doc-linux-fr-html 2013.01-3 / usr / share / doc / HOWTO / fr-html / Domain.html

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<html>
<head>
<meta name="generator" content=
"HTML Tidy for Linux (vers 25 March 2009), see www.w3.org">
<meta name="GENERATOR" content="LinuxDoc-Tools 0.9.71">
<title>Installation de votre nouveau domaine Mini-HOWTO</title>
</head>
<body>
<h1>Installation de votre nouveau domaine Mini-HOWTO</h1>
<h2>Christopher Neufeld
<code>&lt;neufeld@linuxcare.com&gt;</code><br>
Traduction fran&ccedil;aise par Genevi&egrave;ve Gracian
<code>&lt;ggracian@free.fr&gt;</code> le 7 f&eacute;vrier 2001</h2>
version 0.12 du 17 octobre 2000
<hr>
<em>Ce document survole les op&eacute;rations que vous serez
probablement amen&eacute; &agrave; r&eacute;aliser quand vous
voudrez mettre en place un r&eacute;seau d'ordinateurs sous votre
propre domaine. Il couvre la configuration du r&eacute;seau, des
services r&eacute;seau ainsi que les param&eacute;trages relatifs
&agrave; la s&eacute;curit&eacute;.</em>
<hr>
<h2><a name="s1">1. Notes</a></h2>
<h2><a name="ss1.1">1.1 Mise en garde</a></h2>
<p>Ce texte est une introduction. J'ai pass&eacute; sous silence
beaucoup de choses qui pourraient &ecirc;tre
pr&eacute;sent&eacute;es bien plus en d&eacute;tail et j'ai,
probablement, rat&eacute; enti&egrave;rement des paragraphes
importants. Toute suggestion concernant des compl&eacute;ments,
suppressions, ou aspects sur lesquels je devrais donner plus ou
moins de pr&eacute;cisions est la bienvenue.</p>
<h2><a name="ss1.2">1.2 Nouvelles versions de ce document</a></h2>
<p>La version la plus r&eacute;cente de ce document peut &ecirc;tre
trouv&eacute;e &agrave;&nbsp;: <a href=
"http://caliban.physics.utoronto.ca/neufeld/Domain.HOWTO/">http://caliban.physics.utoronto.ca/neufeld/Domain.HOWTO/</a>.</p>
<h2><a name="ss1.3">1.3 Copyright</a></h2>
<p>Copyright (c) Christopher Neufeld. Ce document peut &ecirc;tre
distribu&eacute; selon les termes et conditions
&eacute;nonc&eacute;s dans la licence LDP &agrave; l'adresse
<a href=
"http://www.linuxdoc.org/COPYRIGHT.html">http://www.linuxdoc.org/COPYRIGHT.html</a>.</p>
<h2><a name="s2">2. Introduction</a></h2>
<p>Le pr&eacute;sent document est un guide pour mettre en place
votre propre domaine de machines Linux ou d'un m&eacute;lange de
machines Linux et de machines Windows sur une connexion permanente
avec une IP fixe et un domaine propre.</p>
<p>Il n'est pas vraiment appropri&eacute; pour des installations
qui utilisent des adresses IP dynamiques, ou qui sont
r&eacute;guli&egrave;rement d&eacute;connect&eacute;es de leur
fournisseur d'acc&egrave;s pendant de longues
p&eacute;riodes&nbsp;; cependant, des conseils de base pour mettre
en place de telles installations figurent dans la section <a href=
"#IP_dynamique">Utiliser une IP dynamique</a>.</p>
<p>Avec la d&eacute;mocratisation des connexions permanentes et des
IPs statiques, il est devenu plus ais&eacute; pour les personnes et
les organisations de mettre en place un v&eacute;ritable domaine
avec la pr&eacute;sence internet qui y est associ&eacute;e. Une
planification rigoureuse peut r&eacute;duire les probl&egrave;mes
pouvant se poser par la suite.</p>
<p>L'essentiel de ce document d&eacute;crit les techniques pour
mettre en place une s&eacute;curit&eacute; discr&egrave;te sur le
r&eacute;seau nouvellement expos&eacute;. Il traite de la
protection contre les attaques ext&eacute;rieures et contre les
attaques internes &laquo;&nbsp;fortuites&nbsp;&raquo;. Il ne
pr&eacute;tend pas proposer une une installation extr&ecirc;mement
s&eacute;curis&eacute;e mais en g&eacute;n&eacute;ral suffisante
pour dissuader les agresseurs les moins obstin&eacute;s.</p>
<p>Ce document s'adresse en premier lieu &agrave; de petites
organisations ayant un r&eacute;seau pr&eacute;existant,
&eacute;ventuellement une connexion
&laquo;&nbsp;dial-up&nbsp;&raquo; partag&eacute;e, qui cherchent
&agrave; &eacute;voluer vers une connexion permanente relativement
rapide, tant pour mettre en oeuvre des &eacute;changes de fichiers
avec le monde ext&eacute;rieur que pour cr&eacute;er un site www ou
ftp. Il concerne &eacute;galement de nouvelles organisations qui
veulent sauter les &eacute;tapes pr&eacute;liminaires et mettre en
place tout de suite une connexion rapide et h&eacute;berger des
services sous leur propre domaine.</p>
<p>Tout au long de ce document, je traiterai de la configuration
d'un nouveau r&eacute;seau enregistr&eacute; sous le nom de
<b>example.com</b>. Notez que example.com est r&eacute;serv&eacute;
par l'IANA pour une utilisation dans les documentations et, par
cons&eacute;quent, ne correspondra jamais &agrave; un domaine
existant.</p>
<p>La plupart des informations du pr&eacute;sent document est
disponible ailleurs. J'ai essay&eacute; de synth&eacute;tiser
l'essentiel concernant la cr&eacute;ation d'un nouveau domaine. Si
les d&eacute;tails sur un sujet sp&eacute;cifique semblent
&laquo;&nbsp;simplets&nbsp;&raquo;, vous pouvez consulter un des
documents plus explicites.</p>
<p>Ce document couvrira &eacute;galement le cas d'un environnement
mixte compos&eacute; de plusieurs syst&egrave;mes d'exploitation.
Plus sp&eacute;cialement je suppose que les postes de travail
fonctionnent sous Windows, alors que les serveurs et passerelles
fonctionnent sous Linux.</p>
<h2><a name="s3">3. D&eacute;finir la topologie de votre
r&eacute;seau</a></h2>
<p>Bien qu'il existe des arguments en faveur de diff&eacute;rentes
architectures, les exigences de bien des organisations peuvent
&ecirc;tre satisfaites en int&eacute;grant les postes de travail et
les serveurs priv&eacute;s dans un r&eacute;seau priv&eacute;, et
les machines publiques sur des adresses IP externes valides. Les
machines poss&eacute;dant les adresses IP publiques seront
appel&eacute;es dans la suite de ce document
&laquo;&nbsp;h&ocirc;tes expos&eacute;s&nbsp;&raquo;. Ceci conduit
&agrave; la topologie suivante (exemple)&nbsp;:</p>
<pre>
+--------------+
|              |               +---------------+
| routeur du   |---------------| serveur FTP   |
| fournisseur  |        |      +---------------+
| d'acc&egrave;s      |        |      
|              |        |
+--------------+        |      +----------------+
                        |------| serveur WWW #1 |
                        |      +----------------+
                        |
                        |      +----------------+
                        |------| serveur WWW #2 |
                        |      +----------------+
                        |
                        ~
                        ~
                        |
                        |      +---------------+
                        |------| passerelle    |
                               | de r&eacute;seau     |
                               | priv&eacute;         |
                               +---------------+
                                       |
                                       |
                                       |
                                       |
      +------------+                   |      +------------------+
      | station #1 |-------------------|------| serveur priv&eacute; #1 |
      +------------+                   |      +------------------+
                                       |
             .      -------------------|--------        .
             .                         |                .
             .      -------------------|--------        .
                                       |
      +------------+                   |      +------------------+
      | station #N |-------------------|------| serveur priv&eacute; #N |
      +------------+                          +------------------+
</pre>
<p>Dans cet exemple, le routeur du FAI (fournisseur d'acc&egrave;s
Internet -- provider--), le serveur FTP, les serveurs WWW et la
machine d&eacute;sign&eacute;e comme passerelle de r&eacute;seau
priv&eacute; ont tous des adresses IP visibles depuis
l'ext&eacute;rieur, alors que les stations et les serveurs
priv&eacute;s ont des adresses IP r&eacute;serv&eacute;es pour une
utilisation priv&eacute;e. Voir la RFC1918&nbsp;: <a href=
"http://www.ietf.org/rfc/rfc1918.txt">http://www.ietf.org/rfc/rfc1918.txt</a>&nbsp;;
<a href=
"http://abcdrfc.free.fr/rfc-vf/rfc1918.html">http://abcdrfc.free.fr/rfc-vf/rfc1918.html</a>
en version fran&ccedil;aise. Les adresses IP que vous choisissez
pour votre r&eacute;seau priv&eacute; (tout ce qui est sous votre
passerelle de r&eacute;seau priv&eacute;) doivent &ecirc;tre
uniques, mais pas seulement par rapport &agrave; l'ensemble des
h&ocirc;tes qui sont sous votre contr&ocirc;le&nbsp;; elles ne
doivent pas non plus entrer en conflit avec des adresses
attribu&eacute;es dans les autres r&eacute;seaux priv&eacute;s
similaires, sur d'autres sites ou partenaires, avec lesquels vous
pourriez vouloir un jour d&eacute;velopper un r&eacute;seau
priv&eacute; virtuel&nbsp;; et ceci dans le but d'&eacute;viter
d&eacute;boires et reconfigurations lorsque les deux r&eacute;seaux
seront reli&eacute;s de cette mani&egrave;re. Comme indiqu&eacute;
dans la RFC, vous pouvez opter pour un r&eacute;seau de classe C
entre les plages d'adresses 192.168.0.* et 192.168.255.*, un
r&eacute;seau de classe B compris entre les plages d'adresses
172.16.*.* et 172.31.*.*, ou bien, un r&eacute;seau de classe A
10.*.*.*. Dans la suite de ce document, je supposerai que votre
r&eacute;seau priv&eacute; (si vous avez choisi d'en cr&eacute;er
un) est un r&eacute;seau de classe C sur la plage 192.168.1.*, que
l'interface ext&eacute;rieure de votre passerelle de r&eacute;seau
priv&eacute; a l'adresse IP 10.1.1.9, une des adresses qui vous ont
&eacute;t&eacute; allou&eacute;es par le FAI (notez qu'il ne s'agit
pas d'une adresse publique valide, je ne l'utilise que comme
exemple). Je supposerai &eacute;galement qu'il y a une machine,
betty.example.com &agrave; l'adresse 10.1.1.10, qui supporte
simultan&eacute;ment le service FTP et le service www.</p>
<p>Faites le compte du nombre d'adresses IP externes dont vous avez
besoin pour vos machines. Vous aurez besoin d'une adresse pour
chacune des machines install&eacute;es du cot&eacute; externe de la
passerelle de r&eacute;seau priv&eacute;, plus une pour la
passerelle elle-m&ecirc;me. Ce compte n'inclut pas toute IP qui
pourrait &ecirc;tre attribu&eacute;e &agrave; d'autres routeurs,
adresses de diffusion, etc. Vous devez demander &agrave; votre
fournisseur d'acc&egrave;s un bloc d'adresses suffisamment grand
pour mettre en place toutes vos machines. Par exemple, sur mon
r&eacute;seau professionnel, parmi les huit adresses IP
allou&eacute;es par le FAI, trois n'&eacute;taient pas utilisables
par mes ordinateurs, laissant la place pour quatre machines
&agrave; l'ext&eacute;rieur de la passerelle, plus la passerelle
elle-m&ecirc;me.</p>
<p>Cette topologie de r&eacute;seau ne vaut pas pour tout le monde,
mais elle constitue un point de d&eacute;part raisonnable pour
beaucoup de configurations qui n'ont pas de besoin particulier. Les
avantages de cette configuration sont les suivants &nbsp;:</p>
<ul>
<li>facilit&eacute; de d&eacute;veloppement. Si vous souhaitez
doubler le nombre de vos noeuds dans le r&eacute;seau priv&eacute;,
vous n'avez pas besoin de faire appel &agrave; votre fournisseur
pour obtenir une plage d'adresses suppl&eacute;mentaire ni
reconfigurer l'ensemble des interfaces de vos machines.</li>
<li>contr&ocirc;le local du r&eacute;seau. Ajouter une nouvelle
station de travail sur votre r&eacute;seau priv&eacute; ne requiert
aucune intervention de votre provider, contrairement &agrave;
l'ajout d'h&ocirc;tes expos&eacute;s&nbsp;; ceux-ci ont besoin
d'&ecirc;tre cartographi&eacute;s (connus) dans les bases de
donn&eacute;es DNS (direct et invers&eacute;) s'ils veulent
accomplir certaines t&acirc;ches (ssh et ftpd risquent de se
plaindre s'il ne peuvent faire du DNS direct ou du DNS
invers&eacute; sur des connexions entrantes). Une requ&ecirc;te DNS
invers&eacute; se fait dans le but d'obtenir le nom d'h&ocirc;te
&agrave; partir de l'adresse IP.</li>
<li>s&eacute;curit&eacute; centralis&eacute;e. La passerelle de
r&eacute;seau priv&eacute;, en filtrant les paquets et notant les
attaques, permet de mettre en vigueur les r&egrave;gles de
s&eacute;curit&eacute; sur l'ensemble du r&eacute;seau priv&eacute;
plut&ocirc;t que d'avoir &agrave; installer de telles mesures sur
chacun des serveurs et stations du r&eacute;seau priv&eacute;. Ceci
est applicable non seulement pour les paquets entrants mais aussi
pour les paquets sortants de sorte qu'une station mal
configur&eacute;e ne peut pas, par erreur, diffuser au monde
ext&eacute;rieur une information qui doit rester interne.</li>
<li>d&eacute;placement facilit&eacute;. Du fait que les adresses IP
&agrave; l'int&eacute;rieur du r&eacute;seau priv&eacute; sont les
v&ocirc;tres pour autant de temps que vous le souhaitez, vous
pouvez transposer l'ensemble du r&eacute;seau sur une nouvelle
s&eacute;rie d'adresses IP publiques sans avoir &agrave; effectuer
une quelconque modification de la configuration du r&eacute;seau
priv&eacute;. Bien s&ucirc;r, les h&ocirc;tes publics
n&eacute;cessitent quand m&ecirc;me d'&ecirc;tre
reconfigur&eacute;s.</li>
<li>acc&egrave;s &agrave; Internet transparent. Les machines du
r&eacute;seau priv&eacute; peuvent continuer &agrave; utiliser FTP,
telnet, WWW, et autres services avec un minimum d'embarras
moyennant un camouflage
&laquo;&nbsp;Linux-Masquerading&nbsp;&raquo;. Les utilisateurs
peuvent m&ecirc;me n'avoir jamais conscience que leurs machines
n'ont pas d'adresse IP visible depuis l'ext&eacute;rieur.</li>
</ul>
<p>Les d&eacute;savantages potentiels de ce type de configuration
sont les suivants &nbsp;:</p>
<ul>
<li>certains services ne seront pas disponibles directement sur les
machines du r&eacute;seau interne. La synchronisation NTP avec un
h&ocirc;te ext&eacute;rieur, quelques obscurs services dont les
r&egrave;gles de masquage ne sont pas support&eacute;es dans le
noyau, et l'authentification .shosts sur des h&ocirc;tes externes
sont tous difficiles voire impossibles, mais il existe quasiment
toujours des proc&eacute;dures de contournement.</li>
<li>co&ucirc;ts de mat&eacute;riel r&eacute;seau plus
&eacute;lev&eacute;. La passerelle de r&eacute;seau priv&eacute;
n&eacute;cessite deux cartes r&eacute;seau, et vous avez besoin
d'au moins deux concentrateurs (hubs) ou commutateurs (switchs),
l'un sur le r&eacute;seau visible, l'autre sur le r&eacute;seau
priv&eacute;.</li>
<li>Les machines localis&eacute;es &agrave; l'ext&eacute;rieur du
r&eacute;seau priv&eacute; ne peuvent pas facilement se connecter
sur les machines &agrave; l'int&eacute;rieur du r&eacute;seau
priv&eacute;. Elles doivent d'abord ouvrir une session sur la
passerelle de r&eacute;seau priv&eacute;, puis se connecter au
travers de celle-ci sur l'h&ocirc;te interne. Il est possible de
router des paquets de mani&egrave;re transparente &agrave; travers
le pare-feu (firewall), mais ceci n'est pas recommand&eacute; pour
des raisons de s&eacute;curit&eacute; qui seront abord&eacute;es
plus tard.</li>
</ul>
<p>Vous devriez tenir compte de tous ces points lors de
l'&eacute;laboration de la topologie de votre r&eacute;seau, et
d&eacute;cider si un r&eacute;seau enti&egrave;rement visible est
mieux adapt&eacute; &agrave; votre cas. Dans la suite du document,
je supposerai que vous avez configur&eacute; votre r&eacute;seau
comme montr&eacute; ci-dessus. Si vous avez opt&eacute; pour un
r&eacute;seau enti&egrave;rement visible, certains d&eacute;tails
diff&eacute;reront, et j'essayerai de signaler de telles
diff&eacute;rences.</p>
<p>Au cas o&ugrave; vous n'auriez pas besoin de serveur externe, le
routeur fourni par le provider peut &ecirc;tre directement
connect&eacute; &agrave; l'interface externe de la passerelle de
r&eacute;seau priv&eacute;, plut&ocirc;t que par
l'interm&eacute;diaire d'un hub.</p>
<h2><a name="s4">4. Vous procurer votre connexion</a></h2>
<h2><a name="ss4.1">4.1 Choisir votre fournisseur
d'acc&egrave;s</a></h2>
<p>Comme pour tout, prospectez. D&eacute;terminez quelle est
l'offre de services dans votre r&eacute;gion, aussi bien que les
co&ucirc;ts associ&eacute;s &agrave; chacun de ces services. Toutes
les lieux ne sont pas c&acirc;bl&eacute;s pour DSL, et certaines ne
sont pas appropri&eacute;s pour des connexions sans fils, &agrave;
cause de contraintes g&eacute;ographiques, architecturales ou
environnementales. Dans la mesure o&ugrave; la rapidit&eacute; des
liaisons DSL est intimement li&eacute;e &agrave; la distance entre
le point de liaison et le switch, soyez pr&ecirc;t &agrave; fournir
l'adresse postale du lieu o&ugrave; la t&ecirc;te de votre liaison
sera localis&eacute;e, et posez &eacute;galement des questions
pr&eacute;cises sur la bande passante entre votre machine et le
fournisseur d'acc&egrave;s, sur ce qui doit &ecirc;tre fait pour
installer la connexion et sur le mat&eacute;riel dont la location
est comprise dans le forfait mensuel propos&eacute;. Vous devez
&eacute;galement avoir une id&eacute;e du nombre d'adresses IP dont
vous avez besoin pour vos machines propres (rappelez-vous que les
adresses de la s&eacute;rie que vous obtiendrez ne seront pas
toutes utilisables pour vos ordinateurs). Demandez au fournisseur
d'acc&egrave;s quelle est sa bande passante totale vers
l'ext&eacute;rieur car la vitesse d&eacute;clar&eacute;e dans sa
proposition financi&egrave;re ne concerne que la liaison entre
votre site et le sien. Si le provider a une bande passante
insuffisante vers l'ext&eacute;rieur, ses clients auront &agrave;
p&acirc;tir de goulots d'&eacute;tranglements &agrave;
l'int&eacute;rieur de son r&eacute;seau.</p>
<p>Une fois que vous avez pr&eacute;s&eacute;lectionn&eacute; une
liste de candidats, renseignez-vous, voyez si personne ne peut vous
conseiller sur les prestataires que vous envisagez. Demandez leur
quel type de bande passante ils obtiennent vers des sites non
charg&eacute;s. En outre, si vous avez l'intention d'avoir des
connexions rapides entre le nouveau domaine et un acc&egrave;s
internet personnel depuis chez vous, pour
t&eacute;l&eacute;travailler ou bien pour faire de l'administration
&agrave; distance, il est essentiel que vous fassiez un
<i>traceroute</i> depuis votre connexion personnelle vers un
h&ocirc;te localis&eacute; chez le prestataire envisag&eacute;.
Ceci vous renseignera sur le nombre de
&laquo;&nbsp;pas&nbsp;&raquo;, et la latence auxquels vous devez
vous attendre entre chez vous et le nouveau domaine. Des latences
sup&eacute;rieures &agrave; 100-200 millisecondes peuvent
&ecirc;tre probl&eacute;matiques pour des utilisations
prolong&eacute;es. Le <i>traceroute</i> doit &ecirc;tre
lanc&eacute; aux moments de la journ&eacute;e pendant lesquels vous
souhaitez utiler une connexion r&eacute;seau entre votre domicile
et le nouveau domaine.</p>
<h2><a name="ss4.2">4.2 Faire les pr&eacute;paratifs pour
l'installation mat&eacute;rielle</a></h2>
<p>Apr&egrave;s avoir choisi le fournisseur et le type
d'acc&egrave;s pour le nouveau domaine, renseignez-vous sur les
d&eacute;tails de l'installation. Vous pouvez aussi bien avoir
besoin d'une prestation de l'op&eacute;rateur
t&eacute;l&eacute;phonique en plus de celle du FAI afin de mettre
en place l'acc&egrave;s, et les techniciens peuvent avoir besoin
d'acc&eacute;der &agrave; des zones contr&ocirc;l&eacute;es de
v&ocirc;tre b&acirc;timent&nbsp;; informez donc votre
&laquo;&nbsp;responsable de la maintenance
immobili&egrave;re&nbsp;&raquo; des n&eacute;cessit&eacute;s de
l'installation. Avant que le technicien de l'ISP n'arrive, demandez
les param&egrave;tres, tout sp&eacute;cialement les adresses IP, le
masque de r&eacute;seau, l'adresse de diffusion, l'adresse de la
passerelle de routage, celle du serveur DNS, et &eacute;galement
quel type de c&acirc;blage est n&eacute;cessaire pour le
mat&eacute;riel apport&eacute; par le technicien (par exemple
c&acirc;ble droit ou c&acirc;ble crois&eacute; RJ45, etc.).</p>
<p>Ayez une machine disponible pour les tests, et installez-la
&agrave; proximit&eacute; de l'endroit o&ugrave; le mat&eacute;riel
de connexion au r&eacute;seau sera localis&eacute;. Si possible,
configurez-la avant que le technicien du prestataire n'arrive en
param&eacute;trant son adresse IP et le masque de r&eacute;seau.
Ayez &eacute;galement les c&acirc;bles appropri&eacute;s sous la
main de fa&ccedil;on &agrave; ce que les tests puissent &ecirc;tre
faits rapidement.</p>
<h2><a name="ss4.3">4.3 Tester la connexion</a></h2>
<p>Une fois que votre machine de test est reli&eacute;e au
mat&eacute;riel du provider, assurez-vous que vous pouvez faire un
<i>ping</i> sur une machine au del&agrave; du FAI. Si ce n'est pas
possible, un <i>traceroute</i> vers l'ext&eacute;rieur peut vous
aider &agrave; localiser la d&eacute;faillance de la connexion. Si
le traceroute ne montre aucun &laquo;&nbsp;pas&nbsp;&raquo;
r&eacute;ussi, cela indique que la configuration r&eacute;seau de
votre machine (route par d&eacute;faut, adresse de l'interface,
pilote de la carte, DNS, etc.) n'est pas bonne. Si un seul
&laquo;&nbsp;pas&nbsp;&raquo; est r&eacute;ussi, cela peut
signifier que le routeur n'est pas correctement configur&eacute;
pour communiquer avec le FAI. Si plusieurs
&laquo;&nbsp;pas&nbsp;&raquo; sont r&eacute;ussis avant la
d&eacute;faillance, le probl&egrave;me est tr&egrave;s certainement
localis&eacute; chez le provider ou bien &agrave;
l'ext&eacute;rieur, et hors de de votre contr&ocirc;le
imm&eacute;diat.</p>
<h2><a name="IP_dynamique"></a> <a name="ss4.4">4.4 Utiliser une IP
dynamique</a></h2>
<p>Les avantages d'une connexion d'entreprise avec une plage
d'adresses IP statiques et l'h&eacute;bergement de divers services
entra&icirc;nent un co&ucirc;t. Elle peut &ecirc;tre 10 fois plus
on&eacute;reuse qu'une connexion personnelle &agrave; haut
d&eacute;bit avec DSL ou un modem-c&acirc;ble. Si votre budget ne
peut supporter une telle connexion ou bien si ce type de connexion
n'est pas disponible dans votre r&eacute;gion, vous voudrez
certainement essayer de mettre en place votre domaine sur une IP
dynamique. En g&eacute;n&eacute;ral, plut&ocirc;t qu'une plage
d'adresses vous n'obtiendrez qu'une seule adresse, ce qui veut dire
que votre passerelle de r&eacute;seau priv&eacute; devra
&eacute;galement h&eacute;berger tous les services accessibles
depuis l'ext&eacute;rieur.</p>
<p>D'abord vous devriez v&eacute;rifier si c'est faisable. Beaucoup
de contrats de prestataires interdisent explicitement la mise en
place de services accessibles depuis l'ext&eacute;rieur sur des
comptes personnels. Les prestataires peuvent faire appliquer cette
r&egrave;gle par la mise en place d'un filtrage de paquets bloquant
les connexions entrantes sur les ports http et FTP. Vous devez
&eacute;galement &ecirc;tre attentif au fait que la vitesse de
transfert mentionn&eacute;e dans l'offre pour des acc&egrave;s DSL
ou modem-c&acirc;ble est la vitesse de la voie descendante, et que
la voie montante peut &ecirc;tre beaucoup plus lente. La bande
passante montante est ce qui est important pour offrir des contenus
web ou FTP.</p>
<p>Si vous avez une IP dynamique et que vous voulez avoir des
connexions entrantes, vous devez vous inscrire &agrave; un service
d'h&eacute;bergement d'IP dynamique tels que ceux list&eacute;s sur
Dynamic DNS Providers (&agrave; l'adresse <a href=
"http://www.technopagan.org/dynamic">http://www.technopagan.org/dynamic</a>).
Ces services fonctionnent ordinairement en ex&eacute;cutant un
logiciel sur votre machine qui communique votre adresse IP actuelle
aux serveurs de l'h&eacute;bergeur. Quand votre adresse IP est
connue de ceux-ci, leurs tables DNS sont mises &agrave; jour pour
tenir compte de la nouvelle valeur. Vous pouvez aussi obtenir un
nom de domaine sous leur nom de domaine, tel que
&laquo;&nbsp;example.dynip.com&nbsp;&raquo; ou bien
&laquo;&nbsp;example.dynhost.com&nbsp;&raquo;, ou bien vous pouvez
enregistrer votre propre domaine et faire pointer le DNS primaire
sur la soci&eacute;t&eacute; fournissant ce service (c'est
habituellement plus cher).</p>
<p>Il existe &eacute;galement un service d'h&eacute;bergement
