- freeploug22.free.fr/doc/guide-mdk-parefeu.pdfsociété née sur internet en 1998 avec l’ambition...

MandrakeSecurity

Multiple Network Firewall

Guide de l’utilisateur

(http://www.MandrakeSoft.com)

http://www.MandrakeSoft.com

Table des matières

Préface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i1. Notice légale. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i2. À propos de Mandrake Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i

2.1. Contacter la communauté Mandrake. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i2.2. Contribuez au projet Mandrake Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ii2.3. Acquisition de produits Mandrake . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ii

3. Au sujet de ce guide d’installation et d’utilisation MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iii4. Auteurs et traducteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iii5. Note des traducteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv6. Outils utilisés dans la conception de ce manuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv7. Conventions utilisées dans ce manuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv

7.1. Conventions typographiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv7.2. Conventions générales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v

1. Démarrage rapide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.1. Survol des opérations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11.2. Étapes préliminaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

2. Installation avec DrakX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.1. Introduction au programme d’installation de Mandrake Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.2. Choix de la langue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42.3. Licence de la distribution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62.4. Détection et configuration des disques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72.5. Configuration de la souris . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82.6. Configuration du clavier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82.7. Création des partitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102.8. Choix des partitions à formater . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112.9. Installation des paquetages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122.10. Mot de passe root . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122.11. Mot de passe de l’administrateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132.12. Ajouter un utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132.13. Configuration réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142.14. Emplacement du programme d’amorce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152.15. Disquette de démarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162.16. Installation de mises à jour depuis Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172.17. L’installation est maintenant terminée ! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182.18. Désinstaller Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

I. Administration et configuration de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213. Configuration de base de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21

3.1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213.2. Configuration de base du système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233.3. Configuration des cartes Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243.4. Changer le mot de passe de l’administrateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273.5. Journaux système sur vos machines locales et distantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283.6. Configuration de l’heure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

4. Configurer l’accès à Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314.1. Section Accès Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314.2. Configuration d’un modem analogique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324.3. Configurer un accès Internet RNIS (ISDN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344.4. Configurer un accès Internet ADSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384.5. Configurer un accès Internet par câble ou réseau local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424.6. Configuration des comptes d’accès . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454.7. Restriction de temps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

5. Services : DHCP, Proxy, DNS, et bien d’autres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475.1. État des services hébergés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475.2. Serveur DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475.3. Serveur mandataire ("Proxy") Squid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505.4. DNS antémémoire ("Caching") . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615.5. Système de détection d’intrusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

iii

5.6. Activation de services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 636. Configuration du comportement du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

6.1. Contrôle principal du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 656.2. Définition des zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 666.3. Configuration du masquage, des traductions d’adresses réseau statiques et du Proxy ARP . . 716.4. Configuration des règles générales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 756.5. Configuration des règles du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 786.6. Entretien de la liste noire (BlackList) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .826.7. Configuration des règles de type de service (TDS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

7. Configuration d’un VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 857.1. Qu’est-ce qu’un réseau privé virtuel (VPN) ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 857.2. Pourquoi un VPN ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 857.3. Monter un serveur VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .867.4. Configurer un client VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

8. Configurer des clients de paserelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 978.1. Machine Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 978.2. Machine Windows XP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .998.3. Machine Windows 95 ou Windows 98 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1008.4. Machine Windows NT ou Windows 2000. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1028.5. Machine DOS utilisant le paquetage NCSA Telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1068.6. Windows pour Workgroup 3.11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1078.7. Machine MacOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1078.8. Machine OS/2 Warp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110

9. Surveillez le pare-feu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1119.1. L’utilisation de votre système et de votre réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1119.2. Fichiers journaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

10. Outils de gestion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12310.1. Connexion distante en utilisant SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12410.2. Sauvegarde et restauration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12510.3. Mise à jour logiciel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

II. Théorie appliquée. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13111. De la sécurité sous GNU/Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

11.1. Préambule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13111.2. Aperçu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13111.3. Sécurité physique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13511.4. Sécurité locale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13911.5. Sécurité des fichiers et des systèmes de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14111.6. Sécurité des mots de passe et cryptage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14611.7. Sécurité du noyau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15111.8. Sécurité réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15511.9. Préparation de sécurité (avant de vous connecter) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16111.10. Que faire, avant et pendant une effraction. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16311.11. Documents de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16511.12. Foire aux questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16711.13. Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168Vocabulaire relatif à la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169

12. Le réseau sous GNU/Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17112.1. Copyright . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17112.2. Comment utiliser ce document ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17112.3. Informations générales concernant le réseau sous Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17212.4. Informations générales sur la configuration du réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17312.5. Informations sur IP et Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17812.6. Informations relative à IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18112.7. Utilisation du matériel courant pour PC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18112.8. Autres technologies de réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18312.9. Câbles et câblages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192

A. Où trouver de la documentation supplémentaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

B. La licence Publique Générale GNU (GPL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197

iv

B.1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197B.2. Préambule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197B.3. Stipulations et conditions relatives à la copie, la distribution et la modification . . . . . . . . . . . . . . . . . . 198

C. Licence de documentation libre GNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201C.1. A propos de cette traduction française de la GFDL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201C.2. Licence de documentation libre GNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201

0. PRÉAMBULE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2011. APPLICABILITÉ ET DÉFINITIONS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2012. COPIES CONFORMES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2023. COPIES EN NOMBRE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2024. MODIFICATIONS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2035. FUSION DE DOCUMENTS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2046. REGROUPEMENTS DE DOCUMENTS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2047. AGRÉGATION AVEC DES TRAVAUX INDÉPENDANTS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2048. TRADUCTION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2049. CADUCITÉ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20510. RÉVISIONS FUTURES DE CETTE LICENCE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

C.3. Comment utiliser cette Licence pour vos documents. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .205

v

Liste des tableaux

1. Chapitres importés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i1-1. Matériel requis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .212-1. Allocations pour réseaux privés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175

Liste des illustrations

2-1. Écran de bienvenue, le début de l’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32-2. Choix la langue par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43-1. La fenêtre de connexion à MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213-2. Écran d’accueil de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223-3. L’icône de déconnexion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237-1. Modèle d’une connexion VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 857-2. Ajouter une zone VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 877-3. Ajouter une interface réseau ipsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .887-4. Ajouter des politiques par défaut pour le VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 897-5. Ajouter un tunnel au pare-feu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .907-6. Configuration du CA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 917-7. Diagramme VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 927-8. Ajouter un serveur VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 937-9. Règle pour permettre le trafic HTTP sur le VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 947-10. Ajouter un client VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 958-1. Nouvelle configuration du réseau local avec drakconnect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 988-2. Régler la passerelle avec drakconnect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 988-3. Configuration de la passerelle sous Windows XP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 998-4. L’icône de réseau sous Windows 95 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1008-5. Le tableau de configuration réseau sous Windows 95. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1008-6. Le tableau de configuration TCP/IP sous Windows 95 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1018-7. Le tableau de configuration de la passerelle sous Windows 95 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1028-8. Le tableau de configuration de protocole sous Windows NT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1028-9. La panneau de logiciel réseau sous Windows NT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1038-10. Le tableau de configuration TCP/IP sous Windows NT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1048-11. Le tableau de configuration DNS sous Windows NT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1058-12. Accéder au panneau de contrôle TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1078-13. Configuration automatique de l’accès à Internet pour MacOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1088-14. Configuration manuelle de l’accès à Internet pour MacOS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1089-1. Exemple de rapport de Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11910-1. L’écran principal de la section Outils . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12310-2. Exemple de l’écran Récupérer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12610-3. Appliquer les configurations du fichier restauré. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12612-1. Un exemple de routage dynamique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17612-2. Le câblage « NULL-modem » . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19212-3. Câblage Ethernet 10base2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .193

vii

Préface

1. Notice légale

Ce manuel (à l’exception des chapitres cités ci-dessous) est la propriété intellectuelle de MandrakeSoft. Cemanuel peut être librement copié, distribué et/ou modifié selon les termes de la Licence GNU Free Documen-tation License, Version 1.1 ou ultérieure publiée par la Free Software Foundation ; avec la section inaltérable Àpropos de Mandrake Linux, page i ; les textes de couvertures, cités ci-dessous, et sans texte de dos de couverture.Une copie complète de la licence se trouve à la section Licence de documentation libre GNU, page 201.

