IP ;
lidentification des utilisateurs repose sur le user id sur le poste client => usurpation
possible ;
le transfert des donnes est non crypt ;
utilisation recommande en intranet isol, protg de linternet par un Firewall.

6.6

Le protocole SAMBA

Samba permet de partager des rpertoires et des imprimantes entre Linux et dautres systmes
Windows et Mac OS.

6.6.1

Installation

En ligne de commandes, il suffit de taper la commande :

#sudo apt-get install samba

6.6.2

Configuration

Le fichier principal de configuration de samba est : /etc/samba/smb.conf.

Avant de modifier le fichier de configuration, il faut le sauvegarder par prudence (cp smb.conf
smb.conf.old).
Ce fichier est organis en sections. Ladministrateur root peut diter, modifier et ajouter des
sections, pour dfinir de nouvelles ressources partager.
Une section commence par un mot entre crochets et se termine lorsquune autre section commence.
Exemple de sections :
[global]
#ensemble de directives
[homes]
#ensemble de directives

30

Remarque :
Dune faon gnrale, les permissions de partage dfinies dans les sections ne peuvent pas
outrepasser les permissions des fichiers du serveur hte.
Pour plus dinformations concernant le fichier smb.conf, veuillez consulter le manuel en ligne :
man smb.conf

Vrification des changements

Loutil testparm, permet de tester la syntaxe du fichier de configuration et de dtecter les
erreurs. Il est recommand de le lancer systmatiquement lors de la modification de smb.conf.

Activation des changements

A chaque changement effectu dans smb.conf, il faut relancer les dmons smbd et nmbd.
Commande :
#service smbd restart
suivie de :
#service nmbd restart

6.6.3

Les principaux paramtres de smb.conf

Dans le tableau suivant, nous donnons les principaux paramtres de smb.conf :

paramtre

valeur
par
dfaut

path =
comment =
guest ok = yes|no
valid users =

no
tous

printable = true|false

false

writeable = yes|no

no

browseable =

yes

create mask =

0744

directory mask =

0755

Description

chemin du rpertoire partager

texte visible dans le voisinage rseau client
permettre laccs sans authentification
liste des utilisateurs autoriss se connecter la
ressource
partage dun service dimpression et non dun rpertoire.
permet ou non lcriture sur le rpertoire, contraire
de read only
visibilit du partage par tous, mme les utilisateurs
non autoriss
droits maxi accords un fichier cr dans la ressource ces droits seront en intersection (and) avec
les droits Linux (umask)
droits maxi accords un rpertoire cr dans la
ressource ces droits seront en intersection (and) avec
les droits Linux (umask)
31

Commande umask
Lumask permet dattribuer des permissions aux fichiers et rpertoires crs par lutilisateur. Il
se prsente sous la forme de 4 chiffres. La valeur par dfaut de lumask est 0022. Pour obtenir
les permissions qui seront utilises, il faut appliquer la rgle suivante :
pour les fichiers, il faut soustraire le umask de 666.
Par exemple 666 0022 = 644 ce qui donne les droits rw-r--r- pour les rpertoires, il faut soustraire le umask de 777.
Par exemple 777 0022 = 755 ce qui donne les droits rwxr-xr-x
Si lutilisateur veut que les nouveaux fichiers soient crs avec les droits rw------- et que les
nouveaux rpertoires soient crs avec les droits rwx------, il doit utilis le masque 0077. Pour
cela, il doit taper la commande :
umask 0077
ou tout simplement :
umask 77

Remarque
umask accepte les symboles (r, w et x) comme chmod.
La commande umask 77 peut tre utilise comme suit :
umask u=rwx,g=,o=

6.6.4

La section globale

[ global ]
# donner l e meme nom de groupe de t r a v a i l que c e l u i des s t a t i o n s Windows
( Voisinage reseau / i d e n t i f i c a t i o n )
workgroup = SMI
# restreindre par scurit les sous-rseaux autoriss se connecter au serveur
# ici on se limite aux adresses rseau priv 192.168.1.0 et linterface "loopback"
hosts allow = 192.168.1.
127.
# on peut exclure des machines de laccs au rseau
h o s t s a l l o w = 1 9 2 . 1 6 8 . 1 . EXCEPT 1 9 2 . 1 6 8 . 1 . 1 2 5
# dautres possibilits existent : voir le manuel man smb