gratuit &agrave; Domain Host Services (&agrave; l'adresse <a href=
"http://www.dhs.org">http://www.dhs.org</a>). Ce service semble
assez r&eacute;cent et il y a peu de d&eacute;tails sur le site web
pour l'instant, mais vous trouverez peut-&ecirc;tre que cela vaut
le coup d'&ecirc;tre &eacute;tudi&eacute;.</p>
<p>Si vous avez mis en place une IP dynamique, et que vous
&ecirc;tes abonn&eacute; &agrave; l'un de ces services, cela
influera sur certaines d&eacute;cisions que vous ferez dans la
section <a href="#services_heberges">D&eacute;cider des services
que vous h&eacute;bergerez</a>. En particulier, cela ne sert
&agrave; rien de vous abonner &agrave; un service
d'h&eacute;bergement d'IP dynamique si vous n'envisagez pas de
mettre en place au moins un des services web ou FTP. Vous devrez
configurer le DNS primaire de fa&ccedil;on &agrave; ce qu'il pointe
sur la soci&eacute;t&eacute; que vous avez choisie. Vous ne devez
pas avoir un d&eacute;mon <i>named</i> qui r&eacute;pond &agrave;
des requ&ecirc;tes &eacute;manant de l'ext&eacute;rieur de votre
r&eacute;seau priv&eacute;. D'autres &eacute;l&eacute;ments tels
que le transport du courrier &eacute;lectronique, d&eacute;pendront
des sp&eacute;cificit&eacute;s du service auquel vous vous
&ecirc;tes abonn&eacute;, et peuvent mieux &ecirc;tre
expliqu&eacute;s par le service d'assistance de cette
soci&eacute;t&eacute;.</p>
<p>Une remarque finale&nbsp;: si vous voulez avoir un acc&egrave;s
distant &agrave; une machine avec une IP dynamique, machine qui
n'h&eacute;bergera pas d'autres services, une solution bon
march&eacute; est de cr&eacute;er une &laquo;&nbsp;boite de
d&eacute;p&ocirc;t&nbsp;&raquo; sur une machine publique avec une
IP statique et de faire en sorte que l'h&ocirc;te ayant une IP
dynamique envoie son adresse IP &agrave; cet endroit, soit par
m&eacute;l ou tout simplement en l'inscrivant dans un fichier sous
un compte shell. Quand vous voulez acc&eacute;der &agrave; distance
&agrave; votre machine, r&eacute;cup&eacute;rez d'abord l'adresse
IP actuelle dans la &laquo;&nbsp;boite de
d&eacute;p&ocirc;t&nbsp;&raquo;, puis utilisez <i>slogin</i> pour
vous attacher directement &agrave; cette adresse IP. C'est, somme
toute, tout ce que fait un service d'h&eacute;bergement d'adresses
IP dynamiques, il le fait juste de mani&egrave;re automatique au
dessus des services standards, vous &eacute;pargnant des
manipulations.</p>
<h2><a name="s5">5. Enregistrer un nom de domaine</a></h2>
<p>Afin que les personnes du monde ext&eacute;rieur puissent
localiser vos serveurs sous le nom de domaine de votre choix, que
ce soit pour le web, pour le FTP ou pour la messagerie
&eacute;lectronique, vous devrez enregistrer ce nom de domaine afin
qu'il soit int&eacute;gr&eacute; dans la base de donn&eacute;es du
domaine de premier niveau ad&eacute;quat.</p>
<p>Usez de prudence en choisissant votre nom de domaine. Certains
mots ou locutions peuvent &ecirc;tre interdits en raison de
coutumes locales, ou pourraient &ecirc;tre choquants pour des
personnes dont le langage ou l'argot diff&egrave;re de celui de
votre r&eacute;gion. Les noms de domaine peuvent contenir les 26
caract&egrave;res de l'alphabet latin (sans accents), le tiret
(quoique celui-ci ne peut &ecirc;tre mis au d&eacute;but ou la fin
du nom), et les dix chiffres. Les noms de domaines ne sont pas
sensibles &agrave; la casse, et peuvent avoir une longueur maximale
de 26 caract&egrave;res (cette limite est susceptible de changer).
Faites attention &agrave; ne pas enregistrer un nom de domaine
&agrave; propos duquel vous ne pouvez pas raisonnablement faire
valoir que vous ne saviez pas que celui-ci emp&eacute;tait sur des
marques d&eacute;pos&eacute;es par des soci&eacute;t&eacute;s
existantes, les tribunaux ne sont pas indulgents pour les
&laquo;&nbsp;cyber-squatters&nbsp;&raquo;. Des informations
concernant les situations dans lesquelles votre nom de domaine
humblement choisi peut &ecirc;tre retir&eacute; de votre
contr&ocirc;le sont disponibles dans le document de l'ICANN
&laquo;&nbsp;Politique pour une r&eacute;solution des conflits sur
les noms de domaines&nbsp;&raquo; &agrave; l'adresse <a href=
"http://www.icann.org/udrp/udrp-policy-24oct99.htm">http://www.icann.org/udrp/udrp-policy24oct99.htm</a>
(en fran&ccedil;ais&nbsp;: <a href=
"http://www.juriscom.net/pro/2/ndm20001011.htm">http://www.juriscom.net/pro/2/ndm20001011.htm</a>).</p>
<p>Il existe beaucoup de soci&eacute;t&eacute;s qui proposent
l'enregistrement de noms dans les domaines de premier niveau
&laquo;&nbsp;.com&nbsp;&raquo;, &laquo;&nbsp;.net&nbsp;&raquo; et
&laquo;&nbsp;.org&nbsp;&raquo;. Pour une liste &agrave; jour,
v&eacute;rifiez la liste de prestataires conventionn&eacute;s
&agrave; l'adresse <a href=
"http://www.icann.org/registrars/accredited-list.html">http://www.icann.org/registrars/accredited-list.html</a>.
Pour enregistrer un nom dans un domaine de premier niveau
g&eacute;ographique, tel que &laquo;&nbsp;.fr&nbsp;&raquo;,
&laquo;&nbsp;.ca&nbsp;&raquo;, &laquo;&nbsp;.de&nbsp;&raquo;,
&laquo;&nbsp;.uk&nbsp;&raquo;, etc., cherchez quelle est
l'autorit&eacute; appropri&eacute;e, ce renseignement pouvant
&ecirc;tre trouv&eacute; dans la base de donn&eacute;es des Country
Code Top-Level Domains &agrave; l'adresse <a href=
"http://www.iana.org/cctld.html">http://www.iana.org/cctld.html</a>.</p>
<h2><a name="services_heberges"></a> <a name="s6">6. D&eacute;cider
des services que vous h&eacute;bergerez</a></h2>
<p>La plupart des fournisseurs d'acc&egrave;s
&laquo;&nbsp;full-service&nbsp;&raquo; proposent &agrave; leur
clients un &eacute;ventail de services relatifs au domaine. Ceci
est largement d&ucirc; &agrave; la difficult&eacute;
d'h&eacute;berger ces services avec certains autres syst&egrave;mes
d'exploitation, plus populaires, pour machines de bureau et
serveurs. Ces services sont beaucoup plus faciles &agrave; mettre
en oeuvre sous Linux et peuvent &ecirc;tre h&eacute;berg&eacute;s
sur des mat&eacute;riels peu on&eacute;reux. Vous devriez donc
d&eacute;cider des services que vous voulez garder sous votre
contr&ocirc;le. Certains de ces services sont&nbsp;:</p>
<ul>
<li>DNS primaire (le service DNS principal pour votre domaine).
Voyez la section <a href="#dns_primaire">DNS primaire</a></li>
<li>Messagerie &eacute;lectronique. Reportez-vous &agrave; la
section <a href="#messagerie_electronique">Messagerie
&eacute;lectronique</a></li>
<li>H&eacute;bergement de site web. Reportez-vous &agrave; la
section <a href="#hebergement_web">H&eacute;bergement de site
web</a></li>
<li>H&eacute;bergement de site FTP. Reportez-vous &agrave; la
section <a href="#hebergement_ftp">H&eacute;bergement de site
FTP</a></li>
<li>Filtrage de paquets. Reportez-vous &agrave; la section <a href=
"#filtrage_de_paquets">Filtrage de paquets</a></li>
</ul>
<p>Pour chacun de ces services vous devez &eacute;valuer
l'int&eacute;r&ecirc;t d'en garder le contr&ocirc;le. Si votre FAI
propose un ou plusieurs de ces services, vous pouvez
g&eacute;n&eacute;ralement avoir l'assurance qu'il a du personnel
exp&eacute;riment&eacute; pour la gestion de ceux-ci&nbsp;; aussi,
vous aurez moins &agrave; apprendre et moins de soucis.
Parall&egrave;lement &agrave; cela, vous perdez la ma&icirc;trise
de ces services. La moindre modification impose que vous passiez
par le FAI, chose qui peut ne pas &ecirc;tre pratique ou demander
des d&eacute;lais plus longs que vous ne le voudriez. Il y a aussi
une question de s&eacute;curit&eacute;, le FAI est une cible
beaucoup plus tentante pour les agresseurs que votre propre site.
Dans la mesure o&ugrave; les serveurs d'un FAI peuvent
h&eacute;berger la messagerie et/ou les sites web de douzaines de
soci&eacute;t&eacute;s qui sont ses clients, un pirate qui
endommage un de ces serveurs obtient une bien meilleure
r&eacute;compense &agrave; ces efforts que celui qui attaque votre
serveur personnel o&ugrave; les seules donn&eacute;es d'une
entreprise sont stock&eacute;es.</p>
<h2><a name="dns_primaire"></a> <a name="ss6.1">6.1 DNS
primaire</a></h2>
<p>Quand une personne, quelque part, dans le monde
ext&eacute;rieur, demande &agrave; se connecter sur une machine du
nouveau domaine example.com, les requ&ecirc;tes transitent par des
serveurs divers sur internet&nbsp;; et finalement l'adresse IP de
la machine est renvoy&eacute;e au logiciel de la personne qui
demande la connexion. Le d&eacute;tail de cette s&eacute;quence est
au del&agrave; de l'objet de ce document. Sans entrer dans les
d&eacute;tails, quand une demande est faite pour la machine
fred.example.com, une base de donn&eacute;es centralis&eacute;e est
questionn&eacute;e pour d&eacute;terminer quelle est l'adresse IP
de la machine qui a l'autorit&eacute; administrative sur la zone
example.com. L'adresse IP obtenue est ensuite questionn&eacute;e
pour obtenir l'adresse IP de fred.example.com.</p>
<p>Il doit exister un DNS primaire et un DNS secondaire pour chaque
nom de domaine. Les noms et adresses de ces deux serveurs sont
enregistr&eacute;s dans une base de donn&eacute;es dont les
entr&eacute;es sont contr&ocirc;l&eacute;es par des
autorit&eacute;s de nommage telles que &laquo;&nbsp;Network
solutions&nbsp;&raquo; (&agrave; l'adresse <a href=
"http://www.networksolutions.com">http://www.networksolutions.com</a>).</p>
<p>Si vous avez opt&eacute; pour un DNS primaire
h&eacute;berg&eacute; par le FAI, ces deux machines seront
probablement contr&ocirc;l&eacute;es par celui-ci. &Agrave; chaque
fois que vous voudrez ajouter &agrave; votre r&eacute;seau une
machine visible depuis l'ext&eacute;rieur, vous devrez contacter le
FAI pour lui demander d'ajouter la nouvelle machine &agrave; sa
base de donn&eacute;es.</p>
<p>Si vous avez choisi de g&eacute;rer le DNS primaire sur votre
propre machine, vous devrez &eacute;galement utiliser une
deuxi&egrave;me machine comme serveur secondaire. Techniquement,
vous devriez la localiser sur une connexion internet redondante ,
mais l'h&eacute;bergement du DNS secondaire sur l'une des machines
du FAI est tr&egrave;s r&eacute;pandu. Si vous voulez ajouter
&agrave; votre r&eacute;seau une machine visible depuis
l'ext&eacute;rieur, vous devrez mettre &agrave; jour votre propre
base de donn&eacute;es et ensuite attendre que la modification se
propage (chose qui, habituellement, prend un petit nombre
d'heures). Ceci vous permet d'ajouter barney.example.com sans
passer par votre FAI.</p>
<p>C'est une bonne id&eacute;e de mettre en oeuvre le DNS
secondaire sur un h&ocirc;te distant du point vue
g&eacute;ographique&nbsp;; ainsi, une simple rupture de c&acirc;ble
du cot&eacute; de votre FAI ne met pas simultan&eacute;ment
hors-ligne vos serveurs DNS primaire et secondaire. Le prestataire
d'enregistrement de nom que vous avez utils&eacute; pour
enregistrer votre domaine peut fournir un service de DNS
secondaire. Il existe &eacute;galement un service gratuit, Granite
Canyon (&agrave; l'adresse <a href=
"http://www.granitecanyon.com">http://www.granitecanyon.com</a>),
disponible pour qui le demande.</p>
<p>Ind&eacute;pendamment du fait que vous avez choisi ou non de
constituer vous m&ecirc;me l'autorit&eacute; DNS principale pour
votre domaine, voyez la section <a href="#mise_en_place_DNS">Mettre
en place la r&eacute;solution de noms</a> pour une aide concernant
la configuration. Vous aurez besoin d'un syst&egrave;me de
r&eacute;solution de noms au sein de votre r&eacute;seau
priv&eacute;, m&ecirc;me si vous d&eacute;l&eacute;guez le DNS
primaire &agrave; votre FAI.</p>
<h2><a name="messagerie_electronique"></a> <a name="ss6.2">6.2
Messagerie &eacute;lectronique</a></h2>
<p>En g&eacute;n&eacute;ral, quand vous vous abonnez chez votre
FAI, celui-ci vous fournit un certain nombre d'adresses de
messagerie. Vous pouvez choisir de n'utiliser que cette
possibilit&eacute;, auquel cas tous les messages entrants sont
stock&eacute;s sur le serveur du FAI et vos utilisateurs lisent
leur courrier avec des clients POP3 qui se connectent sur le
serveur du FAI. D'une autre mani&egrave;re, vous pouvez
d&eacute;cider d'installer la messagerie sur vos propres machines.
Une fois de plus, vous devez peser le pour et le contre de chacune
des deux possibilit&eacute;s et choisir celle qui vous convient le
mieux.</p>
<p>Ce dont il faut se rappeler si vous utilisez les services de
l'ISP pour la messagerie&nbsp;:</p>
<ul>
<li>Il sera plus facile d'acc&eacute;der &agrave; la messagerie
depuis votre domicile, ou depuis d'autres lieux quand vous
&ecirc;tes en d&eacute;placement professionnel, en fonction du type
de s&eacute;curit&eacute; que vous utilisez pour votre
domaine.</li>
<li>Les messages sont stock&eacute;s sur les serveurs de l'ISP, ce
qui peut poser probl&egrave;me si des donn&eacute;es
confidentielles sont envoy&eacute;es sans avoir &eacute;t&eacute;
chiffr&eacute;es.</li>
<li>Vous avez un nombre d'adresses limit&eacute;, et vous pouvez
&ecirc;tre amen&eacute; &agrave; payer un suppl&eacute;ment si vous
d&eacute;passez cette limite.</li>
<li>Pour cr&eacute;er de nouvelles adresses, vous devez passer par
le FAI.</li>
</ul>
<p>Ce dont il faut se rappeler si vous g&eacute;rez vous-m&ecirc;me
la messagerie&nbsp;:</p>
<ul>
<li>Les messages sont stock&eacute;s sur vos serveurs, avec des
enregistrements de sauvegarde chez l'ISP si votre serveur de
messagerie tombe ou si le disque se sature.</li>
<li>Vous avez un nombre illimit&eacute; de comptes de messagerie,
que vous pouvez cr&eacute;er et supprimer vous-m&ecirc;me.</li>
<li>Vous devez supporter les logiciels clients de messagerie
utilis&eacute;s sur votre r&eacute;seau priv&eacute; et,
&eacute;ventuellement, ceux utilis&eacute;s par les personnes qui
essayent de lire leur courrier depuis leur domicile.</li>
</ul>
<p>Une approche possible est d'h&eacute;berger la messagerie
vous-m&ecirc;me et, en suppl&eacute;ment, d'utiliser quelques unes
des adresses fournies par le FAI. Les personnes qui ont besoin
d'une messagerie accessible depuis l'ext&eacute;rieur du
r&eacute;seau priv&eacute; peuvent avoir des adresses dans votre
domaine qui sont redirig&eacute;es sur l'une des adresses fournies
par l'ISP. Les autres peuvent avoir une messagerie locale sur le
r&eacute;seau priv&eacute;. Ceci requiert un petit peu plus de
coordination et de configuration, mais donne plus de
flexibilit&eacute; que chacune des autres approches.</p>
<p>Si vous choisissez d'h&eacute;berger la messagerie pour votre
domaine, reportez-vous &agrave; la section <a href=
"#mise_en_place_messagerie">Mettre en place la messagerie
&eacute;lectronique</a></p>
<p>Si vous d&eacute;cidez de ne pas h&eacute;berger la messagerie
pour votre domaine, reportez-vous &agrave; la section <a href=
"#dns_sans_messagerie">Configuration du DNS si vous
n'h&eacute;bergez pas le service de messagerie</a>.</p>
<h2><a name="hebergement_web"></a> <a name="ss6.3">6.3
H&eacute;bergement du site web</a></h2>
<p>Votre FAI peut vous allouer une certaine quantit&eacute;
d'espace sur ses serveurs web. Vous pouvez d&eacute;cider
d'utiliser cette possibilit&eacute; ou vous pouvez avoir un serveur
web que vous mettez dans votre r&eacute;seau externe, sur une des
IPs externes.</p>
<p>Ce dont il faut se rappeler si vous choisissez d'utiliser
l'h&eacute;bergement web du FAI&nbsp;:</p>
<ul>
<li>Vous avez une certaine quantit&eacute; d'espace-disque
allou&eacute;e que vous ne pouvez pas d&eacute;passer. Ceci
n'inclut pas seulement le contenu du site web mais aussi les
donn&eacute;es collect&eacute;es aupr&egrave;s des visiteurs du
site.</li>
<li>La bande passante entre votre serveur web et le monde
ext&eacute;rieur sera certainement plus large que si vous
h&eacute;bergiez ce serveur sur votre propre mat&eacute;riel. Dans
tous les cas, elle ne peut pas &ecirc;tre plus lente.</li>
<li>Il peut s'av&eacute;rer difficile d'installer des CGI
personnalis&eacute;es ou des progiciels commerciaux sur votre
serveur web.</li>
<li>La bande passante entre votre r&eacute;seau et votre serveur
web sera certainement plus lente qu'elle ne le serait si vous
h&eacute;bergiez le service sur votre propre r&eacute;seau.</li>
</ul>
<p>Ce dont il faut se rappeler si choisissez d'h&eacute;berger
votre propre serveur web.</p>
<ul>
<li>Vous avez plus de ma&icirc;trise sur le serveur. Vous pouvez
fa&ccedil;onner votre s&eacute;curit&eacute; de mani&egrave;re plus
adapt&eacute;e &agrave; votre utilisation.</li>
<li>Les donn&eacute;es potentiellement critiques, telles que des
num&eacute;ros de cartes de cr&eacute;dit ou des adresses
m&eacute;l, r&eacute;sident sur des machines que vous
contr&ocirc;lez.</li>
<li>Votre strat&eacute;gie de sauvegarde est probablement moins
compl&egrave;te que celle de votre FAI.</li>
</ul>
<p>Notez que je ne dis rien &agrave; propos du fait que l'ISP a du
mat&eacute;riel plus performant, des taux de transfert de
donn&eacute;es plus &eacute;lev&eacute;s, et ainsi de suite. Au fil
du temps, ces choses deviennent importantes, et l'on parle de
connexions r&eacute;seaux &agrave; tr&egrave;s hauts d&eacute;bits,
et, tr&egrave;s franchement, vous auriez d&ucirc;
d&eacute;l&eacute;guer ces d&eacute;cisions &agrave; un consultant
sp&eacute;cialis&eacute;, pas regarder dans un HOWTO Linux.</p>
<p>Si vous choisissez d'h&eacute;berger l'espace web de votre
domaine sur vos propres serveurs, reportez-vous &agrave; d'autres
documents tels que le WWW-HOWTO (&agrave; l'adresse <a href=
"ftp://metalab.unc.edu/pub/Linux/docs/HOWTO/WWW-HOWTO">ftp://metalab.unc.edu/pub/Linux/docs/HOWTO/WWW-HOWTO</a>
ou <a href=
"http://www.freenix.org/unix/linux/HOWTO/WWW-HOWTO.html">http://www.freenix.org/unix/linux/HOWTO/WWW-HOWTO.html</a>
en version fran&ccedil;aise), pour la configuration. Pour des
raisons de s&eacute;curit&eacute;, je vous recommande chaudement de
faire fonctionner ce service sur une autre machine que la
passerelle de r&eacute;seau priv&eacute;.</p>
<h2><a name="hebergement_ftp"></a> <a name="ss6.4">6.4
H&eacute;bergement du site FTP</a></h2>
<p>Fondamentalement, les m&ecirc;mes raisonnements qui s'appliquent
&agrave; l'h&eacute;bergement WWW s'appliquent &agrave;
l'h&eacute;bergement FTP, &agrave; l'exception du fait que le ftp
n'est pas concern&eacute; par les contenus dynamiques et que les
scripts CGI n'y apparaissent pas. La plupart des exploits
r&eacute;cents sur des serveurs ftpd ont &eacute;t&eacute;
r&eacute;alis&eacute;s par des d&eacute;bordements de tampon
cons&eacute;cutifs &agrave; la cr&eacute;ation de
r&eacute;pertoires ayant des noms longs dans des r&eacute;pertoires
de t&eacute;l&eacute;chargement modifiables par n'importe
qui&nbsp;; ainsi, si votre FAI autorise le
t&eacute;l&eacute;chargement et se montre n&eacute;gligent dans la
maintenance des mises &agrave; jour de s&eacute;curit&eacute; sur
le serveur FTP, vous feriez aussi bien d'h&eacute;berger le service
vous-m&ecirc;me.</p>
<p>Dans le cas o&ugrave; vous choisissez d'h&eacute;berger FTP pour
votre domaine sur vos propres serveurs, assurez-vous d'avoir la
derni&egrave;re version du d&eacute;mon FTP, et consultez les
instructions de configuration. Une fois de plus, je recommande
fortement, pour des raisons de s&eacute;curit&eacute;, que ce
service fonctionne sur une autre machine que la passerelle de
r&eacute;seau priv&eacute;.</p>
<p>Pour <i>wu-ftpd</i>, je recommande les options de configuration
suivantes&nbsp;:</p>
<ul>
<li>--disable-upload (&agrave; moins que n'ayez besoin du
t&eacute;l&eacute;chargement anonyme)</li>
<li>--enable-anononly (incite vos utilisateurs locaux &agrave;
utiliser scp pour le transfert de fichier entre les machines)</li>
<li>--enable-paranoid (d&eacute;sactive toute fonctionnalit&eacute;
de la version courante qui peut &ecirc;tre sujette &agrave;
caution)</li>
</ul>
<h2><a name="filtrage_de_paquets"></a> <a name="ss6.5">6.5 Filtrage
de paquets</a></h2>
<p>Certains FAI mettent des filtres de paquets, pour
prot&eacute;ger les utilisateurs du syst&egrave;me les uns des
autres ou vis &agrave; vis d'agresseurs externes. Les
r&eacute;seaux modem-c&acirc;ble et d'autres r&eacute;seau &agrave;
diffusion similaires posent probl&egrave;me quand, sans le faire
expr&egrave;s, des utilisateurs de Windows 95 ou 98 activent le
partage de fichiers mettant ainsi le contenu entier de leurs
disques durs &agrave; la vue de n'importe qui prend le soin
d'explorer son &laquo;&nbsp;voisinnage r&eacute;seau&nbsp;&raquo;
&agrave; la recherche de serveurs actifs. Dans certains cas, la
solution a &eacute;t&eacute; de dire aux utilisateurs de ne pas
faire cela, mais certains fournisseurs d'acc&egrave;s ont mis en
place un filtrage dans le mat&eacute;riel de connexion pour
emp&ecirc;cher les gens d'exporter leurs donn&eacute;es par
inadvertance.</p>
<p>Le filtrage de paquet est vraiment une chose que vous devriez
faire vous-m&ecirc;me. Il s'int&egrave;gre facilement dans le noyau
fonctionnant sur votre passerelle de r&eacute;seau priv&eacute; et
vous donne une meilleure id&eacute;e de ce qui se passe autour de
vous. En outre, il arrive souvent que l'on veuille, pendant
l'installation, proc&eacute;der &agrave; de menus ajustements sur
le pare-feu pour l'optimiser, et c'est beaucoup plus facile
&agrave; faire en temps r&eacute;el plut&ocirc;t que par
l'interm&eacute;diaire d'un support technique.</p>
<p>Si vous choisissez de faire le filtrage de paquets pour votre
domaine, reportez-vous &agrave; la section <a href=
"#mettre_en_place_filtrage">Mettre en place le filtrage de
paquets</a>.</p>
<h2><a name="s7">7. Configurer les services
h&eacute;berg&eacute;s</a></h2>
<h2><a name="mise_en_place_DNS"></a> <a name="ss7.1">7.1 Mettre en
place la r&eacute;solution de noms</a></h2>
<p>Vous devrez mettre en place un moyen pour que les ordinateurs
sur votre r&eacute;seau se reconnaissent par leur nom, et
&eacute;galement que les personnes &agrave; l'ext&eacute;rieur
connaissent par leur nom vos machines expos&eacute;es. Il existe
plusieurs moyens d'aboutir &agrave; ce r&eacute;sultat.</p>
<h3><a name="DNS_prive_FAI_gere_domaine"></a> r&eacute;solution DNS
sur le r&eacute;seau priv&eacute;, le FAI g&egrave;re le
domaine</h3>
<p>(remarque&nbsp;: si vous avez choisi de ne pas mettre en place
un r&eacute;seau priv&eacute;, allez &agrave; la section <a href=
"#reseau_entierement_expose">R&eacute;seau enti&egrave;rement
expos&eacute;, h&eacute;berg&eacute; par le FAI</a>)</p>
<p>Dans cette configuration, vous avez d&eacute;l&eacute;gu&eacute;
la responsabilit&eacute; du DNS primaire de votre domaine au FAI.
Vous continuez &agrave; utiliser DNS &agrave; l'int&eacute;rieur de
votre r&eacute;seau priv&eacute; quand les h&ocirc;tes internes
veulent communiquer ensemble. Vous avez communiqu&eacute; au FAI
une liste des adresses IP de l'ensemble des h&ocirc;tes
expos&eacute;s. Si vous voulez qu'une des machines visibles depuis
l'ext&eacute;rieur, par exemple betty.example.com, soit en
m&ecirc;me temps le serveur web et le serveur FTP, vous devez
demander au FAI de mettre en place des entr&eacute;es CNAME
www.example.com et ftp.example.com qui pointent sur
betty.example.com.</p>
<p>Mettez en place le DNS sur votre passerelle de r&eacute;seau
priv&eacute;. Ceci peut &ecirc;tre r&eacute;alis&eacute; de
mani&egrave;re s&eacute;curis&eacute;e, et rendre les mises
&agrave; jour plus faciles, au cas o&ugrave; vous d&eacute;cidiez
un jour d'h&eacute;berger l'autorit&eacute; primaire du DNS.</p>
<p>Je supposerai que vous avez d&eacute;cid&eacute;
d'h&eacute;berger le DNS sur la machine dns.example.com, qui est la
passerelle de r&eacute;seau priv&eacute;, et un surnom (alias) pour
fred.example.com &agrave; l'adresse 192.168.1.1. Si ce n'est pas le
cas, de petites modifications doivent &ecirc;tre faites &agrave;
votre configuration. Je ne traiterai pas de cela dans ce HOWTO
&agrave; moins que cela ne pr&eacute;sente un v&eacute;ritable
int&eacute;r&ecirc;t.</p>
<p>Vous devrez t&eacute;l&eacute;charger et compiler une version de
BIND, Berkeley Internet Name Domain. Il est disponible sur le site
de BIND (&agrave; l'adresse <a href=
"http://www.isc.org/products/BIND/">http://www.isc.org/products/BIND/</a>).
Ensuite vous devez configurer les d&eacute;mons. Cr&eacute;ez le
fichier <code>/etc/named.conf</code> suivant&nbsp;:</p>
<hr>
<pre>
     options {
             directory "/var/named";
             listen-on { 192.168.1.1 };
     };
 