Textes de couverture :

MandrakeSoft Mars 2002 http://www.mandrakesoft.com/

Copyright © 1999,2000,2001,2002 MandrakeSoft S.A. et MandrakeSoft inc.

Les chapitres cité dans le tableau ci-dessous sont la propriété in-tellectuelle d’autres auteurs que le manuel et sont soumis à unelicence légèrement différente :

Copyright Original Licence

De la sécurité sous GNU/Linux,page 131

(c) 1998-2000 Kevin Fenzi andDave Wreski

Licence publique général (GPL)GNU, telle que publiée par la FreeSoftware Foundation ; version 2 dela licence ou ultérieure, au choixde l’utilisateur.

Le réseau sous GNU/Linux, page171

(c) 1997 Terry Dawson, 1998Alessandro Rubini, 1999 & 2000Joshua D. Drake{POET}/CommandPrompt, Inc. -http://www.linuxports.com/

Licence LDP (voir l’informationsur la licence dans le chapitremême)

Tableau 1. Chapitres importés

« Mandrake », « Mandrake Linux » et « MandrakeSoft » sont des marques déposées par MandrakeSoftS.A. ; Linux est une marque déposée de Linus Torvalds; UNIX est une marque déposée de « The OpenGroup » aux États-Unis et d’autres pays. Toutes les autres marques déposées et copyrights appartiennent àleurs propriétaires respectifs.

2. À propos de Mandrake Linux

Mandrake Linux est une distribution GNU/Linux développée par MandrakeSoft S.A. MandrakeSoft est unesociété née sur Internet en 1998 avec l’ambition de fournir un système GNU/Linux agréable et facile à utiliser.Les deux piliers de MandrakeSoft sont le logiciel libre et le travail coopératif.

2.1. Contacter la communauté Mandrake

Nous présentons ci-dessous plusieurs liens Internet pointant vers de nombreuses ressources liées à MandrakeLinux. Si vous souhaitez en savoir plus sur la société MandrakeSoft, consultez son site Web (http://www.mandrakesoft.com/). Un site dédié à la distribution Mandrake Linux (http://www.mandrakelinux.com/) ettous ses dérivés existe également.

MandrakeSoft est également fière de présenter sa plate-forme d’aide libre. MandrakeExpert (http://www.mandrakeexpert.com/) n’est pas un autre site Web où les gens en aident d’autres pour leurs problèmes infor-matiques en échange d’un prix payable d’avance, quelle que soit la qualité du service rendu. Il propose unenouvelle expérience s’appuyant sur la confiance et le plaisir de récompenser son prochain pour sa contribu-tion.

i

http://www.mandrakesoft.com/http://www.mandrakesoft.com/http://www.mandrakelinux.com/http://www.mandrakeexpert.com/http://www.mandrakeexpert.com/

Préface

En sus, MandrakeCampus (http://www.mandrakecampus.com/) propose à la communauté GNU/Linux descours de formation libres sur toutes les technologies en rapport avec les logiciels libres. Professeurs, formateurset élèves disposent là d’une plate-forme unique d’échange du savoir.

Il y a un site pour les fans de Mandrake Linux appelé Mandrake Forum (http://www.mandrakeforum.com/) :un site exclusif pour toutes les annonces, ragots, astuces, conseils, nouvelles et plus, sur Mandrake Linux.C’est aussi un des seuls sites Web interactifs hébergés par MandrakeSoft. Donc, si vous avez quelque choseà nous dire, ou quelque chose que vous souhaitez partager avec d’autres utilisateurs, ne cherchez plus, c’estl’endroit rêvé !

Dans la philosophie des logiciels libres, MandrakeSoft offre de nombreux canaux de support (http://www.mandrake-linux.com/fr/ffreesup.php3) pour les distributions Mandrake Linux. Vous êtes en particulierinvité à participer aux nombreuses listes de diffusion (http://www.mandrake-inux.com/fr/flists.php3),où la communauté Mandrake Linux déploie tout son enthousiasme et sa vivacité.

Finalement, n’oubliez pas de vous connecter sur MandrakeSecure (http://www.mandrakesecure.net/). Cesite rassemble tout ce qui a rapport à la sécurité des distributions Mandrake Linux. Vous y trouverez notam-ment les avertissements de bogues et sécurité, ainsi que des articles en rapport avec la sécurité et la privacité.Un incontournable pour tout administrateur système, ou simple utilisateur soucieux de sécurité.

2.2. Contribuez au projet Mandrake Linux

À la demande générale, MandrakeSoft propose à ses utilisateurs enthousiastes de faire une donation (http://www.mandrakelinux.com/donations/) pour encourager les développements futurs du système MandrakeLinux. Vos contributions aideront MandrakeSoft à fournir à ses utilisateurs une distribution améliorée, sécu-ritaire, conviviale, actualiser, et prenant en charge encore plus de langues.

Quels que soient vos talents, vous êtes encouragé à participer à l’une des nombreuses tâches que requiert laconstruction du système Mandrake Linux :

• paquetages : un système GNU/Linux est principalement constitué de programmes rassemblés depuis In-ternet. Ils doivent être mis en forme de façon à ce qu’ils puissent fonctionner ensemble, si tout se passebien ;

• programmation : une foule de projets sont directement développés par MandrakeSoft : cherchez celui quivous intéresse le plus et proposez votre aide au développeur principal ;

• internationalisation : traduction des pages des sites Web, programmes et leur documentation respective.

• documentation : enfin, le livre que vous lisez actuellement lire demande beaucoup d’efforts pour suivrel’évolution rapide du système. Rédacteurs et traducteurs seront accueillis à bras ouverts !

Consultez aussi les pages des contributeurs (http://www.mandrakesoft.com/labs/) pour en savoir plus surles différentes façons de contribuer à l’évolution de Mandrake Linux.

Le 3 août 2001, après avoir rejoint le peloton de tête des fournisseurs de solutions libres et de logicielsGNU/Linux , MandrakeSoft est devenue la première société Linux à être cotée sur une bourse européenne.Que vous soyez déjà actionnaire de MandrakeSoft ou que vous souhaitiez le devenir, nos pages investis-seurs (http://www.mandrakesoft.com/company/investors) vous fourniront les meilleures informations fi-nancières sur notre société.

2.3. Acquisition de produits Mandrake

Pour les fans de Mandrake Linux désirant profiter de la facilité de l’achat en ligne, MandrakeSoft venddésormais ses produits dans le monde entier depuis son site de commerce électronique MandrakeStore(http://www.mandrakestore.com). Vous trouverez des logiciels Mandrake Linux – systèmes d’exploitationet outils réseau (pare-feu), mais aussi des offres spéciales d’abonnement, de l’assistance, des logiciels tiers etdes licences, des manuels de formation et des livres GNU/Linux , ainsi que des tee-shirts, casquettes, et autresgadgets MandrakeSoft.

ii

http://www.mandrakecampus.com/http://www.mandrakeforum.com/http://www.mandrake-linux.com/fr/ffreesup.php3http://www.mandrake-linux.com/fr/ffreesup.php3http://www.mandrake-inux.com/fr/flists.php3http://www.mandrakesecure.net/http://www.mandrakelinux.com/donations/http://www.mandrakelinux.com/donations/http://www.mandrakesoft.com/labs/http://www.mandrakesoft.com/company/investorshttp://www.mandrakestore.com

Préface

3. Au sujet de ce guide d’installation et d’utilisation MandrakeSecurity

Ce livre comprend un chapitre d’introduction qui vous guidera quant à l’installation et vous informera descomposants matériel nécessaires pour utiliser MandrakeSecurity . Il est ensuite conseillé de lire Survol desopérations, page 1 qui donne un aperçu du cycle de vie d’un serveur MandrakeSecurity et les tâches de main-tenance.

