06/12/2025

Administration Réseau

Commandes et SystèmeNetfilterSSH

Autoriser le SSH via Iptables

Mickael Dorigny 5 commentaires

I. Présentation Iptables est un paquet présent sur la plupart des distributions Debian qui permet de gérer en ligne de commande les règles de Netfilter, un pare-feu natif à ces mêmes distributions. Dans ce tutoriel, nous allons voir comment autoriser uniquement le port SSH à être contacté sur un serveur au travers la manipulation d’Iptables. II. Explications Nous allons en effet chercher à sécuriser notre port SSH via Iptables à travers différents paramètres et options. On verra tout d’abord comment fermer tous les ports de notre serveur pour n’ouvrir que le port SSH pour ensuite spécifier des sécurités supplémentaires quant à la connexion SSH. Iptables nous permettra de faire ce genre de sécurité. Pour simplifier la gestion des règles Iptables. Nous travaillerons avec un script qui exécutera les règles Iptables. On doit donc créer un fichier que nous nommerons ici « iptables.sh » : vim iptables.sh Puis nous allons commencer par réinitialiser les règles déja écrites : # !/bin/bash # Supprimer les

Lire cet article
Supervision

Monit – HTTPS pour l’interface web

Florian BURNEL 0 commentaire

I. Présentation : Comme vous le savez, Monit dispose d’une interface web qui permet de visualiser des informations sur les services et d’effectuer quelques tâches d’administration. Toutefois, on accède à cette interface par l’intermédiaire du protocole HTTP, ce qui n’est pas sécurisé. Afin de sécuriser l’accès, nous allons mettre en place l’utilisation du protocole HTTPS pour l’accès à l’interface web. Ceci engendre une modification de la configuration de Monit par l’intermédiaire du fichier « monitrc » et nous allons devoir générer un certificat SSL qui contiendra également la clé privée. Tout ça dans le but de sécuriser les échanges. II. Configuration de Monit : La configuration de Monit doit être légèrement modifiée afin d’indiquer qu’on souhaite activer le SSL, et, il faut également indiquer le chemin vers le certificat à utiliser. Pour cela, il faudra ajouter deux lignes au niveau du paramétrage de l’interface web, comme ceci : Ajoutez les deux lignes indiquées ci-dessous qui permettent respectivement d’activer le SSL

Lire cet article
monit authentification
Supervision

Monit – Utiliser un fichier htpasswd pour l’authentification

Florian BURNEL 0 commentaire

I. Présentation : Dans le tutoriel de mise en place de l’outil de monitoring Monit, nous avons vu comment créer des identifiants de connexion directement au sein du fichier de configuration, mais également, en utilisant les comptes utilisateurs et les groupes du système Linux. Désormais, nous allons voir comment utiliser un fichier de type « htpasswd » c’est-à-dire que le fichier contiendra des identifiants (utilisateur + mot de passe) crypté en MD5. Ainsi, nos identifiants de connexion à l’interface de Monit seront protégés. II. Création du fichier : Avant de configurer Monit, nous allons créer des identifiants de connexion chiffrés dans un fichier nommé « password », se situant dans « /etc/monit », grâce à la commande « htpasswd ». Dans cet exemple, je crée un utilisateur nommé « florian » qui aura pour mot de passe « 123456 ». Voici la commande : htpasswd –m –c /etc/monit/password florian Lors de l’exécution de la commande, on vous demande un mot

Lire cet article
Monit Service Manager
Supervision

Monit – L’interface web

Florian BURNEL 0 commentaire

I. Présentation : Dans un autre tutoriel, nous avons vu la mise en place de Monit, c’est-à-dire l’installation et la configuration de cet outil de monitoring. Maintenant, nous allons voir l’interface web de Monit qui permet essentiellement de visualiser l’état des services et d’obtenir un bon nombre d’informations sur ces derniers. Toutefois, quelques tâches d’administration sont disponibles : – Désactiver/activer la surveillance c’est-à-dire le monitoring d’un service, – Forcer le contrôler de tous les services, – Visualiser le fichier de log de monit, – Arrêter l’interface web de monit. II. Accès à l’interface web : Tout d’abord, connectez-vous sur l’interface en utilisant l’adresse IP du serveur sur lequel monit est installez, en précisant le numéro de port que vous utilisez. Exemple : http://192.168.1.100:8080 Rappel : le numéro de port est définit dans le fichier de configuration « monitrc » par l’intermédiaire de la directive « set httpd port 8080 ». En ce qui concerne l’identifiant et le mot de passe,

