LI350 Rapport TME
LI350 Semaine 6
Réalisé par : KAID Belkacem
Nhek Sodara
Encadré par :
GONZALES Christophe
1
1.Sécurisation par iptables :
Etape 1-Arrêt des serveurs
En premier lieu pour sécuriser nos machines, on commence par st...
2
Après cela on arrête le service ypbind de nos machines
Etape 2- Paranoia absolue sur msNIS
On édite le fichier /etc/sysc...
3
On s’assure du bon fonctionnement en listant nos règles via la commande iptables -L
On fait aussi un ping 127.0.0.1, pou...
4
On redémarre le service iptables en lançant la commande suivante : /etc/init.d/iptables restart
On s’assure que msNIS ne...
5
On ping les autres machines pour s’assurer du bon fonctionnement :
Etape 6- Rétablissement de nfs
Sur le fichier /etc/se...
6
On s’assure du bon fonctionnement en faisant un mount /users sur ssNIS.
On essaie de lire/écrire sur ce répertoire à par...
7
Comme quota s'appuie sur un autre service dont il faut permettre l'accès.
On ajoute les logs à la fin du fichier /etc/sy...
8
On constate que le portmapper sur lequel s’appuie le démon rquotad est le port 111.
On ajoute ensuite les règles pour ce...
9
On rajoute les règles sur msNIS et ssNIS pour permettre l’accès INPUT et OUTPUT avec le port :
8343.
On redémarre le ser...
10
Pour tester le bon fonctionnement on lance la commande ypcat passwd :
Pour que le service ypbind de c1NIS fonctionne ég...
11
Etape 10- Rétablissement de l'esclave NIS sur ssNIS
On impose à l'esclave NIS de ssNIS d'utiliser le port 8343 en ajout...
12
On lance ensuite ypwhich pour afficher le serveur auquel on s’adressemsNIS.
Etape 11- Rétablissement des sauvegardes d...
13
Enfin pour que les iptables tiennent compte de ce module, on édite le fichier
/etc/sysconfig/iptables-config et on indi...
14
Etape 12- Rétablissement des restaurations d'amanda
Vu que les restaurations amrecover sont réalisées à partir de msNIS...
Prochain SlideShare
Chargement dans…5
×

SEMAINE_6 LI350

141 vues

Publié le

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
141
Sur SlideShare
0
Issues des intégrations
0
Intégrations
21
Actions
Partages
0
Téléchargements
1
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