Nous détaillerons ensuite le processus d’installation (Installation avec DrakX, page 3). C’est assez simple, maiss’il s’agit de votre première installation de GNU/Linux , il est préférable de suivre ce chapitre pendant que vousinstallez MandrakeSecurity .

Puis vient le coeur de la bête ! Après ce chapitre d’introduction suivent deux parties. La première s’intituleRéglage et gestion de MandrakeSecurity et passe à travers toutes les étapes nécessaires pour opérer Mandra-keSecurity de façon efficace. Vous apprendrez les réglages de base dans le chapitre Configuration de base deMandrakeSecurity, page 21 et comment configurer la connexion Internet de votre serveur dans le chapitre Confi-gurer l’accès à Internet, page 31. Ensuite, le chapitre Services : DHCP, Proxy, DNS, et bien d’autres, page 47 expliquecomment configurer votre serveur en tant que DNS, DHCP et mandataire (Proxy). Il vous informera égalementau sujet de l’utilisation des dispositifs SDI (soit IDS ou Intrusion Detection System).

Un des chapitres les plus importants est celui-ci : Configuration du comportement du pare-feu, page 65. Il scrutela section Règles pare-feu de l’interface MandrakeSecurity et vous aidera à définir le trafic entrant/sortantsur votre réseau. Les derniers chapitres de cette première partie traitent des réglages initiaux, de configura-tions ultérieures et de réglage de services. Vous trouverez des renseignements à ces sujets dans les chapitresSurveillez le pare-feu, page 111 et Outils de gestion, page 123.

La deuxième partie est plus théorique, d’où le titre : Théorie appliquée. Elle est divisée en deux chapitres. Lepremier, De la sécurité sous GNU/Linux, page 131, s’appuie sur un HOWTO de Kevin Fenzi et Dave Wreski.Son but premier est d’aborder des questions de sécurité auxquelles les administrateurs système auront sansaucun doute à faire face. Il alterne entre des sujets philosophiques et pratiques qui vous permettront de mieuxsécuriser votre système des crackers potentiels.

Le second et dernier chapitre de cette partie s’appelle Le réseau sous GNU/Linux, page 171. Il s’appuie sur unHOWTO de Joshua D. Drake {POET}. Ce chapitre contient des liens vers de la documentation de réseau, parexemple, sur le TCP/IP. Il discute des incontournables pour opérer un réseau de façon efficace. Il explique desprincipes technologiques reliés à l’IP et à Ethernet, des technologies communes à la plupart des PCs, ainsi quedes technologies réseau particulières telles que Appletalk et le relais de trames (Frame Relay).

Ce manuel se conclut sur deux annexes. La première, Où trouver de la documentation supplémentaire, page 195,vous guidera vers des sources d’information sur Internet. Et la deuxième est la Licence de documentation libreGNU, page 201, soit la licence qui s’applique au contenu de ce livre.

4. Auteurs et traducteurs

Les personnes suivantes ont contribué à l’élaboration de ce manuel Mandrake Linux :

• Camille Bégnis

• Fabian Mandelbaum

• Roberta Michel

• Rodrigo Pedrosa

• Joël Pomerleau

• Christian Roy

• Les personnes ayant écrit des documents que nous avons intégrés sont listées dans au tableau 1.

Ces personnes ont aussi participé à des degrés divers : Amaury Amblard-Ladurantie, Florin Grad, PhilippeLibat et Diane Tan.

iii

Préface

5. Note des traducteurs

En passant d’un chapitre à l’autre, vous remarquerez que ce livre est une œuvre composite. En effet, nousavons cru essentiel de respecter le style spécifique de chaque auteur (anglophone pour la plupart), même si,évidemment, la cohérence technique et lexicale a été notre priorité.

Maintenir cette documentation est d’ailleurs un véritable défi ! Choisir le bon mot n’est pas toujours facilepuisque la plupart des termes informatiques utilisés par les professionnels de par le monde demeurent enfait des mots de langue anglaise. Inventer un terme français plus clair pour le novice risque alors de dérouterl’expert ! Que faire ? On aura en général opté pour un compromis : donner les deux termes anglais et françaislors de la première occurrence textuelle de la notion, puis un seul par la suite, afin de ne pas entraver la lecture.N’hésitez pas à nous donner votre avis à ce sujet.

Car enfin, dans le droit fil de l’esprit particulier de la communauté du libre (open source), nous accueillonsles collaborations à bras ouverts ! Il vous est tout à fait possible d’apporter votre petite pierre à l’édificationde ce projet de diverses façons. Vous disposez de temps libre ? Proposez-nous un nouveau chapitre ! Vouscomprenez bien l’anglais ? Aidez-nous à traduire ! Vous avez des idées pour améliorer ce document ? Noussommes tout ouïe !

Pour toute information sur le projet de documentation de Mandrake Linux, communiquez avec le responsablede la documentation ([email protected]).

6. Outils utilisés dans la conception de ce manuel

Ce manuel a été mis en forme avec DocBook . Borges (http: // linux-mandrake. com/ en/ doc/ project/Borges/ ) a été utilisé pour gérer l’ensemble des fichiers du projet. Les fichiers sources XML ont été préfor-matés avec openjade et jadetex , grâce aux feuilles de style de Norman Walsh personnalisées. Les images ontété prises avec xwd ou GIMP puis converties avec la commande convert du paquetage ImageMagick . Tous ceslogiciels sont libres et disponibles sur votre distribution Mandrake Linux.

7. Conventions utilisées dans ce manuel

7.1. Conventions typographiques

Afin d’accentuer clairement certains mots ou groupes de mots, nous avons utilisé certains attributs typogra-phiques. Le tableau suivant en donne la signification symbolique :

Exemple formaté Signification

inœud Signale un terme technique.

ls -lta Types utilisés pour une commande et ses arguments, les options et les noms de fichier(voir la section « Synopsis d’une commande, page v »).

ls(1) Référence vers une page de manuel. Pour consulter la page correspondante dans unshell (ou ligne de commande), exécutez la commande man 1 ls.

$ ls *.pid $ Ce style est utilisé pour une copie d’écran texte. Signale une interactionutilisateur-ordinateur, le code source d’un programme, etc.

localhost Données littérales qui ne correspondent généralement pas à une des catégoriesprécédemment définies : citation d’un mot-clé tiré d’un fichier de configuration, parexemple.

Apache Nom des applications. À ne pas confondre avec le nom de la commande associée (voisplus haut).

C onfigurer Entrées de menu ou labels des interfaces graphiques, en général. La lettre soulignéeindique le raccourci clavier éventuel.

Bus SCSI Partie d’un ordinateur ou ordinateur lui-même.

Once upon a time... Citation en langue étrangère.

Attention ! Types réservés pour les mots que nous voulons accentuer (on les lira à voix haute ;-)

iv

[email protected]://linux-mandrake.com/en/doc/project/Borges/http://linux-mandrake.com/en/doc/project/Borges/

Préface

Cette icône introduit une note. Il s’agit généralement d’une remar-que dans le contexte courant, pour donner une information addi-tionnelle.

Cette icône introduit une astuce. Il peut s’agir d’un conseil d’ordregénéral sur la meilleure façon d’arriver à un but spécifique, ou unefonctionnalité intéressante qui peut vous rendre la vie plus facile.

Soyez très attentif lorsque vous rencontrez cette icône. Il s’agittoujours d’informations très importantes sur le sujet en cours dediscussion.

7.2. Conventions générales

7.2.1. Synopsis d’une commande

L’exemple ci-dessous présente les différents signes et symboles que vous rencontrerez lorsque nous décrivonsles arguments d’une commande :

command [--option={arg1,arg2,arg3}] [argument optionnel...]

