Cours : Administration d'un rseau local Public : B.T.S. Informatique Auteur : P.

Pinault

Copyright (c) 2003 Paul Pinault Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included at .http://www.fsf.org/copyleft/fdl.html

Administration d'un rseau local I. Scurit :

La scurit est avant tout un ensemble de prconisations qu'il faut adapter aux besoins de chaque cas recontr. Il n'y a pas une seule mthode mais un ensemble de notions prendre en compte. Ce chapitre tache d'en tablir une liste qui ne peut tre considre comme exhaustive. La scurit mettre en oeuvre dpend principalement des moyens qui seront mis en oeuvre pour les attaques et donc principalement de ce qui est scuriser. Il s'agit de trouver un juste quilibre entre le cot de la scurit et les risques assumer. Lors de la mise en place d'une politique de scurit, il est important de se rappeler que la scurit doit tre au service des utilisateurs, que ceux-ci ne doivent pas tre gns dans leur travail. Une scurit qui ne se soucie pas des utilisateurs trouve trs souvent l sa principale faille car le facteur humain reste toujours le maillon faible de la scurit. Une politique de scurit prend en compte non seulement la scurisation de l'accs aux donnes mais aussi la protection des donnes et de l'outils de production face des vnements ventuellement destructeurs comme le vol, l'incendie ... a Scuriser l'accs physique au matriel

Protger les locaux au travers d'une politique globale de scurit : filtrage des accs l'entreprise, mise l'cart du matriel sensible (serveur, lments actifs du rseau ...) Protger le matriel et les donnes des agressions extrieures : utilisation de prises parafoudre, sauvegardes dlocalises, systme anti-incendie. Prenez en compte l'ensemble des risques ventuels comme les inondations car le matriel rseau n'est pas vident dplacer. Protger le matriel du vol : les quipements critiques (serveurs, lments actifs et passifs du rseau) ne doivent pas tre accessible tous. Prvoir des connexions rseaux de secours : un cble peut tre victime d'un engin de chantier, de rats ... La rparation peut tre une opration longue, bloquant la production.

b Scuriser les donnes

Sauvegarder toutes les donnes : implique la mise en place de systmes de stockage centraliss, plus srs que la sauvegarde de nombreux rpertoires sur de nombreuses machines. Implique aussi d'tre mme de pouvoir restaurer les sauvegardes faites. Sortir les donnes de l'entreprise pour les protger d'un incendie par exemple. Ceci doit tre fait dans le respect des rgles de confidentialit dites dans la politique gnrale de scurit... Des entreprises proposent ce type de service. Utiliser des systmes de stockage redondants, de type RAID, permettant de rcuprer les donnes lors du crash d'un disque sans rupture du service. Utiliser des antivirus qui seront rgulirement mis jour. Sensibiliser le personnel sur la provenance des virus et les rgles simples suivre pour les viter.

Page : 1 / 11

Cours : Administration d'un rseau local Public : B.T.S. Informatique Auteur : P. Pinault

Copyright (c) 2003 Paul Pinault Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included at .http://www.fsf.org/copyleft/fdl.html

c Garantir la continut du service

Utiliser des serveurs aux services redondants (contrleurs de domaine principaux/secondaires par exemple) pour palier aux problmes lis l'interruption de service. Utiliser des systmes de sauvegarde permettant un changement de support chaud (HotPlug) en cas de problme. Utiliser des systmes intgrant une alimentation redondante, lment souvant le plus faible. Prvoir des solutions contre les micros-coupures et coupures de courant pour, la fois viter un arrt non scuris des serveurs, viter un redmarrage long des services et ainsi permettre une utilisation continu du matriel, y compris durant une coupure de courant. Dans ce dernier cas, tous les lments doivent tre scuriss : oublier le matriel rseau par exemple rendrait la dmarche totalement inefficace. Prvoir la reconstruction rapide d'un systme dtruit : cration d'une image du systme de base. Investir dans du matriel de qualit.