6.6.5

Le rpertoire personnel

[ homes ]
#accs au rpertoire personnel de chaque utilisateur.
#la valeur du champ "comment" apparatra dans le voisinage rseau
#inutile pour cette section de prciser le path, cest celui de lutilisateur, en fait /home/%u
comment = Rpertoire personnel
32

b r o w s a b l e = no
writable = yes
c r e a t e mode = 0700

6.6.6

Rendre un rpertoire public

Pour rendre un rpertoire accessible par tous le monde, il faut tout dabord le crer ou vrifier
quil existe.
# mkdir /home/partage
ls -ld /home/partage
doit renvoyer les droits par dfaut drwxr-xr-x, sinon il faut les changer en tapant la commande :
chmod 755 /home/partage
ou son quivalent
chmod u=rwx,go=rx /home/partage
pour y ajouter les permissions daccs pour tous. Ensuite, il faut ajouter une nouvelle section
[partage] comme suit :
[ partage ]
path = /home/ p a r t a g e
browsable = yes
w r i t a b l e = no
g u e s t ok = y e s
Si on veut rendre ce rpertoire partag en criture aussi, il faut modifier les droits daccs du
rpertoire et modifier la section [partage]
chmod 777 /home/partage
[ partage ]
path = /home/ p a r t a g e
browsable = yes
writable = yes
g u e s t ok = y e s
c r e a t e mode = 0755

6.6.7

Utilitaires SAMBA

testparm : permet la validation du fichier de configuration de Samba.

smbclient : client Linux/Unix similaire FTP permettant de se connecter des partages
Samba.
smbpasswd : permet un administrateur de modifier les mots de passe chiffrs utiliss par
Samba.
smbstatus : dresse ltat des connexions aux partages dun serveur Samba.
33

6.6.8

Ajout dun utilisateur samba

Pour permettre un utilisateur de se connecter son rpertoire personnel partir dautres

machines, il faut lajouter en tant quutilisateur samba en tapant la commande suivante :
smbpasswd -a utilisateur
Par exemple :
smbpasswd -a smi

6.6.9

Problme de connexion avec Windwos

Sous Windows, si on se connecte avec un utilisateur 1 (par exemple smi) et on veut se connecter
avec un autre utilisateur (par exemple sma), la connexion ne russisse pas. Pour cela, il faut
supprimer la connexion lutilisateur 1, en tapant la commande (sous un invite de commande) :
net use \\nom-partage\utilisateur /delete
Par exemple :
net use \\Ubuntu\smi /delete
Ou Ubuntu est le nom de partage et smi est le nom de lutilisateur dj connect.

6.6.10

Connexion partir dun client Linux

Pour se connecter partir dun client Linux en utilisant la commande smbclient, il faut taper
la commande
smbclient //nom-machine/repertoire
Par exemple :
smbclient //192.168.56.2/partage
Pour se connecter en utilisant le compte dun utilisateur qui sappelle smi, il faut taper la
commande :
smbclient //192.168.56.2/smi -U smi
ensuite, on saisit le mot de passe.
On peut utiliser la commande mount pour monter un rpertoire partag (fonctionne sous
root) :
mount -o username=smi //192.168.56.2/smi Rep
Ou Rep est le rpertoire de montage.

34

Chapitre 7
Domain Name Service (DNS)
Service de Nom de domaines
7.1

Introduction

Domain Name Service (DNS) est un service qui relie les adresses IP et les noms de domaines
entre eux. Sous Linux, le DNS est gr par BIND (Berkeley Internet Name Domain) paquet
bind9 .
Pour les petits rseaux, il suffit dutiliser le fichier /etc/hosts que vous avez vu en semestre 5.

Exemple dun fichier /etc/hosts :

127.0.0.1
127.0.1.1
192.168.56.2
192.168.56.2
192.168.56.2
192.168.56.2

7.2

localhost
a l k h a l i l . ump . ma
smi . ump . ma
www. smi . ump . ma
sma . ump . ma
www. sma . ump . ma

alkhalil
smi
sma

Installation

Dans un terminal, tapez la commande :

sudo apt-get install bind9

7.3

Configuration

Bind peut tre configur de plusieurs faons. Il peut tre configur pour tre un serveur :
de cache : dans ce cas, il sert pour stocker les informations concernant les requtes sur les
noms de domaines ;
35

principale : il lit les donnes pour une zone partir dun fichier stock localement et il est
autoritaire pour cette zone ;
secondaire : il obtient les donnes concernant une zone partir dun serveur de noms autoritaire pour cette zone.
Remarque : un serveur de nom peut tre autoritaire pour une zone et secondaire pour une
autre zone.
Le fichier de configuration principal de bind est /etc/bind/named.conf.