Lire cet article
Supervision
Supervision

Monit – Installation et configuration

Florian BURNEL 5 commentaires

I. Présentation : Il est essentiel de surveiller l’état général de votre serveur, c’est-à-dire les processus, les programmes, les répertoires, les fichiers, etc… C’est ce qu’on appelle le monitoring système. Le but est d’indiquer à l’application ce qu’on souhaite surveiller et elle effectuera des contrôles réguliers, et lorsqu’une erreur sera rencontrée, une alerte sera envoyée. Une alerte peut être envoyée mais pas seulement, on peut effectuer une action sur le processus et même exécuter un script lorsqu’une erreur est détectée. Ces vérifications peuvent aller de la surveillance de la charge CPU à la vérification de la somme SHA-1 d’un fichier, ce qui permet une multitude de choix et une surveillance minutieuse. En fait, c’est un peu le même principe que de la supervision sauf que là on surveille uniquement la machine locale. Ce n’est pas un serveur qui ira surveiller d’autres serveurs comme on peut le faire avec un serveur de supervision. Dans notre cas, nous allons utiliser monit qui

Lire cet article
IPCOP

SSH avec IPCOP : Authentification par clé

Florian BURNEL 1 commentaire

I. Présentation La distribution IPCOP permet l’administration à distance via le protocole SSH en se connectant par mot de passe. Il est également possible de mettre en place une connexion SSH sécurisée par l’utilisation d’une paire de clés asymétriques. La clé publique restera toujours sur le serveur IPCOP, tandis que le poste utilisé pour la connexion à distance devra disposer de la clé privée. Une clé privée qui devra être au préalable converti avec l’utilitaire « PuttyGEN » afin d’être compatible et utilisable avec Putty. Dans le principe, dans un premier temps, la paire de clés doit être générées sur le serveur IPCOP grâce à la commande adéquate. Ensuite, on autorisera la clé publique auprès du serveur IPCOP pour qu’il ait confiance en cette clé. Dans un deuxième temps, la clé privée doit être transférée sur le poste client pour être utilisée lors d’une connexion. Il est important de préciser que cette clé privée doit être conservée précieusement puisque c’est

Lire cet article
pfSense

Installation de Pfsense

Florian BURNEL 11 commentaires

I. Présentation Pfsense est un OS transformant n’importe quel ordinateur en routeur/pare-feu. Basé sur FreeBSD, connu pour sa fiabilité et surtout sa sécurité, Pfsense est un produit OpenSource adapté à tout type d’entreprise. Voici ses principales fonctionnalités : – Gestion complète par interface web – Pare-feu stateful avec gestion du NAT, NAT-T – Gestion de multiples WAN – DHCP server et relay – Failover (possibilité de monter un cluster de pfsense) – Load balancing – VPN Ipsec, OpenVPN, L2TP – Portail captif Cette liste n’est pas exhaustive et si une fonction vous manque, des extensions sont disponibles directement depuis l’interface de Pfsense, permettant notamment l’installation d’un proxy ou d’un filtrage d’URL, très simplement. En plus d’être disponible en version 32 et 64 bits, Pfsense est également disponible pour l’embarqué, il fonctionne très bien sur des petits boitiers Alix. Dernière chose, Pfsense nécessite deux cartes réseaux minimum (une pour le WAN et une pour le LAN). II. Télécharger l’image La dernière

Lire cet article
Cisco

Ajouter une route statique sur un routeur Cisco

Mickael Dorigny 1 commentaire

I. Présentation Quand un protocole de routage dynamique n’est pas utilisé, il peut être utile de connaitre la commande qui nous permettera d’ajouter des routes de façon statique sur la plupart des routeurs Cisco. II. Procédure La ligne de commande doit s’exécuter en mode configuration, il faut donc passer en mode privilège : enable Puis en mode configuration : configure terminal Si nous souhaitons ajouter une route vers le réseau 192.168.10.0/24 et qu’il faut passer pour cela par le routeur 192.168.1.253, la commande sera la suivante : ip route 192.168.10.0 255.255.255.0 192.168.1.253 La commande suivra cette trame : ip route <réseau distant> <masque réseau réseau distant> <passerelle d’accès> On pourra également vérifier les routes existantes avec la commande « show ip route » après avoir quitté le mode configuration.