d Scuriser l'accs au rseau

Ne pas brasser (activer) les prises non utilises de sorte viter les connexions imprvues et l'coute du rseau (des mots de passe peuvent circuler en clair, comme bon nombre d'informations stratgiques). Eviter ou plutt restreindre l'allocation dynamique d'adresses IP de sorte ne pas simplifier la tche d'un ventuel pirate. Limiter et surveiller les adresses MAC (adresses physiques des cartes rseau, difficiles modifier) de sorte prvenir de la connexion d'un appareil non autoris. Utiliser au maximum des quipements de commutation (switch) de sorte limiter les possibilits d'coute sur le rseau. Utiliser avec prcaution les technologies sans fil, toujours activer le maximum de protections possibles (cryptage, restriction d'accs...)

e Scuriser l'accs aux donnes et logiciels

Limiter les accs aux personnes en ayant besoin : mettre en oeuvre une politique de gestion de comptes utilisateurs, associs des mots de passe. La politique de gestion des mots de passe est un point important de la politique de scurit : le choix des mots de passe doit tre de prfrence l'origine des utilisateurs de sorte simplifier leur mmorisation. Un mot de passe difficile mmoriser est un mot de passe crit ct de l'ordinateur ! Toutefois, certaines rgles doivent tre mises en place pour contraindre l'utilisation de mots non disponibles dans un dictionnaire : utilisation de minuscules, majuscules, caractres spciaux et taille minimale... Les mots de passe ne doivent pas tre chang trop souvent pour tre bien accepts, toutefois, il est impratif de maintenir la base des mots de passe (et des utilisateurs) jour : le dpart d'une personne doit imprativement avoir pour effet la suppression (ou la dsactivation) de son compte. Testez vous mme les outils des pirates sur vos propres bases. Restreindre au maximum les plages d'accs possible : de nombreuses attaques ont lieu lorsque personne n'est prsent (nuit, week-end) autant interdire tous les accs ces moments l.
Page : 2 / 11

Cours : Administration d'un rseau local Public : B.T.S. Informatique Auteur : P. Pinault

Copyright (c) 2003 Paul Pinault Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included at .http://www.fsf.org/copyleft/fdl.html

Utiliser des moyens d'identification forts si le besoin se prsente : carte puce, biomtrie... Empcher les accs aux lecteurs de disquettes ou CDROM qui peuvent tre utiliss pour dmarrer un systme permettant de cracker le systme prsent sur le disque. Gnralement une protection du Bios associ la suppression du demarrage sur ces priphriques aura un effet suffisant... toutefois, le mot de passe du bios est simple supprimer... Empcher alors l'ouverture du micro-ordinateur (solution permettant de limiter galement les vols).

f Scuriser l'accs au rseau Le rseau est un point sensible du systme : du fait de sa connexion vers le monde entier il offre des individus physiquement loigns, comme aux employs, un accs vos donnes.

Sparer le rseau interne de l'accs externe en utisant des lments ddis cel : les FireWall. Prfrez l'utilisation d'un quipement spcifique ou ddi plutt que l'activation de cette fonctionnalit sur un serveur proposant d'autres services. Mettre en place un systme de suivi des intrusions de sorte valuer le risque un moment donn. Mettre en place un systme de suivi des connexions de sorte dtecter d'ventuelles anomalies. Sparer le rseau interne (priv) du rseau public (ensemble des services mis dispodition depuis Internet) . La partie publique de l'entreprise est place dans une zone non scurise appele (DMZ Zone DMilitarise). Cette DMZ peut toutefois tre filtre au travers d'un FireWall. Un FireWall beaucoup plus scuris sera mis en place entre le rseau priv et le rseau public. Le but de cette dmarche et de protger le rseau priv d'une attaque provenant de la DMZ. En effet, il est plus difficile de protger un serveur qui doit tre public. Suivre les mises jours de logiciels et systmes ainsi que les rapports de bugs publis frquement. Prvenir tant toujours mieux que de gurir.

Malgrs la mise en oeuvre de toutes ces rgles et de sans doute bien d'autres encore, la scurit d'un systme ne peut tre assure qu'avec l'aide des utilisateurs. Ceux-ci doivent donc tre sensibiliss aux risques et connaitre les rgles de base de la scurit comme par exemple ne jamais donner son mot de passe, y compris l'administrateur qui, normalement, ne doit jamais en avoir besoin. La faon la plus simple de pntrer un systme tant bien souvent d'en demander l'accs un utilisateur non averti. Une nouvelle fois, gardez toujours en tte que l'administrateur systme doit tre au service de l'utilisateur de l'informatique, toutes les rgles mises en oeuvre, aussi restrictives qu'elles soient doivent tre accompagnes d'un service irrprochable de votre part les rendant ainsi transparentes et surtout non contraignantes.