7.3.1

Commentaires

Des commentaires peuvent tre utiliss :

/* commentaire de type C (peut occuper plusieurs lignes) */
// commentaire de type java, C++
# commentaire de type shell

7.4

Configuration comme serveur principale

Dans cette section, nous allons configurer bind pour tre un serveur principale du domaine
smi6.net.
Le fichier /etc/bind/named.conf contient la ligne :
include "/etc/bind/named.conf.local";
Cette ligne veut dire, que pour ajouter une zone locale, il faut lajouter dans le fichier /etc/bind/named.conf.local.
Pour ajouter la zone smi6.net, il faut ajouter dans le fichier /etc/bind/named.conf.local
les lignes suivantes :
zone " smi6 . n et " {
type master ;
f i l e "/ e t c / bind /db . smi6 . n et " ;
};
Remarque : le plus simple pour crer le fichier /etc/bind/db.smi6.net, est dutiliser un
fichier qui existe dj. Par exemple :
sudo cp /etc/bind/db.local /etc/bind/db.smi6.net
Dans notre cas le fichier /etc/bind/db.smi6.net contiendra les instructions suivantes :

36

$TTL
@

;
@
dns
r1
pc1

IN
IN
IN
IN

86400
IN
SOA
250120152
3600
86400
2419200
86400 )

smi6 . n e t .
dns . smi6 . n et . (
; Serial
; R e f r e s h ( 1 heure )
; Retry ( 1 j o u r )
; E x p i r e ( 28 j o u r s )
; Minimum ( 1 j o u r )

IN

192.168.1.1

NS
A
A
A

dns . smi6 . n e t .
192.168.1.1
192.168.1.1
192.168.1.2

Signification des diffrents champs

TTL (Time To Live) : dtermine le temps, en secondes, durant lequel les informations
seront conserves dans le cache.
SOA (Start Of Authority) : indique le dbut dun enregistrement.
NS (Name Server) : identifie un serveur de nom pour un domaine.
A (internet Address) : adresse internet.
@ : dsigne le nom du domaine actuel. Il ne faut pas oublier le point (.) aprs le nom de
domaine.
; : commentaire.

Signification des valeurs numriques

Serial : numro de srie. Un numro unique qui identifie la version du fichier de la zone. En
gnral, vous avez cette valeur sous la forme de date de modification du fichier suivie dun
numro (250120152 : 25/01/2015+2). Dans la plus part des cas, vous trouverez la date
sous la forme AAAAMMJJ (250120152 devient : 201501252).
Refresh : (rafrachir) le temps en secondes que doit mettre un serveur DNS secondaire pour
vrifier le numro de srie.
Retry : le temps en secondes que doit attendre un serveur DNS secondaire aprs une mauvaise
requte de rafrachissement.
Expire : le temps en secondes quun serveur DNS secondaire doit utiliser les donnes avant de
faire un rafrachissement. Cette valeur doit tre grande.
Minimum : le temps en secondes qui doit tre utilis pour le TTL.

Redmarrage de bind
Une fois les changements effectus, redmarrez le service bind en tapant la commande :
sudo service bind9 restart

37

7.5

Ct client

Pour configurer le client, il faut diter le fichier de configuration de la rsolution de noms

/etc/resolv.conf.

Exemple :
domain smi6.net
nameserver 192.168.1.1

7.5.1

Vrification

A partir dun client, il suffit dutiliser la commande ping pour vrifier la connexion aux diffrentes machines. Par exemple :
ping r1.smi6.net

7.5.2

nslookup

La commande nslookup permet linterrogation dun serveur DNS.

Exemple dutilisation :
La commande :
nslookup pc1.smi6.net
fournira le rsultat :
Server: 192.168.1.1
Address: 192.168.1.1#53
Name: pc1.smi6.net
Address: 192.168.1.2
53 correspond au numro de port utilis par le serveur DNS (voir fichier /etc/services).

7.5.3

Fichier de la zone inverse (Reverse Zone)

Il permet au serveur DNS de faire la rsolution dadresses vers des noms.

