Formation Mandrake-Linux Security fr

MandrakeSecurityMultiple Network Firewall Guide de lutilisateur

(http://www.MandrakeSoft.com)

MandrakeSecurity: Multiple Network Firewall; Guide de lutilisateur Publi 2002-06-15 Copyright 2002 MandrakeSoft SA par Camille Bgnis, Christian Roy, Fabian Mandelbaum, Jol Pomerleau, et Florin Grad

Table des mati`res ePrface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i 1. Notice lgale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i 2. propos de Mandrake Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i 2.1. Contacter la communaut Mandrake. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .i 2.2. Contribuez au projet Mandrake Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ii 2.3. Acquisition de produits Mandrake . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ii 3. Au sujet de ce guide dinstallation et dutilisation MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iii 4. Auteurs et traducteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iii 5. Note des traducteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv 6. Outils utiliss dans la conception de ce manuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv 7. Conventions utilises dans ce manuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv 7.1. Conventions typographiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv 7.2. Conventions gnrales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v 1. Dmarrage rapide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.1. Survol des oprations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.2. tapes prliminaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 2. Installation avec DrakX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2.1. Introduction au programme dinstallation de Mandrake Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2.2. Choix de la langue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 2.3. Licence de la distribution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 2.4. Dtection et conguration des disques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 2.5. Conguration de la souris . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 2.6. Conguration du clavier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 2.7. Cration des partitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 2.8. Choix des partitions formater . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 2.9. Installation des paquetages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 2.10. Mot de passe root . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 2.11. Mot de passe de ladministrateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 2.12. Ajouter un utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 2.13. Conguration rseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 2.14. Emplacement du programme damorce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 2.15. Disquette de dmarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 2.16. Installation de mises jour depuis Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 2.17. Linstallation est maintenant termine ! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 2.18. Dsinstaller Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 I. Administration et conguration de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 3. Conguration de base de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 3.1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 3.2. Conguration de base du systme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 3.3. Conguration des cartes Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 3.4. Changer le mot de passe de ladministrateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 3.5. Journaux systme sur vos machines locales et distantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 3.6. Conguration de lheure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 4. Congurer laccs Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 4.1. Section Accs Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 4.2. Conguration dun modem analogique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 4.3. Congurer un accs Internet RNIS (ISDN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 4.4. Congurer un accs Internet ADSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 4.5. Congurer un accs Internet par cble ou rseau local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 4.6. Conguration des comptes daccs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 4.7. Restriction de temps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 5. Services : DHCP, Proxy, DNS, et bien dautres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 5.1. tat des services hbergs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 5.2. Serveur DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 5.3. Serveur mandataire ("Proxy") Squid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 5.4. DNS antmmoire ("Caching") . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 5.5. Systme de dtection dintrusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

iii

5.6. Activation de services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 6. Conguration du comportement du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 6.1. Contrle principal du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 6.2. Dnition des zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 6.3. Conguration du masquage, des traductions dadresses rseau statiques et du Proxy ARP . . 71 6.4. Conguration des rgles gnrales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 6.5. Conguration des rgles du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 6.6. Entretien de la liste noire (BlackList) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 6.7. Conguration des rgles de type de service (TDS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 7. Conguration dun VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 7.1. Quest-ce quun rseau priv virtuel (VPN) ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 7.2. Pourquoi un VPN ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 7.3. Monter un serveur VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 7.4. Congurer un client VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 8. Congurer des clients de paserelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 8.1. Machine Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 8.2. Machine Windows XP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 8.3. Machine Windows 95 ou Windows 98 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 8.4. Machine Windows NT ou Windows 2000. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .102 8.5. Machine DOS utilisant le paquetage NCSA Telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 8.6. Windows pour Workgroup 3.11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 8.7. Machine MacOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 8.8. Machine OS/2 Warp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 9. Surveillez le pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 9.1. Lutilisation de votre systme et de votre rseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 9.2. Fichiers journaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 10. Outils de gestion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 10.1. Connexion distante en utilisant SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 10.2. Sauvegarde et restauration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 10.3. Mise jour logiciel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 II. Thorie applique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 11. De la scurit sous GNU/Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 11.1. Prambule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 11.2. Aperu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 11.3. Scurit physique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 11.4. Scurit locale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 11.5. Scurit des chiers et des systmes de chiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 11.6. Scurit des mots de passe et cryptage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 11.7. Scurit du noyau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 11.8. Scurit rseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 11.9. Prparation de scurit (avant de vous connecter) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 11.10. Que faire, avant et pendant une effraction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 11.11. Documents de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 11.12. Foire aux questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 11.13. Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 Vocabulaire relatif la scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 12. Le rseau sous GNU/Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 12.1. Copyright . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 12.2. Comment utiliser ce document ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 12.3. Informations gnrales concernant le rseau sous Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 12.4. Informations gnrales sur la conguration du rseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 12.5. Informations sur IP et Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 12.6. Informations relative IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 12.7. Utilisation du matriel courant pour PC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 12.8. Autres technologies de rseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 12.9. Cbles et cblages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 A. O trouver de la documentation supplmentaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 ........................................................................................................ B. La licence Publique Gnrale GNU (GPL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197

iv

B.1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 B.2. Prambule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 B.3. Stipulations et conditions relatives la copie, la distribution et la modication . . . . . . . . . . . . . . . . . . 198 C. Licence de documentation libre GNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 C.1. A propos de cette traduction franaise de la GFDL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 C.2. Licence de documentation libre GNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 0. PRAMBULE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 1. APPLICABILIT ET DFINITIONS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .201 2. COPIES CONFORMES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 3. COPIES EN NOMBRE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 4. MODIFICATIONS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 5. FUSION DE DOCUMENTS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 6. REGROUPEMENTS DE DOCUMENTS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 7. AGRGATION AVEC DES TRAVAUX INDPENDANTS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 8. TRADUCTION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 9. CADUCIT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 10. RVISIONS FUTURES DE CETTE LICENCE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 C.3. Comment utiliser cette Licence pour vos documents. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .205

v

vi

Liste des tableaux1. Chapitres imports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i 1-1. Matriel requis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2 12-1. Allocations pour rseaux privs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175

Liste des illustrations2-1. cran de bienvenue, le dbut de linstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2-2. Choix la langue par dfaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 3-1. La fentre de connexion MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 3-2. cran daccueil de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 3-3. Licne de dconnexion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 7-1. Modle dune connexion VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 7-2. Ajouter une zone VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 7-3. Ajouter une interface rseau ipsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 7-4. Ajouter des politiques par dfaut pour le VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 7-5. Ajouter un tunnel au pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 7-6. Conguration du CA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 7-7. Diagramme VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 7-8. Ajouter un serveur VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 7-9. Rgle pour permettre le trac HTTP sur le VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 7-10. Ajouter un client VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 8-1. Nouvelle conguration du rseau local avec drakconnect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 8-2. Rgler la passerelle avec drakconnect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 8-3. Conguration de la passerelle sous Windows XP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 8-4. Licne de rseau sous Windows 95 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 8-5. Le tableau de conguration rseau sous Windows 95 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 8-6. Le tableau de conguration TCP/IP sous Windows 95 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 8-7. Le tableau de conguration de la passerelle sous Windows 95 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 8-8. Le tableau de conguration de protocole sous Windows NT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 8-9. La panneau de logiciel rseau sous Windows NT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 8-10. Le tableau de conguration TCP/IP sous Windows NT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 8-11. Le tableau de conguration DNS sous Windows NT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 8-12. Accder au panneau de contrle TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 8-13. Conguration automatique de laccs Internet pour MacOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 8-14. Conguration manuelle de laccs Internet pour MacOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 9-1. Exemple de rapport de Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 10-1. Lcran principal de la section Outils . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 10-2. Exemple de lcran Rcuprer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 10-3. Appliquer les congurations du chier restaur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .126 12-1. Un exemple de routage dynamique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 12-2. Le cblage NULL-modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 12-3. Cblage Ethernet 10base2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193

vii

viii

Prface e1. Notice lgale eCe manuel ( lexception des chapitres cits ci-dessous) est la proprit intellectuelle de MandrakeSoft. Ce manuel peut tre librement copi, distribu et/ou modi selon les termes de la Licence GNU Free Documentation License, Version 1.1 ou ultrieure publie par la Free Software Foundation ; avec la section inaltrable propos de Mandrake Linux, page i ; les textes de couvertures, cits ci-dessous, et sans texte de dos de couverture. Une copie complte de la licence se trouve la section Licence de documentation libre GNU, page 201. Textes de couverture :MandrakeSoft Mars 2002 http://www.mandrakesoft.com/ Copyright 1999,2000,2001,2002 MandrakeSoft S.A. et MandrakeSoft inc.