SEMAINE_6 LI350

  1. 1. LI350 Rapport TME LI350 Semaine 6 Réalisé par : KAID Belkacem Nhek Sodara Encadré par : GONZALES Christophe
  2. 2. 1 1.Sécurisation par iptables : Etape 1-Arrêt des serveurs En premier lieu pour sécuriser nos machines, on commence par stopper toutes les communications NFS, NIS on fait des démonte les répertoires distants monté par NFS avec la commande umount sur c1NIS, msNIS, ssNIS
  3. 3. 2 Après cela on arrête le service ypbind de nos machines Etape 2- Paranoia absolue sur msNIS On édite le fichier /etc/sysconfig/iptables de msNIS , en supprimant toutes les regles de la table filter en s’assurant que INPUT, OUTPUT, FORWARD soient mises à <DROP> On démarre le service iptables via la commande /etc/init.d/iptables start
  4. 4. 3 On s’assure du bon fonctionnement en listant nos règles via la commande iptables -L On fait aussi un ping 127.0.0.1, pour vérifier que la machine ne communique plus avec son loopback. Etape 3-Ce sont les autres, les méchants On réédite les iptables de msNIS en ajoutant des règles permettant d’accepter tous les messages envoyés à (interface lo) ainsi que ceux que lui-même envoie. On ajoute : -A INPUT –i lo –j ACCEPT -A OUTPUT –o lo –j ACCEPT
  5. 5. 4 On redémarre le service iptables en lançant la commande suivante : /etc/init.d/iptables restart On s’assure que msNIS ne peut toujours pas pinger ssNIS par contre 127.0.0.1 si. Etape 4-Mode paranoia sur c1NIS et ssNIS On fait sur c1NIS et ssNIS ont fait la même chose que ce qu’on a fait sur msNIS en supprimant les règles de la table filter, en conservant les politiques par défaut égales à DROP, et en n’autorisant les communications qu’avec le loopback. Etape 5- ping pour tout le monde On ajoute les règles permettant d’accepter tous les paquets ICMP (protocole utilisé par ping)
  6. 6. 5 On ping les autres machines pour s’assurer du bon fonctionnement : Etape 6- Rétablissement de nfs Sur le fichier /etc/services on a su que nos services utilisaient le port 2049 ainsi que les protocoles UDP, TCP. On joute sur msNIS les règles qui vont permettre à notre serveur d'interagir avec ses clients. Pour ce faire on ajoute : Sur la chaine INPUT de msNIS, une règles spécifiant qu’on accepte les paquets provenant des machines de notre réseau (192.168.13.0/24) et à destination du serveur nfs du port 1024. -Sur la chaine OUTPUT de ssNIS (dans iptables), une règle spécifiant qu’on accepte les paquets à destination des machines de notre réseau et provenant de notre serveur nfs. On ajoute ensuite sur ssNIS les règles pour accepter les paquets envoyés vers les serveurs nfs de msNIS.
  7. 7. 6 On s’assure du bon fonctionnement en faisant un mount /users sur ssNIS. On essaie de lire/écrire sur ce répertoire à partir de ssNIS : ça marche bien. Etape 7- Et les quotas dans tout ça ? On démarre le service nfs et on observe qu’un service quotas est démarré également. On lance la commande : quota sur ssNIS afin d'afficher les limites d'espace disque imposées aux utilisateurs. On regarde dans l’ /etc/services les ports TCP et UDP utilisés par le démon rquotad, on a trouvé que c'était le port 875. On rajoute dans les iptables de msNIS et de ssNIS règles qui permettront à ssNIS d'interroger le démon rquotad de msnIS. Ça Ne fonctionne toujours pas.
  8. 8. 7 Comme quota s'appuie sur un autre service dont il faut permettre l'accès. On ajoute les logs à la fin du fichier /etc/sysconfig/iptables de ssNIS à fin d’identifier de quel service s’agit-il. On ouvre sur un nouveau terminal en mode root le fichier des log e lançant la commande : tail -f /var/log/messages sur ssNIS. Cela nous fait savoir que le service s’appuie sur le port 875. Etape 8- Service RPC Pour voir la liste des services s'appuyant sur RPC qui sont démarrés sur notre machine on lance la commande rpcinfo -p :
  9. 9. 8 On constate que le portmapper sur lequel s’appuie le démon rquotad est le port 111. On ajoute ensuite les règles pour ce port sur nos machines : Etape 9- Rétablissement du serveur NIS de msNIS A partir de l’étape précédente on sait que le serveur NIS(ypserv) de msNIS s'appuie sur le port 8343. Comme c'est RPC qui décide des ports qu'il utilise pour les services qu'il gère, on souhaite donc que le serveur NIS utilises un port fixe, pour ce faire, on édite le fichier etc/syconfig/network de msNIS en rajoutant : YPSERV_ARGS="-p 8343" On redémarre ypserv juste après en exécutant la commande suivante : /etc/init.d/ypserv restart On s’assure ensuite que ypserv utilise le port 8343 en lançant la commande : rpcinfo –p.
