Pascal Poncelet , Frédéric Comby

M1101 TD7
Rôle de l'administrateur réseau

L'objectif de ce TD est de voir quelques liens entre les droits, la sécurité et un système client
serveur.

1. Serveur NIS
Rappel : un serveur NIS est un serveur qui exporte une partie de ses tables vers des
utilisateurs réseau : par exemple sa table des utilisateurs (/etc/passwd) ou sa table des mots de
passe (/etc/shadow).
NIS n'a pas très bonne réputation au niveau de la sécurité. En effet il permet à tous les clients
déclarés sur le serveur de se connecter sur ce dernier : le compte existe sur le serveur !
1. Que pourriez vous proposer pour éviter cela ?
2. Une fonctionnalité de sécurité est déjà prévue et peut se configurer dans le fichier
/etc/ypserv.securnets :
root@DebianFred_serv:/home/test# cat /etc/ypserv.securenets
#
# securenets This file defines the access rights to your NIS server
# for NIS clients (and slave servers - ypxfrd uses this
# file too). This file contains netmask/network pairs.
# A clients IP address needs to match with at least one
# of those.
#
# One can use the word "host" instead of a netmask of
# 255.255.255.255. Only IP addresses are allowed in this
# file, not hostnames.
#
# Always allow access for localhost
255.0.0.0 127.0.0.0

# This line gives access to everybody. PLEASE ADJUST!

0.0.0.0 0.0.0.0
3. Que devez vous changer pour que certains clients ne puissent pas se connecter sur le
serveur ?
4. Que se passe-t-il si on retire purement et simplement la ligne 0.0.0.0, 0.0.0.0 ?
5. N'importe quel utilisateur connecté peut également avoir accès aux bases (cf liste ci-
dessous) que le serveur NIS exporte. La configuration du fichier /etc/ypserv.conf
permet de traiter cela. Expliquer cette configuration à l'aide des infos plus bas.

Liste des tables :

root@DebianFred_serv:/home/test# ypcat -x

Use "ethers" for map "ethers.byname"

Use "aliases" for map "mail.aliases"
Use "services"for map "services.byname"
Use "protocols" for map "protocols.bynumber"
Use "hosts" for map "hosts.byname"
Use "networks" for map "networks.byaddr"
Use "group" for map "group.byname"

19/09/13 1 M1101
 Pascal Poncelet , Frédéric Comby

Use "passwd" for map "passwd.byname"

# ypserv.conf In this file you can set certain options for the NIS server,
# and you can deny or restrict access to certain maps based
# on the originating host.
#
# See ypserv.conf(5) for a description of the syntax.
#
# The following, when uncommented, will give you shadow like passwords.
# Note that it will not work if you have slave NIS servers in your
# network that do not run the same server as you.
# Host : Domain : Map : Security
#* :* : passwd.byname : port/mangle
#* :* : passwd.byuid : port/mangle
# This is the default - restrict access to the shadow password file,
# allow access to all others.
* :* : shadow.byname : port
* :* : passwd.adjunct.byname : port
* :* :* : none
DESCRIPTION
ypserv.conf is an ASCII file which contains some options for ypserv. It
also contains a list of rules for special host and map access for
ypserv and rpc.ypxfrd. This file will be read by ypserv and rpc.ypxfrd
at startup, or when receiving a SIGHUP signal.
There is one entry per line. If the line is a option line, the format
is:
option: <argument>
The line for an access rule has the format:
host:domain:map:security
All rules are tried one by one. If no match is found, access to a map
is allowed.
The field descriptions for the access rule lines are:
host IP address. Wildcards are allowed.
Examples:
131.234. = 131.234.0.0/255.255.0.0
131.234.214.0/255.255.254.0
domain specifies the domain, for which this rule should be applied. An
asterix as wildcard is allowed.
map name of the map, or asterisk for all maps.
security
one of none, port, deny:
none always allow access.
port allow access if the client request originates from a priviliged
port (< 1024). Otherwise do not allow access.
deny deny access to this map.
You can add /mangle:field to the none or port security keywords. The
:field part is optional. It will replace field number field (the
default is 2, the password field of the passwd and shadow maps) with
the value x for client requests from non-priviliged ports (>= 1024) for
the port security keyword and in all cases for the none security key‐
word.