Les chapitres cit dans le tableau ci-dessous sont la proprit ine ee tellectuelle dautres auteurs que le manuel et sont soumis ` une a licence lg`rement dirente : e e e

Copyright Original De la scurit sous GNU/Linux, page 131 (c) 1998-2000 Kevin Fenzi and Dave Wreski

Licence Licence publique gnral (GPL) GNU, telle que publie par la Free Software Foundation ; version 2 de la licence ou ultrieure, au choix de lutilisateur. Licence LDP (voir linformation sur la licence dans le chapitre mme)

Le rseau sous GNU/Linux, page 171

(c) 1997 Terry Dawson, 1998 Alessandro Rubini, 1999 & 2000 Joshua D. Drake {POET}/CommandPrompt, Inc. http://www.linuxports.com/

Tableau 1. Chapitres imports Mandrake , Mandrake Linux et MandrakeSoft sont des marques dposes par MandrakeSoft S.A. ; Linux est une marque dpose de Linus Torvalds; UNIX est une marque dpose de The Open Group aux tats-Unis et dautres pays. Toutes les autres marques dposes et copyrights appartiennent leurs propritaires respectifs.

` 2. A propos de Mandrake LinuxMandrake Linux est une distribution GNU/Linux dveloppe par MandrakeSoft S.A. MandrakeSoft est une socit ne sur Internet en 1998 avec lambition de fournir un systme GNU/Linux agrable et facile utiliser. Les deux piliers de MandrakeSoft sont le logiciel libre et le travail coopratif.

2.1. Contacter la communaut Mandrake eNous prsentons ci-dessous plusieurs liens Internet pointant vers de nombreuses ressources lies Mandrake Linux. Si vous souhaitez en savoir plus sur la socit MandrakeSoft, consultez son site Web (http://www. mandrakesoft.com/). Un site ddi la distribution Mandrake Linux (http://www.mandrakelinux.com/) et tous ses drivs existe galement. MandrakeSoft est galement re de prsenter sa plate-forme daide libre. MandrakeExpert (http://www. mandrakeexpert.com/) nest pas un autre site Web o les gens en aident dautres pour leurs problmes informatiques en change dun prix payable davance, quelle que soit la qualit du service rendu. Il propose une nouvelle exprience sappuyant sur la conance et le plaisir de rcompenser son prochain pour sa contribution.

i

Prface En sus, MandrakeCampus (http://www.mandrakecampus.com/) propose la communaut GNU/Linux des cours de formation libres sur toutes les technologies en rapport avec les logiciels libres. Professeurs, formateurs et lves disposent l dune plate-forme unique dchange du savoir. Il y a un site pour les fans de Mandrake Linux appel Mandrake Forum (http://www.mandrakeforum.com/) : un site exclusif pour toutes les annonces, ragots, astuces, conseils, nouvelles et plus, sur Mandrake Linux. Cest aussi un des seuls sites Web interactifs hbergs par MandrakeSoft. Donc, si vous avez quelque chose nous dire, ou quelque chose que vous souhaitez partager avec dautres utilisateurs, ne cherchez plus, cest lendroit rv ! Dans la philosophie des logiciels libres, MandrakeSoft offre de nombreux canaux de support (http://www. mandrake-linux.com/fr/ffreesup.php3) pour les distributions Mandrake Linux. Vous tes en particulier invit participer aux nombreuses listes de diffusion (http://www.mandrake-inux.com/fr/flists.php3), o la communaut Mandrake Linux dploie tout son enthousiasme et sa vivacit. Finalement, noubliez pas de vous connecter sur MandrakeSecure (http://www.mandrakesecure.net/). Ce site rassemble tout ce qui a rapport la scurit des distributions Mandrake Linux. Vous y trouverez notamment les avertissements de bogues et scurit, ainsi que des articles en rapport avec la scurit et la privacit. Un incontournable pour tout administrateur systme, ou simple utilisateur soucieux de scurit.

2.2. Contribuez au projet Mandrake Linux la demande gnrale, MandrakeSoft propose ses utilisateurs enthousiastes de faire une donation (http: //www.mandrakelinux.com/donations/) pour encourager les dveloppements futurs du systme Mandrake Linux. Vos contributions aideront MandrakeSoft fournir ses utilisateurs une distribution amliore, scuritaire, conviviale, actualiser, et prenant en charge encore plus de langues. Quels que soient vos talents, vous tes encourag participer lune des nombreuses tches que requiert la construction du systme Mandrake Linux :

paquetages : un systme GNU/Linux est principalement constitu de programmes rassembls depuis Internet. Ils doivent tre mis en forme de faon ce quils puissent fonctionner ensemble, si tout se passe bien ; programmation : une foule de projets sont directement dvelopps par MandrakeSoft : cherchez celui qui vous intresse le plus et proposez votre aide au dveloppeur principal ; internationalisation : traduction des pages des sites Web, programmes et leur documentation respective. documentation : enn, le livre que vous lisez actuellement lire demande beaucoup defforts pour suivre lvolution rapide du systme. Rdacteurs et traducteurs seront accueillis bras ouverts !

Consultez aussi les pages des contributeurs (http://www.mandrakesoft.com/labs/) pour en savoir plus sur les diffrentes faons de contribuer lvolution de Mandrake Linux. Le 3 aot 2001, aprs avoir rejoint le peloton de tte des fournisseurs de solutions libres et de logiciels GNU/Linux , MandrakeSoft est devenue la premire socit Linux tre cote sur une bourse europenne. Que vous soyez dj actionnaire de MandrakeSoft ou que vous souhaitiez le devenir, nos pages investisseurs (http://www.mandrakesoft.com/company/investors) vous fourniront les meilleures informations nancires sur notre socit.

2.3. Acquisition de produits MandrakePour les fans de Mandrake Linux dsirant proter de la facilit de lachat en ligne, MandrakeSoft vend dsormais ses produits dans le monde entier depuis son site de commerce lectronique MandrakeStore (http://www.mandrakestore.com). Vous trouverez des logiciels Mandrake Linux systmes dexploitation et outils rseau (pare-feu), mais aussi des offres spciales dabonnement, de lassistance, des logiciels tiers et des licences, des manuels de formation et des livres GNU/Linux , ainsi que des tee-shirts, casquettes, et autres gadgets MandrakeSoft.

ii

Prface

3. Au sujet de ce guide dinstallation et dutilisation MandrakeSecurityCe livre comprend un chapitre dintroduction qui vous guidera quant linstallation et vous informera des composants matriel ncessaires pour utiliser MandrakeSecurity . Il est ensuite conseill de lire Survol des oprations, page 1 qui donne un aperu du cycle de vie dun serveur MandrakeSecurity et les tches de maintenance. Nous dtaillerons ensuite le processus dinstallation (Installation avec DrakX, page 3). Cest assez simple, mais sil sagit de votre premire installation de GNU/Linux , il est prfrable de suivre ce chapitre pendant que vous installez MandrakeSecurity . Puis vient le coeur de la bte ! Aprs ce chapitre dintroduction suivent deux parties. La premire sintitule Rglage et gestion de MandrakeSecurity et passe travers toutes les tapes ncessaires pour oprer MandrakeSecurity de faon efcace. Vous apprendrez les rglages de base dans le chapitre Conguration de base de MandrakeSecurity, page 21 et comment congurer la connexion Internet de votre serveur dans le chapitre Congurer laccs Internet, page 31. Ensuite, le chapitre Services : DHCP, Proxy, DNS, et bien dautres, page 47 explique comment congurer votre serveur en tant que DNS, DHCP et mandataire (Proxy). Il vous informera galement au sujet de lutilisation des dispositifs SDI (soit IDS ou Intrusion Detection System). Un des chapitres les plus importants est celui-ci : Conguration du comportement du pare-feu, page 65. Il scrute la section Rgles pare-feu de linterface MandrakeSecurity et vous aidera dnir le trac entrant/sortant sur votre rseau. Les derniers chapitres de cette premire partie traitent des rglages initiaux, de congurations ultrieures et de rglage de services. Vous trouverez des renseignements ces sujets dans les chapitres Surveillez le pare-feu, page 111 et Outils de gestion, page 123. La deuxime partie est plus thorique, do le titre : Thorie applique. Elle est divise en deux chapitres. Le premier, De la scurit sous GNU/Linux, page 131, sappuie sur un HOWTO de Kevin Fenzi et Dave Wreski. Son but premier est daborder des questions de scurit auxquelles les administrateurs systme auront sans aucun doute faire face. Il alterne entre des sujets philosophiques et pratiques qui vous permettront de mieux scuriser votre systme des crackers potentiels. Le second et dernier chapitre de cette partie sappelle Le rseau sous GNU/Linux, page 171. Il sappuie sur un HOWTO de Joshua D. Drake {POET}. Ce chapitre contient des liens vers de la documentation de rseau, par exemple, sur le TCP/IP. Il discute des incontournables pour oprer un rseau de faon efcace. Il explique des principes technologiques relis lIP et Ethernet, des technologies communes la plupart des PCs, ainsi que des technologies rseau particulires telles que Appletalk et le relais de trames (Frame Relay). Ce manuel se conclut sur deux annexes. La premire, O trouver de la documentation supplmentaire, page 195, vous guidera vers des sources dinformation sur Internet. Et la deuxime est la Licence de documentation libre GNU, page 201, soit la licence qui sapplique au contenu de ce livre.