Il faut ajouter dans le fichier /etc/bind/named.conf.local les lignes suivantes :
zone " 1 . 1 6 8 . 1 9 2 . inaddr . arpa " {
type master ;
f i l e "/ e t c / bind /db . 1 9 2 " ;
};
38

Ensuite, il faut crer le fichier /etc/bind/db.192 :

sudo cp /etc/bind/db.127 /etc/bind/db.192
De la mme faon que pour le fichier /etc/bind/db.smi6.net, il faut diter le fichier /etc/bind/db.192 pour devenir comme suit :
;
; F i c h i e r BIND i n v e r s e pour l e r e s e a u l o c a l 1 9 2 . 1 6 8 . 1 . 0
;
$TTL
604800
@
IN SOA smi6 . n et . dns . smi6 . n et . (
090320152
; Serial
604800
; Refresh
86400
; Retry
2419200
; Expire
604800 )
;
;
@
IN NS dns .
1
IN PTR dns . smi6 . ne t .
2
IN PTR pc1 . smi6 . n et .
Une fois le fichier inverse cr, redmarrez le service bind :
sudo service bind9 restart

7.6

Configuration dun serveur secondaire

Une fois le serveur primaire configur, il faut avoir un autre serveur secondaire pour que la zone
soit toujours disponible mme si le serveur principale tombe en panne.
Nous allons supposer que nous disposons dun autre serveur avec ladresse 192.168.1.10.
Dans le serveur principale il faut activer le transfert en ajoutant les options allow-transfer et
also-notify au fichier /etc/bind/named.conf.local comme suit :
zone " smi6 . n et " {
type master ;
f i l e "/ e t c / bind /db . smi6 . n et " ;
a l l o w t r a n s f e r { 1 9 2 . 1 6 8 . 1 . 1 0 ; } ;
a l s o n o t i f y { 1 9 2 . 1 6 8 . 1 . 1 0 ; } ;
};
zone " 1 . 1 6 8 . 1 9 2 . inaddr . arpa " {
type master ;
f i l e "/ e t c / bind /db . 1 9 2 " ;
a l l o w t r a n s f e r { 1 9 2 . 1 6 8 . 1 . 1 0 ; } ;
a l s o n o t i f y { 1 9 2 . 1 6 8 . 1 . 1 0 ; }
};
39

Dans le serveur principal, redmarrez le service bind :

sudo service bind9 restart
Dans le serveur secondaire, il faut installer bind9 de la mme faon que pour le serveur principale. Puis il faut ajouter les dclarations suivantes dans le fichier /etc/bind/named.conf.local :
zone " smi6 . n et " {
type s l a v e ;
f i l e "/ e t c / bind /db . smi6 . n et " ;
masters { 1 9 2 . 1 6 8 . 1 . 1 ; } ;
};
zone " 1 . 1 6 8 . 1 9 2 . inaddr . arpa " {
type s l a v e ;
f i l e "db . 1 9 2 " ;
masters { 1 9 2 . 1 6 8 . 1 . 1 ; } ;
};
Dans le serveur secondaire, redmarrez le service bind :
sudo service bind9 restart

40

Chapitre 8
Scurit
8.1

Introduction

La scurit doit tre prise en considration lors de linstallation et lutilisation dun ordinateur.
Les attaques touchent gnralement les trois composantes suivantes :
La couche dapplication
Le systme dexploitation
La couche rseau
Cependant on distingue diffrentes attaques au sein dun rseau d la faiblesse des composants :

8.2

faiblesses dauthentification ;
mauvaises configurations.
faiblesses dimplmentation ou de bogues ;
faiblesses lies aux protocoles.

Authentification

La gestion des utilisateurs est fondamentale dans la scurit dun systme informatique. De
mauvaises privilges ou un mauvais mot de passe peuvent compromettre la scurit dun ordinateur.

8.2.1

Profile des utilisateurs

Lors de la cration dun nouveau utilisateur avec la commande adduser (par exemple adduser
smi), le rpertoire personnel de lutilisateur smi est cr avec les droits drwxr-xr-x. Il faut
enlever les droits de lecture pour les autres :
sudo chmod 750 /home/smi
Pour mettre cette valeur par dfaut lors de la cration dun nouveau utilisateur avec la commande adduser, il faut modifier la valeur de la variable DIR_MODE dans le fichier /etc/adduser.conf de la faon suivante :
DIR_MODE=0750
41

8.2.2

Mots de passe

Pour viter les attaques qui utilisent un dictionnaire, le mot de passe doit tre fort. Il doit :
comporter des lettres minuscules et majuscules, des nombres et dautres caractres ;
comporter au moins 8 caractres ;
Il ne doit pas comporter :
le nom ou le prnom de lutilisateur ;
la date de naissance de lutilisateur ;
un mot du dictionnaire.