Ces conventions étant standardisées, vous les retrouverez en bien d’autres occasions (dans les pages de man,par exemple).

Les signes « < » (supérieur) et « > » (inférieur) indiquent un argument obligatoire qui ne doit pas être recopiétel quel mais remplacé par votre texte spécifique. Par exemple : désigne le nom d’un fichier ; si cefichier est toto.txt, vous devrez taper toto.txt, et non ou .

Les crochets « [ ] » indiquent des arguments optionnels que vous déciderez ou non d’inclure dans la ligne decommande.

Les points de suspension « ... » signifient qu’un nombre illimité d’options peut être inséré à cet endroit.

Les accolades « { } » contiennent les arguments autorisés à cet endroit. Il faudra obligatoirement insérer und’entre eux à cet endroit précis.

7.2.2. Notations particulières

Il vous sera demandé, de temps à autre, de presser les touches Ctrl+R. Cela signifie que vous devez taper etmaintenir la touche Ctrl enfoncée pendant que vous appuyez sur la touche R. Le même chose se rencontrepour les touches Alt et Shift.

De même, à propos des menus, aller sur l’entrée de menu Fichier→Relire la configuration utilisateur (Ctrl+R)signifie : cliquer sur le texte File du menu (généralement horizontal en haut de la fenêtre) puis sur le menuvertical qui apparaît, cliquer sur Relire la configuration utilisateur . De plus, vous êtes informé que vous pouvezutiliser la combinaison de touches Ctrl+R comme décrit ci-dessus pour arriver au même résultat.

7.2.3. Utilisateurs du système

À chaque fois que cela est possible, nous utiliserons deux utilisateurs génériques dans nos exemples :

Reine Pingusa Cet utilisateur est créé pendant l’installation.

Pierre Pingus Cet utilisateur est ensuite créé par l’administrateur système.

v

Préface

vi

Chapitre 1. Démarrage rapide

Dans ce chapitre d’introduction, nous passerons en revue toutes les étapes de pré-configuration requises avantde pouvoir utiliser les produits s’appuyant sur MandrakeSecurity . Que vous utilisiez MandrakeSecurity surun serveur dédié ou par-dessus une distribution Mandrake Linux, ce chapitre est pour vous.

1.1. Survol des opérations

La liste chronologique présentée ici vous guidera à travers tout le cycle de vie de votre pare-feu. Lisez-laattentivement avant tout, et référez-vous aux sections du manuel citées.

1. Configuration matériel requise. Si vous construisez votre pare-feu à partir d’un PC standard, vérifiezl’adéquation entre vos besoins réels et le matériel en lisant Étapes préliminaires, page 1.

2. Installation. Installez une distribution minimale sur la machine, en suivant les instructions à Installationavec DrakX, page 3.

3. Première connexion et configuration de base. Configurez les paramètres de base du système et la conne-xion Internet : Configuration de base de MandrakeSecurity, page 21.

4. Activation des services. Activez ceux des services proposés par MandrakeSecurity dont vous avez be-soin : Services : DHCP, Proxy, DNS, et bien d’autres, page 47.

5. Paramétrage des règles de pare-feu. Contrôlez le trafic sur la passerelle : Configuration du comportement dupare-feu, page 65.

6. Configuration VPN. Si vous souhaitez établir un réseau privé virtuel (VPN : Virtual Private Network) avecun autre site distant équipé avec MandrakeSecurity : Configuration d’un VPN, page 85.

7. Configuration des systèmes client. Il est maintenant temps de connecter vos différents serveurs et machi-nes hôtes à votre pare-feu. Configurez les serveurs de la DMZ en fonction des règles que vous aurezajoutées dans MandrakeSecurity . Pour les clients, suivez les instructions du chapitre Configurer des clientsde paserelle, page 97.

8. Tests. Assurez-vous simplement que les différents services configurés fonctionnent comme prévu. Vérifiezaussi que les différentes règles du pare-feu donnent bien le résultat attendu, dans toutes les directions.

9. Sauvegarde de la configuration. Obligatoire, inutile d’insister : Sauvegarde et restauration, page 125.

10. Surveillance du système. Tout le système est maintenant en étape de production et rempli ses missionscomme prévu. Pour faire en sorte que tout se passe bien dans le temps, prenez la bonne habitude devérifier régulièrement les indicateurs vitaux du système : Surveillez le pare-feu, page 111.

11. Changer les mots de passe. Il est extrêmement important pour la sécurité du système de changer pé-riodiquement le mot de passe admin permettant d’accéder au système pare-feu. Pour ce faire, allez auformulaire Configuration système Compte administrateur depuis l’interface Web: Changer le mot de passe del’administrateur, page 27.

12. Mise à jour du système. Afin d’être sûr que votre pare-feu est toujours au summum de la sécurité, Man-drakeSoft publie régulièrement des mises à jour de paquetages des applications pour lesquelles des trousde sécurité ou des bogues ont été découverts et supprimés. Faites en sorte d’installer toutes les mises àjour dès qu’elles sont disponibles : Mise à jour logiciel, page 127.

13. Réinitialisation profonde. En cas d’absolue nécessité : Sauvegardez la configuration ; désinstallez lespaquetages naat-* du système ; installez le paquetage snf-en ; et restaurez la configuration.

1

Chapitre 1. Démarrage rapide

1.2. Étapes préliminaires

Si vous avez choisi d’installer MandrakeSecurity sur une machine du commerce, voici quelques conseils ausujet du matériel nécessaire pour deux utilisations différentes. Ensuite, nous passerons rapidement en revuele processus d’installation.

Configuration Réseau local modeste, sans DMZ et peude trafic

Réseau local avec DMZ hébergeantplusieurs serveurs Internet publics

Processeur P166 PIII

Mémoire RAM 64Mo 128Mo

Disque dur 2Go 10Go

Interfaces réseau Ethernet (LAN) + Internet 2*Ethernet (LAN+DMZ) + Internet

Tableau 1-1. Matériel requis

Ces chiffres sont évidemment purement indicatifs et dépendent grandement de l’utilisation effective du ré-seau. Selon les services activés sur le serveur, la configuration peut s’avérer à l’étroit. Vérifiez régulièrement lacharge du système (Surveillez le pare-feu, page 111). Ainsi, vous pourrez agir avant que votre système ne sature.

2

Chapitre 2. Installation avec DrakX

2.1. Introduction au programme d’installation de Mandrake Linux

DrakX est le logiciel d’installation pour Mandrake Linux. Possédant son interface graphique, il offre unefacilité d’utilisation incomparable. Il permet, par exemple, de retourner à tout moment à une étape précédentede l’installation ou de définir le type d’installation selon votre niveau d’expertise avec GNU/Linux.

Figure 2-1. Écran de bienvenue, le début de l’installation

Au début de l’installation, que ce soit par CD-ROM ou disquette, le premier écran vous propose plusieursoptions d’installation (figure 2-1). Ne rien faire démarrera l’installation en mode standard ou « linux ». Lesquelques paragraphes qui suivent présentent quelques options et paramètres qui peuvent être passés au pro-gramme d’installation en cas de problème.

En appuyant sur F1, un écran d’aide apparaît. Voici les options qui vous y sont proposées :

• vgalo : Si vous avez essayé une installation normale et qu’il vous a été impossible de voir l’interface graphi-que telle que montrée plus loin (Choix de la langue, page 4), vous pouvez essayer de lancer l’installation enmode basse résolution. Cela peut arriver avec quelques cartes graphiques et MandrakeSecurity vous pro-pose de contourner ce problème. Pour lancer l’installation en mode basse résolution, tapez vgalo à l’invite.

• text : Dans la situation où vous utilisez une très vieille carte vidéo et que l’installation en mode graphiquerefuse de démarrer, le mode text vous permettra de poursuivre l’installation.