4. Auteurs et traducteursLes personnes suivantes ont contribu llaboration de ce manuel Mandrake Linux :

Camille Bgnis Fabian Mandelbaum Roberta Michel Rodrigo Pedrosa Jol Pomerleau Christian Roy Les personnes ayant crit des documents que nous avons intgrs sont listes dans au tableau 1.

Ces personnes ont aussi particip des degrs divers : Amaury Amblard-Ladurantie, Florin Grad, Philippe Libat et Diane Tan.

iii

Prface

5. Note des traducteursEn passant dun chapitre lautre, vous remarquerez que ce livre est une uvre composite. En effet, nous avons cru essentiel de respecter le style spcique de chaque auteur (anglophone pour la plupart), mme si, videmment, la cohrence technique et lexicale a t notre priorit. Maintenir cette documentation est dailleurs un vritable d ! Choisir le bon mot nest pas toujours facile puisque la plupart des termes informatiques utiliss par les professionnels de par le monde demeurent en fait des mots de langue anglaise. Inventer un terme franais plus clair pour le novice risque alors de drouter lexpert ! Que faire ? On aura en gnral opt pour un compromis : donner les deux termes anglais et franais lors de la premire occurrence textuelle de la notion, puis un seul par la suite, an de ne pas entraver la lecture. Nhsitez pas nous donner votre avis ce sujet. Car enn, dans le droit l de lesprit particulier de la communaut du libre (open source), nous accueillons les collaborations bras ouverts ! Il vous est tout fait possible dapporter votre petite pierre ldication de ce projet de diverses faons. Vous disposez de temps libre ? Proposez-nous un nouveau chapitre ! Vous comprenez bien langlais ? Aidez-nous traduire ! Vous avez des ides pour amliorer ce document ? Nous sommes tout oue ! Pour toute information sur le projet de documentation de Mandrake Linux, communiquez avec le responsable de la documentation ([email protected]).

6. Outils utiliss dans la conception de ce manuel eCe manuel a t mis en forme avec DocBook . Borges (http: // linux-mandrake. com/ en/ doc/ project/ Borges/ ) a t utilis pour grer lensemble des chiers du projet. Les chiers sources XML ont t prformats avec openjade et jadetex , grce aux feuilles de style de Norman Walsh personnalises. Les images ont t prises avec xwd ou GIMP puis converties avec la commande convert du paquetage ImageMagick . Tous ces logiciels sont libres et disponibles sur votre distribution Mandrake Linux.

7. Conventions utilises dans ce manuel e7.1. Conventions typographiquesAn daccentuer clairement certains mots ou groupes de mots, nous avons utilis certains attributs typographiques. Le tableau suivant en donne la signication symbolique : Exemple format e inud ls -lta ls(1)$ ls *.pid $

Signication Signale un terme technique. Types utiliss pour une commande et ses arguments, les options et les noms de chier (voir la section Synopsis dune commande, page v ). Rfrence vers une page de manuel. Pour consulter la page correspondante dans un shell (ou ligne de commande), excutez la commande man 1 ls. Ce style est utilis pour une copie dcran texte. Signale une interaction utilisateur-ordinateur, le code source dun programme, etc. Donnes littrales qui ne correspondent gnralement pas une des catgories prcdemment dnies : citation dun mot-cl tir dun chier de conguration, par exemple. Nom des applications. ne pas confondre avec le nom de la commande associe (vois plus haut). Entres de menu ou labels des interfaces graphiques, en gnral. La lettre souligne indique le raccourci clavier ventuel. Partie dun ordinateur ou ordinateur lui-mme. Citation en langue trangre. Types rservs pour les mots que nous voulons accentuer (on les lira voix haute ;-)

localhost

Apache C ongurer Bus SCSI Once upon a time... Attention !

iv

Prface

Cette icne introduit une note. Il sagit gnralement dune remaro e e que dans le contexte courant, pour donner une information additionnelle.

Cette icne introduit une astuce. Il peut sagir dun conseil dordre o gnral sur la meilleure faon darriver ` un but spcique, ou une e e c a e fonctionnalit intressante qui peut vous rendre la vie plus facile. e e

Soyez tr`s attentif lorsque vous rencontrez cette icne. Il sagit e o toujours dinformations tr`s importantes sur le sujet en cours de e discussion.

7.2. Conventions gnrales e e7.2.1. Synopsis dune commande Lexemple ci-dessous prsente les diffrents signes et symboles que vous rencontrerez lorsque nous dcrivons les arguments dune commande :command [--option={arg1,arg2,arg3}] [argument optionnel...] e

Ces conventions tant standardises, vous les retrouverez en bien dautres occasions (dans les pages de man, par exemple). Les signes < (suprieur) et > (infrieur) indiquent un argument obligatoire qui ne doit pas tre recopi tel quel mais remplac par votre texte spcique. Par exemple : dsigne le nom dun chier ; si ce chier est toto.txt, vous devrez taper toto.txt, et non ou . Les crochets [ ] indiquent des arguments optionnels que vous dciderez ou non dinclure dans la ligne de commande. Les points de suspension ... signient quun nombre illimit doptions peut tre insr cet endroit. Les accolades { } contiennent les arguments autoriss cet endroit. Il faudra obligatoirement insrer un dentre eux cet endroit prcis.

7.2.2. Notations particuli`res e Il vous sera demand, de temps autre, de presser les touches Ctrl+R. Cela signie que vous devez taper et maintenir la touche Ctrl enfonce pendant que vous appuyez sur la touche R. Le mme chose se rencontre pour les touches Alt et Shift. De mme, propos des menus, aller sur lentre de menu FichierRelire la conguration utilisateur (Ctrl+R) signie : cliquer sur le texte File du menu (gnralement horizontal en haut de la fentre) puis sur le menu vertical qui apparat, cliquer sur Relire la conguration utilisateur . De plus, vous tes inform que vous pouvez utiliser la combinaison de touches Ctrl+R comme dcrit ci-dessus pour arriver au mme rsultat.

7.2.3. Utilisateurs du syst`me e chaque fois que cela est possible, nous utiliserons deux utilisateurs gnriques dans nos exemples : Reine Pingusa Pierre Pingus Cet utilisateur est cr pendant linstallation. Cet utilisateur est ensuite cr par ladministrateur systme.

v

Prface

vi

Chapitre 1. Dmarrage rapide eDans ce chapitre dintroduction, nous passerons en revue toutes les tapes de pr-conguration requises avant de pouvoir utiliser les produits sappuyant sur MandrakeSecurity . Que vous utilisiez MandrakeSecurity sur un serveur ddi ou par-dessus une distribution Mandrake Linux, ce chapitre est pour vous.

1.1. Survol des oprations eLa liste chronologique prsente ici vous guidera travers tout le cycle de vie de votre pare-feu. Lisez-la attentivement avant tout, et rfrez-vous aux sections du manuel cites.