8.3

Les Firewall (Pare Feu)

Un pare-feu est un ensemble matriel ou logiciel qui trie les paquets qui circulent par son
intermdiaire en provenance ou vers le rseau local, et ne laisse passer que ceux qui vrifient
certaines conditions.
Cest un systme de protection ddi la scurit dun rseau.
Les noyaux Linux contiennent le systme Netfilter pour manipuler le trafic rseau. Pour accepter, manipuler ou rejeter un paquet, on utilise iptables.

8.4

iptables

iptables est trs utilis pour mettre en place un pare-feu. Elle utilise 4 ou 5 tables (le nombre
dpend du systme). Une table permet de dfinir un comportement prcis de Netfilter. En
fait, cest un ensemble de chanes, elles-mmes composes de rgles.
Les tables sont :
1. Filter : cest la table par dfaut. Elle sutilise sans loption -t et contient les chanes :
INPUT : pour les paquets destins aux sockets local ;
FORWARD : pour les paquets routs ;
OUTPUT : pour les paquets gnrs localement.
2. NAT : est consulte quand un paquet qui cre une nouvelle connexion est rencontr. Elle
consiste en trois chanes :
PREROUTING : pour les paquets qui entrent ;
OUTPUT : pour les paquets gnrs localement avant le routage ;
POSTROUTING : pour les paquets qui sortent.
3. Mangle : sert a modifier dautres paramtres des paquets IP (notamment le champ ToS
Type Of Service et les options). Elle consiste en cinq chanes :
PREROUTING : paquets entrant avant le routage ;
OUTPUT : pour les paquets gnrs localement avant le routage ;
INPUT : paquets arrivant au systme lui mme ;
FORWARD : paquets routs via le systme ;
POSTROUTING : pour les paquets qui sortent
4. Raw : contient les chanes :
42

 PREROUTING : pour les paquets arrivant de nimporte quelle interface rseau

OUTPUT : pour les paquets gnrs par les processus locales
5. security (dans les machines virtuelles netkit, cette table nest pas disponible).
Dans ce qui suit nous allons utiliser la table par dfaut.

8.4.1

Initialisation des tables

On vide les chanes au niveau de la table Filter :

pc1: # iptables -F
On supprime les ventuelles chanes personnelles :
pc1: # iptables -X

8.4.2

Blocage des tables

Maintenant faisons pointer par dfaut les chanes de la table Filter sur DROP (Rejet) :
pc1: # iptables -P INPUT DROP
pc1: # iptables -P OUTPUT DROP
pc1: # iptables -P FORWARD DROP
Les entres et les sorties sont bloques.

8.4.3

Test de sortie

Un ping de pc1 vers pc2 donne :

pc1: # ping -c 1 192.168.100.2
PING 192.168.100.2 (192.168.100.2) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
--- 192.168.100.2 ping statistics --1 packets transmitted, 0 received, 100% packet loss, time 0ms
Les paquets ne sortent pas de pc1.

8.4.4

Test dentre

Un ping de pc2 vers pc1 donne :

pc2: # ping -c 1 192.168.100.1
PING 192.168.100.1 (192.168.100.1) 56(84) bytes of data.
--- 192.168.100.1 ping statistics --1 packets transmitted, 0 received, 100% packet loss, time 0ms
Les paquets arrivent sur pc1 et sont rejets. Il suffit de le vrifier avec tcpdump.
43

8.4.5

Test vers la boucle locale

Mme un ping vers localhost est rejet :

pc1: # ping -c 1 localhost
PING localhost (127.0.0.1) 56(84) bytes of data.
ping: sendmsg: Operation not permitted

--- localhost ping statistics --1 packets transmitted, 0 received, 100% packet loss, time 0ms

8.4.6

Examen de la table Filter

Examinons ltat de la table Filter :

pc1: # iptables -L
Chain INPUT (policy DROP)
target
prot opt source

destination

Chain FORWARD (policy DROP)

target
prot opt source

destination

Chain OUTPUT (policy DROP)

target
prot opt source

destination

8.4.7

Autorisation de la boucle locale

On autorise des entres locales :

pc1: # iptables -A INPUT -i lo -j ACCEPT
On autorise des sorties locales :
pc1: # iptables -A OUTPUT -o lo -j ACCEPT
Alors si on fait un ping sur la machine elle-mme on voit que sa marche :
pc2:~# ping -c 1 localhost
PING localhost (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost (127.0.0.1): icmp_seq=1 ttl=64 time=0.093 ms
--- localhost ping statistics --1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.093/0.093/0.093/0.000 ms
Examinons ltat de la table Filter :