Page : 3 / 11

Cours : Administration d'un rseau local Public : B.T.S. Informatique Auteur : P. Pinault

Copyright (c) 2003 Paul Pinault Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included at .http://www.fsf.org/copyleft/fdl.html

II.Mise en place de serveurs :

a choix du matriel Le mot serveur, n'est pas associer avec ordinateur dernier cri... comme pour tout systme il est ncessaire d'valuer le besoin exact de sorte obtenir le service dsir un cot adapt. Le choix du matriel doit surtout se faire suivant des critres d'volutivit et de qualit. Les puissances et quantits de mmoire ncessaires sont gnralement value par les diteurs de logiciels et fonctions du nombre d'utilisateurs ou connexions attendu. S'y rfrer est l'assurance d'une puissance suffisante sans exagration. b choix des logiciels Il est important de s'lever au dessus des guerres de clochers entre solutions libres ou propritaires pour choisir un systme en fonction de ses besoins. Il est important que le systme rponde exactement au besoin et n'entraine pas de ralentissement de la production. Il est tout aussi important que le logiciel soit conforme aux besoins, tablis, de scurit. Il est de l'attribution de l'administrateur de grer correctement les licenses des logiciels. Les risques encourus par l'entreprise en cas d'utilisation frauduleuse de logiciels sont consquents. Vous devez donc veiller tenir jour la liste des logiciels installs et vous assurer que l'entreprise possde bien toutes les licences associes. Les licenses peuvent tre tablies par sige ou par serveur. Dans le premier cas, vous devez possder une licence par utilisteur potentiel du logiciel. Il s'agit du mode gnralement rencontr lorsque le logiciel est install directement sur le poste client. Dans le second cas, la license limite le nombre d'utilisateurs simultans du logiciel. Ce mode est courant dans une utilisation de serveurs d'applications. Le nombre des accs un serveur Windows est aussi contraint par le mme systme de licence, ainsi, il faut veillez, en plus de l'achat du systme l'enregistrement de suffisemment de licences pour permettre aux utilisateurs un accs simultan. Il est important que les utilisateurs ne puissent pas installer de logiciels sur leurs ordinateurs, sans quoi vous ne pourrez matriser la gestion des licences. Il est tout aussi vident que vous devez trouver pour eux des solutions leur besoin. Les logiciels libres sont souvent une solution gratuite et de bonne qualit. Refuser de trouver une solution est sans nul doute le meilleur moyen de s'exposer des installations anarchiques d'outils pirats. c mise en oeuvre de technologies RAID Les normes RAID (Redundant Array of Independent Disks) sont employes lors de l'utilisation de grappes de disques :

RAID0 : permet l'utilisation de plusieurs disques physiques comme un seul disque logique de trs grande taille. Cette norme permet de s'affranchir de la limite d'espace offert par les disques dur du march. RAID1 : utilisation de 2 disques comme un seul (miroir). Ce systme offre deux avantages : augmenter le dbit du disque logique ainsi cr (deux accs concurents possibles en lecture) et scuriser les donnes. En effet, la destruction d'un disque n'entraine pas la perte de la copie prsente sur le second.
Page : 4 / 11

Cours : Administration d'un rseau local Public : B.T.S. Informatique Auteur : P. Pinault

Copyright (c) 2003 Paul Pinault Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included at .http://www.fsf.org/copyleft/fdl.html

RAID2 : rpartition de l'information sur plusieurs disques et ajout de codes de dtection/correction d'erreurs sur d'autres disque. Cette architecture est peu utilise du fait qu'elle n'apporte pas grand chose par rapport aux autres systmes RAID. RAID3 : stockage des donnes sur plusieurs disques en parallle, un disque supplmentaire est utilis pour stocker la parit. Cette information est suffisante pour rcuprer l'information totale lors de la destruction d'un disque. Cette technologie est obsolte. RAID4 : version amliore de RAID3, elle aussi obsolte. Le principal problme des configuration RAID3 et RAID4 vient du fait que le disque de parit constitue un goulot d'tranglement car il doit tre mis jour lors de chaque criture. RAID5 : fonctionne sur le mme principe que RAID3/4 hors mis le fait que chaque disque contient la fois des donnes et des informations de parit, du coup l'criture de la parit ne constitue plus un goulot d'tranglement.