1. Conguration matriel requise. Si vous construisez votre pare-feu partir dun PC standard, vriez ladquation entre vos besoins rels et le matriel en lisant tapes prliminaires, page 1. 2. Installation. Installez une distribution minimale sur la machine, en suivant les instructions Installation avec DrakX, page 3. 3. Premire connexion et conguration de base. Congurez les paramtres de base du systme et la connexion Internet : Conguration de base de MandrakeSecurity, page 21. 4. Activation des services. Activez ceux des services proposs par MandrakeSecurity dont vous avez besoin : Services : DHCP, Proxy, DNS, et bien dautres, page 47. 5. Paramtrage des rgles de pare-feu. Contrlez le trac sur la passerelle : Conguration du comportement du pare-feu, page 65. 6. Conguration VPN. Si vous souhaitez tablir un rseau priv virtuel (VPN : Virtual Private Network) avec un autre site distant quip avec MandrakeSecurity : Conguration dun VPN, page 85. 7. Conguration des systmes client. Il est maintenant temps de connecter vos diffrents serveurs et machines htes votre pare-feu. Congurez les serveurs de la DMZ en fonction des rgles que vous aurez ajoutes dans MandrakeSecurity . Pour les clients, suivez les instructions du chapitre Congurer des clients de paserelle, page 97. 8. Tests. Assurez-vous simplement que les diffrents services congurs fonctionnent comme prvu. Vriez aussi que les diffrentes rgles du pare-feu donnent bien le rsultat attendu, dans toutes les directions. 9. Sauvegarde de la conguration. Obligatoire, inutile dinsister : Sauvegarde et restauration, page 125. 10. Surveillance du systme. Tout le systme est maintenant en tape de production et rempli ses missions comme prvu. Pour faire en sorte que tout se passe bien dans le temps, prenez la bonne habitude de vrier rgulirement les indicateurs vitaux du systme : Surveillez le pare-feu, page 111. 11. Changer les mots de passe. Il est extrmement important pour la scurit du systme de changer priodiquement le mot de passe admin permettant daccder au systme pare-feu. Pour ce faire, allez au formulaire Conguration systme Compte administrateur depuis linterface Web: Changer le mot de passe de ladministrateur, page 27. 12. Mise jour du systme. An dtre sr que votre pare-feu est toujours au summum de la scurit, MandrakeSoft publie rgulirement des mises jour de paquetages des applications pour lesquelles des trous de scurit ou des bogues ont t dcouverts et supprims. Faites en sorte dinstaller toutes les mises jour ds quelles sont disponibles : Mise jour logiciel, page 127. 13. Rinitialisation profonde. En cas dabsolue ncessit : Sauvegardez la conguration ; dsinstallez les paquetages naat-* du systme ; installez le paquetage snf-en ; et restaurez la conguration.

1

Chapitre 1. Dmarrage rapide

1.2. Etapes prliminaires eSi vous avez choisi dinstaller MandrakeSecurity sur une machine du commerce, voici quelques conseils au sujet du matriel ncessaire pour deux utilisations diffrentes. Ensuite, nous passerons rapidement en revue le processus dinstallation.

Conguration Processeur Mmoire RAM Disque dur Interfaces rseau

Rseau local modeste, sans DMZ et peu Rseau local avec DMZ hbergeant e e e de trac plusieurs serveurs Internet publics P166 64Mo 2Go Ethernet (LAN) + Internet PIII 128Mo 10Go 2*Ethernet (LAN+DMZ) + Internet

Tableau 1-1. Matriel requis Ces chiffres sont videmment purement indicatifs et dpendent grandement de lutilisation effective du rseau. Selon les services activs sur le serveur, la conguration peut savrer ltroit. Vriez rgulirement la charge du systme (Surveillez le pare-feu, page 111). Ainsi, vous pourrez agir avant que votre systme ne sature.

2

Chapitre 2. Installation avec DrakX2.1. Introduction au programme dinstallation de Mandrake LinuxDrakX est le logiciel dinstallation pour Mandrake Linux. Possdant son interface graphique, il offre une facilit dutilisation incomparable. Il permet, par exemple, de retourner tout moment une tape prcdente de linstallation ou de dnir le type dinstallation selon votre niveau dexpertise avec GNU/Linux.

Figure 2-1. cran de bienvenue, le dbut de linstallation

Au dbut de linstallation, que ce soit par CD-ROM ou disquette, le premier cran vous propose plusieurs options dinstallation (gure 2-1). Ne rien faire dmarrera linstallation en mode standard ou linux . Les quelques paragraphes qui suivent prsentent quelques options et paramtres qui peuvent tre passs au programme dinstallation en cas de problme. En appuyant sur F1, un cran daide apparat. Voici les options qui vous y sont proposes :

vgalo : Si vous avez essay une installation normale et quil vous a t impossible de voir linterface graphique telle que montre plus loin (Choix de la langue, page 4), vous pouvez essayer de lancer linstallation en mode basse rsolution. Cela peut arriver avec quelques cartes graphiques et MandrakeSecurity vous propose de contourner ce problme. Pour lancer linstallation en mode basse rsolution, tapez vgalo linvite. text : Dans la situation o vous utilisez une trs vieille carte vido et que linstallation en mode graphique refuse de dmarrer, le mode text vous permettra de poursuivre linstallation. Le mode expert : Dans certains cas isols, la dtection du matriel peut bloquer votre ordinateur. Le mode expert permet de contourner ce problme, mais sachez que vous devrez alors fournir lensemble des paramtres de votre matriel manuellement. Enn, expert est une option pour les modes prcdents (ou linux, le mode standard). Vous pouvez donc tre amen spcier:boot: vgalo expert

Pour lancer une installation en mode graphique basse rsolution sans dtection matrielle. 3

Chapitre 2. Installation avec DrakX

Le mode expert proposera aussi une installation plus dtaille, e e permettant une plus grande souplesse.

options du noyau : vous permet de spcier des options directement au noyau dinstallation. On lutilisera particulirement sur les systmes o linstalleur est incapable de dterminer la quantit de mmoire installe. Il vous suft donc de linscrire manuellement, en option du mode dinstallation avec la commande mem=xxxxM. Par exemple, pour dmarrer une installation en mode standard sur un PC ayant 256 Mo de mmoire vive, entrez la commande suivante :boot: linux mem=256M

Le processus dinstallation proprement dit possde une interface graphique (gure 2-2). gauche, les diffrentes phases dinstallation sont identies. Selon o vous en tes dans le processus dinstallation, certaines tapes seront accessibles ou non. Si vous y avez accs, elles sont mises en surbrillance lorsque le curseur de la souris les survole. Par ailleurs, diffrentes couleurs identient les phases de linstallation.

rouge : cette tape nest pas encore entame. orange: identie ltape o vous en tes vert: cette tape est termine. Rappelez-vous que vous pouvez toujours y revenir pour en changer les congurations.

Ce guide se place dans lhypothse o vous effectuez une installation standard, tape par tape, telle que dcrite ci-dessous.

2.2. Choix de la langueLa premire tape consiste choisir votre langue.

4


Figure 2-2. Choix la langue par dfaut

Veuillez choisir votre langue. Celle-ci sera utilise durant le processus dinstallation, ainsi que durant les mises jour de votre systme. En cliquant sur Avanc, le programme vous proposera galement des langues complmentaires pouvant tre installes sur votre station de travail. En choisissant des langues supplmentaires, le programme vous installera toute la documentation et les applications ncessaires lutilisation de ces langues. Par exemple, si vous prvoyez daccueillir des utilisateurs dEspagne sur votre serveur, choisissez langlais comme langue principale, et, dans la section avance, cliquez sur ltoile grise correspondant Spanish|Spain. Sachez que plusieurs langues peuvent tre installes. Une fois votre slection complte termine, cliquez sur OK pour continuer.

Les langues prsentes ici ne sont pas toutes disponibles dans e e linterface Web de MandrakeSecurity .

5


2.3. Licence de la distribution

Avant daller plus loin, il est fortement recommand de lire attentivement les termes et conditions dutilisations de la licence. Celle-ci rgit lensemble de la distribution Mandrake Linux. Si, pour une raison ou une autre, vous nacceptez pas ces conditions, cliquez sur Refuser. Linstallation sera alors immdiatement interrompue. Pour continuer, cliquez sur Accepter.