• Le mode expert : Dans certains cas isolés, la détection du matériel peut bloquer votre ordinateur. Lemode expert permet de contourner ce problème, mais sachez que vous devrez alors fournir l’ensemble desparamètres de votre matériel manuellement. Enfin, expert est une option pour les modes précédents (oulinux, le mode standard). Vous pouvez donc être amené à spécifier:boot: vgalo expert

Pour lancer une installation en mode graphique basse résolution sans détection matérielle.

3


Le mode expert proposera aussi une installation plus détaillée,permettant une plus grande souplesse.

• options du noyau : vous permet de spécifier des options directement au noyau d’installation. On l’utiliseraparticulièrement sur les systèmes où l’installeur est incapable de déterminer la quantité de mémoire ins-tallée. Il vous suffit donc de l’inscrire manuellement, en option du mode d’installation avec la commandemem=xxxxM. Par exemple, pour démarrer une installation en mode standard sur un PC ayant 256 Mo de

mémoire vive, entrez la commande suivante :boot: linux mem=256M

Le processus d’installation proprement dit possède une interface graphique (figure 2-2). À gauche, les diffé-rentes phases d’installation sont identifiées. Selon où vous en ètes dans le processus d’installation, certainesétapes seront accessibles ou non. Si vous y avez accès, elles sont mises en surbrillance lorsque le curseur de lasouris les survole.

Par ailleurs, différentes couleurs identifient les phases de l’installation.

• rouge : cette étape n’est pas encore entamée.

• orange: identifie l’étape où vous en ètes

• vert: cette étape est terminée. Rappelez-vous que vous pouvez toujours y revenir pour en changer les confi-gurations.

Ce guide se place dans l’hypothèse où vous effectuez une installation standard, étape par étape, telle quedécrite ci-dessous.

2.2. Choix de la langue

La première étape consiste à choisir votre langue.

4


Figure 2-2. Choix la langue par défaut

Veuillez choisir votre langue. Celle-ci sera utilisée durant le processus d’installation, ainsi que durant les misesà jour de votre système.

En cliquant sur Avancé, le programme vous proposera également des langues complémentaires pouvant êtreinstallées sur votre station de travail. En choisissant des langues supplémentaires, le programme vous ins-tallera toute la documentation et les applications nécessaires à l’utilisation de ces langues. Par exemple, sivous prévoyez d’accueillir des utilisateurs d’Espagne sur votre serveur, choisissez l’anglais comme langueprincipale, et, dans la section avancée, cliquez sur l’étoile grise correspondant à Spanish|Spain.

Sachez que plusieurs langues peuvent être installées. Une fois votre sélection complète terminée, cliquez surOK pour continuer.

Les langues présentées ici ne sont pas toutes disponibles dansl’interface Web de MandrakeSecurity .

5


2.3. Licence de la distribution

Avant d’aller plus loin, il est fortement recommandé de lire attentivement les termes et conditionsd’utilisations de la licence. Celle-ci régit l’ensemble de la distribution Mandrake Linux. Si, pour une raisonou une autre, vous n’acceptez pas ces conditions, cliquez sur Refuser. L’installation sera alors immédiatementinterrompue. Pour continuer, cliquez sur Accepter.

6


2.4. Détection et configuration des disques.

DrakX détecte maintenant tous les périphériques IDE présents sur votre système. DrakX recherchera aussi lespériphériques SCSI. Finalement, selon les composantes détectées, DrakX installera tous les pilotes nécessairesà son fonctionnement.

Compte tenu de la vaste gamme de périphériques disponibles sur le marché, dans certains cas la détection dematériel ne fonctionnera pas. DrakX vous demandera alors de confirmer si des composantes SCSI sont pré-sentes sur votre système. Cliquez sur Oui si vous ètes certain d’avoir un périphérique SCSI sur votre système.DrakX vous présentera alors une liste de carte SCSI disponibles. Sélectionnez la vôtre. Vous devez évidem-ment cliquer sur Non, si vous n’en avez pas. Si vous n’ètes pas certain, cliquez sur Voir les informations sur lematériel, puis sur OK. Vérifiez la liste du matériel, puis cliquez sur OK pour retourner à la question concernantles périphériques SCSI.

Si vous devez configurer votre carte SCSI manuellement, DrakX vous demandera si vous souhaitez spécifier àla main les options du périphérique. Laissez en fait DrakX chercher automatiquement les options nécessairesà la configuration de votre carte, cela fonctionne généralement.

Il peut arriver que DrakX soit incapable de vérifier les options nécessaires. Dans ce cas, vous devrez les déter-miner manuellement.

7


2.5. Configuration de la souris

DrakX détecte généralement le nombre de boutons de votre souris. Sinon, il prend pour acquis que vous avezune souris à deux boutons et configurera l’émulation du troisième bouton. De plus, DrakX saura automatique-ment si vous avez une souris PS/2, série ou USB.

Si vous désirez installer une souris différente, veuillez la sélectionner à partir de la liste qui vous est proposée.

Si vous sélectionnez une souris différente de celle choisie par défaut, DrakX vous présentera un écran de test.Utilisez les boutons et la roue pour vous assurer que tout fonctionne correctement. Si votre souris ne fonc-tionne pas normalement, appuyez sur la barre d’espacement ou Entrée ou encore Annuler, puis, sélectionnezune autre souris.

Les souris à roulette ne sont pas détectées parfois. Vous devrezalors sélectionner manuellement une souris dans la liste. Assurezvous de choisir celle qui correspond à votre modèle et au bon portde connexion. Après avoir pressé le bouton OK, une image de sourisapparâıt. Vous devez alors faire tourner la molette afin de l’activercorrectement. Testez alors que tous les mouvements et boutonsfonctionnent correctement.

2.6. Configuration du clavier

Cette étape est généralement ignorée en mode Recommandé.

8


Normalement, DrakX sélectionne le clavier approprié en fonction de la langue choisie et vous ne devriez pasvoir cette étape. Cela dit, il est possible que vous ayez un clavier ne correspondant pas exactement à votrelangue d’utilisation. Par exemple, si vous habitez le Québec et parlez le français et l’anglais, vous pouvezvouloir avoir votre clavier anglais pour les tâches d’administration système et votre clavier français pourécrire de la poésie. Dans ces cas, il vous faudra revenir à cette étape d’installation et sélectionner un autreclavier à partir de la liste.

Cliquez sur Davantage pour voir toutes les options proposées.

9


2.7. Création des partitions

Cette étape vous permet de déterminer précisément l’emplacement de votre installation de MandrakeSecuri-ty . Si votre disque est vide ou utilisé par un autre système d’exploitation, vous devrez repartitionner votredisque. Partitionner un disque signifie de le diviser précisément afin de créer un espace pour votre installation.

Comme les effets du partitionnement sont irréversibles (l’ensemble du disque est effacé), le partitionnementest généralement intimidant et stressant pour un utilisateur inexpérimenté. Heureusement, un assistant a étéprévu à cet effet. Avant de commencer, révisez vos manuels et surtout, prenez votre temps.

Si des partitions ont déjà été définies, peu importe qu’elles proviennent d’une autre installation ou d’un autreoutil de partitionnement, il vous suffit de simplement choisir sur quelle partition vous voulez installer Man-drake.

Si vos partitions ne sont pas définies, vous devrez les créer en utilisant l’assistant. Selon la configuration devotre disque, plusieurs options sont disponibles :

• Utilisez l’espace disponible : cette option tentera simplement de partitionner automatiquement l’espace inu-tilisé sur votre disque. Il n’y aura pas d’autre question.

• Utiliser les partitions existantes : l’ assistant a détecté une ou plusieurs partitions existants sur votre disque.Si vous voulez les utiliser, choisissez cette option. Il vous sera alors demandé de choisir les points de mon-tage associés à chacune des partitions. Les anciens points de montage sont sélectionnés par défaut, et vousdevriez généralement les garder.