     zone "." {
             type hint;
             file "root.hints";
     };
 
     zone "0.0.127.in-addr.arpa" {
             type master;
             file "pz/127.0.0";
     };
 
     zone "1.168.192.in-addr.arpa" {
             type master;
             file "pz/1.168.192";
     };
 
     zone "example.com" {
             type master;
             notify no;
             file "pz/example.com";
     };
</pre>
<hr>
<p>Remarquez que nous nous sommes d&eacute;clar&eacute;s
ma&icirc;tres du domaine example.com. Cependant, notre FAI se
d&eacute;clare aussi comme l'autorit&eacute; du m&ecirc;me domaine.
Ce n'est pas un probl&egrave;me tant que l'on fait attention
&agrave; l'installation. Toutes les machines du r&eacute;seau
priv&eacute; doivent utiliser dns.example.com pour mettre en oeuvre
leur r&eacute;solution de noms. Elles ne doivent <i>pas</i>
utiliser le &laquo;&nbsp;resolver&nbsp;&raquo; de l'ISP dans la
mesure o&ugrave; le le serveur de nom de l'ISP croit qu'il fait
authorit&eacute; sur l'int&eacute;gralit&eacute; du domaine mais ne
connait pas les adresses IP ou les noms des machines sur votre
r&eacute;seau priv&eacute;. De la m&ecirc;me mani&egrave;re, les
h&ocirc;tes ayant les adresses publiques de votre domaine
<i>doivent</i> utiliser le serveur de noms du FAI, pas le serveur
de nom priv&eacute; sur dns.example.com.</p>
<p>Les diff&eacute;rents fichiers sous <code>/var/named</code>
doivent maintenant &ecirc;tre cr&eacute;&eacute;s.</p>
<p>Le fichier <code>root.hint</code> est tel que d&eacute;crit dans
la documentation de BIND ou dans le DNS-HOWTO (&agrave; l'adresse
<a href=
"ftp://metalab.unc.edu/pub/Linux/docs/HOWTO/DNS-HOWTO">ftp://metalab.unc.edu/pub/Linux/docs/HOWTO/DNS-HOWTO</a>&nbsp;;
<a href=
"http://www.freenix.org/unix/linux/HOWTO/DNS-HOWTO.html">http://www.freenix.org/unix/linux/HOWTO/DNS-HOWTO.html</a>).
&Agrave; l'heure o&ugrave; j'&eacute;cris, Ce qui suit est un
fichier root.hint valide.</p>
<hr>
<pre>
     H.ROOT-SERVERS.NET.     6d15h26m24s IN A  128.63.2.53
     C.ROOT-SERVERS.NET.     6d15h26m24s IN A  192.33.4.12
     G.ROOT-SERVERS.NET.     6d15h26m24s IN A  192.112.36.4
     F.ROOT-SERVERS.NET.     6d15h26m24s IN A  192.5.5.241
     B.ROOT-SERVERS.NET.     6d15h26m24s IN A  128.9.0.107
     J.ROOT-SERVERS.NET.     6d15h26m24s IN A  198.41.0.10
     K.ROOT-SERVERS.NET.     6d15h26m24s IN A  193.0.14.129
     L.ROOT-SERVERS.NET.     6d15h26m24s IN A  198.32.64.12
     M.ROOT-SERVERS.NET.     6d15h26m24s IN A  202.12.27.33
     I.ROOT-SERVERS.NET.     6d15h26m24s IN A  192.36.148.17
     E.ROOT-SERVERS.NET.     6d15h26m24s IN A  192.203.230.10
     D.ROOT-SERVERS.NET.     6d15h26m24s IN A  128.8.10.90
     A.ROOT-SERVERS.NET.     6d15h26m24s IN A  198.41.0.4
</pre>
<hr>
<p>Le fichier <code>pz/127.0.0.0</code> est comme suit&nbsp;:</p>
<hr>
<pre>
@               IN      SOA     example.com. root.example.com. (
                                1       ; num&eacute;ro de s&eacute;rie
                                8H      ; mise &agrave; jour
                                2H      ; tentative apr&egrave;s &eacute;chec
                                1W      ; d&eacute;lai d'expiration
                                1D)     ; dur&eacute;e de vie minimale
                        NS      dns.example.com.
1                       PTR     localhost.
</pre>
<hr>
<p>Le fichier <code>pz/1.168.192</code> est comme suit&nbsp;:</p>
<hr>
<pre>
$TTL 86400
 
@       IN      SOA             dns.example.com. root.dns.example.com. (
                                1       ; num&eacute;ro de s&eacute;rie
                                8H      ; mise &agrave; jour            8 heures
                                2H      ; tentative apr&egrave;s &eacute;chec  2 heures
                                1W      ; d&eacute;lai d'expiration     1 semaine
                                1D      ; dur&eacute;e de vie minimale  1 jour
                        )
                NS      dns.example.com.
 