6


2.4. Dtection et conguration des disques. e

DrakX dtecte maintenant tous les priphriques IDE prsents sur votre systme. DrakX recherchera aussi les priphriques SCSI. Finalement, selon les composantes dtectes, DrakX installera tous les pilotes ncessaires son fonctionnement. Compte tenu de la vaste gamme de priphriques disponibles sur le march, dans certains cas la dtection de matriel ne fonctionnera pas. DrakX vous demandera alors de conrmer si des composantes SCSI sont prsentes sur votre systme. Cliquez sur Oui si vous tes certain davoir un priphrique SCSI sur votre systme. DrakX vous prsentera alors une liste de carte SCSI disponibles. Slectionnez la vtre. Vous devez videmment cliquer sur Non, si vous nen avez pas. Si vous ntes pas certain, cliquez sur Voir les informations sur le matriel, puis sur OK. Vriez la liste du matriel, puis cliquez sur OK pour retourner la question concernant les priphriques SCSI. Si vous devez congurer votre carte SCSI manuellement, DrakX vous demandera si vous souhaitez spcier la main les options du priphrique. Laissez en fait DrakX chercher automatiquement les options ncessaires la conguration de votre carte, cela fonctionne gnralement. Il peut arriver que DrakX soit incapable de vrier les options ncessaires. Dans ce cas, vous devrez les dterminer manuellement.

7


2.5. Conguration de la souris

DrakX dtecte gnralement le nombre de boutons de votre souris. Sinon, il prend pour acquis que vous avez une souris deux boutons et congurera lmulation du troisime bouton. De plus, DrakX saura automatiquement si vous avez une souris PS/2, srie ou USB. Si vous dsirez installer une souris diffrente, veuillez la slectionner partir de la liste qui vous est propose. Si vous slectionnez une souris diffrente de celle choisie par dfaut, DrakX vous prsentera un cran de test. Utilisez les boutons et la roue pour vous assurer que tout fonctionne correctement. Si votre souris ne fonctionne pas normalement, appuyez sur la barre despacement ou Entre ou encore Annuler, puis, slectionnez une autre souris.

Les souris ` roulette ne sont pas dtectes parfois. Vous devrez a e e alors slectionner manuellement une souris dans la liste. Assurez e vous de choisir celle qui correspond ` votre mod`le et au bon port a e de connexion. Apr`s avoir press le bouton OK, une image de souris e e appara Vous devez alors faire tourner la molette an de lactiver t. correctement. Testez alors que tous les mouvements et boutons fonctionnent correctement.

2.6. Conguration du clavierCette tape est gnralement ignore en mode Recommand. e e e e e

8


Normalement, DrakX slectionne le clavier appropri en fonction de la langue choisie et vous ne devriez pas voir cette tape. Cela dit, il est possible que vous ayez un clavier ne correspondant pas exactement votre langue dutilisation. Par exemple, si vous habitez le Qubec et parlez le franais et langlais, vous pouvez vouloir avoir votre clavier anglais pour les tches dadministration systme et votre clavier franais pour crire de la posie. Dans ces cas, il vous faudra revenir cette tape dinstallation et slectionner un autre clavier partir de la liste. Cliquez sur Davantage pour voir toutes les options proposes.

9


2.7. Cration des partitions e

Cette tape vous permet de dterminer prcisment lemplacement de votre installation de MandrakeSecurity . Si votre disque est vide ou utilis par un autre systme dexploitation, vous devrez repartitionner votre disque. Partitionner un disque signie de le diviser prcisment an de crer un espace pour votre installation. Comme les effets du partitionnement sont irrversibles (lensemble du disque est effac), le partitionnement est gnralement intimidant et stressant pour un utilisateur inexpriment. Heureusement, un assistant a t prvu cet effet. Avant de commencer, rvisez vos manuels et surtout, prenez votre temps. Si des partitions ont dj t dnies, peu importe quelles proviennent dune autre installation ou dun autre outil de partitionnement, il vous suft de simplement choisir sur quelle partition vous voulez installer Mandrake. Si vos partitions ne sont pas dnies, vous devrez les crer en utilisant lassistant. Selon la conguration de votre disque, plusieurs options sont disponibles :

Utilisez lespace disponible : cette option tentera simplement de partitionner automatiquement lespace inutilis sur votre disque. Il ny aura pas dautre question. Utiliser les partitions existantes : l assistant a dtect une ou plusieurs partitions existants sur votre disque. Si vous voulez les utiliser, choisissez cette option. Il vous sera alors demand de choisir les points de montage associs chacune des partitions. Les anciens points de montage sont slectionns par dfaut, et vous devriez gnralement les garder. Utilisez lespace libre sur une partition Windows : si Microsoft Windows est install sur votre disque et prend lensemble de lespace vous devez crer une place pour votre installation Mandrake. Pour ce faire, vous pouvez tout effacer (voir effacer tout le disque ou Mode expert ) ou vous pouvez redimensionner lespace utilis par Windows . Le redimensionnement peut tre effectu sans pertes de donnes, condition que vous ayez pralablement dfragment la partition Windows. Une sauvegarde de Vos donnes ne fera pas de mal non plus. Cette seconde option peut tre accomplie sans perte de donnes. Cette solution est recommande pour faire cohabiter Linux et Windows sur le mme ordinateur. Avant de choisir cette option, il faut comprendre quaprs cette procdure lespace disponible pour Windows sera rduit. Vous aurez moins despace pour installer des logiciels ou sauvegarder de linformation avec Windows.

10


Eacer tout le disque: si vous voulez effacer toutes les donnes et les applications installes sur votre systme et les remplacer par votre nouveau systme MandrakeSecurity , choisissez cette option. Soyez prudent, car ce choix est irrversible et permanent. Il vous sera impossible de retrouver vos donnes effaces.

En choisissant cette option, lensemble du contenu de votre disque sera dtruit. e

Supprimer Microsoft Windows: ce choix effacera tout simplement ce que contient le disque et recommencera zro. Toutes les donnes et les programmes prsents sur le disque seront effacs.

En choisissant cette option, lensemble de votre disque sera eac e

Partitionnement personnalis : permet de partitionner manuellement votre disque. Soyez prudent, parce que bien que plus puissante, cette option est dangereuse. Vous pouvez facilement perdre lensemble du contenu dun disque. Donc, ne choisissez pas cette option si vous ne savez pas exactement ce que vous devez faire. Pour en savoir plus sur DiskDrake , rfrez vous la documentation en ligne de DiskDrake (http://www.linux-mandrake.com/en/doc/82/en/user.html/diskdrake.html).

2.8. Choix des partitions ` formater a

Les partitions ayant t nouvellement dnies doivent tre formates (ce qui implique la cration dun systme de chiers. Lors de cette tape, vous pouvez reformater des partitions existantes pour effacer les donnes prsentes. Vous devrez alors les slectionner galement. 11

Chapitre 2. Installation avec DrakX Sachez quil nest pas ncessaire de reformater toutes les partitions existantes. Vous devez formater les partitions contenant le systme dexploitation (comme /, /usr ou /var, mais il nest pas ncessaire de formater les partitions de donnes, notamment /home.. Soyez prudent. Une fois que les partitions slectionnes seront reformates, il sera impossible de rcuprer des donnes. Cliquez sur OK lorsque vous tes prt formater les partitions. Cliquez sur Annuler pour ajouter ou enlever une partition formater. Cliquer sur Avancer si vous dsirez slectionner des partitions pour une vrication des secteurs dfectueux (Bad Blocks).

2.9. Installation des paquetagesVotre nouveau systme MandrakeSecurity est actuellement en cours dinstallation. La liste de paquetages installs est prdnie et ne peux pas tre modie. Selon la quantit de paquetages installs et la vitesse de votre ordinateur, la dure de cette opration peut varier de quelques instants plusieurs minutes.

2.10. Mot de passe root

Vous devez prendre ici une dcision cruciale pour la scurit de votre systme. Lutilisateur root est ladministrateur du systme qui a tous les droits daccs aux chiers de conguration, etc. Il est donc impratif de choisir un mot de passe difcile deviner (pensez aux systmes prvus cet effet qui anticipent les combinaisons communes des utilisateurs). DrakX vous avertira si le mot de passe entr est trop facile deviner. Comme vous pouvez le voir, il est galement possible de ne pas entrer de mot de passe. Nous dconseillons fortement cette pratique. Comme lerreur est humaine, un utilisateur avec tous les droits peut tout dtruire sur votre systme, cest pourquoi le mot de passe doit agir comme barrire lentre. Le niveau de scurit MSEC est positionn 4 ( haut ) par dfaut. Le mot de passe choisi doit contenir au moins 8 caractres alphanumriques. Ne jamais crire un mot de passe, forcez-vous vous en souvenir par coeur.

12

Chapitre 2. Installation avec DrakX Il faut donc mnager accessibilit et mmoire, donc un mot de passe de 30 caractres est presque impossible mmoriser. An dviter les regards indiscrets, le mot de passe napparatra pas lcran. Il vous faudra donc linscrire deux fois an dviter les erreurs de frappe. videmment, si vous faites deux fois la mme erreur, celle-ci sera sauvegarde et vous devrez la reproduire an daccder votre systme pour la premire fois.