  10. 10. 9 On rajoute les règles sur msNIS et ssNIS pour permettre l’accès INPUT et OUTPUT avec le port : 8343. On redémarre le service ypbind sur ssNIS : Pour régler le problème on ajoute dans l’ /etc/sysconfig/network de ssNIS la ligne suivante : OTHER_YPBIND_OPTS="-broken-server" On redémarre ypbind sur ssNIS :
  11. 11. 10 Pour tester le bon fonctionnement on lance la commande ypcat passwd : Pour que le service ypbind de c1NIS fonctionne également on procède de la même manière : On ajoute dans le fichier /etc/syconfig/network la ligne OTHER_YPBIND_OPTS="-broken-server" On rajoute les règles sur msNIS et ssNIS pour permettre l’accès INPUT et OUTPUT avec le port : 8343. On redémarre ypserv juste après en exécutant la commande suivante : /etc/init.d/ypserv restart :
  12. 12. 11 Etape 10- Rétablissement de l'esclave NIS sur ssNIS On impose à l'esclave NIS de ssNIS d'utiliser le port 8343 en ajoutant la ligne YPSERV_ARGS="-p 8343" dans le fichier /etc/sysconfig/network On rajoute les règles pour ce port : Les données de l'esclave NIS sont ‘pushées’ par le serveur maitre msNIS via le service ypxfwrd,on impose à l’ésclave d’utiliser un port fixe : 8353 retrouvé grace à la commande rpcinfo-p. On ajoute dans l’/etc/sysconfig/network de msNIS : YPXFRD_ARGS="-p 8353" On ajoute les règles pour l'accès de et vers ce port pour les machines msNIS et ssNIS. Pour vérifier le bon fonctionnement on ajoute un nouvel utilisateur : On met à jours les maps du serveur NIS en lançant : /etc/yp/ypinit -m. On s’assure du bon déroulement de la mise à jour en lançant ypcat passwd :
  13. 13. 12 On lance ensuite ypwhich pour afficher le serveur auquel on s’adressemsNIS. Etape 11- Rétablissement des sauvegardes d'amanda Les services amandad,amidxtaped et amindexd utilisent des ports bien spécifiés dans le fichier /etc/services. On doit établir des sauvegardes : Sur msNIS et ssNIS on rajoute des règles pour s’échanger des messages sur le démon amandad de msNIS On ajoute sur ssNIS et msNIS les règles indiquant que tous les paquets entrants et sortants de connexions déjà existantes ou en relation avec celles-ci soient autorisés : -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Cela ne suffit pas, on demande au noyeau linux de chercher les entêtes des paquets transitants sur ses cartes réseau des commandes CONNECT et de les marquer comme RELATED en chargeant dans le noyeau de msNIS et de ssNIS le module "ip_conntrack_amanda" : On créé un fichier /etc/modprobe.d/amanda.conf sur les deux machines dont le contenu est : options ip_conntrack_amanda master_timeout=3600 Pour prendre en compte le nouveau fichier sans redémarrer, on lance la commande : modprobe ip_conntrack_amanda Pour vérifier que le module a bien été chargé, on tape la commande lsmod pour lister les modules actuellement chargés dans le noyau
  14. 14. 13 Enfin pour que les iptables tiennent compte de ce module, on édite le fichier /etc/sysconfig/iptables-config et on indique que l’on souhaite utiliser le module que l’on a chargé en lançant la commande : IPTABLES_MODULES="ip_conntrack_amanda" On redémarre ensuite le service iptables en lançant : /etc/init.d/iptables restart On exécute après cela sur ssNIS la commande de sauvegarde amdump sous amadabackup.
  15. 15. 14 Etape 12- Rétablissement des restaurations d'amanda Vu que les restaurations amrecover sont réalisées à partir de msNIS et exploitent les démons amindexd et amidxtaped de ssNIS qui utilisent les ports 10082 et 10083, on rajoute les règles iptables sur ssNIS et msNIS afin d'autoriser les paquets correspondant à ces services. Puisque amrecover utilise le demon amandad de ssNIS, on rajoute les règles permettant les échanges avec ce démon. Comme les services amandad,amindexd et amidxtaped utilisent de nouveaux ports(alloués dynamiquement) pour échanger des données entre ssNIS et msNIS, on spécifie dans le fichier /etc/amanda/usersBackup/amanda-client.conf de msNIS ces pors en modifiant la ligne du bas du fichier "unreserved-tcp-port” en unreserved-tcp-port 50000, 50030” . Afin de garantir que les ports utilisés sur msNIS soient compris entre 50000 et 50030. Ensuite on rajoute des règles qui permettent les échanges à partir de cette plage de ports. Enfin on lance la commande amrecover sur msNIS à fin de procéder aux restaurations.

×