Lire cet article
ZeroShell

Mise en place d’un portail captif sous ZeroShell

Mickael Dorigny 13 commentaires

I. Présentation La distribution Zeroshell propose la configuration d’un portail captif sur ses interfaces. Un portail captif est une page qui s’affichera sur le navigateur des clients qui souhaiteront aller sur Internet. Les portails captifs demandent généralement une authentification afin d’accéder à Internet, ils sont utilisés dans des environnements de diffusion d’un réseau (WiFi notamment) publique comme des hôtels. Les clients sont alors obligés de demander les identifiants au propriétaire de la connexion qui demande souvent une monétisation en échange de l’accès à Internet. Le portail captif offre donc un contrôle et une restriction de l’utilisation de l’accès Internet. Le portail captif Zeroshell offre bon nombre de configurations et de possibilités qui ne seront pas toutes détaillées dans ce tutoriel. Attention : Cette documentation a été réalisée avec la version RC2 de Zeroshell, considérez ce détail lors de la lecture du tutoriel et de son application sur des versions plus récentes de Zeroshell II. Pré-requis et architecture Pour qu’un portail

Lire cet article
ZeroShell

NetBalancer avec Zeroshell

Mickael Dorigny 0 commentaire

I. Présentation Le système d’exploitation propose dans ces services natifs la possibilité de faire du NetBalancer en mode « Load Balancing » ou en mode « Fail over ». Dans ce tutoriel, nous allons étudier le fonctionnement et la mise en place de ces deux systèmes. Le NetBalancer est ce qui va nous permettre d’utiliser deux ou plusieurs passerelles vers un réseau (le plus souvent Internet, mais pas seulement). On pourra ainsi garantir une sécurité et une haute disponibilité dans notre infrastructure. Le but sera soit de partager la charge, soit de garantir une tolérance de panne. Attention : Cette documentation a été réalisée avec la version RC2 de Zeroshell, considérez ce détail lors de la lecture du tutoriel et de son application sur des versions plus récentes de Zeroshell II. Les Pré-requis Dans un premier temps, il est important d’avoir un Zeroshell avec deux interfaces et au moins deux passerelles possibles. Nous prendrons ici l’exemple d’une redondance d’accès à Internet. Il faudrait donc

Lire cet article
Commandes et SystèmePare-Feu

Configurer un routeur sous Linux

Mickael Dorigny 12 commentaires

I. Présentation Nous allons dans ce tutoriel apprendre à mettre un en place un routeur sous Linux. Les distributions sous Linux sont très polyvalentes et cela permet entre autre de les transformer en véritables routeurs. Il faut bien sur pour cela que notre machine Linux dispose d’au moins deux interfaces réseaux car la première fonction d’un routeur et de faire la passerelle (gateway) entre un réseau et un autre qui ne pourraient communiquer sans. II. Configuration des deux interfaces Nous allons commencer par configurer nos deux interfaces avec des IP fixes. Un routeur est un élément central d’un réseau et toutes les machines de ce réseau s’y réfèrent pour leurs requêtes. Il est donc obligatoire que notre routeur ai une IP fixe sur chacune de ces interfaces. Nous travaillerons ici sur l’interface « eth0 » qui sera orientée vers le réseau simulant une réseau externe « WAN » en 192.168.1.0/24 et une seconde interface « eth1 » qui sera vers notre « LAN » en 192.168.10.0/24. Aprés vous

