1. LI350 Rapport TME
LI350 Semaine 6
Réalisé par : KAID Belkacem
Nhek Sodara
Encadré par :
GONZALES Christophe
2. 1
1.Sécurisation par iptables :
Etape 1-Arrêt des serveurs
En premier lieu pour sécuriser nos machines, on commence par stopper toutes les communications
NFS, NIS
on fait des démonte les répertoires distants monté par NFS avec la commande umount sur c1NIS,
msNIS, ssNIS
3. 2
Après cela on arrête le service ypbind de nos machines
Etape 2- Paranoia absolue sur msNIS
On édite le fichier /etc/sysconfig/iptables de msNIS , en supprimant toutes les regles de la
table filter en s’assurant que INPUT, OUTPUT, FORWARD soient mises à <DROP>
On démarre le service iptables via la commande /etc/init.d/iptables start
4. 3
On s’assure du bon fonctionnement en listant nos règles via la commande iptables -L
On fait aussi un ping 127.0.0.1, pour vérifier que la machine ne communique plus avec son loopback.
Etape 3-Ce sont les autres, les méchants
On réédite les iptables de msNIS en ajoutant des règles permettant d’accepter tous les messages
envoyés à (interface lo) ainsi que ceux que lui-même envoie. On ajoute :
-A INPUT –i lo –j ACCEPT
-A OUTPUT –o lo –j ACCEPT
5. 4
On redémarre le service iptables en lançant la commande suivante : /etc/init.d/iptables restart
On s’assure que msNIS ne peut toujours pas pinger ssNIS par contre 127.0.0.1 si.
Etape 4-Mode paranoia sur c1NIS et ssNIS
On fait sur c1NIS et ssNIS ont fait la même chose que ce qu’on a fait sur msNIS en supprimant les
règles de la table filter, en conservant les politiques par défaut égales à DROP, et en n’autorisant les
communications qu’avec le loopback.
Etape 5- ping pour tout le monde
On ajoute les règles permettant d’accepter tous les paquets ICMP (protocole utilisé par ping)
6. 5
On ping les autres machines pour s’assurer du bon fonctionnement :
Etape 6- Rétablissement de nfs
Sur le fichier /etc/services on a su que nos services utilisaient le port 2049 ainsi que les protocoles
UDP, TCP.
On joute sur msNIS les règles qui vont permettre à notre serveur d'interagir avec ses clients.
Pour ce faire on ajoute :
Sur la chaine INPUT de msNIS, une règles spécifiant qu’on accepte les paquets provenant des
machines de notre réseau (192.168.13.0/24) et à destination du serveur nfs du port 1024.
-Sur la chaine OUTPUT de ssNIS (dans iptables), une règle spécifiant qu’on accepte les paquets à
destination des machines de notre réseau et provenant de notre serveur nfs.
On ajoute ensuite sur ssNIS les règles pour accepter les paquets envoyés vers les serveurs nfs de
msNIS.
7. 6
On s’assure du bon fonctionnement en faisant un mount /users sur ssNIS.
On essaie de lire/écrire sur ce répertoire à partir de ssNIS : ça marche bien.
Etape 7- Et les quotas dans tout ça ?
On démarre le service nfs et on observe qu’un service quotas est démarré également.
On lance la commande : quota sur ssNIS afin d'afficher les limites d'espace disque imposées aux
utilisateurs.
On regarde dans l’ /etc/services les ports TCP et UDP utilisés par le démon rquotad, on a trouvé que
c'était le port 875.
On rajoute dans les iptables de msNIS et de ssNIS règles qui permettront à ssNIS d'interroger le
démon rquotad de msnIS.
Ça Ne fonctionne toujours pas.
8. 7
Comme quota s'appuie sur un autre service dont il faut permettre l'accès.
On ajoute les logs à la fin du fichier /etc/sysconfig/iptables de ssNIS à fin d’identifier de quel service
s’agit-il.
On ouvre sur un nouveau terminal en mode root le fichier des log e lançant la commande : tail -f
/var/log/messages sur ssNIS.
Cela nous fait savoir que le service s’appuie sur le port 875.
Etape 8- Service RPC
Pour voir la liste des services s'appuyant sur RPC qui sont démarrés sur notre machine on
lance la commande rpcinfo -p :
9. 8
On constate que le portmapper sur lequel s’appuie le démon rquotad est le port 111.
On ajoute ensuite les règles pour ce port sur nos machines :
Etape 9- Rétablissement du serveur NIS de msNIS
A partir de l’étape précédente on sait que le serveur NIS(ypserv) de msNIS s'appuie sur le port 8343.
Comme c'est RPC qui décide des ports qu'il utilise pour les services qu'il gère, on souhaite donc que le
serveur NIS utilises un port fixe, pour ce faire, on édite le fichier etc/syconfig/network de msNIS en
rajoutant :
YPSERV_ARGS="-p 8343"
On redémarre ypserv juste après en exécutant la commande suivante : /etc/init.d/ypserv restart
On s’assure ensuite que ypserv utilise le port 8343 en lançant la commande : rpcinfo –p.
