Académique Documents
Professionnel Documents
Culture Documents
M1101 TD7
Rôle de l'administrateur réseau
L'objectif de ce TD est de voir quelques liens entre les droits, la sécurité et un système client
serveur.
1. Serveur NIS
Rappel : un serveur NIS est un serveur qui exporte une partie de ses tables vers des
utilisateurs réseau : par exemple sa table des utilisateurs (/etc/passwd) ou sa table des mots de
passe (/etc/shadow).
NIS n'a pas très bonne réputation au niveau de la sécurité. En effet il permet à tous les clients
déclarés sur le serveur de se connecter sur ce dernier : le compte existe sur le serveur ! Et
également n'importe quelle machine peut tenter de se connecter sur le serveur NIS
1. Que pourriez vous proposer pour éviter cela ? Limiter l'accès physique à la salle des
serveurs. On ne peut pas bloquer le compte de l'utilisateur sinon il ne pourra plus se
connecter. Limiter l'accès au serveur pour des machines du réseau pour restreindre les
possibilités d'attaques.
2. Une fonctionnalité de sécurité est déjà prévue et peut se configurer dans le fichier
/etc/ypserv.securnets :
root@DebianFred_serv:/home/test# cat /etc/ypserv.securenets
#
# securenets This file defines the access rights to your NIS server
# for NIS clients (and slave servers - ypxfrd uses this
# file too). This file contains netmask/network pairs.
# A clients IP address needs to match with at least one
# of those.
#
# One can use the word "host" instead of a netmask of
# 255.255.255.255. Only IP addresses are allowed in this
# file, not hostnames.
#
# Always allow access for localhost
255.0.0.0 127.0.0.0
19/09/13 1 M1101
Pascal Poncelet , Frédéric Comby
19/09/13 2 M1101
Pascal Poncelet , Frédéric Comby
19/09/13 3 M1101
Pascal Poncelet , Frédéric Comby
7. Comment configurer les répertoires recevant, par exemple, les fichiers de session ?
8. Comment configurer le système pour que le site comporte plusieurs parties
administrées par différents webmasters.
a) Montrer que les documents locaux du site ne peuvent pas être accédés par les utilisateurs
du serveur (sauf webmaster).
L’utilisateur toto appartient au groupe rt2. Il ne peut donc lire que les fichiers de toto ou du
groupe rt2 ou les fichiers lisibles par tous. Il ne peut pas lire les fichiers de webmaster ou du
groupe www. Le webmaster est webmaster il peut donc lire et modifier ses pages.
b) Pourquoi le serveur httpd ne doit-il pas avoir les droits suivants : propriétaire root,
groupe root ?
Si le serveur Web est root.root en cas de bug ou de piratage le système Unix sur lequel tourne
le serveur est en danger.
c) Pourquoi le serveur ne peut-il pas avoir les droits : propriétaire : webmaster, groupe
apache?
Si le serveur est webmaster.apache, en cas de bug du serveur un usager malveillant peut
modifier l’arborescence.
d) Pourquoi le serveur ne peut-il pas avoir les droits : propriétaire : apache, groupe
apache ?
Si le serveur est apache.apache il ne pourra pas lire les documents.
e) Que se passe-t-il si le serveur a été configuré avec les droits : propriétaire : apache,
groupe www ?
Grâce aux droits du groupe www il peut lire les documents mais ne peut pas les modifier.
f) Dans ce dernier cas, quels doivent être les droits des pages personnelles des utilisateurs ?
Problème ?
Les pages personnelles de toto.rt2 doivent être en lecture pour tous sinon le serveur n’y
accède pas.
g) Comment configurer les répertoires recevant, par exemple, les fichiers de session ?
Il faut qu’ils appartiennent à webmaster.www et que le groupe puisse écrire.
h) Comment configurer le système pour que le site comporte plusieurs parties administrées
par différents webmasters.
Tous les webmasters appartiennent au groupe www, ex : webmaster1.www,
webmaster2.www etc.
3. La sauvegarde de fichiers
Un des travaux que l'administrateur système doit réaliser, est d'assurer la sécurité des données
de utilisateurs ainsi que des données sensibles.
La commande DD (device to device) copie tous les blocs d'un périphérique vers un autre
périphérique (y compris les blocs défectueux, les blocs vides. Son format est :
dd if=fichier_source of=fichier_dest
1. Quel est le problème de copier les blocs qui sont vides ? Est-ce un problème de taille ?
Non c'est un problème de temps : on va perdre du temps à copier des blocs vides
2. Quelle commande permet de sauvegarder la partition home montée sur le device
/dev/sda1 sur un disque externe /dev/sdb ? Dd if=/dev/sda1 of=/dev/sdb
3. Est-ce que sauvegarder dans un fichier est possible ? Oui sous linux tout est vu comme
un fichier
4. Quelle commande permet de copier un cd-rom sur la partition /mnt/backup ? dd
if=/dev/cd-rom of=/mnt/backup
19/09/13 4 M1101