19/09/13 2 M1101
 Pascal Poncelet , Frédéric Comby

6. A quoi correspond le signe * ?

7. Qu'est ce qui sera affiché si l'option none/mangle est utilisée pour la ligne
shadow.byname ?
8. Est ce que la configuration donnée interdit complètement l'accès aux bases ?
9. Pourquoi est-ce dangereux de pouvoir accéder aux mots de passe cryptés et aux noms
des comptes
10. Pourquoi est-ce qu'il est recommandé de placer le serveur d'authentification derrière
un NAT ?

2. Problèmes de droits (Philippe Pujas)

1. Rappel
Un fichier appartient à un propriétaire et à un groupe. Il possède des droits de
lecture/écriture/exécution pour le propriétaire, pour le groupe, pour les autres utilisateurs.
• L’utilisateur toto du groupe rt2 ne peut lire un fichier que si :
• le fichier appartient à toto et est en mode lecture pour le propriétaire ;
• ou, le fichier appartient au groupe rt2 et le fichier est en lecture pour le groupe ;
• ou, le fichier est en lecture pour les autres.
• L’utilisateur toto du groupe rt2 ne peut créer un fichier dans un répertoire que si :
• le répertoire appartient à toto et est en mode écriture pour le propriétaire ;
• ou, le répertoire appartient au groupe rt2 et est en mode écriture pour le groupe ;
• ou, le répertoire est en mode écriture pour les autres.
2. Configuration d’un serveur Web
Soit la configuration suivante. L’administrateur du site est l’utilisateur webmaster, son
groupe est www. Le groupe www ne comporte qu’un seul membre : webmaster.
L’arborescence du site appartient à webmaster et au groupe www. Elle est en
lecture/écriture pour webmaster et en lecture seule pour www. Les scripts CGI sont
exécutables par webmaster et par le groupe www.
1. Montrer que les documents locaux du site ne peuvent pas être accédés par les
utilisateurs du serveur (sauf webmaster).
2. Pourquoi le serveur httpd ne doit-il pas avoir les droits suivants : propriétaire root,
groupe root ?
3. Pourquoi le serveur ne peut-il pas avoir les droits : propriétaire : webmaster, groupe
apache?
4. Pourquoi le serveur ne peut-il pas avoir les droits : propriétaire : apache, groupe
apache ?
5. Que se passe-t-il si le serveur a été configuré avec les droits : propriétaire : apache,
groupe www ?
6. Dans ce dernier cas, quels doivent être les droits des pages personnelles des
utilisateurs ? Problème ?
7. Comment configurer les répertoires recevant, par exemple, les fichiers de session ?
8. Comment configurer le système pour que le site comporte plusieurs parties
administrées par différents webmasters.

3. La sauvegarde de fichiers
Un des travaux que l'administrateur système doit réaliser, est d'assurer la sécurité des données
de utilisateurs ainsi que des données sensibles.
La commande DD (device to device) copie tous les blocs d'un périphérique vers un autre
périphérique (y compris les blocs défectueux, les blocs vides. Son format est :
dd if=fichier_source of=fichier_dest

19/09/13 3 M1101
 Pascal Poncelet , Frédéric Comby

1. Quel est le problème de copier les blocs qui sont vides ? Est-ce un problème de taille ?
2. Quelle commande permet de sauvegarder la partition home montée sur le device
/dev/sda1 sur un disque externe /dev/sdb ?
3. Est-ce que sauvegarder dans un fichier est possible ?
4. Quelle commande permet de copier un cd-rom sur la partition /mnt/backup ?

19/09/13 4 M1101