Les normes RAID peuvent tre mises en oeuvre de faon matrielle avec des cartes spcifiques (parfois aussi prsentes sur les cartes mre) ou de faon logicielle sur les systmes WindowsNT/2K et Linux. Des systmes ddis au stockage (NAS Network Attached Storage) peuvent aussi tre dploys. Le systme RAID autorise le changement de disque chaud (Hot-Plug) toutefois, ceci n'est possible que lorsque le matriel le permet, d'o une prfrence pour du matriel SCSI ou NAS. d intgration des serveurs dans le rseau Les serveurs sont normalement les lments qui concentrent le plus d'informations et d'accs au sein du rseau. Il doivent donc tre privilgis. En gnral, il est interressant d'offir aux serveurs un dbit rseau suprieur au dbit offert aux autres utilisateurs. Cette dissymtrie permettra d'offrir un accs plus quitable, entre les utilisateurs, aux serveurs. Les transferts de fichiers vont par exemple monopoliser une grande partie de la bande passante disponible. Si celui-ci est contraint par un dbit faible au niveau utilisateur, il ne dgradera que peu le dbit global offert par le serveur. L'utilisation de rseaux utilisateur 10Mbits reste souvent suffisant ds lors qu'il n'y pas pas d'change de fichiers volumineux. Toutefois, les investissements doivent d'orienter vers des solutions 100Mbits qui pourront tre brides par exemple. Le cot serveur sera, lui, privilgi en utilisant la technologie suprieure : 100Mbits pour 10Mbits cot utilisateurs ou 1GBits pour 100Mbits cot utilisateurs.

Page : 5 / 11

Cours : Administration d'un rseau local Public : B.T.S. Informatique Auteur : P. Pinault

Copyright (c) 2003 Paul Pinault Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included at .http://www.fsf.org/copyleft/fdl.html

III.Plan d'adressage IP
Pour tout rseau doit tre mis en place un plan d'adressage IP. Il s'agit de savoir quelles sont les adresses attribues et quels sont les services offerts sur ces adresses. Le but est d'tre capable de trouver de nouvelles adresses disponibles et de retrouver la liste des services offerts. Les adresses IP doivent permettrent de localiser des quipements et donc des utilisateurs qui pourront ainsi tre surveills. Il peut tre important de garder une certaine marge quant au nombre des adresses IP disponibles. Vous ne savez pas forcement quelle va tre l'volution de la socit ou de ses services. Ainsi, la restriction des plages libres risque d'entrainer une modification votre plan d'adressage brve chance. Cette opration pouvant tre fastidieuse elle conduit souvent une tape intermdiaire o l'attribution d'adresses devient dstructure (attribution d'adresse sur des sous rseaux non adapts pour palier au manque d'adresses libres). Il ne faut pas hsiter mettre en oeuvre plusieurs sous rseaux de sorte isoler physiquement certain brins et ainsi optimiser l'utilisation de la bande passante. La cration de sous rseaux doit se faire suivant deux critres : les permissions d'accs octroyes un groupe et les besoins d'accs aux donnes et serveurs. La mise en oeuvre de sous-rseaux demande l'installation de routeurs, qui peuvent tre des quipements spcifiques ou des ordinateurs. L'utilisation de systme tels que le DHCP permet de rendre la configuration des postes clients automatique, du coup, il sera plus ais de raliser des modifications sur la plan d'adressage. Le DHCP permet de parametrer de faon globale l'ensemble de la couche IP. De sorte concerver les notions de localisation et pour viter l'arrive sur le rseau de nouvelles machines non dsires, le DHCP doit tre brid pour qu'une adresse IP soit toujours attribue une machines clairement identifies. Les quipements, tels que les serveurs et les routeurs doivent utiliser des adresses choisies soit en dbut, soit en fin de rseaux de faon les mmoriser simplement et les isoler des autres. Ceci est une convention plus qu'une obligation. Le plan d'adressage est un document papier qui doit tre tenu jour et concerv. Un serveur de nom (DNS-WINS) peut tre mis en oeuvre pour identifier les serveurs et les postes clients autrement que par des adresses IP : celles-ci sont toujours sujettes modification et difficiles retenir.