10. 9
On rajoute les règles sur msNIS et ssNIS pour permettre l’accès INPUT et OUTPUT avec le port :
8343.
On redémarre le service ypbind sur ssNIS :
Pour régler le problème on ajoute dans l’ /etc/sysconfig/network de ssNIS la ligne suivante :
OTHER_YPBIND_OPTS="-broken-server"
On redémarre ypbind sur ssNIS :
11. 10
Pour tester le bon fonctionnement on lance la commande ypcat passwd :
Pour que le service ypbind de c1NIS fonctionne également on procède de la même manière :
On ajoute dans le fichier /etc/syconfig/network la ligne
OTHER_YPBIND_OPTS="-broken-server"
On rajoute les règles sur msNIS et ssNIS pour permettre l’accès INPUT et OUTPUT avec le port :
8343.
On redémarre ypserv juste après en exécutant la commande suivante : /etc/init.d/ypserv restart :
12. 11
Etape 10- Rétablissement de l'esclave NIS sur ssNIS
On impose à l'esclave NIS de ssNIS d'utiliser le port 8343 en ajoutant la ligne
YPSERV_ARGS="-p 8343" dans le fichier /etc/sysconfig/network
On rajoute les règles pour ce port :
Les données de l'esclave NIS sont ‘pushées’ par le serveur maitre msNIS via le service ypxfwrd,on
impose à l’ésclave d’utiliser un port fixe : 8353 retrouvé grace à la commande rpcinfo-p.
On ajoute dans l’/etc/sysconfig/network de msNIS :
YPXFRD_ARGS="-p 8353"
On ajoute les règles pour l'accès de et vers ce port pour les machines msNIS et ssNIS.
Pour vérifier le bon fonctionnement on ajoute un nouvel utilisateur :
On met à jours les maps du serveur NIS en lançant : /etc/yp/ypinit -m.
On s’assure du bon déroulement de la mise à jour en lançant ypcat passwd :
13. 12
On lance ensuite ypwhich pour afficher le serveur auquel on s’adressemsNIS.
Etape 11- Rétablissement des sauvegardes d'amanda
Les services amandad,amidxtaped et amindexd utilisent des ports bien spécifiés dans le fichier
/etc/services.
On doit établir des sauvegardes :
Sur msNIS et ssNIS on rajoute des règles pour s’échanger des messages sur le démon amandad de
msNIS
On ajoute sur ssNIS et msNIS les règles indiquant que tous les paquets entrants et sortants de
connexions déjà existantes ou en relation avec celles-ci soient autorisés :
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Cela ne suffit pas, on demande au noyeau linux de chercher les entêtes des paquets transitants sur ses
cartes réseau des commandes CONNECT et de les marquer comme RELATED en chargeant dans le
noyeau de msNIS et de ssNIS le module "ip_conntrack_amanda" :
On créé un fichier /etc/modprobe.d/amanda.conf sur les deux machines dont le contenu est :
options ip_conntrack_amanda master_timeout=3600
Pour prendre en compte le nouveau fichier sans redémarrer, on lance la commande : modprobe
ip_conntrack_amanda
Pour vérifier que le module a bien été chargé, on tape la commande lsmod pour lister les modules
actuellement chargés dans le noyau
14. 13
Enfin pour que les iptables tiennent compte de ce module, on édite le fichier
/etc/sysconfig/iptables-config et on indique que l’on souhaite utiliser le module que l’on a chargé en
lançant la commande :
IPTABLES_MODULES="ip_conntrack_amanda"
On redémarre ensuite le service iptables en lançant : /etc/init.d/iptables restart
On exécute après cela sur ssNIS la commande de sauvegarde amdump sous amadabackup.
15. 14
Etape 12- Rétablissement des restaurations d'amanda
Vu que les restaurations amrecover sont réalisées à partir de msNIS et exploitent les démons amindexd
et amidxtaped de ssNIS qui utilisent les ports 10082 et 10083, on rajoute les règles iptables sur ssNIS
et msNIS afin d'autoriser les paquets correspondant à ces services.
Puisque amrecover utilise le demon amandad de ssNIS, on rajoute les règles permettant les échanges
avec ce démon.
Comme les services amandad,amindexd et amidxtaped utilisent de nouveaux ports(alloués
dynamiquement) pour échanger des données entre ssNIS et msNIS, on spécifie dans le fichier
/etc/amanda/usersBackup/amanda-client.conf de msNIS ces pors en modifiant la ligne du bas du
fichier "unreserved-tcp-port” en unreserved-tcp-port 50000, 50030” .
Afin de garantir que les ports utilisés sur msNIS soient compris entre 50000 et 50030.
Ensuite on rajoute des règles qui permettent les échanges à partir de cette plage de ports.
Enfin on lance la commande amrecover sur msNIS à fin de procéder aux restaurations.