2.11. Mot de passe de ladministrateurVous devez maintenant choisir le mot de passe pour ladministrateur du systme (login: admin). Cet utilisateur est diffrent du compte root pour des raisons de scurit, mais aussi parcequil peut sagir de personnes diffrentes. Cest ce compte admin qui sera ncessaire pour accder linterface Web de MandrakeSecurity . Les critres de choix de ce mot de passe sont les mmes que pour le compte root.

2.12. Ajouter un utilisateur

Tous les utilisateurs ncessaires au fonctionnement de MandrakeSecurity ont t dnis. Cependant, si vous prvoyez dutiliser la fonction dauthentication PAM de squid , vous pouvez ajouter ici les utilisateurs qui seront autoriss. Il faut dabord entrer le vrai nom de la personne. videmment, vous pouvez y inscrire nimporte quoi. DrakX prendra le premier mot insr et le transposera comme Nom de login. Cest le nom qui sera utilis pour se connecter au systme. Vous pouvez le modier. Il faut maintenant entrer un mot de passe. Celui-ci nest pas aussi crucial que le mot de passe de root, mais ce nest pas une raison pour le laisser blanc ou trop simple. Aprs tout, ceci mettrait vos chiers en pril. Vous pouvez alors choisir de rendre cet utilisateur membre dun ou plusieurs groupes spciaux ce qui lui donnera des privilges particuliers. Cochez les cases correspondants aux privilges que vous souhaitez accorder cet utilisateur. Si vous cliquez Accepter, il vous sera possible dajouter dautres utilisateurs. Une fois chaque utilisateur dni, cliquez sur Terminer.

13


En cliquant sur Avanc, vous pourrez slectionner un shell die e rent pour cet utilisateur (bash est assign par dfaut). e e

2.13. Conguration rseau e

Vous allez pouvoir congurer maintenant votre accs au rseau local (LAN). MandrakeSecurity tentera de dtecter les priphriques rseau et modems. Si cette dtection chouait, dcochez la case Utiliser la dtection automatique.

Bien que plusieurs type de connexion soient proposs ici, ne cone gurez pas votre connexion Internet maintenant. Vous devriez vous contenter de congurer votre acc`s Ethernet LAN, de faon ` poue c a voir accder ` l e a interface dadministration apr`s linstallation pour e y congurer facilement toutes les autres connexions.

Nous ne dtaillerons pas ici chacune des congurations possibles. Assurez-vous seulement que vous avez toutes les informations (adresse IP, passerelle, serveurs DNS) de votre fournisseur de service Internet ou de ladministrateur systme porte de main. Vous pourrez congurer toutes les autres interfaces rseau (Internet, DMZ, etc.) plus tard grce linterface de MandrakeSecurity .

14


2.14. Emplacement du programme damorce

Vous devez indiquer le rpertoire o vous souhaitez enregistrer les informations ncessaires au dmarrage sous GNU/Linux . A moins que vous ne matrisiez parfaitement les choix dans ce domaine, nous vous conseillons de choisir Premier secteur du disque (MBR). Les diffrentes options de dmarrage seront alors prsentes, vous pouvez les modier si ncessaire.

15


2.15. Disquette de dmarrage e

Le CD-ROM dinstallation de MandrakeSecurity a un mode de rcupration prdni. Vous pouvez y accder en dmarrant lordinateur sur le CD-ROM: pressez la touche F1 au premier cran, puis tapez rescue. Selon la version de votre BIOS, il faut lui spcier de dmarrer sur le CDROM. Vous pourrez avoir besoin de cela dans deux cas prcis :

Au moment dinstaller le Programme damorce , DrakX va rcrire sur le secteur (MBR) contenant le programme damorce (boot loader) an de vous permettre de dmarrer avec Windows ou GNU/Linux (en prenant pour acquis que vous avez deux systmes dexploitation installs). Si vous rinstallez Windows , celui-ci va rcrire sur le secteur de dmarrage et il vous sera dsormais impossible de dmarrer GNU/Linux . Si un problme survient et quil vous est impossible de dmarrer GNU/Linux partir du disque dur, cette disquette deviendra votre seul moyen de dmarrer votre systme Linux. Elle contient un bon nombre doutils pour rcuprer un systme dfectueux, peu importe la source du problme.

En cliquant sur cette tape, on vous demandera dinsrer une disquette. La disquette insre sera compltement efface et DrakX se chargera de la formater et dy insrer les chiers ncessaires.

16


2.16. Installation de mises ` jour depuis Internet a

Au moment o vous tes en train dinstaller MandrakeSecurity , il est possible que certains paquetages aient t mis jour depuis la sortie du produit. Des erreurs ont pu tre corriges, et des problmes de scurit rsolus. Pour vous permettre de bncier de ces mises jour, il vous est maintenant propos de les tlcharger depuis Internet. Choisissez Oui si vous avez une connexion Internet, ou Non si vous prfrez installer les mises jour plus tard. En choisissant Oui, la liste des sites depuis lesquels les mises jour peuvent tre tlcharges est afche. Choisissez le site le plus proche. Puis un arbre de choix des paquetages apparat : vriez la slection, puis cliquez sur Installer pour tl-charger et installer les mises jour slectionnes, ou Annuler pour abandonner.

17


2.17. Linstallation est maintenant termine ! e

Votre installation de MandrakeSecurity est maintenant termine et votre systme est prt tre utilis. Notez soigneusement ladresse donne par ce dialogue, cest celle que vous devrez utiliser dans votre navigateur Internet pour accder linterface Web de MandrakeSecurity avec le compte admin. Cliquez maintenant sur OK deux fois pour redmarrer votre systme.

2.18. Dsinstaller Linux eLe processus seffectue en deux tapes simples : 1. Dtruire toutes les partitions sur votre disque et les remplacer par une seule partition FAT. Pour ce faire, consulter la section Grer ses partitions. 2. Dsinstaller le programme damorce (gnralement grub ). Pour ce faire, dmarrer sous DOS et lancer la commande : fdisk /mbr. videmment, si vous utilisez un autre systme dexploitation, celui-ci inclut sans doute de la documentation concernant linstallation de son programme damorce (boot loader). Au revoir. Merci davoir utilis MandrakeSecurity :-)

18

Prsentation de linterface de MandrakeSecurity eLes chapitres de cette partie sont ddis lutilisation de loutil dadministration Web de MandrakeSecurity , qui vous permet de contrler votre pare-feu distance depuis nimporte quelle machine connecte votre rseau local. Le premier chapitre, Conguration de base de MandrakeSecurity, page 21, vous guidera pour les premires tapes de conguration de base du pare-feu. Vous pourrez y crer des comptes, congurer les cartes rseau, le serveur de journaux (logs), ainsi que lheure locale et un serveur local de temps NTP (Network Time Protocol). Vient ensuite le chapitre Congurer laccs Internet, page 31, qui vous permettra de congurer la connexion Internet de votre serveur. Le troisime chapitre, Services : DHCP, Proxy, DNS, et bien dautres, page 47, vous conseille dans la conguration des services associs tels que DHCP, DNS et serveurs mandataires (Proxy). Vous pourrez aussi activer un systme de dtection dintrusion IDS (Intrusion Detection System) comme Prelude ou Snort , ou encore bloquer laccs certaines adresses Internet auxquelles vous ne voulez pas que vos utilisateurs accdent. Le chapitre Conguration du comportement du pare-feu, page 65 parcours toutes les pages de la section des rgles pare-feu de MandrakeSecurity . Cette section permet de rguler le trac entre les diffrentes zones gres par le pare-feu. Finalement, nous parlerons de surveillance du systme (essentiel pour garantir le bon fonctionnement du systme) dans le chapitre Surveillez le pare-feu, page 111, et des outils dentretien dans Outils de gestion, page 123. Nous esprons que vous apprcierez MandrakeSecurity !

20

Chapitre 3. Conguration de base de MandrakeSecurity3.1. IntroductionNous allons maintenant prsenter brivement linterface de conguration et comment y naviguer. Celle-ci est faite de menus ouvrant des assistants de conguration.