Page : 6 / 11

Cours : Administration d'un rseau local Public : B.T.S. Informatique Auteur : P. Pinault

Copyright (c) 2003 Paul Pinault Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included at .http://www.fsf.org/copyleft/fdl.html

IV.Gestion des utilisateurs

a Gestion des droits : Chaque fichier d'un systme est associ des droit d'accs. Ceux-ci permettent de restreindre les posibilits de lecture, d'criture et d'excution. Un fichier (ou programme, ou rpertoire) appartient un utilisateur et un groupe. Les droits d'un fichier, dans le monde Unix sont prsents sous la forme suivante : d rwx rwx rwx utilisateur:groupe nom du fichier

droits donns tous le monde. droits donns au groupe propritaire du fichier. droits donns l'utilisateur propritaire du fichier. Indique que le fichier est un rpertoire. Ainsi, un programme peut tre rendu excutable pour l'utilisateur propritaire et lui seul : rwx --- --utilisateur:groupe nomdufichier Un document peut tre mis la disposition de tous mais resteaint, pour ce qui est des modifications, au crateur et ceux de son groupe. rwrw- r-utilisateur:groupe nomdufichier Notez que pour un document, l'excution n'est pas apparente. Rq : un repertoire possde des droits en excution, ce droit est vrifi pour lister le repertoire. Les restrictions appliques sur un rpertoire s'appliquent tous les fichiers qu'il contient mais aussi tous ses sous-rpertoires. b Cration de comptes utilisateurs Chaque utilisateur pouvant se connecter sur un systme doit possder un compte, celui-ci lui autorise l'accs au travers d'un identifiant (login) et d'un mot de passe. Cette utilisateur est aussi gnralement associ un espace disque qui lui sera propre. Chaque utilisateur possde un groupe principal. Grralement les groupes principaux sont crs en fonction des besoin d'change : les fichiers crs par l'utilisateur auront comme propritaire celui-ci et comme groupe propritaire le groupe principal de l'utilisateur. Il sera donc simple d'autoriser tous les utilisateurs d'un groupe la consultation de ce document. Rciproquement, il sera simple d'interdire l'accs ces mme donnes si l'existance de plusieurs groupe principaux existe. Les groupes principaux peuvent tre par exemple profs, lves, compta, direction ...
Exemple : Nous souhaitons que les utilisteurs de la direction aient leur propre repertoire personnel et que celuici soit protg contre la consultation par des tiers. Toutefois pour l'echange de fichiers, nous souhaitons ajouter un repertoire commun de partage. Dans le repertoire home o se trouve l'ensemble des repertoires utilisateurs, nous trouvons. Utilisateur drwx drwx drwx drwx Groupe ------rwx Tous --------utilisateur:groupe grandchef : direction petitchef : direction souschef : direction root:direction nomDuRepertoire grandchef petitchef souschef partage_direction Page : 7 / 11

Cours : Administration d'un rseau local Public : B.T.S. Informatique Auteur : P. Pinault

Copyright (c) 2003 Paul Pinault Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included at .http://www.fsf.org/copyleft/fdl.html

c Droits d'utilisation de logiciels : La gestion des droits d'utilisation d'un logiciel, mais aussi celle d'accs certain rpertoires ou priphriques fonctionne sur un principe similaire : Par exemple, si l'on souhaite restreindre l'accs de StarOffice certains utilisateurs, il suffira de crer un groupe pour ce logiciel (so_ users) . Ensuite, les utilisateurs autoriss lancer ce logiciel seront ajouts ce nouveau groupe. En effet, un utilisateur possde un groupe principal mais il peut aussi appartenir plusieurs groupes secondaires. Suivant cet exemple nous aurons :
droits de l'excutable de starOffice : - rwx rwx --root:so_users staroffice

note: le fichier appartient l'administrateur et fait parti du groupe su_users. Tous les utilisateurs devant accder ce logiciel seront rattachs ce groupe : utilisateur grandchef petitchef moyenchef comptable groupe principal direction direction direction comptable groupes secondaires so_users epb_users so_users, ebp_users remarque peut utiliser StarOffice ne peux pas utiliser StarOffice ne peux pas utiliser StarOffice peut utiliser StarOffice

