1

INTODUCTION A LA SURVEILLANCE ET A LA 
SECURITE DU SYSTÈME LINUX

Venant Palanga
Maître de conférences
 Objectif : A la fin de ce Chapitre, l’apprenant utilise les commandes de surveillance et de
sécurisation du système Linux. Il peut configurer une machine en réseau.

 Consignes : Lors de cette activité, je vous demande de vous approprier le contenu du support de
cours.

 Contenu
o Commande de surveillance du système

o Commande de sécurisation des ressources du système

o Configuration réseau

o Sécurisation des transferts de fichiers entre deux hôtes

 Activités : Sur la base de votre lecture traitez les exercices demandés

 3

PLAN

1. Introduction

2. Commande de surveillance du système

3. Commande de sécurisation des ressources du système

4. Configuration réseau

5. Sécurisation des transferts de fichiers entre deux hôtes

 4

Introduction

 Tout utilisateur doit surveiller la santé de sa machine

pour s’assurer que tout fonctionne bien. Il doit
également sécuriser les ressources de son système
pour prévenir les pertes de ses données. Linux
dispose de plusieurs commandes puissantes pour
aider l’utilisateur dans ces différentes tâches.
 5

 Surveillance du système
 6

Commandes de surveillance
 Pour monitorer le système, Linux présente une panoplie de
commandes permettant chacune d’analyser et de retourner un
ensemble d’informations relatives à l’état du système. L’analyse de
ces informations permet à l’administrateur de faire un état des
lieux du système et si le besoin se présente, d’effectuer les actions
qui s’imposent.
 7

La commande uptime
 La commande uptime indique
 l’heure actuelle
 depuis quand le système est fonctionnel
 le nombre d’utilisateurs connectés
 la charge du système moyenne pour les 1, 5 et 15 dernières minutes
MacBook-Pro-de-Palanga:~ venant$ uptime
23:00 up 8 days, 36 mins, 2 users, load averages: 1.63 1.60 1.58

L’heure actuelle Le nombre

d’utilisateurs La charge du système
Depuis quand le connectés Moyenne pour les 1, 5
système est fonctionnel et 15 dernières
minutes
 8

La commande free
La commande free permet d’afficher les données relatives à l’utilisation de la mémoire. Néanmoins, le
résultat fourni par cette commande est un affichage statique, pour pouvoir visualiser de façon dynamique
l’utilisation de la mémoire il est possible d’associer la commande watch à free.

[root@localhost ~]#watch –n 1 –d free

L’option –n indique le délai de rafraichissement et –d pour mettre en valeur l’évolution de snapshots.

 9

La commande vmstat
 Vmstat est une commande permettant d'afficher des statistiques concernant la
charge du système, en particulier l'utilisation de la mémoire virtuelle.

Nbre de Trafic swap in/out Trafic disque

processus prêt ou Mémoire en KO qui est in/out
bloqué permutée / libre /
utilisée comme espace
tampon / utilisé comme
cache
 10

Les commandes w et who

 w est une commande qui affiche tous les utilisateurs connectés et
depuis quand.

 who affiche la liste des utilisateurs logés sur le système, leur terminal,
l’heure à laquelle se sont logués.
 11

La commande netstat
 Commande netstat permet d’observer les connexions établies avec le système local. Ces connexions
peuvent être de type TCP, UDP ou socket. Les connexions TCP et UDP sont en général établies avec
des systèmes distants, tandis que les sockets sont des fichiers de type particuliers qui servent de point
d’échange entre les composants applicatifs sans passer par le réseau.
MacBook-Pro-de-Eyouleki:~ root# netstat -a
 12

Exercices
 1) Lancer la commande last. Essayer d’interpréter le résultat.

 2) On mesure l’activité du CPU, de la mémoire et des entrées

/sorties blocs, avec la commande vmstat. On réalise dix
mesures à cinq secondes d’intervalle.
 13

 Configuration réseau
 14

Configuration réseau
 Une configuration réseau complète est constituée des éléments suivants :
 une adresse IP qui identifie votre hôte sur le réseau ;
 un masque de sous-réseau qui indique la partie de votre adresse caractérisant le
réseau et la partie hôte sur lequel votre hôte est connecté, et lui permet de
déterminer, pour n'importe quelle adresse IP, si celle-ci fait ou non partie du réseau
local
 une passerelle par défaut, c'est l'adresse IP à laquelle il faut transmettre les
paquets IP destinés à des hôtes situés hors du réseau local ;
 des serveurs DNS, ce sont les adresses de serveurs auxquels votre système ira
demander les correspondances entre noms de domaine (www.google.fr) et
adresses IP (216.58.208.227).
15
 16

Les commandes de configuration

 La commande ifconfig :