3.1.1. ConnexionLa connexion au serveur pare-feu depuis nimporte quel client est effectue grce nimporte quel fureteur Internet, sufsamment rcent. La communication est intgralement crypte. Ainsi les informations transmises sur le rseau sont chiffres et, presque impossible, lire sans les codes daccs. Pour dmarrer la session, pointez votre fureteur sur ladresse qui vous a t fournie lors de la dernire tape de la procdure dinstallation. Ce devrait tre une adresse qui ressemble :https://192.168.1.160:8443/

o 192.168.1.160 est ladresse IP interne (rseau local) du pare-feu. Des messages vont alors apparatre pour accepter un nouveau certicat de site, acceptez les. Finalement, lcran de connexion de MandrakeSecurity apparatra (gure 3-1).

Figure 3-1. La fentre de connexion MandrakeSecurity Remplissez-la avec les informations de connexion du compte admin tel que dni durant linstallation. chaque fois que vous devrez vous identier pour vous connecter linterface, utilisez le compte admin. Le mot de passe doit tre modi ds la premire connexion, voyez Changer le mot de passe de ladministrateur, page 27.

21

Chapitre 3. Conguration de base de MandrakeSecurity

3.1.2. Linterface

Figure 3-2. cran daccueil de MandrakeSecurity Linterface est dispose de manire traditionnelle, avec un menu deux niveau sur la gauche et un cadre de contenus sur la droite. Ce dernier contiendra les diffrentes tapes des assistants correspondant aux entres de menu de second niveau. Par la suite, nous appellerons section le sujet couvert par une entre de menu de premier niveau, et sous-section pour les entres de second niveau (les assistants). Les pages des assistants sont composes de :

texte informatif : Le sujet de cet cran ; champs de saisie : remplir ou slectionner selon votre choix ; boutons : pour lancer des actions.

Vous rencontrerez aussi divers icnes. Voici les plus importants : Le bouton daide. Ouvre une fentre daide contextuelle, dtaillant les divers lments prsents dans la page courante. Le bouton dannulation. Annule toutes les modication faites depuis le dbut de lassistant, et vous ramne la page daccueil de MandrakeSecurity. Le bouton de retour. Revient ltape prcdente de lassistant. Le bouton suivant . Passe ltape suivante. Notez que les choix effectus sur une page ne sont rendus effectifs que lorsque le bouton de conrmation de lassistant tout entier (ci-dessous) est press. Le bouton de conrmation. Lorsque vous atteignez le dernier cran de conrmation dun assistant, ce bouton conrme tous les choix affrant cet assistant et les applique au systme. Noubliez pas de lutiliser lorsque vous avez ni un assistant, si non tous vos changements seront perdus !

22


3.1.3. Dconnexion eIl est trs important de se dconnecter explicitement de linterface lorsque vous avez ni de travailler, ou si vous abandonnez votre bureau pour un certain temps. Notez bien que fermer le navigateur ne suft gnralement pas, car le serveur na alors aucun moyen de savoir que vous abandonnez votre machine, et une autre personne utilisant lordinateur juste aprs vous pourrait reprendre votre session l o vous lavez laisse.

Figure 3-3. Licne de dconnexion Ds que vous avez ni une session, cliquez sur cet icne. La prochaine fois que vous essaierez de vous connecter, vous devrez vous identier nouveau.

3.2. Conguration de base du syst`me eCette section vous guidera pour la conguration de base du serveur. Elle permet aussi ladministrateur de changer son mot de passe daccs linterface.

3.2.1. Conguration gnrale du syst`me e e e

Linformation afche ici est trs gnrale, quoique essentielle. Votre systme doit tre associ un nom ainsi qu un nom de domaine. Les champs Informations du systme et temps dutilisation (Uptime) vous donnent de linformation de base au sujet de votre systme.

Un nom sera attribu au systme. Celui-ci sera ensuite allou un rseau local. ce stade, les paramtres entrer dpendront du fait que vous ayez ou non un accs permanent Internet avec une adresse IP xe. Nom du systme machine.domain.net

Ce champ contient le nom dhte complet de votre machine: le nom de la machine suivi du nom de domaine, tel que parefeu.socit.net. Nom du domaine domain.net

Ce champ abrite le nom de domaine de votre machine. Si vous possdez un nom de domaine et que les DNS requis pointe vers votre adresse IP, utilisez votre nom de domaine dans ce champ. Sinon, utilisez le nom de domaine de votre fournisseur Internet.

23


System Info

Linux machine.domain.net 2.4.18-6mdk #1, etc.

Dans ce champ sont lists 1) le type de systme dexploitation 2) le nom complet de la machine 3) la version du noyau 4) la date laquelle le systme a t install 5) et le type de processeur. Temps dutilisation 4:33pm up 1 day, 23:26, 7 users, load average: 0.00, 0.00, 0.00

Ce champ afche 1) lheure locale 2) temps dutilisation en jour, minutes et secondes 3) le nombre dutilisateurs 4) et la charge moyenne ("load average") des dernires 1, 5 et 15 minutes. Modier Cliquez sur cette icne si vous voulez change le nom de votre systme ou le nom de domaine. 3.2.1.1. Proprits du syst`me e e e

Cette section vous aidera changer le nom de votre systme et de votre nom de domaine.

Lorsque vous aurez termin vos changements, cliquez sur le bouton Next, puis sur le bouton Apply. Vous reviendrez alors la page System Properties Group, qui afchera le nom du systme, le nom de domaine, ainsi que de linformation sur le systme et le temps disponible ("uptime").

3.3. Conguration des cartes Ethernet

Cette page liste les cartes dinterface rseau ("Network Interface Cards" ou NIC) qui sont actuellement congures sur votre machine. Cela vous permettra de choisir une carte particulire et de la congurer nouveau, ou dajouter une autre carte.

Zone IP Address Subnet Mask On Boot Protocol eth0 wan yes dhcp eth1 lan 10.0.0.1 255.255.255.0 yes static

edit suppress admin edit suppress admin

24

Chapitre 3. Conguration de base de MandrakeSecurity Chaque ligne correspond une carte dinterface rseau dans votre ordinateur:

pour la congurer nouveau, cliquez sur cette icne situe la gauche de la corbeille. Vous serez galement en mesure de choisir si vous voulez lactiver (ou non) lors de lamorage depuis la page Ethernet Interface Conguration; pour permettre au rseau associ cette interface de se connecter linterface Web, cliquez sur Admin (voir "Administration Interface" plus bas); pour la supprimer, cliquez sur cette icne .

Puis vient linterface dadministration, qui indique linterface travers laquelle les connexions de ladministrateur sont permises. Ceci signie que votre pare-feu devra tre administr depuis un ordinateur connect au sousrseau qui est associ la carte rseau susmentionne. Vous pouvez effectuer deux actions:

- Dtection des cartes dinterface rseau courantes: en cliquant sur cette icne, vous lancerez un processus dauto-dtection de cartes dinterface rseau. Utilisez cette fonctionnalit si vous avez install une nouvelle carte dinterface rseau dans votre ordinateur. Note: aprs votre clic, il pourrait prendre un certain temps avant que le prochain cran apparaisse puisque lordinateur cherche les nouvelles cartes. - Ajouter une carte dinterface rseau manuellement: si lopration prcdente devait chouer, vous pouvez congurer manuellement votre carte en cliquant sur cette icne.

3.3.1. Dtection des interfaces Ethernet e

Cet cran montre les cartes dinterface rseau qui viennent tout juste dtre dtectes automatiquement sur votre machine. Si la carte que vous souhaitez congurer napparat pas sur cet cran, retournez la page prcdente et cliquez sur le bouton "Ajouter une carte dinterface rseau manuellement".

Driver Mac IP Address Subnet Mask On Boot Eth0 ne2k-pci 00:40:05:E2:55:F6 192.168.1.160 255.255.255.0 yes

Chaque ligne correspond une carte dinterface rseau physique dans votre ordinateur. Pour en choisir une et la congurer en tant quinterface daccs au rseau local, revenez la page prcdente, cliquez sur remplissez les champs. et

25


3.3.2. Conguration de linterface Ethernet pour votre rseau local e

Dans cette section, vous devez dnir les paramtres de la carte dinterface ncessaires pour ajuster les besoins de votre rseau local (ou vos rseaux locaux, le cas chant). Certains des paramtres auront peut-tre t dj dnis lors de linstallation, ou durant une conguration prcdente, ou complts avec des valeurs par dfaut. Faites les modications ncessaires pour rpondre vos besoins actuels.