1               PTR     fred.example.com.
                PTR     dns.example.com.
                PTR     mail.example.com.
2               PTR     barney.example.com.
3               PTR     wilma.example.com.
</pre>
<hr>
<p>et ainsi de suite, o&ugrave; vous cr&eacute;ez un enregistrement
PTR pour chacune des machines ayant une interface sur le
r&eacute;seau priv&eacute;. Dans cet exemple, fred.example.com est
&agrave; l'adresse 192.168.1.1 et il est
&laquo;&nbsp;point&eacute;&nbsp;&raquo; par les alias
dns.example.com et mail.example.com. La machine barney.example.com
est &agrave; l'adresse IP 192.168.1.2 et ainsi de suite.</p>
<p>Le fichier <code>pz/example.com</code> est comme suit&nbsp;:</p>
<hr>
<pre>
$TTL 86400
 
@               IN      SOA     example.com. root.dns.example.com. (
                                1       ; num&eacute;ro de s&eacute;rie
                                8H      ; mise &agrave; jour             8 heures
                                2H      ; tentative apr&egrave;s &eacute;chec   2 heures
                                1W      ; d&eacute;lai d'expiration      1 semaine
                                1D      ; TTL minimale            1 jour
                        )
                        NS              dns.example.com.
        IN              A               192.168.1.1
        IN              MX          10  mail.example.com.
        IN              MX          20  &lt;IP de la machine de mail de l'ISP&gt;.
 
 
localhost               A           127.0.0.1
fred                    A           192.168.1.1
                        A           10.1.1.9
dns                     CNAME       fred
mail                    CNAME       fred
barney                  A           192.168.1.2
wilma                   A           192.168.1.3
betty                   A           10.1.1.10
www                     CNAME       betty
ftp                     CNAME       betty
</pre>
<hr>
<p>Dans la mesure o&ugrave; les machines &agrave;
l'int&eacute;rieur du r&eacute;seau priv&eacute; n'ont pas
int&eacute;r&ecirc;t &agrave; questionner le serveur de noms du FAI
pour une requ&ecirc;te sur, disons, betty.example.com, remarquez
que nous cr&eacute;ons des entr&eacute;es tant pour les machines
localis&eacute;es &agrave; l'int&eacute;rieur du r&eacute;seau
priv&eacute; que pour celles ayant des adresses IP externes. Nous
d&eacute;clarons &eacute;galement chacune des deux adresses IP de
fred, l'adresse externe et l'adresse interne.</p>
<p>Une ligne dans la section &laquo;&nbsp;options&nbsp;&raquo; de
<code>/etc/named.conf</code> appelle une explication &nbsp;:</p>
<pre>
listen-on { 192.168.1.1 };
</pre>
<p>Elle emp&ecirc;che votre d&eacute;mon named de r&eacute;pondre
&agrave; des requ&ecirc;tes DNS sur son interface externe (toutes
les requ&ecirc;tes &eacute;manant de l'ext&eacute;rieur doivent
passer par le serveur de nom du FAI, pas par le v&ocirc;tre).</p>
<h3>pas de r&eacute;solution DNS sur le r&eacute;seau priv&eacute;,
le FAI g&egrave;re le domaine</h3>
<p>(note&nbsp;: si vous avez d&eacute;cid&eacute; de ne pas mettre
en oeuvre de r&eacute;seau priv&eacute;, reportez-vous &agrave; la
section <a href="#reseau_entierement_expose">R&eacute;seau
pleinement expos&eacute;, h&eacute;berg&eacute; par le FAI</a>)</p>
<p>Dans cette configuration, vous avez tranch&eacute; sur le fait
que, somme toute, votre r&eacute;seau est peu &eacute;tendu et
qu'il est improbable qu'il s'&eacute;tende. Vous avez
d&eacute;cid&eacute; de ne pas utiliser la base de donn&eacute;es
centralis&eacute;e d'un serveur de noms, et, en cons&eacute;quence,
de maintenir la r&eacute;solution de noms s&eacute;par&eacute;ment
sur chacune des machines. Toutes les machines doivent donc utiliser
le serveur de noms de l'ISP pour r&eacute;soudre les noms
d'h&ocirc;tes situ&eacute;s au del&agrave; de la passerelle de
r&eacute;seau priv&eacute;. Pour la r&eacute;solution de nom au
sein du r&eacute;seau priv&eacute;, un fichier des h&ocirc;tes doit
&ecirc;tre cr&eacute;&eacute;. Sous Linux, cela signifie entrer les
noms et les adresses IP de toutes les machines dans le fichier
<code>/etc/hosts</code> sur chacune des machines. &Agrave; chaque
fois qu'un nouvel h&ocirc;te est ajout&eacute;, ou qu'une adresse
IP est chang&eacute;e, ce fichier doit &ecirc;tre modifi&eacute;
sur chaque Linuxette.</p>
<p>Comme dans la section <a href="#DNS_prive_FAI_gere_domaine">le
DNS est sur le r&eacute;seau priv&eacute;, le FAI g&egrave;re le
domaine</a>, la liste des h&ocirc;tes ayant des adresses IP
publiques doit &ecirc;tre communiqu&eacute;e au FAI et chaque alias
(tels que les noms www et ftp) doit &ecirc;tre
sp&eacute;cifi&eacute; dans une entr&eacute;e CNAME
cr&eacute;&eacute;e par le FAI.</p>
<h3>vous &ecirc;tes l'autorit&eacute; DNS primaire pour le
domaine</h3>
<p>Bien que vous puissiez mettre en oeuvre la r&eacute;solution
<i>named</i> sur les h&ocirc;tes expos&eacute;s, et une base de
donn&eacute;es priv&eacute;e de r&eacute;solution pour le
r&eacute;seau priv&eacute;, je ne m'&eacute;tendrai pas sur ce cas.
Si vous envisagez d'utiliser named pour un service, vous devriez
vraiment le faire pour tous, juste pour simplifier la
configuration. Dans cette section je supposerai que la passerelle
de r&eacute;seau priv&eacute; g&egrave;re la r&eacute;solution de
noms tant pour le r&eacute;seau priv&eacute; que pour les
requ&ecirc;tes ext&eacute;rieures.</p>
<p>&Agrave; l'heure o&ugrave; j'&eacute;cris, sous la version 8.2.2
du paquet BIND, il n'est pas possible pour un d&eacute;mon
<i>named</i> unique de produire des r&eacute;ponses
diff&eacute;renci&eacute;es en fonction de l'interface sur laquelle
arrive la requ&ecirc;te. On veut que la r&eacute;solution de noms
se comporte de mani&egrave;re diff&eacute;rente si la requ&ecirc;te
vient du monde ext&eacute;rieur parce que les adresses IP du
r&eacute;seau priv&eacute; ne doivent pas &ecirc;tre
envoy&eacute;es &agrave; l'ext&eacute;rieur &nbsp;; par contre, on
doit &ecirc;tre capable de r&eacute;pondre &agrave; des
requ&ecirc;tes &eacute;manant du r&eacute;seau priv&eacute;. Une
r&eacute;flexion existe sur de nouveaux mot-cl&eacute;
&laquo;&nbsp;view&nbsp;&raquo; qui pourraient, &agrave; l'avenir,
&ecirc;tre int&eacute;gr&eacute;s &agrave; BIND pour combler cette
lacune, mais, avant que cela ne soit effectif, la solution est de
faire fonctionner deux d&eacute;mons <i>named</i> avec des
configurations diff&eacute;rentes.</p>
<p>D'abord, configurez le serveur de noms du domaine priv&eacute;
comme d&eacute;crit dans la section <a href=
"#DNS_prive_FAI_gere_domaine">r&eacute;solution DNS sur le
r&eacute;seau priv&eacute;, le FAI g&egrave;re le domaine</a>, il
constituera le &laquo;&nbsp;resolver&nbsp;&raquo; visible depuis le
r&eacute;seau priv&eacute;.</p>
<p>Ensuite, vous devez mettre en place le DNS de votre domaine de
fa&ccedil;on &agrave; ce qu'il soit visible des h&ocirc;tes du
monde ext&eacute;rieur. D'abord, v&eacute;rifiez aupr&egrave;s de
votre FAI s'il se d&eacute;l&eacute;guera lui-m&ecirc;me les
recherches DNS invers&eacute; sur vos adresses IP. Bien que la
norme DNS d'origine ne donne pas la possibilit&eacute; de
contr&ocirc;ler le DNS invers&eacute; sur des sous-r&eacute;seaux
plus petits qu'un r&eacute;seau de classe C, une m&eacute;thode de
contournement a &eacute;t&eacute; d&eacute;velopp&eacute;e qui
fonctionne avec tous les clients compatibles DNS et a
&eacute;t&eacute; &eacute;bauch&eacute;e dans la RFC 2317 (&agrave;
l'adresse <a href=
"http://www.ietf.org/rfc/rfc2317.txt">http://www.ietf.orf/rfc/rfc2317.txt</a>).
Si votre provider accepte de vous d&eacute;l&eacute;guer le DNS
invers&eacute; sur votre s&eacute;rie d'adresses IP, vous devez
obtenir de lui le nom du pseudo-domaine in-addr qu'il a choisi pour
la d&eacute;l&eacute;gation (la RFC ne propose pas de normalisation
pour une utilisation ordinaire) et vous devrez d&eacute;clarer
votre autorit&eacute; sur ce pseudo-domaine. Je supposerai que le
FAI vous a d&eacute;l&eacute;gu&eacute; l'autorit&eacute; et que le
nom du pseudo-domaine est 8.1.1.10.in-addr.arpa. L'ISP devra
cr&eacute;er des entr&eacute;es sous la forme&nbsp;:</p>
<hr>
<pre>
8.1.1.10.in-addr.arpa.     2H IN CNAME 8.8.1.1.10.in-addr.arpa.
9.1.1.10.in-addr.arpa.     2H IN CNAME 9.8.1.1.10.in-addr.arpa.
10.1.1.10.in-addr.arpa.    2H IN CNAME 10.8.1.1.10.in-addr.arpa.
etc.
</pre>
<hr>
<p>dans son fichier de zone pour le domaine 1.1.10.in-addr.arpa. La
configuration de votre fichier de zone 8.1.1.10.in-addr.arpa est
donn&eacute;e plus loin dans cette section.</p>
<p>Si votre provider accepte de vous d&eacute;l&eacute;guer le
contr&ocirc;le du DNS invers&eacute;, il cr&eacute;era, pour les
adresses IP sous votre contr&ocirc;le, des entr&eacute;es CNAME
dans la table des zones de son DNS invers&eacute; qui pointent vers
les enregistrements correspondants dans votre pseudo-domaine comme
montr&eacute; ci-dessus. S'il n'envisage pas de vous
d&eacute;l&eacute;guer l'autorit&eacute;, vous devrez lui demander
de mettre &agrave; jour son DNS &agrave; chaque fois que vous
ajouterez, supprimerez ou changerez le nom d'un h&ocirc;te visible
depuis l'ext&eacute;rieur dans votre domaine. Si la table DNS
invers&eacute; n'est pas synchronis&eacute;e avec les
entr&eacute;es DNS direct, certains services peuvent &eacute;mettre
des avertissements ou bien refuser de traiter des requ&ecirc;tes
produites par des machines affect&eacute;es par ce
dysfonctionnement.</p>
<p>Vous devez maintenant mettre en place un second <i>named</i>,
celui l&agrave; pour traiter les requ&ecirc;tes provenant de
machines &agrave; l'ext&eacute;rieur de la passerelle de
r&eacute;seau priv&eacute;.</p>
<p>D'abord, cr&eacute;ez un second fichier de configuration, par
exemple <code>/etc/named.ext.conf</code> pour les requ&ecirc;tes
sur l'interface externe. Dans notre exemple, il pourrait &ecirc;tre
comme suit&nbsp;:</p>
<hr>
<pre>
options {
        directory "/var/named";
        listen-on { 10.1.1.9; };
};
 
zone "." {
        type hint;
        file "root.hints";
};
 
zone "0.0.127.in-addr.arpa" {
        type master;
        file "pz/127.0.0";
};
 
 
zone "8.1.1.10.in-addr.arpa" {
        type master;
        file "ext/8.1.1.10";
};
 
zone "example.com" {
        type master;
        notify no;
        file "ext/example.com";
};
</pre>
<hr>
<p>Les fichiers <code>root.hint</code> et <code>pz/127.0.0</code>,
tous les deux sous <code>/var/named</code>, sont partag&eacute;s
par les d&eacute;mons actifs. Le fichier <code>/ext/8.1.1.10</code>
est comme suit&nbsp;:</p>
<hr>
<pre>
$TTL 86400
 
@       IN      SOA             fred.example.com. root.fred.example.com. (
                                1               ; num&eacute;ro de s&eacute;rie
                                10800           ; mise &agrave; jour            3 heures
                                3600            ; tentative apr&egrave;s &eacute;chec  1 heure
                                3600000         ; d&eacute;lai d'expiration     1000 heures
                                86400 )         ; TTL minimale           24 heures
                NS      dns.example.com.
9       IN      PTR     fred.example.com.
                PTR     dns.example.com.
                PTR     mail.example.com.
10      IN      PTR     betty.example.com.
                PTR     www.example.com.
                PTR     ftp.example.com.
</pre>
<hr>
<p>Le fichier <code>ext/example.com</code> contient ce qui
suit&nbsp;:</p>
<hr>
<pre>
$TTL 86400
 
@               IN      SOA     example.com. root.fred.example.com. (
                                10021   ; num&eacute;ro de s&eacute;rie
                                8H      ; mise &agrave; jour             8 heures
                                2H      ; tentative apr&egrave;s &eacute;chec   2 heures
                                1W      ; d&eacute;lai d'expiration      1 semaine
                                1D      ; dur&eacute;e de vie minimale   1 jour
                        )
                        NS              fred.example.com.
        IN              A               10.1.1.9
        IN              MX          10  mail.example.com.
        IN              MX          20  &lt;machine mail du FAI&gt;.
 