• Utilisez l’espace libre sur une partition Windows : si Microsoft® Windows © est installé sur votre disque etprend l’ensemble de l’espace vous devez créer une place pour votre installation Mandrake. Pour ce faire,vous pouvez tout effacer (voir « effacer tout le disque » ou « Mode expert ») ou vous pouvez redimensionnerl’espace utilisé par Windows . Le redimensionnement peut être effectué sans pertes de données, à conditionque vous ayez préalablement défragmenté la partition Windows. Une sauvegarde de Vos données ne ferapas de mal non plus. Cette seconde option peut être accomplie sans perte de données. Cette solution estrecommandée pour faire cohabiter Linux et Windows sur le même ordinateur.

Avant de choisir cette option, il faut comprendre qu’après cette procédure l’espace disponible pour Windowssera réduit. Vous aurez moins d’espace pour installer des logiciels ou sauvegarder de l’information avecWindows.

10


• Effacer tout le disque: si vous voulez effacer toutes les données et les applications installées sur votre systèmeet les remplacer par votre nouveau système MandrakeSecurity , choisissez cette option. Soyez prudent, carce choix est irréversible et permanent. Il vous sera impossible de retrouver vos données effacées.

En choisissant cette option, l’ensemble du contenu de votre disquesera détruit.

• Supprimer Microsoft Windows: ce choix effacera tout simplement ce que contient le disque et recommenceraà zéro. Toutes les données et les programmes présents sur le disque seront effacés.

En choisissant cette option, l’ensemble de votre disque sera effacé

• Partitionnement personnalisé : permet de partitionner manuellement votre disque. Soyez prudent, parceque bien que plus puissante, cette option est dangereuse. Vous pouvez facilement perdre l’ensemble ducontenu d’un disque. Donc, ne choisissez pas cette option si vous ne savez pas exactement ce que vousdevez faire. Pour en savoir plus sur DiskDrake , référez vous à la documentation en ligne de DiskDrake(http://www.linux-mandrake.com/en/doc/82/en/user.html/diskdrake.html).

2.8. Choix des partitions à formater

Les partitions ayant été nouvellement définies doivent être formatées (ce qui implique la création d’un systèmede fichiers.

Lors de cette étape, vous pouvez reformater des partitions existantes pour effacer les données présentes. Vousdevrez alors les sélectionner également.

11

http://www.linux-mandrake.com/en/doc/82/en/user.html/diskdrake.html


Sachez qu’il n’est pas nécessaire de reformater toutes les partitions existantes. Vous devez formater les parti-tions contenant le système d’exploitation (comme /, /usr ou /var, mais il n’est pas nécessaire de formater lespartitions de données, notamment /home..

Soyez prudent. Une fois que les partitions sélectionnées seront reformatées, il sera impossible de récupérerdes données.

Cliquez sur OK lorsque vous ètes prêt à formater les partitions.

Cliquez sur Annuler pour ajouter ou enlever une partition à formater.

Cliquer sur Avancer si vous désirez sélectionner des partitions pour une vérification des secteurs défectueux(Bad Blocks).

2.9. Installation des paquetages

Votre nouveau système MandrakeSecurity est actuellement en cours d’installation. La liste de paquetagesinstallés est prédéfinie et ne peux pas être modifiée. Selon la quantité de paquetages installés et la vitesse devotre ordinateur, la durée de cette opération peut varier de quelques instants à plusieurs minutes.

2.10. Mot de passe root

Vous devez prendre ici une décision cruciale pour la sécurité de votre système. L’utilisateur root estl’administrateur du système qui a tous les droits d’accès aux fichiers de configuration, etc. Il est donc im-pératif de choisir un mot de passe difficile à deviner (pensez aux systèmes prévus à cet effet qui anticipentles combinaisons communes des utilisateurs). DrakX vous avertira si le mot de passe entré est trop facile àdeviner. Comme vous pouvez le voir, il est également possible de ne pas entrer de mot de passe. Nous dé-conseillons fortement cette pratique. Comme l’erreur est humaine, un utilisateur avec tous les droits peut toutdétruire sur votre système, c’est pourquoi le mot de passe doit agir comme barrière à l’entrée.

Le niveau de sécurité MSEC est positionné à 4 (« haut ») par défaut. Le mot de passe choisi doit contenir aumoins 8 caractères alphanumériques. Ne jamais écrire un mot de passe, forcez-vous à vous en souvenir parcoeur.

12


Il faut donc ménager accessibilité et mémoire, donc un mot de passe de 30 caractères est presque impossible àmémoriser.

Afin d’éviter les regards indiscrets, le mot de passe n’apparaîtra pas à l’écran. Il vous faudra donc l’inscriredeux fois afin d’éviter les erreurs de frappe. Évidemment, si vous faites deux fois la même erreur, celle-ci serasauvegardée et vous devrez la reproduire afin d’accéder à votre système pour la première fois.

2.11. Mot de passe de l’administrateur

Vous devez maintenant choisir le mot de passe pour l’administrateur du système (login: admin). Cet utilisateurest différent du compte root pour des raisons de sécurité, mais aussi parcequ’il peut s’agir de personnesdifférentes. C’est ce compte admin qui sera nécessaire pour accéder à l’interface Web de MandrakeSecurity .Les critères de choix de ce mot de passe sont les mêmes que pour le compte root.

2.12. Ajouter un utilisateur

Tous les utilisateurs nécessaires au fonctionnement de MandrakeSecurity ont été définis. Cependant, si vousprévoyez d’utiliser la fonction d’authentification PAM de squid , vous pouvez ajouter ici les utilisateurs quiseront autorisés.

Il faut d’abord entrer le vrai nom de la personne. Évidemment, vous pouvez y inscrire n’importe quoi. DrakXprendra le premier mot inséré et le transposera comme Nom de login. C’est le nom qui sera utilisé pour seconnecter au système. Vous pouvez le modifier. Il faut maintenant entrer un mot de passe. Celui-ci n’est pasaussi crucial que le mot de passe de root, mais ce n’est pas une raison pour le laisser blanc ou trop simple.Après tout, ceci mettrait vos fichiers en péril.

Vous pouvez alors choisir de rendre cet utilisateur membre d’un ou plusieurs groupes spéciaux ce qui lui don-nera des privilèges particuliers. Cochez les cases correspondants aux privilèges que vous souhaitez accorderà cet utilisateur.

Si vous cliquez Accepter, il vous sera possible d’ajouter d’autres utilisateurs. Une fois chaque utilisateur défini,cliquez sur Terminer.

13


En cliquant sur Avancé, vous pourrez sélectionner un shell diffé-rent pour cet utilisateur (bash est assigné par défaut).

2.13. Configuration réseau

Vous allez pouvoir configurer maintenant votre accès au réseau local (LAN). MandrakeSecurity tentera dedétecter les périphériques réseau et modems. Si cette détection échouait, décochez la case Utiliser la détectionautomatique.

Bien que plusieurs type de connexion soient proposés ici, ne confi-gurez pas votre connexion Internet maintenant. Vous devriez vouscontenter de configurer votre accès Ethernet LAN, de façon à pou-voir accéder à l”interface d’administration après l’installation poury configurer facilement toutes les autres connexions.

Nous ne détaillerons pas ici chacune des configurations possibles. Assurez-vous seulement que vous aveztoutes les informations (adresse IP, passerelle, serveurs DNS) de votre fournisseur de service Internet ou del’administrateur système à portée de main.

Vous pourrez configurer toutes les autres interfaces réseau (Internet, DMZ, etc.) plus tard grâce à l’interfacede MandrakeSecurity .

14


2.14. Emplacement du programme d’amorce

Vous devez indiquer le répertoire où vous souhaitez enregistrer les informations nécessaires au démarragesous GNU/Linux .

A moins que vous ne maîtrisiez parfaitement les choix dans ce domaine, nous vous conseillons de choisirPremier secteur du disque (MBR).

Les différentes options de démarrage seront alors présentées, vous pouvez les modifier si nécessaire.

