Outils pour utilisateurs

Outils du site


nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver

Table des matières



Description générale

Introduction

Le Cahier-05 du cours NethServer-101 présente:

  • l'installation et la configuration d'un modem VDSL,
  • le branchement de votre poste de travail à l'Internet et la vérification de la communication,
  • l'installation et la configuration complète d'un Serveur NethServer 7.6.1810,
  • le service d'un DNS dynamique vs régistraire de domaine FQDN,
  • l'obtention d'un certificat Let's Encrypt,
  • le pare-feu Fail2ban et le courrier électronique de même que la migration de courriels depuis un Serveur SME,
  • la configuration d'un adaptateur téléphonique analogique HT-502 et sa connexion à l'Internet à travers le Serveur NethServer afin de pourvoir continuer à utiliser votre téléphone filaire standard comme si c'était un téléphone IP et
  • la sauvegarde de la configuration et des données du Serveur NethServer.

Vous n'aurez plus besoin d'un pare-feu; le Serveur NethServer remplit ce rôle et encore plus pour votre réseau LOCAL. Ce serveur servira de bureau de poste pour vos courriels, les filtrera pour vous indiquer ceux qu'il considère comme pourriels, bloquera toutes tentatives d'intrusion en provenance de l'Internet, etc.

À propos du Serveur NethServer

Référence: À propos du Serveur NethServer.
NethServer est un système d'exploitation pour les passionnés de Linux: simple, puissant, sécurisé et orienté vers la gestion de la communication et des réseaux. NethServer est utilisé par des milliers d'individus, entreprises et organisations dans le monde entier. Le Serveur NethServer fournit une alternative, LIBRE et simple à déployer, aux logiciels propriétaires coûteux et à l'écart de la compétition.

  • NethServer repose sur la distribution CentOS-7 qui utilise le code source ouvert et publiquement disponible de la distribution Red Hat Enterprise Linux (RHEL)
  • Extrêmement modulaire et riche en fonctionnalités: serveur de messagerie et filtre, serveur Web, logiciel de groupe, pare-feu, filtre Web, IPS/IDS, VPN, etc.
  • 100% LIBRE: alimenté par des contributeurs et par la communauté.
  • Une interface Web puissante, simple, rapide et disposant de modules pré-configurés pouvant être installés en un seul clic:

    ♦ Pare-feu (Shorewall, DPI, web filter, multi wan).
    ♦ Samba4 AD ou OpenLDAP (un seul identificateur pour tous les serveurs).
    ♦ Serveur de fichiers (samba, nfs).
    ♦ Web (httpd, MySQL, MariaDB ou PostgreSQL).
    ♦ VPN.
    ♦ Sauvegarde.
    ♦ VOIP PBX.
    ♦ Nextcloud.
    ♦ Serveur de courrier et Webmail.
    ♦ etc…

Quincaillerie minimum recommandée

Les informations ci-dessous sont celles que nous suggérons être le minimum recommandé.

  • CPU: → 64 bit (x86_64).
  • Mémoire: → 1 GB.
  • Disque: → 8 GB.

Les exigences matérielles du Serveur NethServer sont modestes par rapport à d'autres distributions disponibles aujourd'hui. Toutefois, en raison de son rôle, il est important de sélectionner un ordinateur hôte approprié.

Nous recommandons d’utiliser au moins deux disques pour une configuration RAID-1. Le logiciel RAID assurera l’intégrité des données en cas d'une panne de disque.

Manuels de référence

On peut consulter les documents suivants pour de plus amples renseignements.

♦ Manuel de l’utilisateur NethServer (anglais seulement): https://www.nethserver.org/documentation/.

♦ Developer’s Guide (anglais seulement): http://docs.nethserver.org/projects/nethserver-devel/en/v7/.

But de ce cahier


Téléphonie (section optionnel)

Si vous désirez économiser sur votre facture téléphonique, vous trouverez dans ce cahier la marche à suivre pour remplacer votre connexion analogique par une ligne VoIP tout en gardant votre ancien téléphone standard.