Lire cet article
Fonctionnement protocole POP
Administration Réseau

Différence entre les protocoles POP et IMAP

Florian BURNEL 0 commentaire

I. Présentation Les protocoles POP et IMAP sont tous les deux des protocoles permettant de réceptionner les messages électroniques afin que les utilisateurs puissent les visualiser. Cependant, ils sont totalement différents en termes de fonctionnement. II. Principe de fonctionnement théorique Effectivement, lorsque vous configurez un compte mail en POP sur un client lourd (User Agent) tel que Microsoft Outlook ou Mozilla Thunderbird, celui-ci se connecte sur le serveur de messagerie et rapatrie en local les mails correspondant à l’utilisateur c’est-à-dire qu’ils sont supprimés du serveur. Une mailbox (boite mails) est gérée localement lors de l’utilisation du protocole POP, ce qui ne permet pas de sécuriser la mailbox de l’utilisateur, ni de la sauvegarder (sauf si on oblige le stockage de la mailbox sur un lecteur réseau, par exemple). Le protocole POP utilise le port 110 dans sa version non sécurisée, et le port 995 lors de l’utilisation du POPS (version sécurisée). Par exemple, Outlook gère la mailbox d’un compte utilisateur

Lire cet article
Clé asymétrique
Administration Réseau

Les clés asymétriques

Florian BURNEL 0 commentaire

I. Présentation : Après avoir vu les clés symétriques, nous allons voir le fonctionnement des clés asymétriques, qui fonctionnent par paire, contenant une clé publique et une clé privée. La clé publique étant distribuée aux personnes qui doivent chiffrer des messages pour la personne détenant la clé privée. Une clé privée, qui, comme son nom l’indique doit rester privée puisque les messages sont déchiffrables uniquement grâce à elle. Pour résumer, la clé publique sert à chiffrer les messages et la clé privée à la déchiffrer. Ceci ne marche donc que dans un sens, on chiffre des messages pour quelqu’un d’unique qui pourra les ouvrir. Pour que la « conversation » puisse s’effectuer de manière bidirectionnelle, il faut générer deux paires de clés : chacun garde sa clé privée et distribue sa clé publique à la partie émettrice. II. Principe : A travers ce schéma on voit que Florian possède une paire de clés asymétriques donc une clé privée et une

Lire cet article
Les clés symétriques
Administration Réseau

Les clés symétriques

Florian BURNEL 1 commentaire

I. Présentation : En sécurité informatique, il est possible de sécuriser un échange par plusieurs moyens, un des plus simples et des plus performants et la sécurisation par le biais de clés symétriques. Quelque chose de symétrique c’est quelque chose qui est identique des deux côtés, donc dans ce cas, ce sera la clé de chiffrement qui sera identique pour les deux personnes qui souhaitent communiquer. Pour être plus précis, la même clé permet de chiffrer et de déchiffrer les messages c’est-à-dire de les fermer et de les ouvrir. II. Principe : A travers ce schéma on voit bien que Florian chiffre un message avec la clé « Clé-1 » puis le transfert à Mickaël qui le déchiffre avec la clé « Clé-1 » qui est la même que celle dont dispose Florian. Il en est de même dans le sens inverse c’est-à-dire de Mickaël vers Florian. Ce qui montre bien que lors de l’utilisation d’une clé symétrique, la même

Lire cet article
Wake On Lan
Administration Réseau

Démarrer son PC à distance (Wake On Lan/Wan)

Florian BURNEL 28 commentaires

I. Présentation Il est possible d’activer – si votre carte mère le permet – la possibilité de « réveiller votre PC par le réseau » autrement dit plus couramment d’activer la fonction de « Wake On Lan » afin de pouvoir démarrer votre PC à distance en envoyant un paquet magique sur l’interface Ethernet de votre PC. L’intérêt principal est de pouvoir démarrer son PC de n’importe où et n’importe quand, sans devoir effectuer une action physique avec le PC. Dans ce tutoriel, le but est de démarrer un PC à distance via internet donc il faudra effectuer une redirection sur la box. Le paquet magique sera envoyé via un smartphone et une application prévue à cet effet. On peut parler alors de « Wake On Wan » plutôt que de « Wake On Lan » vu qu’on n’est pas dans le réseau local mais sur internet. II. Configurer le BIOS Dans un premier temps, nous devons activer la fonction

Lire cet article