44

#loption -v veut dire verbose (bavard), donne plus de dtails

pc1: # iptables -L -v
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target
prot opt in
out
source
14 1176 ACCEPT
all -- lo
any
anywhere

destination
anywhere

Chain FORWARD (policy DROP 0 packets, 0 bytes)

pkts bytes target
prot opt in
out
source

destination

Chain OUTPUT (policy DROP 4 packets, 336 bytes)

pkts bytes target
prot opt in
out
source
14 1176 ACCEPT
all -- any
lo
anywhere

destination
anywhere

8.4.8

Autoriser le trafic dune connexion dj tablie

Pour autoriser une connexion dj ouverte denvoyer et de recevoir du trafic :

pc1: # iptables -A INPUT -m conntrack ctstate ESTABLISHED -j ACCEPT
pc1: # iptables -A OUTPUT -m conntrack ctstate ESTABLISHED -j ACCEPT

8.4.9

Ouverture de quelques ports/services

Pour autoriser les connexion au serveur SSH, il faut :

autoriser les entres des requtes au port ssh
pc1: # iptables -A INPUT -p tcp dport ssh -i eth0 -j ACCEPT
autoriser les sorties des requtes utilisant ssh
pc1: # iptables -A OUTPUT -p tcp dport ssh -o eth0 -j ACCEPT
Pour autoriser lenvoi et la rception de messages ICMP, il faut :
autoriser les entres des requtes utilisant le protocole icmp
pc1: # iptables -A INPUT -p icmp -i eth0 -j ACCEPT
autoriser les sorties des requtes utilisant le protocole icmp
pc1: # iptables -A OUTPUT -p icmp -o eth0 -j ACCEPT

45

Chapitre 9
Commandes CISCO de base
9.1

Configuration du nom dhte IOS

En mode dexcution privilgi (commande enable), accdez au mode de configuration globale

en entrant la commande configure terminal :
Router>enable
Router#configure terminal
Aprs excution de cette commande, linvite devient :
Router(config)#
En mode de configuration globale, entrez le nom dhte :
Router(config)#hostname SMIRouter
Aprs excution de cette commande, linvite devient :
SMIRouter(config)#
Par exemple, pour supprimer le nom attribu un priphrique, utilisez :
SMIRouter(config)# no hostname
Router(config)#
La commande no hostname rtablit sur le routeur le nom dhte par dfaut Router .

9.2

Mots de Passe

Les mots de passe prsents ici sont les suivants :

Mot de passe de console : limite laccs au priphrique par une connexion console.
Mot de passe enable - limite laccs au mode dexcution privilgi.
Mot de passe enable secret : chiffr, limite laccs au mode dexcution privilgi
Il est recommand dutiliser des mots de passe diffrents pour chacun de ces niveaux daccs.

46

9.2.1

Mot de passe de console

Vous utilisez les commandes suivantes en mode de configuration globale pour dfinir un mot
de passe pour la ligne de console :
Router(config)#line console 0
Router(config-line)#password mot_de_passe
Router(config-line)#login
A partir du mode de configuration globale :
la commande line console 0 permet dentrer en mode de configuration de ligne pour la
console. Le zro sert reprsenter la premire (et le plus souvent lunique) interface de
console dun routeur.
La deuxime commande, password mot_de_passe, spcifie un mot de passe sur une
ligne.
Enfin, la commande login configure le routeur pour exiger une authentification louverture de session. Aprs activation de login et dfinition dun mot de passe, le priphrique
invitera lutilisateur entrer un mot de passe.
Le message demandant le mot de passe apparatra dsormais chaque fois quun utilisateur
tentera daccder au port de console.

9.2.2

Mots de passe enable et enable secret

Pour augmenter la scurit, utilisez la commande la commande enable secret.