Il en est de mme pour le partage des rpertoires :

droits du repertoire des donnes financires : d rwx rwx --root:finances groupes des utilisateurs : utilisateur grandchef petitchef moyenchef comptable groupe principal direction direction direction comptable groupes secondaires so_users, finances epb_users finances so_users, ebp_users, finance remarque peut acceder au repertoire ne peux pas accder au repertoire. peut accder eu repertoire peut accder eu repertoire donnes_financires

d Configuration des droits Sur les systmes Windows, la gestion de ces droits se fait de faon graphique au travers de cases cocher correspondant aux difrents droits de lecture, criture et excution. Mais, comme tout n'est pas fichier (contrairement au monde Unix), un utilisateur peut avoir des droits lui tant directement associs comme le rglage de l'heure, l'arrt de la station.... Sur les systmes Unix, la manipulation graphique des droits est aussi possible, toutefois l'utilisation de la ligne de commande reste un outil plus puissant permettant entre autre la mise au point de scripts utiles s'il est necessaire de modifier l'organisation complte des droits. Tout tant fichier sous Unix, l'application de droits comme l'arrt de la station se fait simplement par l'autorisation ou non d'excution de la commande reboot par exemple... Pour plus d'informations, se rfrer aux commandes chown (choix du proprietaire d'un fichier), chmod (modification des droits d'un fichier), useradd, groupadd (ajout d'utilisateurs et de groupes). Voir aussi les fichiers /etc/passwd (Liste des utilisateurs) et /etc/group(Liste des groupes).

Page : 8 / 11

Cours : Administration d'un rseau local Public : B.T.S. Informatique Auteur : P. Pinault

Copyright (c) 2003 Paul Pinault Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included at .http://www.fsf.org/copyleft/fdl.html

e Le super-utilisateur : Le super utilisateur est appel root dans le monde Unix et Administrateur dans le monde Windows Francophone. Cet utilisateur possde tous les pouvoirs, y compris et surtout ceux de dtruire le systme. Par consquent, l'utilisation de cet utilisateur lors d'une utilisation classique du systme doit tre clairement bannie !. Il est gnralement plus interessant de se connecter un systme en temps qu'utilisateur classique (aux pouvoirs restreints) puis, pour certaines tches le ncessitant, de devenir super-utilisateur en changeant d'identit. Ce changement tant possible au travers de la commande su dans les environnements UNIX. Le super utilisateur doit tre le seul pouvoir modifier les fichiers concernant le coeur du systme. Il doit aussi le seul pouvoir tuer les processus de tous les utilisateurs. Le super utilisateur peut consulter toutes les donnes d'un systme y compris les rpertoires personnels des utilisateurs. f Suppression d'utilisateurs : Un utilisateur qui n'a plus de raison ou plus le droit de se connecter doit tre supprim, si toutefois vous souhaitez maintenir son compte existant, vous devez tout de mme le dsactiver.

Page : 9 / 11

Cours : Administration d'un rseau local Public : B.T.S. Informatique Auteur : P. Pinault

Copyright (c) 2003 Paul Pinault Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included at .http://www.fsf.org/copyleft/fdl.html