 
localhost               A           127.0.0.1
fred                    A           10.1.1.9
betty                   A           10.1.1.10
dns                     CNAME       fred
mail                    CNAME       fred
www                     CNAME       betty
ftp                     CNAME       betty
</pre>
<hr>
<p>D&eacute;marrez les deux d&eacute;mons sur votre passerelle de
r&eacute;seau priv&eacute;. Mettez ce qui suit dans vos scripts
d'initialisation&nbsp;:</p>
<pre>
/usr/sbin/named -u dnsuser -g dnsgroup /etc/named.conf
/usr/sbin/named -u dnsuser -g dnsgroup /etc/named.ext.conf
</pre>
<p>J'ai suppos&eacute; ici que vous avez cr&eacute;&eacute;
l'utilisateur sans privil&egrave;ge
&laquo;&nbsp;dnsuser&nbsp;&raquo; et le groupe sans
privil&egrave;ge correspondant &laquo;&nbsp;dnsgroup&nbsp;&raquo;.
Si un bogue se fait jour, permettant &agrave; un attaquant
d'ex&eacute;cuter du code &agrave; l'int&eacute;rieur de
<i>named</i>, l'agresseur sera limit&eacute; aux actions permises
&agrave; un utilisateur sans privil&egrave;ge. Le r&eacute;pertoire
<code>/var/named</code> et les fichiers qui y sont inclus ne
doivent pas &ecirc;tre modifiables par
&laquo;&nbsp;dnsuser&nbsp;&raquo;.</p>
<p>Les machines du r&eacute;seau priv&eacute; doivent avoir leur
r&eacute;solution de noms r&eacute;gl&eacute;e pour s'en
r&eacute;f&eacute;rer &agrave; dns.example.com (&agrave; l'IP
192.168.1.1 dans notre exemple) alors que les machines visibles
depuis l'ext&eacute;rieur peuvent envoyer leurs requ&ecirc;tes
&agrave; l'interface externe de la passerelle r&eacute;seau
(&agrave; l'IP 10.0.1.9) ou au serveur de noms du FAI.</p>
<h3><a name="reseau_entierement_expose"></a> r&eacute;seau
pleinement expos&eacute;, h&eacute;berg&eacute; par le FAI</h3>
<p>Dans cette configuration, vous avez choisi d'exposer tous vos
h&ocirc;tes. Vous avez une
&laquo;&nbsp;v&eacute;ritable&nbsp;&raquo; adresse IP pour chacune
des machines de votre domaine et vous avez communiqu&eacute;
&agrave; votre FAI la liste des noms de machines et de leurs
adresses IP. Le FAI vous a donn&eacute; l'adresse d'un au moins de
ses serveurs de noms. Vos machines Linux sont alors
configur&eacute;es pour la r&eacute;solution de noms dans
/etc/resolv.conf&nbsp;:</p>
<hr>
<pre>
search example.com
nameserver &lt;premier h&ocirc;te DNS&gt;
nameserver &lt;deuxi&egrave;me h&ocirc;te DNS&gt;
</pre>
<hr>
<p>Les machines Windows sont configur&eacute;es de la m&ecirc;me
mani&egrave;re dans les boites de dialogue de configuration du
r&eacute;seau.</p>
<h3>pr&eacute;parer le DNS avant de d&eacute;placer votre
domaine</h3>
<p>Si vous d&eacute;cidez de d&eacute;placer votre domaine sur de
nouvelles adresses IP, soit parce que vous devez changer de FAI
soit parce que vous avez apport&eacute; des modifications &agrave;
vos services et que ceci vous impose de migrer vers de nouvelles
adresses IP chez le m&ecirc;me FAI, vous devrez faire quelques
pr&eacute;paratifs avant la migration.</p>
<p>Vous devez mettre les choses en place de fa&ccedil;on &agrave;
ce que, avant la migration, l'adresse IP demand&eacute;e par une
recherche DNS quelque part dans le monde pointe correctement sur
l'adresse IP d'origine et, qu'ensuite, apr&egrave;s la migration,
elle pointe rapidement sur la nouvelle adresse IP. Des sites
distants peuvent avoir mis en cache votre adresse IP, et des
requ&ecirc;tes post&eacute;rieures peuvent obtenir une
r&eacute;ponse localement, depuis le cache, plut&ocirc;t qu'en
questionnant les serveurs appropri&eacute;s. L'effet de ceci peut
&ecirc;tre que des personnes ayant visit&eacute; votre site
r&eacute;cemment sont dans l'impossibilit&eacute; de se connecter
alors que de nouveaux visiteurs r&eacute;cup&egrave;rent des
informations valides non mises en cache. Le fait que les serveurs
racine ne soient mis &agrave; jour que deux fois par jour complique
encore plus les choses&nbsp;; ainsi il est difficile
d'acc&eacute;l&eacute;rer un changement fait &agrave;
l'identit&eacute; de vos serveurs DNS primaire et secondaire dans
les serveurs racine.</p>
<p>La mani&egrave;re la plus simple de faire la transition est
s&ucirc;rement de dupliquer son site en entier, ou au moins ses
composantes visibles publiquement, sur la nouvelle IP,
d&eacute;clarer la modification et attendre que le trafic bascule
compl&egrave;tement sur la nouvelle adresse IP. Cependant, ce n'est
probablement pas tr&egrave;s faisable.</p>
<p>Ce que vous pouvez faire est de vous arranger avec votre nouveau
FAI (ou avec votre FAI actuel si vous changez juste d'adresses chez
le m&ecirc;me FAI) afin qu'il h&eacute;berge le DNS primaire et le
DNS secondaire pendant le transfert. Ceci devrait &ecirc;tre fait
au moins un jour avant le d&eacute;placement. Demandez-lui de
positionner la TTL (dur&eacute;e de vie) de cet enregistrement sur
quelque chose de suffisamment petit (par exemple 5 minutes). Les
exemples de fichier DNS montr&eacute;s plus haut dans cette section
ont tous des valeurs TTL positionn&eacute;es sur 86400 secondes (1
jour). Si votre TTL est plus longue que cela, vous devrez faire le
changement plus longtemps &agrave; l'avance. En d&eacute;finitive,
voici ce que vous devez faire. Si la configuration actuelle de la
TTL de votre domaine est, disons, N heures, alors ce qui suit doit
&ecirc;tre r&eacute;alis&eacute; plus que N heures avant le
d&eacute;placement&nbsp;:</p>
<ul>
<li>L'enregistrement de votre domaine doit d&eacute;signer les DNS
primaire et secondaire de votre nouvel ISP dans sa base de
donn&eacute;es racine. Comptez au moins un jour entre le moment
o&ugrave; vous soumettez la modification et le moment o&ugrave;
cette modification sera prise en compte dans la base de
donn&eacute;es.</li>
<li>Les nouveaux DNS primaire et secondaire doivent pointer sur les
IP d'origine de votre site avec une TTL tr&egrave;s petite.</li>
</ul>
<p>Remarquez que vous ne pouvez pas acc&eacute;l&eacute;rer le
processus en r&eacute;duisant la valeur actuelle de la TTL de votre
domaine, &agrave; moins que vous ne l'ayez d&eacute;j&agrave; fait
au moins N heures avant le d&eacute;placement.</p>
<p>Maintenant, vous &ecirc;tes pr&ecirc;t pour le transfert. Migrez
vos machines sur les nouvelles adresses IP. Synchronisez ceci avec
une mise &agrave; jour des enregistrements DNS de votre FAI de
fa&ccedil;on &agrave; ce qu'ils pointent sur les nouvelles
adresses. Dans un d&eacute;lai de 5 minutes (la petite TTL que vous
avez enregistr&eacute;e pour le transfert), le trafic devrait avoir
bascul&eacute; sur le nouveau site. Vous pouvez maintenant arranger
la section autoris&eacute;e du DNS &agrave; votre go&ucirc;t, vous
rendant primaire si c'est ce que vous voulez et repositionant la
TTL sur une valeur raisonnablement grande.</p>
<h2><a name="dns_sans_messagerie"></a> <a name="ss7.2">7.2
Configuration du DNS si vous n'h&eacute;bergez pas de service de
messagerie</a></h2>
<p>Les configurations d&eacute;crites dans la section <a href=
"#mise_en_place_DNS">Mettre en place la r&eacute;solution de
noms</a> ont des enregistrements MX qui pointent sur une machine
&laquo;&nbsp;mail.example.com&nbsp;&raquo;. L'enregistrement MX
avec la valeur de priorit&eacute; la moins grande signale aux sites
distants o&ugrave; envoyer le courrier &eacute;lectronique. Les
autres enregistrements de MX avec des valeurs de priorit&eacute;
plus &eacute;lev&eacute;es sont utilis&eacute;s comme des
&eacute;changeurs de m&eacute;l de secours. Ces
&laquo;&nbsp;secours&nbsp;&raquo; retiendront les messages pendant
une certaine dur&eacute;e si l'&eacute;changeur primaire n'est pas
en mesure, pour une raison quelconque, d'accepter les messages.
Dans les exemples de cette section, j'ai suppos&eacute; que
fred.example.com sous son alias de mail.example.com, g&egrave;re la
messagerie pour le domaine. Si vous avez choisi de laisser le FAI
h&eacute;berger de votre messagerie, vous devrez modifier ces
enregistrements MX de fa&ccedil;on &agrave; ce qu'ils pointent sur
les machines appropri&eacute;es du FAI. Demandez &agrave;
l'assistance technique de votre fournisseur quels sont les noms des
h&ocirc;tes que vous devez utiliser pour les enregistrements MX
dans les divers fichiers.</p>
<h2><a name="mise_en_place_messagerie"></a> <a name="ss7.3">7.3
Mettre en place la messagerie &eacute;lectronique</a></h2>
<p>Si vous avez choisi d'h&eacute;berger int&eacute;gralement la
messagerie pour votre domaine, vous devrez prendre des mesures
sp&eacute;ciales pour les messages entrants sur les h&ocirc;tes du
r&eacute;seau priv&eacute;. &Agrave; moins que vous ne soyez
vigilant, les messages ont de fortes chances de rester en rade
s'ils attendent sur une machine et que le destinataire
correspondant est connect&eacute; sur une autre machine. Pour des
questions de s&eacute;curit&eacute;, je recommande que les messages
entrants ne soient pas accessibles depuis les h&ocirc;tes
publiquement visibles (ceci pouvant aider &agrave; dissuader un PHB
qui veut que sa station de travail soit sur une adresse IP
r&eacute;elle et qui s'&eacute;tonne de se faire planter sa machine
par un ping de la mort deux fois par jour). Sendmail s'accomode
tr&egrave;s bien d'un syst&egrave;me de distribution de courrier
transparent sur le r&eacute;seau priv&eacute;. Si quiconque
souhaite fournir ici des solutions <i>test&eacute;es</i> pour
d'autres d&eacute;mons de messagerie, j'accueille volontiers toute
contribution.</p>
<h3>Une solution utilisant Sendmail</h3>
<p>Afin que les messages d&eacute;livr&eacute;s sur un h&ocirc;te
soient accessibles depuis toutes les machines, la solution la plus
simple est d'exporter le r&eacute;pertoire de spool de la
messagerie avec des droits de lecture/&eacute;criture sur
l'ensemble du r&eacute;seau priv&eacute;. La passerelle de
r&eacute;seau priv&eacute; se comportera comme un &eacute;changeur
de messagerie pour celui-ci et doit donc avoir les droits de
&laquo;&nbsp;root&nbsp;&raquo; en ce qui concerne l'&eacute;criture
sur le disque du r&eacute;pertoire de spool de la messagerie. Les
autres clients peuvent ou non rembarrer
&laquo;&nbsp;root&nbsp;&raquo;, &agrave; votre gr&eacute;. Ma
philosophie g&eacute;n&eacute;rale en mati&egrave;re de
s&eacute;curit&eacute; est de ne pas attribuer ces
privil&egrave;ges &agrave; moins qu'il n'y ait une bonne raison de
le faire, ainsi j'interdis l'utilisateur
&laquo;&nbsp;root&nbsp;&raquo; depuis toutes les machines sauf
depuis la passerelle de r&eacute;seau priv&eacute;. Ceci a pour
effet que root ne peut lire son courrier que depuis cette machine
mais ce n'est pas vraiment un handicap s&eacute;rieux. Notez que le
r&eacute;pertoire r&eacute;seau de spool peut &ecirc;tre
localis&eacute; sur la passerelle de r&eacute;seau priv&eacute;
elle-m&ecirc;me, export&eacute; par NFS, ou qu'il peut &ecirc;tre
localis&eacute; sur l'un des serveurs internes, export&eacute; sur
l'ensemble du r&eacute;seau priv&eacute;. Si le r&eacute;pertoire
de spool r&eacute;side sur la passerelle de r&eacute;seau
priv&eacute;, il n'y a pas int&eacute;r&ecirc;t &agrave; interdire
&laquo;&nbsp;root&nbsp;&raquo; pour cette machine. Si le
r&eacute;pertoire de spool est sur un autre serveur, notez que le
courrier ne sera pas d&eacute;livrable si ce serveur, la
passerelle, ou le r&eacute;seau les reliant sont hors-service.</p>
<p>Pour les machines Windows de votre r&eacute;seau priv&eacute;,
vous pouvez soit mettre en place un serveur POP sur le serveur de
mail ou bien utiliser Samba pour exporter le r&eacute;pertoire de
spool sur ces machines. Les machines Windows doivent &ecirc;tre
configur&eacute;es pour envoyer et recevoir les messages sous un
nom d'utilisateur Linux tel que joeuser@example.com, ainsi
l'adresse m&eacute;l de l'h&ocirc;te est le nom de domaine
uniquement, pas un nom de machine tel que barney.example.com. Le
serveur SMTP sortant doit &ecirc;tre localis&eacute; sur la
passerelle de r&eacute;seau priv&eacute; qui sera charg&eacute;e de
la redirection des messages et de toute r&eacute;&eacute;criture
d'adresse.</p>
<p>Ensuite vous devrez configurer Sendmail pour qu'il redirige les
messages en provenance des machines du r&eacute;seau priv&eacute;
et qu'il r&eacute;&eacute;crive les adresses si n&eacute;cessaire.
R&eacute;cup&eacute;rez les sources les plus r&eacute;cents depuis
le site web de Sendmail &agrave; l'adresse <a href=
"http://www.sendmail.org">http://www.sendmail.org</a>. Compilez les
ex&eacute;cutables et ensuite allez dans le sous-r&eacute;pertoire
<code>cf/domain</code> dans l'arborescence source de Sendmail et
cr&eacute;ez le nouveau fichier suivant&nbsp;:
<code>example.com.m4</code>.</p>
<hr>
<pre>
divert(-1)
#
# Copyright (c) 1998 Sendmail, Inc.  All rights reserved.
# Copyright (c) 1983 Eric P. Allman.  All rights reserved.
# Copyright (c) 1988, 1993
#       The Regents of the University of California.  All rights reserved.
#
# Par l'utilisation de ce fichier, vous acceptez les termes et conditions plac&eacute;s
# dor&eacute;navant dans le fichier LICENCE qui peut &ecirc;tre trouv&eacute; &agrave; la racine
# de la distribution de sendmail
#
# 
 
#
# Ce qui suit est un fichier g&eacute;n&eacute;rique de domaine. Vous devriez pouvoir 
# l'utiliser n'importe o&ugrave;. Si vous voulez le personnaliser, copiez-le dans un fichier
# nomm&eacute; comme votre domaine et faites les modifications; puis copiez les fichiers .mc
# appropri&eacute;s et changez `DOMAIN(generic)' pour qu'ils renvoient &agrave; vos fichiers  
# de domaine modifi&eacute;s.
#
divert(0)
define(`confFORWARD_PATH', `$z/.forward.$w+$h:$z/.forward+$h:$z/.forward.$w:$z/.forward')dnl
FEATURE(redirect)dnl
MASQUERADE_AS(example.com)dnl
FEATURE(masquerade_envelope)dnl
</pre>
<hr>
<p>Ceci d&eacute;finit le domaine example.com. Ensuite vous devez
cr&eacute;er les fichiers <code>sendmail.cf</code> qui seront
utilis&eacute;s sur le serveur de messagerie (la passerelle de
r&eacute;seau priv&eacute;), et sur les autres noeuds du
r&eacute;seau priv&eacute;.</p>
<p>Cr&eacute;ez le fichier suivant dans l'arborescence de Sendmail,
sous <code>cf/cf</code>&nbsp;: <code>example.master.m4</code></p>
<hr>
<pre>
     divert(-1)
#
# Copyright (c) 1998 Sendmail, Inc.  All rights reserved.
# Copyright (c) 1983 Eric P. Allman.  All rights reserved.
# Copyright (c) 1988, 1993
#       The Regents of the University of California.  All rights reserved.
#
# Par l'utilisation de ce fichier, vous acceptez les termes et conditions plac&eacute;s
# dor&eacute;navant dans le fichier LICENCE qui peut &ecirc;tre trouv&eacute; &agrave; la racine
# de la distribution de sendmail 
#
      
#
# Ceci est un fichier prototype pour une configuration qui ne supporte rien 
# &agrave; part des connexions SMTP de base sur TCP.
#
# Vous devez changer la macro `OSTYPE' pour sp&eacute;cifier le syst&egrave;me d'exploitation
# sur lequel &ccedil;a va marcher ; cela indiquera la localisation de fichiers de support
# divers pour l'environnement de votre syst&egrave;me d'exploitation. Vous DEVEZ
# cr&eacute;er un fichier de domaine dans ../domain et le r&eacute;f&eacute;rencer en ajoutant une 
# macro `DOMAIN' apr&egrave;s la macro `OSTYPE'. Je vous recommande de
# commencer  par copier ce fichier sous un autre nom de fa&ccedil;on &agrave; ce que les mises 
# &agrave; jour de sendmail n'&eacute;crasent pas vos modifications.
#
 
divert(0)dnl
OSTYPE(linux)dnl
DOMAIN(example.com)dnl
FEATURE(nouucp)
FEATURE(relay_entire_domain)
FEATURE(`virtusertable', `hash /etc/sendmail/virtusertable')dnl
FEATURE(`genericstable', `hash /etc/sendmail/genericstable')dnl
define(`confPRIVACY_FLAGS', ``noexpn,novrfy'')dnl
MAILER(local)
MAILER(smtp)
Cw fred.example.com
Cw example.com
</pre>
<hr>
<p>Dans cet exemple, on a d&eacute;sactiv&eacute; les commandes
&laquo;&nbsp;expn&nbsp;&raquo; et &laquo;&nbsp;vrfy&nbsp;&raquo;.
Un agresseur pourrait tester en boucle avec
&laquo;&nbsp;expn&nbsp;&raquo; des alias tels que
&laquo;&nbsp;personnel&nbsp;&raquo; ou
&laquo;&nbsp;employes&nbsp;&raquo; jusqu'&agrave; ce qu'il trouve
un alias qui lui d&eacute;veloppe plusieurs noms d'utilisateurs. Il
peut alors essayer certains mots de passe m&eacute;diocres dans le
but d'entrer (en supposant qu'il puisse obtenir une invite de login
- les r&eacute;glages de s&eacute;curit&eacute; dans la section
<a href="#securiser_domaine">S&eacute;curiser votre domaine</a>
sont d&eacute;finis de fa&ccedil;on &agrave; ce qu'aucune invite de
login ne soit possible pour les attaquants de
l'ext&eacute;rieur).</p>
<p>L'autre fichier que vous devez cr&eacute;er d&eacute;finira le
sendmail.cf pour les machines esclaves&nbsp;:
<code>example.slave.m4</code>.</p>
<hr>
<pre>
divert(-1)
# 
# Copyright (c) 1998 Sendmail, Inc.  All rights reserved.
# Copyright (c) 1983 Eric P. Allman.  All rights reserved.
# Copyright (c) 1988, 1993
#       The Regents of the University of California.  All rights reserved.
#
# Par l'utilisation de ce fichier, vous acceptez les termes et conditions plac&eacute;s
# dor&eacute;navant dans le fichier LICENCE qui peut &ecirc;tre trouv&eacute; &agrave; la racine
# de la distribution de sendmail 
#
#
 
#
#  Ceci est un prototype pour un &laquo; null-client &raquo; -- c'est &agrave; dire un client qui
#  ne fait rien &agrave; part rediriger tout le courrier vers un &eacute;changeur de mail. 
#  IL N'EST PAS UTILISABLE EN L'ETAT !!!
#
#  Pour l'utiliser, vous devez utiliser la fonction nullclient avec le nom de 
#  de l'&eacute;changeur de mail comme argument. Vous DEVEZ &eacute;galement d&eacute;finir un 
#  `OSTYPE' pour d&eacute;finir la localisation des r&eacute;pertoires de file d'attente et apparent&eacute;s.
#  En plus, vous POUVEZ s&eacute;lectionner la fonction nocanonify. Cela entrainera
#  l'envoi d'adresses non qualifi&eacute;es par la connection SMTP; normalement
#  elles sont qualifi&eacute;es avec le nom de masquage, qui est par d&eacute;faut le 
#  nom de la machine de connexion.
#  A part &ccedil;a, il ne devrait pas contenir d'autre ligne.
#
 
divert(0)dnl
 
OSTYPE(linux)
FEATURE(nullclient, fred.$m)
Cm example.com
</pre>
<hr>
<p>Vous compilez les fichiers sendmail.cf qui vont bien avec la
commande&nbsp;:</p>
<pre>
     make example.master.cf example.slave.cf
</pre>
<p>et puis vous copiez les fichiers sur les machines
appropri&eacute;es sous le nom de <code>sendmail.cf</code>.</p>
<p>Cette configuration installe la plupart des fichiers de
configuration de Sendmail dans le sous-r&eacute;pertoire
<code>/etc/sendmail</code> et am&egrave;ne <i>sendmail</i> &agrave;
analyser et &agrave; utiliser deux fichiers sp&eacute;cifiques,
<code>virtusertable.db</code> et <code>genericstable.db</code>.
Pour utiliser ces fichiers sp&eacute;cifiques, cr&eacute;ez leurs
fichiers source. D'abord, <code>virtusertable.db</code>&nbsp;:</p>
<hr>
<pre>
     John.Public@example.com                 jpublic
     Jane.Doe@example.com                    jdoe@somemachine.somedomain
     abuse@example.com                       root
     Pointyhaired.Boss@example.com           #phb#@hotmail.com
</pre>
<hr>
<p>Ceci met en relation les adresses de messagerie du courrier
entrant avec de nouvelles destinations. Les messages envoy&eacute;s
&agrave; John.Public@example.com sont d&eacute;livr&eacute;s
localement sur le compte Linux jpublic. Les messages pour
Jane.Doe@example.com sont redirig&eacute;s vers un autre compte de
messagerie, &eacute;ventuellement, dans un domaine
diff&eacute;rent. Le courrier pour abuse@example.com est
envoy&eacute; &agrave; root et ainsi de suite. L'autre fichier est
<code>genericstable.src</code>&nbsp;:</p>
<hr>
<pre>
     jpublic                                 John.Public@example.com
     janedoe                                 Jane.Doe@example.com
     whgiii                                  Pointyhaired.Boss@example.com
</pre>
<hr>
<p>Ce fichier change le nom de l'exp&eacute;diteur des courriers
sortants provenant de la messagerie locale. Alors qu'il ne peut
manifestement pas avoir d'incidence sur l'adresse de retour des
messages envoy&eacute;s directement par
jdoe@somemachine.somedomain, il vous permet de
r&eacute;&eacute;crire l'adresse des exp&eacute;diteurs en
changeant leurs noms d'utilisateurs internes selon le
&laquo;&nbsp;plan d'adressage m&eacute;l&nbsp;&raquo; que vous avez
choisi. En dernier ressort, cr&eacute;ez le fichier
<code>Makefile</code> suivant dans
<code>/etc/sendmail</code>&nbsp;:</p>
<hr>
<pre>
     all : genericstable.db virtusertable.db
 