La commande suivante est utilise pour dfinir un mot de passe :
Router(config)#enable secret

9.2.3

mot_de_passe

Chiffrement de laffichage des mots de passe

Une autre commande utile permet dempcher laffichage des mots de passe en clair lorsquun
utilisateur consulte les fichiers de configuration. Il sagit de la commande :
service password-encryption
Cette commande provoque le chiffrement des mots de passe dj configurs. La commande
service password-encryption applique un chiffrement simple tous les mots de passe non
chiffrs. Ce chiffrement ne sapplique pas aux mots de passe transmis sur le support pendant
la configuration. Le but de cette commande est dempcher les personnes non autorises de lire
les mots de passe dans le fichier de configuration.
Si vous excutez la commande show running-config ou show startup-config avant la commande service password-encryption, les mots de passe non chiffrs sont visibles dans les
informations fournies par le priphrique sur sa configuration. Ds que vous excutez la commande service password-encryption, IOS applique le chiffrement aux mots de passe. Par
la suite, les mots de passe dj chiffrs le restent mme si vous supprimez le service passwordencryption (en annulant la commande).

47

9.3

Configuration des interfaces Ethernet dun routeur

Chaque interface Ethernet doit avoir une adresse IP et un masque de sous-rseau pour router
les paquets IP.
Pour configurer une interface Ethernet, procdez comme suit :
1.
2.
3.
4.

Passez en mode de configuration globale.

Passez en mode de configuration dinterface.
Spcifiez ladresse et le masque de sous-rseau de linterface.
Activez linterface.

Router(config)#interface FastEthernet 0/0

Router(config-if)#ip address adresse_ip masque_rseau
Router(config-if)#no shutdown

9.3.1

Activation de linterface

Par dfaut, les interfaces sont dsactives. Pour activer une interface, entrez la commande no
shutdown partir du mode de configuration dinterface. Si vous devez dsactiver une interface
pour des oprations de maintenance ou de dpannage, utilisez la commande shutdown.

9.4
9.4.1

Routage statique
Commande ip route

La commande de configuration dune route statique est ip route. La syntaxe simplifie pour
configurer une route statique est :
Router(config)#ip route adresse_rseau masque {adresse-ip | interface-sortie }
Les paramtres suivants sont utiliss :
adresse_rseau : adresse rseau de destination du rseau distant ajouter la table
de routage.
masque : masque de sous-rseau du rseau distant ajouter la table de routage.
Un des paramtres suivants ou les deux doivent galement tre utiliss :
adresse-ip : communment considre comme ladresse IP du routeur du tronon suivant.
interface-sortie : interface sortante utiliser pour le transfert de paquets vers le rseau
de destination.

Exemple :
Router#debug ip routing
Router#conf t
Router(config)#ip route

172.16.1.0

255.255.255.0

172.16.2.2

Pour afficher la table de routage utilisez la commande : show ip route.

48

9.5
9.5.1

Routage dynamique (RIPv1)

Activation du protocole RIP

Pour passer en mode de configuration du routeur pour le protocole RIP, entrez la commande
router rip linvite de configuration globale.
Router(config-router)#
Pour activer le routage RIP pour un rseau, utilisez la commande network dans le mode de
configuration du routeur et entrez ladresse rseau par classe de chaque rseau directement
connect.
Router(config-router)#network

rseau-connect--linterface

La commande network :
active le protocole RIP sur toutes les interface qui appartiennent un rseau spcifique.
Les interfaces associes envoient et reoivent maintenant les mises jour RIP.
Annonce le rseau spcifi dans les mises jour de routage RIP envoyes aux autres
routeurs toutes les 30 secondes.
Remarque : si vous entrez une adresse de sous-rseau, lIOS la convertit automatiquement en
adresse rseau par classe. Par exemple, si vous entrez la commande network 192.168.1.32, le
routeur la convertira en network 192.168.1.0.

Exemple :
Router(config)#router rip
Router(config-router)#network 192.168.4.0
Router(config-router)#network 192.168.5.1
Dans cet exemple, vous avez entr une adresse IP dinterface au lieu de ladresse rseau par
classe. Notez que lIOS naffiche pas de message derreur, mais corrige lentre et indique
ladresse rseau par classe. La vrification ci-dessous le prouve.
Router#show running-config

9.5.2

Table de routage

La commande show ip route permet dafficher la table de routage.

Router#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route

49

Gateway of last resort is not set

R
C
C

192.168.1.0/24 [120/1] via 192.168.2.254, 00:00:27, FastEthernet0/0

192.168.2.0/24 is directly connected, FastEthernet0/0
192.168.3.0/24 is directly connected, FastEthernet0/1

50