1

Institut National des Sciences Appliquées et de Technologie (INSAT)

3ème année Réseaux Informatiques et Télécommunication (RT3)

Administration système et réseau sous Linux

Linux – LPI102
Dorsaf SEBAI

Dorsaf SEBAI
 2

Chapitre 4 : Notions de base réseaux

1. Bases des protocoles TCP/IP

2. Configuration de base de la pile TCP/IP
3. Diagnostic des réseaux

Dorsaf SEBAI
 3

Bases des protocoles TCP/IP (1)

Présentation

• Le protocole IP :
 Internet
Protocol.
 Couche réseau : couche 3 du modèle OSI.
 Acheminement de paquets IP entre les machines d’un réseau.
• Protocoles TCP et UDP :
 Transmission Control Protocol et User Datagram Protocol.
 Couche transport : couche 4 du modèle OSI.
 Transfert de données entre applications.

Dorsaf SEBAI
 4

Bases des protocoles TCP/IP (2)

Adresses IP

Réseau Machine Intervalle Masque

1.0.0.1 255.0.0.0
Classe A 1 3
126.0.0.1 (/8)
128.0.0.1
Classe B 2 2 255.255.0.0 (/16)
191.0.0.1
192.0.0.1 255.255.255.0
Classe C 3 1
223.0.0.1 (/24)
• Masques de sous-réseaux permettent de diviser le réseau en sous réseaux en utilisant l’adresse de l’hôte
pour désigner un sous réseau.
• Les "1 " : identifiant du réseau et les " 0 " : identifiant de la machine.
• Exemples :
 Classe A : Réseau 34.0.0.0 de masque 255.0.0.0 (224 machines).
 2 bits en plus pour l’identifiant du réseau : masque 255.192.0.0 (222 machines et 4 sous réseaux 34.0.0.0/10, 34.64.0.0/10,
34.128.0.0/10 et 34.192.0.0/10).
Dorsaf SEBAI
 5

Bases des protocoles TCP/IP (3)

Adresses Privées

• Solution à la pénurie d’adresses.

• Attribuer des adresses IP privées aux machines d’un réseau interne.
• Les machines sont reliées à un serveur Proxy pour traduire les adresses
IP privées non routables en adresses publiques (routables).
• Classe A : 10.0.0.1 à 10.255.255.254
• Classe B : 172.16.0.1 à 172.31.255.254
• Classe C : 192.168.0.1 à 192.168.255.254

Dorsaf SEBAI
 6

Bases des protocoles TCP/IP (4)

Ports de service

Dorsaf SEBAI
 7

Configuration de base de la pile TCP/IP (1)

Fichiers /etc/protocols et /etc/services

• /etc/protocols :
 Définitiondes protocoles TCP/IP.
 Format d’une ligne : protocole numéro alias

• /etc/services :
 Serviceset leurs numéros de port.
 Format d’une ligne : service numéro de port/protocole

Dorsaf SEBAI
 8

Configuration de base de la pile TCP/IP (2)

Fichiers /etc/hosts et /etc/networks

• /etc/hosts :
 Associationnom de machine - adresse IP.
 Format d’une ligne : @IP nom_hôte alias

• /etc/networks : Noms et adresses IP des réseaux.

Dorsaf SEBAI
 9

Configuration de base de la pile TCP/IP (3)

Fichiers /etc/resolv.conf et /etc/nsswitch.conf

• /etc/resolv.conf : serveurs DNS et domaines de recherche à utiliser.

• /etc/nsswitch.conf : déterminer l’ordre des sources à partir desquelles obtenir

les renseignements sur les bases de données de configuration d’un réseau (Name
Service Switch configuration file).

Dorsaf SEBAI
 10

Configuration de base de la pile TCP/IP (4)

Commande ifconfig

ifconfig [interface] [adresse] [options]

 netmask : spécifier le masque à utiliser
 up|down : activer ou désactiver une interface
 broadcast [adresse] : préciser l’adresse broadcast de l’interface
 Exemples :
 ifconfig eth0 10.1.1.1 netmask 255.255.255.0
 ifconfig eth0 192.168.1.7 down (ifdown eth0)
 ifconfig eth0 192.168.1.7 up (ifup eth0)
 ifconfig
 ifconfig eth0
 ifconfig eth0 10.1.1.2
Dorsaf SEBAI
 11

Configuration de base de la pile TCP/IP (5)

Commande route

Modification de la table de routage :

 Ajout de route vers une passerelle :
 route add -net 192.168.100.0 gw 192.168.100.1 netmask 255.255.255.0
 route add -net 192.168.100.0/24 gw 192.168.100.1
 Ajout de route par défaut : route add default gw 192.168.100.1
 Suppression de route : route del -net 192.168.100.0/24 gw 192.168.100.1
 L’affichage de la table de routage :
 route
 route -n

Dorsaf SEBAI
 12

Configuration de base de la pile TCP/IP (6)

Commande route

Dorsaf SEBAI
 13

Diagnostic des réseaux (1)

Test de la connectivité

Commande ping :
 La plus simple et la plus utile.
 Tester la réponse/connectivité d’une machine :
-c #paquets : nombre de paquets ICMP Request à envoyer.
-i intervalle : nombre de secondes entres deux paquets ICMP envoyés.