Cours NethServer-101

Le Cours NethServer-101, se voulant une base solide pour la création d'un site de Commerce en ligne, comprend plusieurs cahiers:

  • Cahier-01: → Les bases de Linux.
  • Cahier-02: → Installation et configuration des logiciels prérequis sur le poste de travail.
  • Cahier-03: → Création d'un Serveur NethServer virtuel.
  • Cahier-04: → Serveur NethServer LOCAL & Let's Encrypt.
  • Cahier-05: → FAI, modem VDSL, domaine FQDN1) et Serveur NethServer physique.
  • Cahier-06: → Installation de WordPress.
  • Cahier-07: → Installation de l'extension de sécurité Wordfence.
  • Cahier-08: → WooCommerce, comptes chez Stripe et PayPal pour les paiements en ligne.
  • Cahier-09: → Sauvegarde/restauration ou migration d'un site avec l'extension Duplicator.
  • Cahier-10: → Serveur mandataire inversé.
  • Cahier-11: → Sauvegarde/restauration avec BackupPC.

Cours NethServer-201

Le Cours NethServer-201 décrit l'installation et la configuration d'applications sur un serveur NethServer.

Logiciels

Tous les logiciels nécessaires sont du domaine public ou LIBRE sous licence GPL; ils ne coûtent pas un sou. Le seul achat nécessaire est l'obtention d'un nom de domaine au prix initial de $15 CAD et son renouvellement annuel d'environ $30 CAD.

But final

Après avoir suivi le Cours NethServer-101, vous posséderez un site de Commerce en ligne fiable et hautement sécuritaire. De plus, vous pourrez utiliser un clone de votre site, sur un Serveur NethServer virtuel roulant sur votre poste de travail, pour tester de nouvelles extensions et applications sans compromettre la sécurité ou l'intégrité de votre site en ligne.

Particularités de ce document

Notes au lecteur

* Les captures d'écrans ne sont que des références.
** Les informations écrites ont préséance sur celles retrouvées dans les captures d'écrans. Veillez vous référer aux différents tableaux lorsque ceux-ci sont présents.
*** Une capture d'écran avec une accentuation en magenta indique qu'il faut remplacer cette distinction par vos propres paramètres ou implique un choix laissé à votre appréciation.

Conventions

Manipulation, truc ou ruse pour se tirer d'embarras.
Une recommandation ou astuce.
Une note.
Une étape, note ou procédure à surveiller.
Paragraphe non complété ou non vérifié.
Danger pour la sécurité du système.

Toutes les commandes à la console ou à travers PuTTY sont précédées d'une invite qui est toujours présente.

[[email protected] ~]# ping 10.10.10.75 -c1

PING 10.10.10.75 (10.10.10.75) 56(84) bytes of data.
64 bytes from 10.10.10.75: icmp_seq=1 ttl=64 time=1.63 ms

--- 10.10.10.75 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 1.639/1.639/1.639/0.000 ms
[[email protected] ~]#
Commande à exécuter si ce n'est déjà fait.
Commande indiquée à titre d'information seulement.


Accès Internet

Fournisseur d'accès Internet (FAI)

Remarque très importante: Plusieurs FAI bloquent les ports 80 et 25 pour soi-disant bloquer les pourriels (sic). Les pires sont Vidéotron et Bell. Si ces ports sont bloqués, il vous faudra faire une redirection de ports sinon, vous ne pourrez pas accéder à votre site Web depuis l'Internet. Le mieux est de changer de FAI; de plus, il sera surement moins dispendieux.

TekSavvy.com

Nous considérons TekSavvy.com comme le meilleur FAI au Québec et au Canada:

  • Il ne bloque aucun port.
  • Il est un des plus grands défenseurs des droits des utilisateurs de l'Internet.
  • Il est le premier à monter aux barricades lorsque le CRTC essaie de nous en passer une petite vite.
  • Ses prix sont parmi les plus compétitifs sans aucun contrat ni frais cachés.
  • Il offre des connexions DSL par câble téléphonique (cuivre & optique) et modem-câble (coaxial).

Les nouveaux prix (janvier 2019) incluent un modem gratuit.

Pour voir la disponibilité dans votre région, entrez votre Code postal et cliquez Vérifier maintenant.

Modem VDSL

Introduction

Cette section présente la marche à suivre pour configurer un modem VDSL et leconnecter à un réseau ayant un Serveur NethServer.

VDSL

Very high bitrate Digital Subscriber Line.