15


2.15. Disquette de démarrage

Le CD-ROM d’installation de MandrakeSecurity a un mode de récupération prédéfini. Vous pouvez y accéderen démarrant l’ordinateur sur le CD-ROM: pressez la touche F1 au premier écran, puis tapez rescue. Selon laversion de votre BIOS, il faut lui spécifier de démarrer sur le CDROM. Vous pourrez avoir besoin de cela dansdeux cas précis :

• Au moment d’installer le Programme d’amorce , DrakX va réécrire sur le secteur (MBR) contenant le pro-gramme d’amorce (boot loader) afin de vous permettre de démarrer avec Windows ou GNU/Linux (en pre-nant pour acquis que vous avez deux systèmes d’exploitation installés). Si vous réinstallez Windows , celui-civa réécrire sur le secteur de démarrage et il vous sera désormais impossible de démarrer GNU/Linux .

• Si un problème survient et qu’il vous est impossible de démarrer GNU/Linux à partir du disque dur, cette dis-quette deviendra votre seul moyen de démarrer votre système Linux. Elle contient un bon nombre d’outilspour récupérer un système défectueux, peu importe la source du problème.

En cliquant sur cette étape, on vous demandera d’insérer une disquette. La disquette insérée sera complète-ment effacée et DrakX se chargera de la formater et d’y insérer les fichiers nécessaires.

16


2.16. Installation de mises à jour depuis Internet

Au moment où vous êtes en train d’installer MandrakeSecurity , il est possible que certains paquetages aientété mis à jour depuis la sortie du produit. Des erreurs ont pu être corrigées, et des problèmes de sécuritérésolus. Pour vous permettre de bénéficier de ces mises à jour, il vous est maintenant proposé de les téléchargerdepuis Internet. Choisissez Oui si vous avez une connexion Internet, ou Non si vous préférez installer les misesà jour plus tard.

En choisissant Oui, la liste des sites depuis lesquels les mises à jour peuvent être téléchargées est affichée.Choisissez le site le plus proche. Puis un arbre de choix des paquetages apparaît : vérifiez la sélection, puiscliquez sur Installer pour télé-charger et installer les mises à jour sélectionnées, ou Annuler pour abandonner.

17


2.17. L’installation est maintenant terminée !

Votre installation de MandrakeSecurity est maintenant terminée et votre système est prêt à être utilisé. Notezsoigneusement l’adresse donnée par ce dialogue, c’est celle que vous devrez utiliser dans votre navigateurInternet pour accéder à l’interface Web de MandrakeSecurity avec le compte admin. Cliquez maintenant surOK deux fois pour redémarrer votre système.

2.18. Désinstaller Linux

Le processus s’effectue en deux étapes simples :

1. Détruire toutes les partitions sur votre disque et les remplacer par une seule partition FAT. Pour ce faire,consulter la section Gérer ses partitions.

2. Désinstaller le programme d’amorce (généralement grub ). Pour ce faire, démarrer sous DOS et lancer lacommande : fdisk /mbr.

Évidemment, si vous utilisez un autre système d’exploitation, celui-ci inclut sans doute de la documenta-tion concernant l’installation de son programme d’amorce (boot loader).

Au revoir. Merci d’avoir utilisé MandrakeSecurity :-)

18

Présentation de l’interface de MandrakeSecurity

Les chapitres de cette partie sont dédiés à l’utilisation de l’outil d’administration Web de MandrakeSecurity ,qui vous permet de contrôler votre pare-feu à distance depuis n’importe quelle machine connectée à votreréseau local. Le premier chapitre, Configuration de base de MandrakeSecurity, page 21, vous guidera pour lespremières étapes de configuration de base du pare-feu. Vous pourrez y créer des comptes, configurer les cartesréseau, le serveur de journaux (logs), ainsi que l’heure locale et un serveur local de temps NTP (Network TimeProtocol).

Vient ensuite le chapitre Configurer l’accès à Internet, page 31, qui vous permettra de configurer la connexionInternet de votre serveur. Le troisième chapitre, Services : DHCP, Proxy, DNS, et bien d’autres, page 47, vousconseille dans la configuration des services associés tels que DHCP, DNS et serveurs mandataires (Proxy). Vouspourrez aussi activer un système de détection d’intrusion IDS (Intrusion Detection System) comme Preludeou Snort , ou encore bloquer l’accès à certaines adresses Internet auxquelles vous ne voulez pas que vosutilisateurs accèdent.

Le chapitre Configuration du comportement du pare-feu, page 65 parcours toutes les pages de la section des règlespare-feu de MandrakeSecurity . Cette section permet de réguler le trafic entre les différentes zones gérées parle pare-feu.

Finalement, nous parlerons de surveillance du système (essentiel pour garantir le bon fonctionnement dusystème) dans le chapitre Surveillez le pare-feu, page 111, et des outils d’entretien dans Outils de gestion, page123.

Nous espérons que vous apprécierez MandrakeSecurity !

Chapitre 3. Configuration de base de MandrakeSecurity

3.1. Introduction

Nous allons maintenant présenter brièvement l’interface de configuration et comment y naviguer. Celle-ci estfaite de menus ouvrant des assistants de configuration.

3.1.1. Connexion

La connexion au serveur pare-feu depuis n’importe quel client est effectuée grâce à n’importe quel fureteurInternet, suffisamment récent. La communication est intégralement cryptée. Ainsi les informations transmisessur le réseau sont chiffrées et, presque impossible, à lire sans les codes d’accès.

Pour démarrer la session, pointez votre fureteur sur l’adresse qui vous a été fournie lors de la dernière étapede la procédure d’installation. Ce devrait être une adresse qui ressemble à :

https://192.168.1.160:8443/

où 192.168.1.160 est l’adresse IP interne (réseau local) du pare-feu.

Des messages vont alors apparaître pour accepter un nouveau certificat de site, acceptez les. Finalement,l’écran de connexion de MandrakeSecurity apparaîtra (figure 3-1).

Figure 3-1. La fenêtre de connexion à MandrakeSecurity

Remplissez-la avec les informations de connexion du compte admin tel que défini durant l’installation. Àchaque fois que vous devrez vous identifier pour vous connecter à l’interface, utilisez le compte admin. Le motde passe doit être modifié dès la première connexion, voyez Changer le mot de passe de l’administrateur, page 27.

21


3.1.2. L’interface

Figure 3-2. Écran d’accueil de MandrakeSecurity

L’interface est disposée de manière traditionnelle, avec un menu à deux niveau sur la gauche et un cadre decontenus sur la droite. Ce dernier contiendra les différentes étapes des assistants correspondant aux entréesde menu de second niveau. Par la suite, nous appellerons « section » le sujet couvert par une entrée de menude premier niveau, et « sous-section » pour les entrées de second niveau (les assistants).

Les pages des assistants sont composées de :

• texte informatif : Le sujet de cet écran ;

• champs de saisie : à remplir ou sélectionner selon votre choix ;

• boutons : pour lancer des actions.

Vous rencontrerez aussi divers icônes. Voici les plus importants :

Le bouton d’aide. Ouvre une fenêtre d’aide contextuelle, détaillant les divers élémentsprésents dans la page courante.

Le bouton d’annulation. Annule toutes les modification faites depuis le début del’assistant, et vous ramène à la page d’accueil de MandrakeSecurity.

Le bouton de retour. Revient à l’étape précédente de l’assistant.

Le bouton « suivant ». Passe à l’étape suivante. Notez que les choix effectués sur une pagene sont rendus effectifs que lorsque le bouton de confirmation de l’assistant tout entier(ci-dessous) est pressé.

Le bouton de confirmation. Lorsque vous atteignez le dernier écran de confirmation d’unassistant, ce bouton confirme tous les choix afférant à cet assistant et les applique ausystème. N’oubliez pas de l’utiliser lorsque vous avez fini un assistant, si non tous voschangements seront perdus !