     virtusertable.db : virtusertable.src
             makemap hash virtusertable &lt; virtusertable.src
 
     genericstable.db : genericstable.src
             makemap hash genericstable &lt; genericstable.src
</pre>
<hr>
<p>Ex&eacute;cutez <i>make</i> pour cr&eacute;er les fichiers
compil&eacute;s interpr&eacute;tables par <i>sendmail</i>, et
n'oubliez pas de r&eacute;-ex&eacute;cuter <i>make</i> et de
red&eacute;marrer <i>sendmail</i> (ou de lui envoyer un SIGHUP)
apr&egrave;s toute modification de chacun de ces fichiers
&laquo;&nbsp;.src&nbsp;&raquo;.</p>
<h3>Solutions utilisant d'autres MTA (Agents de transfert de
mail)</h3>
<p>Je n'ai d'exp&eacute;rience que sur Sendmail. Si quiconque
souhaite &eacute;crire cette section, contactez-moi svp. Sinon, il
est possible que j'essaye plus tard de donner moi-m&ecirc;me des
d&eacute;tails sur des MTA tels que <i>Postfix</i>, <i>Exim</i> ou
<i>smail</i>. Je pr&eacute;f&eacute;rerais vraiment que quelqu'un
d'autre, qui utilise ces programmes, &eacute;crive cette
section.</p>
<h2><a name="ss7.4">7.4 Mettre en place le serveur web</a></h2>
<p>Pour des raisons de s&eacute;curit&eacute;, vous devriez mettre
en place votre serveur web public sur une machine &agrave;
l'ext&eacute;rieur du r&eacute;seau priv&eacute; et non sur la
passerelle. Si le serveur web a besoin d'acc&eacute;der &agrave;
des bases de donn&eacute;es ou &agrave; d'autres ressouces
entrepos&eacute;es sur le r&eacute;seau priv&eacute;, la situation
se complique tant du point de vue du r&eacute;seau que du point de
vue de la s&eacute;curit&eacute;. Une telle configuration est hors
du champ de ce document.</p>
<p>Les pr&eacute;cisions sur l'installation du serveur en lui
m&ecirc;me peuvent &ecirc;tre trouv&eacute;s dans la documentation
d'apache et dans le WWW-HOWTO de Linux &agrave; l'adresse <a href=
"ftp://metalab.unc.edu/pub/Linux/docs/HOWTO/WWW-HOWTO">ftp://metalab.unc.edu/pub/Linux/docs/HOWTO/WWW-HOWTO</a>
ou &agrave; l'adresse <a href=
"http://www.freenix.org/unix/linux/HOWTO/WWW-HOWTO.html">http://www.freenix.org/unix/linux/HOWTO/WWW-HOWTO.html</a>
en version fran&ccedil;aise.</p>
<h2><a name="ss7.5">7.5 Mettre en place le serveur FTP</a></h2>
<p>Une fois encore, votre serveur FTP devrait &ecirc;tre
localis&eacute; sur une des machines visibles depuis
l'ext&eacute;rieur et non sur la passerelle de r&eacute;seau
priv&eacute;. Suivez les indications qui sont fournies avec votre
d&eacute;mon FTP. Assurez-vous d'avoir
r&eacute;cup&eacute;r&eacute; la version la plus r&eacute;cente car
il existe des failles de s&eacute;curit&eacute; dans les vieilles
versions de beaucoup de serveurs. Si votre site FTP ne
n&eacute;cessite pas que des utilisateurs anonymes y
transf&egrave;rent des fichiers, assurez-vous d'avoir
d&eacute;sactiv&eacute; cette fonction dans le d&eacute;mon. Je
recommande que la &laquo;&nbsp;connexion-utilisateur&nbsp;&raquo;
(non anonyme) ne soit pas autoris&eacute;e sur le serveur, ceci
impliquant que vos utilisateurs utilisent scp, la commande de copie
&agrave; distance du shell s&eacute;curis&eacute;, pour toute mise
&agrave; jour de fichier qu'ils seraient amen&eacute;s &agrave;
faire sur le serveur FTP. Cela donne &eacute;galement aux
utilisateurs de bonnes habitudes de s&eacute;curit&eacute; et
prot&egrave;ge du probl&egrave;me de &laquo;&nbsp;routeur
hostile&nbsp;&raquo; d&eacute;crit dans la section <a href=
"#securiser_domaine">S&eacute;curiser votre domaine</a>.</p>
<h2><a name="mettre_en_place_filtrage"></a> <a name="ss7.6">7.6
Mettre en place le filtrage de paquets</a></h2>
<p>Ce sujet est pr&eacute;sent&eacute; en d&eacute;tail dans la
section <a href="#config_pare-feu">Configurer votre
Pare-feu</a>.</p>
<h2><a name="securiser_domaine"></a> <a name="s8">8.
S&eacute;curiser votre domaine</a></h2>
<p>Cette section traite de la s&eacute;curisation de votre domaine.
L'accent est mis sur l'importance de la transparence de cette
derni&egrave;re vis &agrave; vis des utilisateurs. Si votre
s&eacute;curit&eacute; est trop contraignante et d&eacute;range
trop les activit&eacute;s de vos utilisateurs, ceux-ci
d&eacute;velopperont leurs propres proc&eacute;dures de
contournement qui peuvent nuire &agrave; l'ensemble du domaine. Le
meilleur moyen d'&eacute;viter ceci est de rendre la
s&eacute;curit&eacute; aussi peu contraignante que possible et
d'encourager les utilisateurs &agrave; vous contacter en premier
lieu quand ils ont des difficult&eacute;s qui pourraient &ecirc;tre
imputables aux mesures de s&eacute;curit&eacute; du site. Une
certaine tol&eacute;rance est importante. Je sais,
d'exp&eacute;rience personnelle, que si le r&egrave;glement de
s&eacute;curit&eacute; est trop rigide, les utilisateurs mettront
en place leurs propres tunnels &agrave; travers le firewall de
fa&ccedil;on &agrave; pouvoir se loguer depuis l'ext&eacute;rieur
du domaine. Il est pr&eacute;f&eacute;rable que les
proc&eacute;dures de connexion &agrave; distance, ou n'importe quoi
d'autre que tentent de faire les utilisateurs soient
install&eacute;es, contr&ocirc;l&eacute;es et approuv&eacute;es par
vous.</p>
<p>Cette section traite de la s&eacute;curisation de votre
r&eacute;seau contre les agressions ext&eacute;rieures et contre un
espionnage factuel depuis l'int&eacute;rieur. S&eacute;curiser
votre site contre une attaque d&eacute;termin&eacute;e de la part
d'utilisateurs l&eacute;gitimes &agrave; l'int&eacute;rieur du
r&eacute;seau est une t&acirc;che beaucoup plus difficile et
compliqu&eacute;e et reste hors du champ de ce document.</p>
<p>Un des points de s&eacute;curit&eacute; sur lesquels se base
cette section est la protection contre le &laquo;&nbsp;routeur
hostile&nbsp;&raquo;. Le routeur fourni par votre ISP peut
constituer &agrave; lui seul un ordinateur contr&ocirc;lable
&agrave; distance dont le mot de passe est d&eacute;tenu par votre
FAI. Il y a eu, dans le pass&eacute;, des probl&egrave;mes de
s&eacute;curit&eacute; quand les mots de passe constructeur (ceux
qui sont utilis&eacute;s quand le FAI oublie le mot de passe qu'il
a attribu&eacute;) ont &eacute;t&eacute; connus par des
&laquo;&nbsp;pirates&nbsp;&raquo;. Si possible, vous devriez
planifier votre s&eacute;curit&eacute; en prenant comme
hypoth&egrave;se que le routeur est potentiellement hostile. C'est
&agrave; dire qu'il pourrait utiliser n'importe quelle adresse dans
vos plages publique <i>ou priv&eacute;e</i>, qu'il pourrait
rediriger les paquets sortants vers un autre site ou qu'il pourrait
enregistrer tout ce qui lui passe au travers.</p>
<h2><a name="config_pare-feu"></a> <a name="ss8.1">8.1 Configurer
votre pare-feu (firewall)</a></h2>
<p>Cette section traite de la configuration d'un routeur de
filtrage, de masquage et de transport bas&eacute; sur
<i>ipchains</i>. Vous devriez certainement lire d'abord le
IPCHAINS-HOWTO (&agrave; l'adresse <a href=
"ftp://metalab.unc.edu/pub/Linux/docs/HOWTO/IPCHAINS-HOWTO">ftp://metalab.unc.edu/pub/Linux/docs/HOWTO/IPCHAINS-HOWTO</a>&nbsp;;
<a href=
"http://www.freenix.org/unix/linux/HOWTO/IPCHAINS-HOWTO.html">http://www.freenix.org/unix/linux/HOWTO/IPCHAINS-HOWTO.html</a>
en version fran&ccedil;aise) puis chercher ici des conseils
additionnels. Ce HOWTO d&eacute;crit les &eacute;tapes pour
configurer un noyau avec support de masquage (masquerading) et
d&eacute;crit en d&eacute;tail l'utilisation de
l'ex&eacute;cutable. Vous devriez activer le pare-feu sur toutes
les machines ayant une IP expos&eacute;e.</p>
<p>V&eacute;rifiez vos scripts de d&eacute;marrage afin de vous
assurer que leur encha&icirc;nement est comme suit sur la
passerelle de r&eacute;seau priv&eacute;&nbsp;:</p>
<ol>
<li>la carte Ethernet est initialis&eacute;e</li>
<li>les r&egrave;gles de pare-feu sont pass&eacute;es en revue par
ipchains</li>
<li>le transport est activ&eacute;</li>
<li>les d&eacute;mons des services r&eacute;seau sont
d&eacute;marr&eacute;s</li>
</ol>
<p>Ainsi, &agrave; titre d'exemple, sur un syst&egrave;me
bas&eacute; sur la Slackware, la configuration du pare-feu devrait
intervenir entre l'ex&eacute;cution du <code>rc.inet1</code> et du
<code>rc.inet2</code>. En outre, si un quelconque probl&egrave;me
appara&icirc;t au cours des &eacute;tapes de d&eacute;marrage du
pare-feu, un avertissement devrait &ecirc;tre affich&eacute; et la
carte r&eacute;seau externe d&eacute;sactiv&eacute;e avant que les
services r&eacute;seau ne soient lanc&eacute;s.</p>
<p>Un probl&egrave;me courant avec les pare-feu bas&eacute;s sur
ipchains est de s'assurer que les r&egrave;gles sont correctement
positionn&eacute;es selon que les paquets arrivent sur l'interface
de loopback, ou depuis l'une des deux interfaces, interne ou
externe. Les paquets d'origine locale peuvent &ecirc;tre
bloqu&eacute;s par le pare-feu. Trop souvent, ceci est
r&eacute;gl&eacute; par une esp&egrave;ce de d&eacute;bogage
bricol&eacute; rapidement o&ugrave; les r&egrave;gles du pare-feu
sont manipul&eacute;es jusqu'&agrave; ce que l'application semble
fonctionner &agrave; nouveau correctement sur le pare-feu.
Malheureusement, ceci peut parfois aboutir &agrave; un dispositif
qui a des trous de s&eacute;curit&eacute; involontaires. Avec
ipchains, il est possible d'&eacute;crire un script de firewall qui
peut &ecirc;tre facilement d&eacute;bogu&eacute; et peut
&eacute;viter beaucoup de probl&egrave;mes. Voici un script
d'exemple <code>/sbin/firewall.sh</code>&nbsp;:</p>
<hr>
<pre>
#! /bin/sh
#
# Nouveau script de firewalling utilisant IP chains. Cr&eacute;e un routeur filtrant 
# avec masquage de r&eacute;seau
#
 
# d&eacute;finition de quelques variables
 
IPCHAINS=/sbin/ipchains
 
LOCALNET="192.168.1.0/24"       # le r&eacute;seau priv&eacute;
ETHINSIDE="192.168.1.1"         # IP priv&eacute;e de fred.example.com #
ETHOUTSIDE="10.1.1.9"           # IP publique de fred.example.com #
LOOPBACK="127.0.0.1/8"
ANYWHERE="0/0"
OUTSIDEIF=eth1                  # interface priv&eacute;e de fred.example.com
 
FORWARD_PROCENTRY=/proc/sys/net/ipv4/ip_forward
 
#
# Ces deux commandes retourneront des codes d'erreur si les r&egrave;gles 
# existent d&eacute;j&agrave; (ce qui se produit si vous ex&eacute;cutez le script 
# de pare-feu plus d'une fois). On met ces commandes avant &laquo; set -e &raquo;
# comme &ccedil;a, dans ce cas le script n'est pas interrompu. 
 
$IPCHAINS -N outside
$IPCHAINS -N portmap
 
set -e                  # Abandonne imm&eacute;diatement si des erreurs se produisent 
                        # lors de l'installation des r&egrave;gles.
 
#
# Arr&ecirc;te la redirection de ports et initialise les tables
 
echo "0" &gt; ${FORWARD_PROCENTRY}
 
$IPCHAINS -F forward
$IPCHAINS -F input
$IPCHAINS -F output
$IPCHAINS -F outside
$IPCHAINS -F portmap
 
#
# Masque les paquets en provenance de notre r&eacute;seau local 
# &agrave; destination du monde ext&eacute;rieur. Ne masque pas les 
# paquets locaux &agrave; destination locale.
 
$IPCHAINS -A forward -s $LOCALNET -d $LOCALNET -j ACCEPT
$IPCHAINS -A forward -s $ETHOUTSIDE -d $ANYWHERE -j ACCEPT
$IPCHAINS -A forward -s $LOCALNET -d $ANYWHERE -j MASQ
 
#
# Positionne les signaux de priorit&eacute;. D&eacute;lais minimum 
# de connexion pour www, telnet, ftp et ssh (paquets sortants 
# uniquement).
 
$IPCHAINS -A output -p tcp -d $ANYWHERE www -t 0x01 0x10
$IPCHAINS -A output -p tcp -d $ANYWHERE telnet -t 0x01 0x10
$IPCHAINS -A output -p tcp -d $ANYWHERE ftp -t 0x01 0x10
$IPCHAINS -A output -p tcp -d $ANYWHERE ssh -t 0x01 0x10
 
#
# n'importe quel paquet venant de notre classe C locale doit 
# &ecirc;tre accept&eacute; comme le sont les paquets provenant de l'interface 
# de loopback  et l'interface externe de fred
 
$IPCHAINS -A input -s $LOCALNET -j ACCEPT
$IPCHAINS -A input -s $LOOPBACK -j ACCEPT
$IPCHAINS -A input -s $ETHOUTSIDE -j ACCEPT
 
#
# On va cr&eacute;er un jeu de r&egrave;gles pour les paquets provenant du grand, 
# m&eacute;chant monde ext&eacute;rieur, et puis y attacher toutes les interfaces 
# externes. Ces r&egrave;gles seront appel&eacute;es &laquo; outside &raquo;.
#
# On cr&eacute;e &eacute;galement une cha&icirc;ne &laquo; portmap &raquo;. Les sockets utilis&eacute;es 
# par les d&eacute;mons r&eacute;f&eacute;renc&eacute;s par le portmapper RPC ne sont pas 
# fixes, il est donc un peu difficile de leur attribuer des 
# r&egrave;gles de filtrage. La cha&icirc;ne portmap est configur&eacute;e dans un 
# script &agrave; part.
 
#
# Paquets envoy&eacute;s depuis n'importe quelle interface ext&eacute;rieure 
# &agrave; la cha&icirc;ne &laquo; outside &raquo;. Ceci inclut l'interface $OUTSIDEIF 
# et toute interface ppp utilis&eacute;e pour se connecter (ou fournir 
# une connexion).
 
$IPCHAINS -A input -i ${OUTSIDEIF} -j outside
$IPCHAINS -A input -i ppp+ -j outside
 
##################################################
#
#  installe les r&egrave;gles de la cha&icirc;ne &laquo; outside &raquo;  #
#    
##################################################
 
#
# Personne de l'ext&eacute;rieur ne devrait pouvoir se faire 
# passer comme venant de l'int&eacute;rieur ou du loopback.
 
$IPCHAINS -A outside -s $LOCALNET -j DENY
$IPCHAINS -A outside -s $LOOPBACK -j DENY
 
#
# Aucun des paquets rout&eacute;s vers notre r&eacute;seau local 
# ne peut venir de l'ext&eacute;rieur car l'ext&eacute;rieur 
# n'est pas cens&eacute; conna&icirc;tre nos adresses IP priv&eacute;es.
 
$IPCHAINS -A outside -d $LOCALNET -j DENY
 
#
# Bloque les connexions entrantes sur les ports X. Bloque 6000 &agrave; 6010.
 
$IPCHAINS -l -A outside -p TCP -s $ANYWHERE -d $ANYWHERE 6000:6010 -j DENY
 
#
# Bloque les ports NFS 111 et 2049.
 
$IPCHAINS -l -A outside -p TCP -s $ANYWHERE -d $ANYWHERE 111 -j DENY
$IPCHAINS -l -A outside -p TCP -s $ANYWHERE -d $ANYWHERE 2049 -j DENY
$IPCHAINS -l -A outside -p UDP -s $ANYWHERE -d $ANYWHERE 111 -j DENY
$IPCHAINS -l -A outside -p UDP -s $ANYWHERE -d $ANYWHERE 2049 -j DENY
 
#
# Bloque les paquets xdm venant de l'ext&eacute;rieur, port UDP 177.
 
$IPCHAINS -l -A outside -p UDP -s $ANYWHERE -d $ANYWHERE 177 -j DENY
 
#
# Bloque le port 653 YP/NIS .
 
$IPCHAINS -l -A outside -p TCP -s $ANYWHERE -d $ANYWHERE 653 -j DENY
 
#
# On ne va pas s'emb&ecirc;ter avec des logins sur le port TCP 80, le port www.
 
$IPCHAINS -A outside -p TCP -s $ANYWHERE -d $ANYWHERE 80 -j DENY
 
#
# Accepte des connexions donn&eacute;es et contr&ocirc;le FTP.
 
$IPCHAINS -A outside -p TCP -s $ANYWHERE 20:21 -d $ANYWHERE 1024: -j ACCEPT
 
#
# Accepte les paquets ssh.
 
$IPCHAINS -A outside -p TCP -s $ANYWHERE -d $ANYWHERE ssh -j ACCEPT
 
#
# Accepte les paquets DNS depuis l'ext&eacute;rieur.
 
$IPCHAINS -A outside -p TCP -s $ANYWHERE -d $ANYWHERE 53 -j ACCEPT
$IPCHAINS -A outside -p UDP -s $ANYWHERE -d $ANYWHERE 53 -j ACCEPT
 
#
# Accepte SMTP depuis partout.
 
$IPCHAINS -A outside -p TCP -s $ANYWHERE -d $ANYWHERE 25 -j ACCEPT
 
#
# Accepte les paquets NTP.
 
$IPCHAINS -A outside -p UDP -s $ANYWHERE -d $ANYWHERE 123 -j ACCEPT
 
#
# N'accepte pas les paquets d'indentification, on ne les utilise pas.
 
$IPCHAINS -A outside -p TCP -s $ANYWHERE -d $ANYWHERE 113 -j DENY
 
#
# D&eacute;sactive et journalise tous les autres paquets entrants, 
# TCP ou UDP, sur les ports privil&eacute;gi&eacute;s.
 