Connect au nom de zone

lan

Vous devez choisir dans quel sorte de rseau vous travaillerez. Voici vos choix :

lan, ou les systmes de votre rseau local (ou rseaux locaux, le cas chant). Ces systmes doivent tre protgs dInternet et de la DMZ et, dans certains cas, entre eux galement. Choisissez cette zone pour dnir votre rseau local ; dmz, qui signie "Demilitarized Zone" (soit zone dmilitarise). Choisissez ce type de zone si vos systmes doivent tre accessibles depuis Internet et depuis votre rseau local ; wan - "Wide Area Network" (soit rseau tendu). Il peut tre soit public, soit priv, et il assure linterconnexion entre les rseaux lextrieur de votre LAN (soit Internet). Choisissez ce type de zone pour vous connecter directement au monde extrieur. 192.168.1.1

Adresse IP

Remplissez ce champ si vous avez une adresse IP statique pour cette interface. Cest ladresse de votre serveur : elle est essentielle puisque les systmes client se rfreront cette adresse. Masque de sous-rseau ("Subnet Mask". ex.: 255.0.0.0) 255.255.255.0

Dans ce champ, entrez le nom du masque de sous-rseau reli au rseau auquel linterface est connecte. Maintenant, rglez le protocole damorage utiliser lorsque linterface est initialise. Cela dpend du protocole utilis par votre FAI ("ISP"). Choisissez la bonne bote cocher, par exemple, une des suivantes :

static. Cest une adresse IP permanente assigne votre serveur par votre FAI ; dhcp. Cest une adresse IP dynamique assigne par votre FAI lors de lamorage de la machine. La plupart des FAI cble et DSL utilise une forme de DHCP ou une autre pour assigner une adresse IP votre systme. Notez galement que les postes de travail devraient tre congurs de cette faon pour simplier la gestion de rseau ; bootp. Permet une machine Linux de rcuprer son information rseau depuis un serveur travers le rseau.

26

Chapitre 3. Conguration de base de MandrakeSecurity Ensuite, vous pouvez dcider dactiver (ou non) cette interface lors de lamorage. Client DHCP (optionnel) dhcpd

Ce champ vous permet de choisir quel client DHCP sera utilis sur votre rseau. Vous pouvez choisir un des suivants :

dhcpcd - dmon client qui rcupre une adresse IP et dautres informations depuis un serveur DHCP. Il congure automatiquement linterface rseau, et essaie de renouveler le temps de location selon le RFC2131 ou RFC1541 (ce dernier est dsuet) ; pump - dmon client pour BOOTP et DHCP. Il permet votre machine de rcuprer de linformation de conguration depuis un serveur ; dhclient - avec celui-ci, vous pouvez congurer une ou plusieurs interfaces utilisant le protocole DHCP ou BOOTP ; dhcpxd - son but premier est de se conformer aux spcications DHCP dnies par le RFC2131. Il prend en charge un processus par session et est aussi capable de grer des sessions processus-tout-en-un ("all-in-oneprocess sessions"). Une de ses fonctionnalits les plus avances rside sous forme de scripts, lesquels sont excuts lorsque ncessaire, dans le but de congurer tout ce qui est requis pour rgler les interfaces.

Finalement, vous pouvez choisir de remplir le champ Nom dhte DHCP (optionnel) avec une valeur approprie.

3.4. Changer le mot de passe de ladministrateur

Ce formulaire vous permettra de modier le mot de passe de ladministrateur. Nous recommandons que vous le changiez de faon priodique.

Nom de connexion Nouveau mot de passe Nouveau mot de passe (encore)

admin ******** ********

Vous devez choisir un mot de passe scuritaire. Lorsque vous avez termin, cliquez sur le bouton "Modier".

27


3.5. Journaux syst`me sur vos machines locales et distantes e

Les journaux constituent une partie essentielle dun systme vocation scuritaire tel quun pare-feu. Ils ne font pas que donner de linformation en temps rel sur ce qui se passe sur votre systme: ils peuvent en retracer lhistorique, par exemple, lorsque quelque chose cloche sur votre systme - un crash ou une intrusion - ils trouveront la source de votre problme et, gnralement, une solution ce problme.

Premirement, vous avez le choix dactiver (ou non) le systme de journaux sur la machine locale (soit le parefeu). videmment, ceci ne sera pertinent que si un afchage est directement reli au pare-feu. Il sera possible de contrler: Serveur Syslog (ex: 10.1.1.10) Vous pouvez choisir dentrer soit le nom du serveur syslog (ex: syslog.entreprise.com) ou ladresse IP. Si vous ne connaissez pas cette dernire, utilisez la commande ifcong en tant que root, ou /sbin/ifcong en tant quutilisateur normal.

Ensuite, entrez ladresse du serveur syslog. Cest une faon de mieux scuriser vos journaux en ne les hbergeant pas directement sur votre serveur, mais bien sur une autre machine. Niveau dinformation mis Info

Ce paramtre contrle linformation qui sera afche, selon le niveau que vous choisirez:

Information: afche en sortie tous les messages sur le pare-feu, en passant des messages normaux aux plus critiques; Notication: retourne les messages qui ne poseront pas de problmes au systme, mais qui sont inhabituels; Attention: vous informe que quelque chose danormal est peut-tre en train de se raliser et que vous devriez commencer penser passer lacte; Erreur: afche en sortie les messages derreur qui pourraient mener un mauvais fonctionnement du systme; Critique: retourne les messages indiquant que votre systme est en srieux danger; Alertes: vous indique dagir immdiatement; Panique: afche en sortie seulement les messages critiques qui mnent gnralement une panne totale de votre systme. cette tape, votre systme pourrait tre inutilisable. moins que vous sachiez exactement ce que vous faites, nous vous dconseillons fortement dutiliser ce niveau dinformation.

28


3.6. Conguration de lheure

Premirement, lassistant fera deux suggestions concernant la conguration de lheure interne.

Cliquez sur licne

relative ce que vous voulez congurer :

date et heure : si vous ne possdez pas de serveur NTP ("Network Time Protocol"), cliquez sur le bouton Modier pour rgler manuellement la date actuelle et lheure sur la machine ; fuseau horaire et adresse du serveur NTP : cliquez sur le bouton sous le champ Adresse du serveur NTP (optionnel) pour indiquer la location physique du serveur et ventuellement, congurer un serveur de temps, qui rglerait automatiquemnt la date et lheure du systme.

3.6.1. Conguration de lheure et de la date

Tapez simplement la date et lheure courante dans leurs champs respectifs :

Date (jj/mm/yy) Heure 24 heures (hh:mm:ss)

22/05/02 17:07:58

Ensuite, appliquez vos modications en cliquant sur le bouton Modier.

29


3.6.2. Conguration dun fuseau horaire et dun serveur NTP

Vous devez choisir le fuseau horaire de votre location gographique et indiquer la prsence ventuelle dun serveur NTP.

Fuseau horaire Adresse du serveur NTP (optionnel)

Amrique/Montral ntp.myco.com

Dans la liste de fuseau horaire, choisissez celui qui est situ le plus prs de votre emplacement gographique, ainsi que la ville la plus prs de votre location. ventuellement, vous pouvez entrer le nom dun serveur NTP, qui rgle automatiquement et vrie lheure sur votre machine de faon priodique. Si votre socit possde son propre serveur, utilisez-le. Sinon, vous pouvez utiliser un serveur public, tels que ceux contenus sur le site Web Public NTP Secondary (stratum 2) Time Servers (http://www.eecis.udel.edu/~mills/ntp/clock2.htm).

30

Chapitre 4. Congurer lacc`s ` Internet e aDans cette section, vous pourrez congurer le ou les accs Internet dont dispose votre pare-feu. Il est possible de congurer des interfaces vers les protocoles supports par votre version de MandrakeSecurity . Vous pourrez aussi dnir tous vos comptes de fournisseurs daccs.

4.1. Section Acc`s Internet e

Cette page dintroduction aux interfaces de congurations rsume ltat des connexions Internet. Elle permet darrter, de dmarrer et de tester la connexion Internet.

La premire partie du cadre prsente tous les paramtres daccs Internet selon la conguration active : type, interface, compte (Account), etc. Ensuite, on prsente ltat de laccs Internet: "Up" (actif) ou "Down" (inactif); et quelques informations supplmentaires propos de la connexion courante. Ceci est suivit de trois boutons:

Dmmarrer: Dmarrer manuellement la connexion Internet selon la conguration courante. Arrter: Forcer dconnexion Internet. Tester: mise jour de ltat de la connexion prsent plus haut.

Pour effectuer ce test, le logiciel tente simplement un "ping" vers un systme externe. Si vous dsirez tester avec un systme spcic, entrez son adresse IP ici, selon la convention suivante: Tester