 Sans argument elle affiche la configuration de toutes vos interfaces réseau

configurées :
# ifconfig
eth0 Link encap:Ethernet HWaddr 00:1c:23:3f:ff:bb
inet adr:192.168.2.10 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::21c:23ff:fe3f:ffbb/64 Scope:Lien UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:749880
errors:0 dropped:0 overruns:0 frame:0 TX packets:393902 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file
transmission:1000 RX bytes:910931782 (868.7 MiB) TX bytes:32422248 (30.9 MiB) Interruption:17 lo Link encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0 adr inet6: ::1/128 Scope:Hôte UP LOOPBACK RUNNING MTU:16436 Metric:1 RX
packets:71 errors:0 dropped:0 overruns:0 frame:0 TX packets:71 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file
transmission:0 RX bytes:10096 (9.8 KiB) TX bytes:10096 (9.8 KiB)

# ifconfig eth0 192.168.2.10 netmask 255.255.25.0

 17

Les commandes de configuration

 route

 La passerelle par défaut permet de définir l'hôte de votre réseau local

vers lequel envoyer tous les paquets destinés à des hôtes situés hors
du réseau local, ce qui définit une route par défaut. Cette route doit
être ajoutée à la table de routage du noyau Linux, avec la
commande route :
 # route add default gw 192.168.2.254 dev eth0
 18

Configuration du client DHCP

 La commande dhclient permet aux stations clientes d’effectuer les

requêtes DHCP. Si la commande n’est pas lancée manuellement par
un administrateur, elle est appelée par les scripts d’initialisation
réseau.

 #dhclient eth1
 19

Configuration du DNS
 Les serveurs DNS concernent le résolveur, une fonction logicielle
qui permet de traduire les noms de domaines en adresses IP. Ce
résolveur utilise pour cela les serveurs dont les adresses sont
notées dans le fichier /etc/resolv.conf. Si le serveur DNS de votre
fournisseur d'accès, a pour adresse IPv4 41.207.199.18, éditez ce
fichier pour qu'il contienne :
 Nameserver 41.207.199.18
 20

 Sécuriser les ressources du

système
Renforcer la sécurité d'un système d'exploitation

 Pour limiter les risques d'intrusion, le responsable système

d'une machine doit : supprimer les services inutiles ;

 appliquer les correctifs de sécurité sur son système ;

 remplacer les services natifs par des services mieux sécurisés.

 22

Sécuriser le système
1. Pour limiter les risques d'intrusion, le responsable système d'une machine
doit : supprimer les services inutiles ;

2. appliquer les correctifs de sécurité sur son système ;

3. remplacer les services natifs par des services mieux sécurisés.

4. Mettre à jour le système.
5. Configurer le Firewall.
6. Et surtout, ne pas installer n'importe quoi.
Les mots de passe

 Protéger le Bios par un mot de passe afin d’empêcher toute

modification du comportement du serveur au démarrage (boot
sur disque dur uniquement par exemple).

 Changer la longueur minimal des mots de passe

 éditer le fichier /etc/logins.defs et mettre la variable

PASS_MIN_LEN 8
Les mots de passe
 Autoriser le login de root uniquement sur la console tty1. Pour cela :
commenter les lignes tty<x> dans le fichier /etc/securetty.

 Pour passer root sur la console 2, il faudra se connecter sous son login
puis faire un su.

 Enlever les comptes inutiles du fichier /etc/passwd avec la commande

userdel (pour les comptes: sync, shutdown, halt, news, operator,
gopher,).
Idem pour les groupes news et slipusers avec la commande groupdel.
 25

Sécuriser les fichiers

 Pour protéger ou empêcher la suppression des fichiers ou

répertoires sensibles, on utilise souvent la commande chattr
 Sécuriser un fichier
 chattr +i monfichier
 Enlever la protection du fichier
 chattr –i monfichier
 Sécuriser un répertoire en récursif
 chattr +i –R monrepertoire
 Enlever la sécurité du répertoire
 chattr -i –R monrepertoire
Sécuriser les fichiers

 Pour empêcher toute modification des fichiers suivants, positionner le

bit immuable avec la commande chattr +i
 chattr +i /etc/passwd

 chattr +i /etc/shadow

 chattr +I /etc/group

 chattr +i /etc/gshadow
Les services réseau

 Interdire les ping sur le serveur. La ligne suivante est rajoutée

dans le fichier /etc/rc.d/rc.local :
 echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all

 Interdire les modifications du fichier /etc/services : -

 chattr +i /etc/services
 28

Copie sécurisée de fichiers

 La commande scp est pratiquement identique à cp, mais

étendue au réseau.
 #scp ~/bin/bobo.txt toto@192.168.2.10/home/toto/bin
 Bobo.txt 100% 908 78.9KB/s 00:00
 29

Se connecter de façon sécurisée

 Pendant longtemps, telnet a été le programme à

utiliser, mais il n’était pas du tout sécurisé. Pour
résoudre ce problème, ssh (secure shell) a vu le jour.
le trafic de ssh est protégé par chiffrement.

 #ssh toto@192.168.2.10
 30

Fin