$IPCHAINS -l -A outside -p TCP -s $ANYWHERE -d $ANYWHERE :1023 -y -j DENY
$IPCHAINS -l -A outside -p UDP -s $ANYWHERE -d $ANYWHERE :1023 -j DENY
 
#
# Contr&ocirc;le bas&eacute; sur les r&egrave;gles de portmapper.
 
$IPCHAINS -A outside -j portmap
 
##############################################
#
#  Fin des r&egrave;gles de la cha&icirc;ne &laquo; outside &raquo;   #
#
##############################################
 
#
# Bloque les paquets rwho sortants.
 
$IPCHAINS -A output -p UDP -i $OUTSIDEIF -s $ANYWHERE 513 -d $ANYWHERE -j DENY
 
#
# Emp&egrave;che les paquets netbios de s'&eacute;chapper.
 
$IPCHAINS -A output -p UDP -i $OUTSIDEIF -s $ANYWHERE 137 -d $ANYWHERE -j DENY
 
#
# Active le routage.
 
echo "1" &gt; ${FORWARD_PROCENTRY}
</pre>
<hr>
<p>Remarquez que le pare-feu peut &ecirc;tre utilis&eacute; non
seulement pour les paquets entrants mais aussi pour les paquets
sortants qui pourraient d&eacute;voiler des informations sur votre
r&eacute;seau priv&eacute; tels que des paquets
&laquo;&nbsp;rwho&nbsp;&raquo; ou
&laquo;&nbsp;netbios&nbsp;&raquo;.</p>
<p>Comme not&eacute; plus haut, les r&egrave;gles du portmapper
sont l&eacute;g&egrave;rement diff&eacute;rentes car les
d&eacute;mons portmap s'abonnent eux-m&ecirc;mes au portmapper et
sont renseign&eacute;s sur les ports &agrave; &eacute;couter. Les
ports utilis&eacute;s par un d&eacute;mon quelconque peuvent
changer si vous modifiez les services RPC utilis&eacute;s ou si
vous changez leur ordre de d&eacute;marrage. Le script suivant,
<code>/sbin/firewall.portmap.sh</code>, g&eacute;n&egrave;re les
r&egrave;gles pour le d&eacute;mon portmap.</p>
<hr>
<pre>
#! /bin/sh
#
ANYWHERE=0/0
 
IPCHAINS=/sbin/ipchains
 
$IPCHAINS -F portmap
 
# R&egrave;gles pour emp&ecirc;cher l'acc&egrave;s aux services portmapp&eacute;s aux personnes de l'ext&eacute;rieur.
#
/usr/bin/rpcinfo -p | tail +2 | \
        { while read program vers proto port remainder
          do
             prot=`echo $proto | tr "a-z" "A-Z"`
             $IPCHAINS -l -A portmap -p $prot -s $ANYWHERE -d $ANYWHERE $port -j DENY || exit 1
          done
             }
</pre>
<hr>
<p>Nous n'avons pas &agrave; nous soucier du fait que les paquets
entrants sont des paquets
&laquo;&nbsp;l&eacute;gitimes&nbsp;&raquo; en provenance du
r&eacute;seau priv&eacute; ou non, la cha&icirc;ne portmap n'est
v&eacute;rifi&eacute;e que quand les paquets proviennent de
l'ext&eacute;rieur.</p>
<p>Cette configuration de pare-feu note la plupart des paquets
suspects par l'interm&eacute;diaire de klogd avec la
priorit&eacute; kern.info. Elle notera les essais de connexion
normaux aussi bien que tous les scans furtifs connus.</p>
<p>Maintenant on assemble le tout. On aimerait s'assurer qu'il
n'existe pas de petite fen&ecirc;tre de vuln&eacute;rabilit&eacute;
au d&eacute;marrage du syst&egrave;me, en cons&eacute;quence on
configure la s&eacute;quence de d&eacute;marrage comme
suit&nbsp;:</p>
<hr>
<pre>
#! /bin/sh
#
# D&eacute;marrer le r&eacute;seau de fa&ccedil;on s&eacute;curis&eacute;e
#
#
/etc/rc.d/rc.inet1              # configure les interfaces r&eacute;seau
                                # et active le routage.
/sbin/firewall.sh || { echo "la configuration du pare-feu a &eacute;chou&eacute;"
                       /sbin/ifconfig eth1 down }
 
/sbin/ipchains -I outside 1 -j DENY     # interdit tous les paquets entrants
 
/etc/rc.d/rc.inet2              # d&eacute;marre les d&eacute;mons r&eacute;seau
 
sleep 5                         # les laisse se stabiliser
 
# s&eacute;curise les service portmapp&eacute;s
/sbin/firewall.portmap.sh || { echo "la configuration du pare-feu de portmap a &eacute;chou&eacute;"
                               /sbin/ifconfig eth1 down }
 