22


3.1.3. Déconnexion

Il est très important de se déconnecter explicitement de l’interface lorsque vous avez fini de travailler, ou sivous abandonnez votre bureau pour un certain temps. Notez bien que fermer le navigateur ne suffit généra-lement pas, car le serveur n’a alors aucun moyen de savoir que vous abandonnez votre machine, et une autrepersonne utilisant l’ordinateur juste après vous pourrait reprendre votre session là où vous l’avez laissée.

Figure 3-3. L’icône de déconnexion

Dès que vous avez fini une session, cliquez sur cet icône. La prochaine fois que vous essaierez de vous connec-ter, vous devrez vous identifier à nouveau.

3.2. Configuration de base du système

Cette section vous guidera pour la configuration de base du serveur. Elle permet aussi à l’administrateur dechanger son mot de passe d’accès à l’interface.

3.2.1. Configuration générale du système

L’information affichée ici est très générale, quoique essentielle. Votre système doit être associé à un nom ainsiqu’à un nom de domaine. Les champs Informations du système et temps d’utilisation (Uptime) vous donnentde l’information de base au sujet de votre système.

Un nom sera attribué au système. Celui-ci sera ensuite alloué à un réseau local. À ce stade, les paramètres àentrer dépendront du fait que vous ayez ou non un accès permanent à Internet avec une adresse IP fixe.

Nom du système machine.domain.net

Ce champ contient le nom d’hôte complet de votre machine: le nom de la machine suivi du nom de domaine,tel que parefeu.société.net.

Nom du domaine domain.net

Ce champ abrite le nom de domaine de votre machine. Si vous possédez un nom de domaine et que les DNSrequis pointe vers votre adresse IP, utilisez votre nom de domaine dans ce champ. Sinon, utilisez le nom dedomaine de votre fournisseur Internet.

23


System Info Linux machine.domain.net 2.4.18-6mdk #1, etc.

Dans ce champ sont listés 1) le type de système d’exploitation 2) le nom complet de la machine 3) la versiondu noyau 4) la date à laquelle le système a été installé 5) et le type de processeur.

Temps d’utilisation 4:33pm up 1 day, 23:26, 7 users, load average: 0.00, 0.00, 0.00

Ce champ affiche 1) l’heure locale 2) temps d’utilisation en jour, minutes et secondes 3) le nombre d’utilisateurs4) et la charge moyenne ("load average") des dernières 1, 5 et 15 minutes.

Modifier

Cliquez sur cette icône si vous voulez change le nom de votre système ou le nom de domaine.

3.2.1.1. Propriétés du système

Cette section vous aidera à changer le nom de votre système et de votre nom de domaine.

Lorsque vous aurez terminé vos changements, cliquez sur le bouton Next, puis sur le bouton Apply. Vousreviendrez alors à la page System Properties Group, qui affichera le nom du système, le nom de domaine,ainsi que de l’information sur le système et le temps disponible ("uptime").

3.3. Configuration des cartes Ethernet

Cette page liste les cartes d’interface réseau ("Network Interface Cards" ou NIC) qui sont actuellement confi-gurées sur votre machine. Cela vous permettra de choisir une carte particulière et de la configurer à nouveau,ou d’ajouter une autre carte.

Zone IP Address Subnet Mask On Boot Protocol

eth0 wan yes dhcp edit suppress admin

eth1 lan 10.0.0.1 255.255.255.0 yes static edit suppress admin

24


Chaque ligne correspond à une carte d’interface réseau dans votre ordinateur:

• pour la configurer à nouveau, cliquez sur cette icône située à la gauche de la corbeille. Vous serezégalement en mesure de choisir si vous voulez l’activer (ou non) lors de l’amorçage depuis la page EthernetInterface Configuration;

• pour permettre au réseau associé à cette interface de se connecter à l’interface Web, cliquez sur Admin (voir"Administration Interface" plus bas);

• pour la supprimer, cliquez sur cette icône .

Puis vient l’interface d’administration, qui indique l’interface à travers laquelle les connexions de l’administrateursont permises. Ceci signifie que votre pare-feu devra être administré depuis un ordinateur connecté au sous-réseau qui est associé à la carte réseau susmentionnée. Vous pouvez effectuer deux actions:

• - Détection des cartes d’interface réseau courantes: en cliquant sur cette icône, vous lancerez unprocessus d’auto-détection de cartes d’interface réseau. Utilisez cette fonctionnalité si vous avez installéune nouvelle carte d’interface réseau dans votre ordinateur. Note: après votre clic, il pourrait prendre uncertain temps avant que le prochain écran apparaisse puisque l’ordinateur cherche les nouvelles cartes.

• - Ajouter une carte d’interface réseau manuellement: si l’opération précédente devait échouer, vouspouvez configurer manuellement votre carte en cliquant sur cette icône.

3.3.1. Détection des interfaces Ethernet

Cet écran montre les cartes d’interface réseau qui viennent tout juste d’être détectées automatiquement survotre machine. Si la carte que vous souhaitez configurer n’apparaît pas sur cet écran, retournez à la pageprécédente et cliquez sur le bouton "Ajouter une carte d’interface réseau manuellement".

Driver Mac IP Address Subnet Mask On Boot

Eth0 ne2k-pci 00:40:05:E2:55:F6 192.168.1.160 255.255.255.0 yes

Chaque ligne correspond à une carte d’interface réseau physique dans votre ordinateur. Pour en choisir une et

la configurer en tant qu’interface d’accès au réseau local, revenez à la page précédente, cliquez sur etremplissez les champs.

25


3.3.2. Configuration de l’interface Ethernet pour votre réseau local

Dans cette section, vous devez définir les paramètres de la carte d’interface nécessaires pour ajuster les besoinsde votre réseau local (ou vos réseaux locaux, le cas échéant). Certains des paramètres auront peut-être étédéjà définis lors de l’installation, ou durant une configuration précédente, ou complétés avec des valeurs pardéfaut. Faites les modifications nécessaires pour répondre à vos besoins actuels.

Connecté au nom de zone lan

Vous devez choisir dans quel sorte de réseau vous travaillerez. Voici vos choix :

• lan, ou les systèmes de votre réseau local (ou réseaux locaux, le cas échéant). Ces systèmes doivent êtreprotégés d’Internet et de la DMZ et, dans certains cas, entre eux également. Choisissez cette zone pourdéfinir votre réseau local ;

• dmz, qui signifie "Demilitarized Zone" (soit zone démilitarisée). Choisissez ce type de zone si vos systèmesdoivent être accessibles depuis Internet et depuis votre réseau local ;

• wan - "Wide Area Network" (soit réseau étendu). Il peut être soit public, soit privé, et il assurel’interconnexion entre les réseaux à l’extérieur de votre LAN (soit Internet). Choisissez ce type de zonepour vous connecter directement au monde extérieur.

Adresse IP 192.168.1.1

Remplissez ce champ si vous avez une adresse IP statique pour cette interface. C’est l’adresse de votre serveur :elle est essentielle puisque les systèmes client se référeront à cette adresse.

Masque de sous-réseau ("SubnetMask". ex.: 255.0.0.0)

255.255.255.0

Dans ce champ, entrez le nom du masque de sous-réseau relié au réseau auquel l’interface est connectée.

Maintenant, réglez le protocole d’amorçage à utiliser lorsque l’interface est initialisée. Cela dépend du proto-cole utilisé par votre FAI ("ISP"). Choisissez la bonne boîte à cocher, par exemple, une des suivantes :

• static. C’est une adresse IP permanente assignée à votre serveur par votre FAI ;

• dhcp. C’est une adresse IP dynamique assignée par votre FAI lors de l’amorçage de la machine. La plupartdes FAI câble et DSL utilise une forme de DHCP ou une autre pour assigner une adresse IP à votre système.Notez également que les postes de travail devraient être configurés de cette façon pour simplifier la gestionde réseau ;

• bootp. Permet à une machine Linux de récupérer son information réseau depuis un serveur à travers leréseau.

26

Chapitre 3. Configurati