V.Administration distante des serveurs

a Les outils d'administration distance par prise de contrle La prise contrle d'un poste distance permet de l'administrer en profitant pleinement des outils de l'interface graphique. Cette methode est aussi trs souvent utilise pour le dpannage d'un utilisateur : la prise de contrle de son poste permet de lui montrer, sans se dplacer mais tout en manupulant son clavier et sa souris, comment rgler son problme. Il existe plusieurs solutions pour cel, elles sont de deux types : La copie de l'image de l'cran distant sur le poste local : ce systme existe sous forme de produits commerciaux ou gratuits (VNC). Il permettent de manipuler l'ordinateur distant sous les yeux de l'utilisateur. Ce systme est gnralement trs gourmand en bande passante, le rafraichissement peut donc tre long, rendant les manupilations fastidieuses. L'utilisation des fonctionnalits des systmes d'exploitation : les serveurs X et Windows sont prvus pour que l'affichage d'lements graphiques gnrs en local puissent tre dports sur un autre poste (ou terminal) ainsi, il est possible de se connecter distance sur un autre quipement. Ce mode est en fait l'utilisation des systmes ancestraux utilisant un serveur d'application commandant des terminaux l'affichage des lments. Cette solution rduit les besoin en bande passante : lors du dplacement d'une fentre, seules les nouvelles coordonnes sont transmises... Par contre, elle ne permet pas toujours la gestion de l'affichage simultan sur les deux postes. b Les outils d'administration distance en ligne de commande : La ligne de commande est souvent le moyen idal pour contrler un systme, les possibilits sont gnralement (sur les systmes Unix) plus compltes que l'utilisation des interfaces graphiques. Il existe de multiples outils, les plus anciens sont telnet, rlogin, rsh qui permettent de se connecter un systme distant pour y excuter des commandes. Ces systmes avaient un prolme majeur tenant au fait que les mots de passes sont mis en clair sur le rseau ! Par consquent, l'utilisation n'en est pas bannir, mais la connexion en tant qu'administrateur, est proscrire. Des outils plus rcents comme ssh solutionnent ce problme en cryptant la communication. Ssh permet une connexion distante pour l'excution de commande mais aussi pour le transfert de fichiers et le lancement d'applications graphiques. L'administration d'un systme UNIX par ce moyen peut se faire 100%, les serveurs pour Windows sont beaucoup plus rare, toutefois Microsoft oriente ses futurs dveloppement dans ce sens. c Les outils d'administration distance utilisant le web : De nombreux outils existent pour administrer un ordinateur distance au travers d'un navigateur web. Ils reposent sur la cration d'une interface graphique commandant l'excution de scripts appliquant les modifications. Ces outils sont gnralement moins puissant que la ligne de commande mais ils ont l'avantage d'tre simples et peuvent tre uniformiss pour plusieurs systmes ou plusieurs distributions d'un systme.

Page : 10 / 11

Cours : Administration d'un rseau local Public : B.T.S. Informatique Auteur : P. Pinault

Copyright (c) 2003 Paul Pinault Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included at .http://www.fsf.org/copyleft/fdl.html

d Les outils de surveillance distance : Un protocole est ddi l'administration et surtout la surveillance d'quipements distance. Il s'agit de SNMP. Ce protocole repose sur des mthodes get et set permettant d'interroger un quipement sur une de ses valeurs, voir de modifier celle-ci. Les possibilits de configuration sont toutefois souvent limites car le protocole SNMP ne prvoit aucune protection, aucun systme de mot de passe ou autre, si ce n'est un paramtre communaut laiss au libre choix de l'administrateur. Les informations interrogeables sont dcrites dans une MIB et peuvent tre diffrentes pour chaque quipement toutefois, les MIB sont gnralement proches les unes des autres. Les informations sont identifies dans la MIB au travers d'une adresse identifiant le noeud de l'information. Ces outils sont trs souvent mis en oeuvre pour la surveillance de la charge d'un systme et son bon fonctionnement. SNMP permet ce sujet, l'envoie de traps, c'est dire de messages indiquant pas exemple la coupure d'une ligne, un problme, la connexion d'un utilisateur .... Ces traps sont utiles pour surveiller le rseaux, dceler des pannes ou des intrusions. La majeure partie des lments composant un rseau sont administrables : les serveurs, bien sr, mais aussi les lments actifs comme les routeurs, les firewall, les switchs. Les lments passifs, comme les hubs, peuvent aussi l'tre. Il est important lorsqu'un lment est configurable de regarder comment l'adapter au mieux a votre rseau : une grande partie des quipements est plug and play, c'est dire qu'il fonctionnent ds la mise sous tension grce une configuration par dfaut simpliste. Dans de trs nombreux cas, cette configuration entraine d'normes trous de scurit.

Page : 11 / 11