/sbin/ipchains -D outside 1       # autorise les paquets entrants
</pre>
<hr>
<p>Ceci suppose que eth1 est l'interface ayant l'adresse IP
visible. Si la moindre erreur a lieu lors de l'installation d'une
des r&egrave;gles d'ipchains, un avertissement est produit et cette
interface est d&eacute;sactiv&eacute;e. La chaine
&laquo;&nbsp;outside&nbsp;&raquo; est positionn&eacute;e de
mani&egrave;re &agrave; refuser tous les paquets avant que les
d&eacute;mons de service r&eacute;seau ne soient
d&eacute;marr&eacute;s, parce que les r&egrave;gles de pare-feu ne
sont pas encore en place pour les services portmapp&eacute;s. Une
fois que ces services sont prot&eacute;g&eacute;s par le pare-feu,
la cha&icirc;ne &laquo;&nbsp;outside&nbsp;&raquo; est rendue
&agrave; son comportement normal.</p>
<h2><a name="config_ssh"></a> <a name="ss8.2">8.2 Configurer
OpenSSH ou SSH1</a></h2>
<p>&agrave; l'heure o&ugrave; j'&eacute;cris, Open SSH, aussi bien
que SSH1, offre d&eacute;sormais des possibilit&eacute;s de
configuration permettant d'int&eacute;grer <i>scp</i>, <i>ssh</i>
et <i>slogin</i> comme des ex&eacute;cutables sous les noms
<i>rcp</i>, <i>rsh</i> et <i>rlogin</i> avec un retour transparent,
dans les programmes clients ssh, aux <i>rsh</i>, <i>rcp</i> ou
<i>rlogin</i> d'origine quand le site distant n'ex&eacute;cute pas
<i>sshd</i>. Faire en sorte que l'invocation de <i>rsh</i>
ex&eacute;cute &agrave; sa place le client <i>ssh</i> est, &agrave;
mon avis, important pour conserver une s&eacute;curit&eacute;
facile &agrave; utiliser et pour en d&eacute;charger les
utilisateurs. Les scripts de tout le monde, les configurations de
<i>rdist</i>, etc. continueront &agrave; fonctionner sans
modification si le site distant ex&eacute;cute <i>sshd</i>, mais
les donn&eacute;es seront envoy&eacute;es chiffr&eacute;es avec une
forte certification de l'h&ocirc;te. La r&eacute;ciproque n'est pas
toujours vraie. Tout sp&eacute;cialement si la machine distante
n'ex&eacute;cute pas sshd, le programme <i>rsh</i> enverra un
message &agrave; l'&eacute;cran, avertissant que la connexion n'est
pas chiffr&eacute;e. Ce message provoque une erreur avec
<i>rdist</i> et probablement avec d'autres programmes. Il ne peut
&ecirc;tre supprim&eacute; par des options en ligne de commande ou
de compilation. Pour <i>rdist</i>, une solution est d'appeler le
programme avec <code>-p /usr/lib/rsh/rsh</code>.</p>
<p>R&eacute;cup&eacute;rez ssh1 depuis le site de ssh
(&agrave;&nbsp;: <a href=
"http://www.ssh.org">http://www.ssh.org</a>), ou OpenSSH depuis son
site (&agrave;&nbsp;: <a href=
"http://www.openssh.org">http://www.openssh.org</a>), et
compilez-le pour remplacer les &laquo;&nbsp;programmes en
r&nbsp;&raquo; (<i>rsh</i>, <i>rlogin</i> et <i>rcp</i>) non
chiffr&eacute;s. D'abord, copiez ces trois fichiers dans
<code>/usr/lib/rsh</code>, puis configurez le paquet ssh
avec&nbsp;:</p>
<pre>
./configure --with-rsh=/usr/lib/rsh/rsh --program-transform-name='s/^s/r/' --prefix=/usr
</pre>
<p>Installez les ex&eacute;cutables et configurez-les en fonction
des directives. Sur la passerelle de r&eacute;seau priv&eacute;,
assurez-vous que la configuration de sshd comprend bien les
entr&eacute;es suivantes&nbsp;:</p>
<pre>
ListenAddress 192.168.1.1       # l'adresse interne de fred
IgnoreRhosts no
X11Forwarding yes
X11DisplayOffset 10
RhostsAuthentication no
RhostsRSAAuthentication yes
RSAAuthentication yes
PasswordAuthentication yes
</pre>
<p>Vous serez amen&eacute; &agrave; effectuer des r&eacute;glages
suppl&eacute;mentaires dans le fichier
<code>/etc/sshd_config</code>, mais essayez de ne pas changer ces
champs. Une fois que vous avez r&eacute;gl&eacute; toutes les
entr&eacute;es du fichier sur les valeurs qui vous conviennent,
copiez le fichier vers un nouveau fichier,
<code>/etc/sshd_config.ext</code>, pour le r&eacute;seau externe.
Changez deux entr&eacute;es dans le nouveau fichier&nbsp;: la
valeur de &laquo;&nbsp;ListenAdress&nbsp;&raquo; doit &ecirc;tre
remplac&eacute;e par l'adresse IP de la passerelle de r&eacute;seau
priv&eacute; (10.1.1.9 dans notre exemple de fred.example.com) et
&laquo;&nbsp;PasswordAuthentication&nbsp;&raquo; doit &ecirc;tre
positionn&eacute; sur &laquo;&nbsp;no&nbsp;&raquo; dans
<code>/etc/sshd_config.ext</code>. Dans vos scripts de
d&eacute;marrage des services r&eacute;seau, faites d&eacute;marrer
sshd deux fois, une fois avec</p>
<pre>
/usr/sbin/sshd
</pre>
<p>et une fois avec</p>
<pre>
 /usr/sbin/sshd -f /etc/sshd_config.ext
</pre>
<p>Ceci lancera deux d&eacute;mons sshd. Celui op&eacute;rant sur
l'interface interne autorisera les connexions avec mot de passe,
mais l'interface externe exigera la validation d'une cl&eacute; RSA
avant que quiconque puisse se loguer.</p>
<p>Ensuite, d&eacute;sactivez les services telnet et shell dans le
fichier de configuration de inetd (notez que la configuration
propos&eacute;e dans la section <a href=
"#config_pare-feu">Configurer votre pare-feu</a> emp&ecirc;che
d&eacute;j&agrave; les acc&egrave;s depuis l'ext&eacute;rieur, mais
il est pr&eacute;f&eacute;rable de se d&eacute;fendre en
profondeur, ne vous en remettez pas au fait que tout fonctionne
correctement).</p>
<p>Les personnes qui veulent pouvoir se connecter depuis leur
domicile ou depuis un lieu de d&eacute;placement auront besoin une
cl&eacute; RSA. Assurez-vous qu'elles savent comment
proc&eacute;der de fa&ccedil;on &agrave; ce qu'elles ne gaspillent
pas leur &eacute;nergie &agrave; essayer de mettre en place un
autre moyen de se connecter comme, par exemple, ex&eacute;cuter un
telnetd sur un port sans privil&egrave;ge sur la machine
pare-feu.</p>
<p>Une cl&eacute; RSA est g&eacute;n&eacute;r&eacute;e par la
commande suivante&nbsp;:</p>
<pre>
ssh-keygen -b 1024 -f new_rsa_key
</pre>
<p>Vous serez invit&eacute; &agrave; entrer une phrase-cl&eacute;
(passphrase). Celle-ci ne doit <i>pas</i> &ecirc;tre vide. Une
personne ayant un acc&egrave;s au fichier <code>new_rsa_key</code>
et connaissant la phrase-cl&eacute; a tout ce qu'il lui faut pour
r&eacute;ussir un d&eacute;fi d'authentification RSA. La
phrase-cl&eacute; peut &ecirc;tre un mot de passe
&laquo;&nbsp;introuvable&nbsp;&raquo; ou une phrase longue, mais
choisissez quelque chose de pas banal. Le fichier
<code>new_rsa_key</code> peut &ecirc;tre copi&eacute; sur une
disquette ou sur un portable et, en association avec la
phrase-cl&eacute;, peut &ecirc;tre utilis&eacute; pour se connecter
sous les comptes param&eacute;tr&eacute;s pour accorder
l'acc&egrave;s &agrave; cette cl&eacute; RSA pr&eacute;cise.</p>
<p>Pour configurer un compte de fa&ccedil;on &agrave; ce qu'il soit
accessible par une cl&eacute; RSA, cr&eacute;ez simplement un
r&eacute;pertoire <code>$HOME/.ssh</code> pour cet utilisateur sur
la passerelle de r&eacute;seau priv&eacute; (c'est &agrave; dire la
machine qui recevra la demande de connexion), et copiez le fichier
<code>new_rsa_key.pub</code> qui a &eacute;t&eacute;
cr&eacute;&eacute; par la commande
&laquo;&nbsp;ssh-keygen&nbsp;&raquo; dans le fichier
<code>$HOME/.ssh/authorized_keys</code>. Pour des d&eacute;tails
sur les autres options que vous pouvez ajouter &agrave; la
cl&eacute;, telles qu'obliger la demande de connexion &agrave;
provenir d'une certaine adresse IP ou d'un certain nom
d'h&ocirc;te, ou bien permettre &agrave; la cl&eacute; de
n'autoriser l'invocation &agrave; distance que de certaines
commandes seulement (par exemple une cl&eacute; RSA qui ne fait que
commander le d&eacute;but d'une sauvegarde ou l'envoi par mail
&agrave; l'ext&eacute;rieur du site d'un rapport d'&eacute;tat),
reportez-vous &agrave; la section &laquo;&nbsp;AUTHORIZED_KEYS FILE
FORMAT&nbsp;&raquo; dans la page de manuel de sshd.</p>
<p>Il reste une seule chose &agrave; faire pour rendre le
m&eacute;canisme de chiffrement RSA aussi simple que possible pour
les utilisateurs. Si l'utilisateur est oblig&eacute; d'entrer la
phrase-cl&eacute; plus d'une fois ou deux au cours de sa session,
il va vraisemblablement finir par &ecirc;tre g&ecirc;n&eacute; et
par prendre en main les questions de s&eacute;curit&eacute;. Sous
Linux, faites en sorte que son shell de login soit invoqu&eacute;
sous <i>ssh-agent</i>. Par exemple si les portables de
soci&eacute;t&eacute; utilis&eacute;s en d&eacute;placement
ex&eacute;cutent <i>xdm</i> et basculent les utilisateurs sous une
session X, allez dans le fichier
<code>/var/X11R6/lib/xdm/Xsession_0</code> et modifiez les lignes
qui lancent le d&eacute;marrage et qui sont probablement du
type&nbsp;:</p>
<pre>
exec "$startup"
</pre>
<p>par des lignes du type&nbsp;:</p>
<pre>
exec ssh-agent "$startup"
</pre>
<p>Dans mon param&eacute;trage de xdm il y a trois lignes dans ce
fichier qui ont d&ucirc; &ecirc;tre modifi&eacute;es. Maintenant,
quand l'utilisateur ouvre une session sur le portable, il saisit la
commande</p>
<pre>
ssh-add new_rsa_key
</pre>
<p>sous n'importe quel prompt, il saisit la phrase-cl&eacute; quand
il y est invit&eacute; et toutes les fen&ecirc;tres auront
acc&egrave;s sans phrase-cl&eacute; au compte sur la passerelle de
r&eacute;seau priv&eacute; jusqu'&agrave; ce que l'utilisateur
d&eacute;connecte la session X sur le portable.</p>
<p>Ex&eacute;cutez sshd sur toutes les machines de votre
r&eacute;seau priv&eacute;, autant que sur vos h&ocirc;tes
expos&eacute;s. Pour les autres machines que la passerelle,
l'entr&eacute;e ListenAdress dans le fichier
<code>/etc/sshd_config</code> peut-&ecirc;tre positionn&eacute;e
sur &laquo;&nbsp;0.0.0.0&nbsp;&raquo;. Vous devez mettre en place
les cl&eacute;s des h&ocirc;tes avec la commande&nbsp;:</p>
<pre>
ssh-keygen -b 1024 -f /etc/ssh_host_key -N ""
</pre>
<p>puis ex&eacute;cuter <i>make-ssh-known-hosts</i> et distribuer
le fichier <code>/etc/ssh_know_hosts</code> sur toutes les machines
du r&eacute;seau priv&eacute;.</p>
<p>D&eacute;sactivez le telnet entrant et les &laquo;&nbsp;services
en r&nbsp;&raquo; non chiffr&eacute;s. Ne supprimez pas
l'ex&eacute;cutable <i>telnet</i>, il est utile pour d'autres
choses que de simples connexions telnet sur le port 23. Vous pouvez
autoriser l'identification par mot de passe sur le r&eacute;seau
priv&eacute; et la d&eacute;sactiver sur les machines
expos&eacute;es, en imposant une cl&eacute; RSA pour la connexion
sur les h&ocirc;tes expos&eacute;s.</p>
<p>Il est pratique pour les utilisateurs que les h&ocirc;tes du
r&eacute;seau se r&eacute;pertorient les uns les autres dans le
fichier <code>/etc/hosts.equiv</code>. Les d&eacute;mons sshd
prendront ceci en compte et permettront aux personnes de se
connecter &agrave; distance ou d'ex&eacute;cuter des shells
&agrave; distance entre machines sans mot de passe ou
phrase-cl&eacute;. &Agrave; chacune des connexions, les machines
v&eacute;rifieront leurs identit&eacute;s respectives avec des
cl&eacute;s RSA au niveau machine.</p>
<p>Une difficult&eacute; appara&icirc;t quand un utilisateur
connect&eacute; sur une machine du r&eacute;seau priv&eacute; veut
se connecter sur une machine ayant une adresse IP publique. Vous ne
pouvez pas utiliser <code>/etc/hosts.equiv</code> ou
<code>$HOME/.shosts</code> pour permettre une identification sans
mot de passe parce que l'utilisateur est sur une machine dont
l'adresse IP ne peut &ecirc;tre d&eacute;termin&eacute;e - elle
semblera venir du pare-feu, mais les cl&eacute;s-machine ne
fonctionneront pas. Il y a deux solutions &agrave; cela. D'abord,
si vous voulez vraiment utiliser les m&eacute;thodes
<code>/etc/hosts.equiv</code> ou <code>$HOME/.shosts</code>,
l'utilisateur devra se connecter &agrave; la passerelle de
r&eacute;seau priv&eacute; (fred.example.com dans notre exemple
actuel) et ensuite se connecter sur la machine expos&eacute;e
depuis cet endroit. L'autre technique consiste &agrave; utiliser
l'authentification RSA qui fonctionne toujours
ind&eacute;pendamment des fantaisies du m&eacute;canisme de
r&eacute;solution et d'adresses IP occasionn&eacute;es par votre
configuration.</p>
<h2><a name="ss8.3">8.3 Configurer X</a></h2>
<p>La qu&ecirc;te perp&eacute;tuelle de l'utilisateur pour prouver
qu'il privil&eacute;gie la facilit&eacute; d'utilisation par
rapport &agrave; la s&eacute;curit&eacute;, a rendu commun l'usage
de la commande</p>
<pre>
xhost +
</pre>
<p>dans ses scripts d'initialisation de X. Ceci permet
l'acc&egrave;s au serveur X &agrave; n'importe qui dans le monde.
Maintenant, n'importe quel intrus peut remplacer votre fond
d'&eacute;cran par quelque chose d'embarassant juste au moment
o&ugrave; votre chef fait visiter votre bureau &agrave; sa
m&egrave;re. Cet intrus peut &eacute;galement tranquillement
surveiller tout ce que vous tapez au clavier et capturer le contenu
de votre &eacute;cran sur sa machine. Inutile de dire que ceci ne
sied pas tr&egrave;s bien aux mots de passe que vous utilisez pour
vous connecter sur d'autres sites ou &agrave; d'autres documents
sensibles affich&eacute;s &agrave; l'&eacute;cran. Le protocole
xhost lui m&ecirc;me a des limitations inh&eacute;rentes au fait
qu'il n'est pas possible d'accorder la permission d'utiliser
l'affichage sur une &laquo;&nbsp;base utilisateur&nbsp;&raquo; mais
seulement sur une &laquo;&nbsp;base machine&nbsp;&raquo;.</p>
<p>Optez pour l'identification <i>xauth</i>. Si vous avez
<i>xdm</i>, vous ex&eacute;cutez d&eacute;j&agrave; probablement
l'identification <i>xauth</i> mais <i>xhost</i> fonctionne toujours
et peut continuer &agrave; &ecirc;tre utilis&eacute; par les gens
pour ex&eacute;cuter des processus X entre machines. Une fois
encore, le but est de rendre la s&eacute;curit&eacute; suffisamment
facile &agrave; utiliser de mani&egrave;re &agrave; ce que les
utilisateurs ne soient plus tent&eacute;s d'utiliser la commande
<i>xhost</i>.</p>
<p>Le param&eacute;trage de sshd d&eacute;crit dans la section
<a href="#config_ssh">Configurer SSH1</a>, avec l'indicateur
&laquo;&nbsp;X11Forwarding&nbsp;&raquo; positionn&eacute;, est
actuellement plus simple d'utilisation que la technique
<i>xhos</i>t. Une fois que vous vous &ecirc;tes connect&eacute; sur
votre terminal, vous pouvez simplement vous
&laquo;&nbsp;rloguer&nbsp;&raquo; sur une machine distante et
ex&eacute;cuter <i>netscape</i>, <i>xv</i> ou ou ce que vous voulez
sans avoir &agrave; positionner la variable $DISPLAY ou &agrave;
accorder des permissions explicites. Au cours du login <i>ssh</i>,
le syst&egrave;me est configur&eacute; d'une mani&egrave;re
transparente pour l'utilisateur final, et m&ecirc;me, tous les
paquets sont chiffr&eacute;s avant de partir sur le
r&eacute;seau.</p>
<p>Si vous n'avez pas la possibilit&eacute; d'utiliser le transfert
X11 sshd pour une raison ou pour une autre, vous devrez utiliser
<i>xauth</i> quand vous voudrez autoriser les autres machines
&agrave; se connecter sur votre serveur X. Documentez ceci pour vos
utilisateurs ou bien cr&eacute;ez des scripts shell
sp&eacute;cialis&eacute;s pour les aider. La commande
ad&eacute;quate pour permettre une identification,
&laquo;&nbsp;jpublic&nbsp;&raquo; sur la machine
&laquo;&nbsp;barney&nbsp;&raquo; de fa&ccedil;on &agrave; avoir
acc&egrave;s au serveur est&nbsp;:</p>
<pre>
/usr/X11/bin/xauth extract - $DISPLAY | rsh -l jpublic barney /usr/X11/bin/xauth merge -
</pre>
<p>Cette s&eacute;quence n'est pas n&eacute;cessaire pour autoriser
les connexions X depuis les machines qui partagent un
r&eacute;pertoire commun de montage NFS. La cl&eacute; xauth sera
imm&eacute;diatement disponible aux utilisateurs de toutes les
machines qui montent le m&ecirc;me r&eacute;pertoire racine.</p>
<p>Je serais tent&eacute; d'effacer purement et simplement
<i>xhost</i> de toutes les machines. Si ceci cause des
probl&egrave;mes pour quelques programmes, vous saurez au moins que
ces programmes avaient une s&eacute;curit&eacute; mal
con&ccedil;ue. Il est suffisamment ais&eacute; d'&eacute;crire un
script-shell qui utilise la s&eacute;quence <i>xauth</i>
d&eacute;crite plus haut comme solution de remplacement pour
<i>xhost</i>.</p>
<p>Notez que, si <i>rsh</i> n'est pas le programme de chiffrement
de ssh, la cl&eacute; xauth est envoy&eacute;e sous forme de texte.
Quiconque s'empare du texte de la cl&eacute; peut acc&eacute;der
&agrave; votre serveur, ainsi vous ne gagnez pas beaucoup de
s&eacute;curisation si vous n'utilisez pas ssh pour ces
transactions. Notez &eacute;galement que si les r&eacute;pertoires
home des utilisateurs sont export&eacute;s via NFS (Network File
System) la cl&eacute; xauth est disponible en clair pour n'importe
quelle personne en mesure d'espionner ces paquets NFS,
ind&eacute;pendamment du fait que vous ex&eacute;cutez ssh sur vos
syst&egrave;mes.</p>
<h2><a name="ss8.4">8.4 Configurer le partage de fichiers</a></h2>
<p>Avec la messagerie arrivant sur une machine centralis&eacute;e,
les proc&eacute;dures de lecture et d'exp&eacute;dition depuis
n'importe quel h&ocirc;te d&eacute;crites ici sont tr&egrave;s
pratiques, mais des pr&eacute;cautions doivent &ecirc;tre prises
contre le furetage de la part d'utilisateurs locaux qui s'ennuient.
NFS sans impl&eacute;mentation de AUTH_DES manque
fonci&egrave;rement de s&eacute;curit&eacute;. NFS s'en remet
&agrave; la machine cliente pour certifier l'acc&egrave;s, il n'y a
pas de v&eacute;rification de mot de passe sur le serveur pour
s'assurer que le client est autoris&eacute; &agrave; acc&eacute;der
&agrave; tel fichier priv&eacute; d'un utilisateur particulier. Une
machine Windows peut &ecirc;tre configur&eacute;e pour lire les
volumes export&eacute;s par NFS sous n'importe quel identifiant
num&eacute;rique en outrepassant compl&egrave;tement les
permissions de fichiers UNIX. En cons&eacute;quence, les exports
NFS ne devraient &ecirc;tre mis en place que sur les machines qui
sont toujours sous Linux (ou UNIX), sous votre contr&ocirc;le
direct, et jamais sur celles qui ont un boot multiple avec Windows.
Si vous voulez exporter le r&eacute;pertoire de spool de votre
messagerie, ou n'importe quel autre r&eacute;pertoire, vers des
machines qui peuvent &ecirc;tre &agrave; l'occasion
utilis&eacute;es sous Windows, exportez-les avec Samba en mettant
le mode d'identification sur
&laquo;&nbsp;security=USER&nbsp;&raquo;. Le fait de connecter les
machines sur votre r&eacute;seau &agrave; l'aide d'un commutateur
plut&ocirc;t qu'un hub sera &eacute;galement
b&eacute;n&eacute;fique et donnera peu d'int&eacute;r&ecirc;t
&agrave; la mise en place de renifleurs sur les machines Windows.
Cependant, et en dernier lieu, il est tr&egrave;s difficile de
s&eacute;curiser un partage de fichier &agrave; travers les
r&eacute;seaux au moment de son &eacute;criture.</p>
<p>Pourquoi vous inqui&eacute;ter si vous ne pouvez
r&eacute;ellement s&eacute;curiser les disques r&eacute;seau&nbsp;?
C'est avant tout un moyen de rendre l'ensemble de la
s&eacute;curisation cr&eacute;dible. Si vous laissez une feuille de
papier avec des informations confidentielles sur votre bureau et
que quelqu'un la lit, il pourra arguer du fait qu'il n'avait pas
r&eacute;alis&eacute; la nature du document, sa curiosit&eacute;
naturelle venant juste de l'emporter quand il l'a vu pos&eacute;e
l&agrave;. Si la feuille de papier est dans un classeur ou dans un
tiroir du bureau, c'est une histoire totalement diff&eacute;rente.
L'objet des mesures de s&eacute;curit&eacute; en interne est
surtout de s'assurer que personne ne peut accidentellement
compromettre la s&eacute;curit&eacute; g&eacute;n&eacute;rale.</p>
<h2><a name="s9">9. Remerciements</a></h2>
<p>Ce document a &eacute;t&eacute; &eacute;crit comme documentation
interne pour le projet DYNACAN, int&eacute;gr&eacute; au au projet
de d&eacute;veloppement continu sous le contr&ocirc;le du
D&eacute;veloppement des ressources humaines Canada.</p>
<p>Ce document a consid&eacute;rablement
b&eacute;n&eacute;fici&eacute; des suggestions de</p>
<ul>
<li>Rod Smith (rodsmith@rodsbooks.com), qui a sugg&eacute;r&eacute;
que je fournisse des d&eacute;tails sur la mani&egrave;re
d'enregistrer un nom de domaine, sur la configuration avec des
adresses IP dynamiques et qui m'a orient&eacute; sur les divers
services d'h&eacute;bergement d'IP dynamiques et sur Granite
Canyon.</li>
<li>Greg Leblanc (gleblanc@my-deja.com) pour des suggestions utiles
pour am&eacute;liorer la lisibilit&eacute; du document.</li>
<li>Sami Yousif (syousif@iname.com).</li>
<li>Marc-Andr&eacute; Dumas (m_a_dumas@hotmail.com), qui m'a
sugg&eacute;r&eacute; la section concernant la transposition du
domaine sur de nouvelles adresses IP.</li>
<li>Osamu Aoki (aoki@pacbell.net).</li>
<li>Joao Ribeiro &lt;(url
url="mailto:sena@decoy.ath.cx"name="sena@decoy.ath.cx"&gt;).</li>
</ul>
<h2><a name="s10">10. Glossaire des termes utilis&eacute;s</a></h2>
<p>Voici une liste de la signification de certains des mots ou
acronymes utilis&eacute;s dans le document.</p>
<dl>
<dt><b><a name="adresse_ip"></a> Adresse IP</b></dt>
<dd>
<p>L'adresse d'une certaine interface r&eacute;seau. Sous le
standard actuel, nomm&eacute; ipv4, cette adresse consiste en une
s&eacute;rie de 4 valeurs cod&eacute;es sur 8 bits
g&eacute;n&eacute;ralement &eacute;crites en base 10 et
s&eacute;par&eacute;s par des points. La communication entre
ordinateurs sur internet est bas&eacute;e sur l'envoi de paquets
d'information entre adresses IP.</p>
</dd>
<dt><b>Adresse IP dynamique</b></dt>
<dd>
<p>Adresse IP qui est attribu&eacute;e p&eacute;riodiquement ou sur
la base d'une session. Aucune garantie n'est donn&eacute;e sur le
fait que l'adresse IP restera la m&ecirc;me. Une adresse IP
dynamique n'est susceptible de changer que quand votre connexion
r&eacute;seau tombe et se reconnecte, ou bien p&eacute;riodiquement
lors d'une n&eacute;gociation DHCP. Certains services bas&eacute;s
sur la session tels que <i>telnet</i> ou <i>ssh</i>
s'arr&ecirc;teront si l'adresse IP de l'une ou l'autre des deux
machines connect&eacute;es change pendant la session.</p>
</dd>
<dt><b>Adresse IP statique</b></dt>
<dd>
<p>Une adresse IP qui vous a &eacute;t&eacute; attribu&eacute;e ou
lou&eacute;e de mani&egrave;re permanente. Sauf annulation de la
convention qui vous attribue cette adresse IP, elle sera toujours
disponible pour votre utilisation, et aucune autre machine sur
internet n'est autoris&eacute;e &agrave; utiliser cette adresse.
S'oppose &agrave; Adresse IP dynamique.</p>
</dd>
<dt><b>DHCP</b></dt>
<dd>
<p>Dynamic Host Configuration Protocol. Un standard, d&eacute;fini
dans la RFC 1531, pour que des ordinateurs sur r&eacute;seau TCP/IP
puissent obtenir de serveurs des informations telles que l'adresse
IP qu'ils doivent utiliser, le masque de r&eacute;seau, la
passerelle, etc. Plut&ocirc;t que ses informations soient
param&eacute;tr&eacute;es par un administrateur, la machine les
demande simplement au serveur quand elle se connecte au
r&eacute;seau.</p>
</dd>
<dt><b>DNS</b></dt>
<dd>
<p>Domain name service. Un standard pour convertir les noms de
domaine en adresses IP ou vice-versa, en recherchant l'information
dans des bases de donn&eacute;es centrales.</p>
</dd>
<dt><b>DSL</b></dt>
<dd>
<p>Digital Subscriber Line. Une connexion r&eacute;seau
relativement rapide, habituellement fournie sur un c&acirc;blage
t&eacute;l&eacute;phonique sp&eacute;cialis&eacute;.</p>
</dd>
<dt><b><a name="FAI"></a> FAI</b></dt>
<dd>
<p>Fournisseur d'acc&egrave;s &agrave; internet. La
soci&eacute;t&eacute; qui vous fournit la connexion &agrave;
internet, y compris la connexion physique, l'h&eacute;bergement de
services, et l'attribution d'adresses IP qu'elle
contr&ocirc;le.</p>
</dd>
<dt><b>Fournisseur d'acc&egrave;s Internet</b></dt>
<dd>
<p>voir <a href="#FAI">FAI</a></p>
</dd>
<dt><b>FTP</b></dt>
<dd>
<p>File Transfert Protocol. Un protocole pour envoyer des fichiers
entre machines &agrave; travers internet.</p>
</dd>
<dt><b>ftpd</b></dt>
<dd>
<p>Le d&eacute;mon (serveur) charg&eacute; de fournir le service
FTP sur un h&ocirc;te. Il r&eacute;pond aux requ&ecirc;tes faites
par un client distant.</p>
</dd>
<dt><b>IP</b></dt>
<dd>
<p>voir <a href="#adresse_ip">adresse IP</a></p>
</dd>
<dt><b>ISP</b></dt>
<dd>
<p>Internet Service Provider, &eacute;quivalent anglais pour
<a href="#FAI">FAI</a></p>
</dd>
<dt><b><a name="masquage"></a> Masquage (ou camouflage)</b></dt>
<dd>
<p>Un type de filtrage dans lequel les paquets &eacute;manant d'une
machine vers le monde ext&eacute;rieur ont leur en-t&ecirc;te
r&eacute;&eacute;crit de fa&ccedil;on &agrave; ce qu'ils semblent
provenir d'une machine interm&eacute;diaire. La machine
interm&eacute;diaire transmet alors les r&eacute;ponses &agrave; la
machine d'origine. Le r&eacute;sultat, en termes de r&eacute;seau,
est qu'un r&eacute;seau entier de machines peut sembler n'utiliser
qu'une seule adresse IP, celle de la machine qui assure le
masquage, en ce qui concerne les connexions ext&eacute;rieures.</p>
</dd>
<dt><b>Masquerading</b></dt>
<dd>
<p>voir <a href="#masquage">masquage</a></p>
</dd>
<dt><b>named</b></dt>
<dd>
<p>Le serveur de noms. C'est le d&eacute;mon qui r&eacute;pond aux
requ&ecirc;tes DNS. Il est distribu&eacute; dans le paquet
BIND.</p>
</dd>
<dt><b>Network Time Protocol</b></dt>
<dd>
<p>voir <a href="#NTP">NTP</a></p>
</dd>
<dt><b><a name="NTP"></a> NTP</b></dt>
<dd>
<p>Network Time Protocol. Un standard pour synchroniser votre
horloge syst&egrave;me avec &laquo;&nbsp;l'heure
officielle&nbsp;&raquo;, d&eacute;fini comme la
r&eacute;f&eacute;rence de beaucoup d'horloges de pr&eacute;cision
&agrave; travers le monde.</p>
</dd>
<dt><b>OS</b></dt>
<dd>
<p>Operating System. voir <a href="#SE">SE</a></p>
</dd>
<dt><b>PHB</b></dt>
<dd>
<p>Pointy Haired Boss (voir&nbsp;: <a href=
"http://www.unitedmedia.com/comics/dilbert/about/html/boss.html">http://www.unitedmedia.com/comics/dilbert/about/html/boss.html</a>
ou <a href=
"http://www.cplus.fr/html/samedicomedie/dilbert/personnages.html#3">
http://www.cplus.fr/html/samedicomedie/dilbert/personnages.html#3</a>).
Un personnage de Scott Adams, dans la s&eacute;rie Dilbert.</p>
</dd>
<dt><b>Provider</b></dt>
<dd>
<p>voir <a href="#FAI">FAI</a></p>
</dd>
<dt><b>Requ&ecirc;te DNS directe</b></dt>
<dd>
<p>(forward DNS) Une requ&ecirc;te DNS qui convertit un nom de
domaine en une adresse IP.</p>
</dd>
<dt><b>Requ&ecirc;te DNS invers&eacute;</b></dt>
<dd>
<p>(reverse DNS) Une requ&ecirc;te DNS qui convertit une adresse IP
en un nom de domaine.</p>
</dd>
<dt><b>Routeur</b></dt>
<dd>
<p>Une machine sp&eacute;cialis&eacute;e qui met &agrave;
ex&eacute;cution les r&egrave;gles concernant l'endroit o&ugrave;
envoyer les paquets sur la base de leur adresse IP, les ponts entre
vos machines Ethernet et n'importe quel m&eacute;dia de
communication qui vous connecte avec votre FAI.</p>
</dd>
<dt><b>Script CGI</b></dt>
<dd>
<p>Common Gateway Interface. C'est un programme qui est
ex&eacute;cut&eacute; &agrave; la demande pour
g&eacute;n&eacute;rer le contenu d'une page web. Si une page web
doit faire autre chose que d'envoyer des informations (textes et
graphiques) fixes au navigateur, vous aurez probablement besoin
d'un programme quelconque de g&eacute;n&eacute;ration d'affichage
dynamique tel qu'un script CGI. Les applications peuvent &ecirc;tre
des forums de dicussion, des formulaires interactifs, des cartes de
cr&eacute;dit e-commerce, etc.</p>
</dd>
<dt><b><a name="SE"></a> SE</b></dt>
<dd>
<p>Syst&egrave;me d'exploitation. Linux, Windows, FreeBSD, BeOS,
HP-UX, MacOS, etc.</p>
</dd>
<dt><b>ssh</b></dt>
<dd>
<p>Le shell s&eacute;curis&eacute;. Une substitution
chiffr&eacute;e pour <i>rlogin</i>, <i>telnet</i>, <i>ftp</i> et
autres programmes. Prot&egrave;ge contre l'usurpation d'adresse,
l'attaque de l'intercepteur, et le reniflage de paquets.</p>
</dd>
</dl>
</body>
</html>