Dorsaf SEBAI
 14

Diagnostic des réseaux (2)

Test du routage

Commande traceroute :
 Donner le chemin parcouru pour arriver jusqu’à une machine ou adresse.
 Afficher la liste des routeurs (sauts) entre la machine source et la machine
destination.

Dorsaf SEBAI
 15

Diagnostic des réseaux (3)

Test de résolution de noms

Commandes host/nslookup/dig (Domain Information Groper)

 Chercher l’adresse IP/nom d’une machine à partir de son nom/adresse IP.
 Diagnostic des éventuels problèmes de configuration du DNS

Dorsaf SEBAI
 16

Diagnostic des réseaux (4)

Test de résolution de noms

Dorsaf SEBAI
 17

Diagnostic des réseaux (5)

Test des connexions

Commande netstat : lister les connexions de la machine.

 -a : tous les ports
 -t : les ports TCP
 -u : les ports UDP
 -l : les ports en écoute
 -n : affichage sans résolution de noms
 -r : la table de routage

Dorsaf SEBAI
 18

Chapitre 5 : Sécurité

1. Sécurité des utilisateurs

2. Sécurité du système
3. Sécurité des échanges réseaux

Dorsaf SEBAI
 19

Sécurité des utilisateurs (1)

• Auditer le système pour trouver les fichiers SUID/SGID.

• Fixer et modifier l’âge des mots de passe des utilisateurs.
• Interdire la connexion aux utilisateurs :
 Blocage des comptes.
 Fichier /etc/nologin :
 S’il existe, la connexion ne sera autorisée que pour root.
 Pour les autres utilisateurs, le contenu du fichier /etc/nologin est affiché ("Système
indisponible jusqu’à 09:30", "Maintenance système en cours", …).

Dorsaf SEBAI
 20

Sécurité des utilisateurs (2)

• Positionner le shell de connexion à /bin/false : les utilisateurs n’ont accès

qu’à leurs boîtes e-mail.
• Contrôler les limites d’utilisation des ressources shell par la commande
ulimit :
 ulimit -a (afficher les limites).
 ulimit -n (nombre max de fichiers ouverts).
 ulimit -u (nombre max de processus par utilisateur).
 ulimit -s (taille max des piles en koctets).
 ulimit -t (temps max du CPU en secondes).

Dorsaf SEBAI
 21

Sécurité des utilisateurs (3)

• Configuration de sudo par l’édition de son fichier de configuration

/etc/sudoers (visudo).

Dorsaf SEBAI
 22

Sécurité du système (1)

• Lister les ports ouverts en local (lsof, netstat) et à distance (nmap) :

 lsof -i
 lsof -i tcp
 lsof -i tcp:80
 lsof -p 145

Dorsaf SEBAI
 23

Sécurité du système (2)

• Désactiver les services non utilisés :

 Les services sont gérés par xinetd.

 Les fichiers de configuration de xinetd :

 /etc/xinetd.conf : le fichier de configuration global de xinetd.

 /etc/xinetd.d/ : le répertoire contenant les fichiers spécifiques aux services.

Dorsaf SEBAI
 24

Sécurité du système (3)

• Système de sécurité réseau TCP wrapper :

 Contrôle les accès et les tentatives de connexion sur une machine donnée.
 Sert d'enveloppe entre xinetd et le service demandé.
 Spécifie quelles machines distantes sont autorisées à utiliser les services locaux
d’une machine donnée.
 Fichiers /etc/hosts.allow et /etc/hosts.deny :

Dorsaf SEBAI
 25

Sécurité des échanges réseaux (1)

• Secure SHell (SSH) :

• Protocole de communication sécurisé (TCP/22).
• Sécurisation des connexions réseaux :
 Authentification des correspondants.
 Confidentialité des échanges.
• OpenSSH : version libre de SSH (/etc/ssh/ssh_config).

Dorsaf SEBAI
 26

Sécurité des échanges réseaux (2)

• Authentification :
 Le client et le serveur s'authentifient mutuellement afin d'assurer que les deux machines qui communiquent
sont bien celles que chacune des parties croit être.
 Utilisation des clés publique et privée (ssh-keygen -t rsa, ~/.ssh/id_rsa and id_rsa.pub, ~/.ssh/id_dsa,
id_dsa.pub).
• Confidentialité :
 Les données circulant entre le client et le serveur sont chiffrées (cryptographie).
 Personne d'autre que le serveur ou le client ne peut lire les informations transitant sur le réseau.
Dorsaf SEBAI