Référence: https://fr.wikipedia.org/wiki/Very_High_Bitrate_Digital_Subscriber_Line.
La technologie VDSL (Very high bit-rate DSL) est une technologie de type xDSL, (les signaux VDSL sont transportés sur une paire de cuivre, simultanément et sans interférence avec la voix téléphonique). Elle permet d'atteindre des débits de 13 à 55,2 Mb/s dans un sens et de 1,5 à 8 Mb/s dans l'autre, ou si l'on veut en faire une connexion symétrique, un débit de 34 Mb/s. Le VDSL est un protocole de couche 1 (Physique) selon le Modèle_OSI (Open Systems Interconnection).

Le VDSL est une technologie qui peut être utilisée au sein d'un réseau domestique ou dans un immeuble.

Sagemcom 2864

♦ Sagemcom 2864: User Manual (anglais): https://www.vmedia.ca/support/documents/sagemcom_2864_user_manual.pdf.
♦ Pour la configuration en pont (français): https://support.vmedia.ca/kb/a576/comment-faire-pour-configurer-le-sagemcom-2864-en-mode-bridge-pont.aspx.

Coût ADSL vs VDSL

Détail des coûts

Vu la popularité grandissante de notre site micronator.org ainsi que des autres sites hébergés sur notre serveur, nous avons décidé de remplacer notre connexion ADSL par une connexion VDSL.

Nous conservons notre adresse IP statique actuelle et passons d'une vitesse en amont de 800Kbps à 10Mbps. Nous avons choisi le forfait DSL à Haute Vitesse 15 - QC à $30.95/mois de Teksavvy avec une limite de bande passante de 200Go/mois (janvier 2017).

Économie mensuelle

Le coût initial pour l'installation et la configuration de la ligne sèche par un technicien de Bell est de $50.00.

Il nous en coûte donc $14.83 de moins mensuellement pour une ligne téléphonique Internet et passer d'une vitesse en amont de 800Kbps à 10Mbps.

But du modem VDSL


Paramétrage du modem VDSL

Introduction

Nous avons choisi le modem Sagemcom 2864 pour remplacer notre modem original ADSL. Teksavvy recommande le modem SmartRG SR515AC qui est techniquement beaucoup plus avancé. Teksavvy supporte aussi le Sagemcom [email protected] 2864 ainsi que le Cellpipe 7130.

Configuration

Il nous faut configurer le modem VDSL en pont (Bridge) car c'est le Serveur NethServer qui s'authentifiera par PPoE.

Si nous ne configurons pas le VDSL en pont et que nous laissons le modem VDSL gérer l'authentification PPoE, il faudra alors faire une redirection de plusieurs ports du modem vers le Serveur NethServer et reconfigurer le Serveur NethServer pour que sa carte externe reçoive son adresse par le DHCP du modem. Cette méthode est trop fastidieuse et c'est pourquoi nous avons décidé d'une configuration en pont.

Réinitialisation du modem

Sans câble téléphonique branché au VDSL, on branche l'alimentation.

Pour débuter la configuration du VDSL, il faut le réinitialiser en appuyant sur le bouton rouge RESET pour au moins 7 secondes. Cette manipulation remettra tous ses paramètres à ceux d'usine.

Le modem est maintenant à sa configuration d'usine et se présente à l'adresse 192.168.2.1.

Station de travail

On configure une station de travail avec une adresse IP statique 192.168.2.81, masque 255.255.255.0 et une passerelle 192.168.2.1.

On branche la station dans l'un des ports LAN du mo­dem.

À l'aide d'un navigateur, on se rend à l'adresse 192.168.2.1.


Langue

À bas l'anglolâtrie, on sélectionne Français → Langue → Français → SAUVER.

Paramétrer le compte

On change le mot de passe actuel qui, après une réinitialisation, est admin.

On choisit un nouveau mot de passe robuste.

Mot de passe actuel: admin → Nouveau mot de passe: on entre le mot de passe actuel Nouveau mot de passe (une nouvelle fois): → on confirme le nouveau mot de passe → SAUVER.

Internet

Il faut maintenant se reloguer avec le nouveau mot de passe.

Internet → onglet Internet.

On supprime l'ID utilisateur: et le Mot de passe:, puis on clique SAUVER.

Après avoir sauvegarder les para­mètres (ID utilisateur:/Mot de pas­se: effacés) ceux-ci vont sembler être les mêmes que précédemment, c'est normal.

Réseau sans fil

On désactive le réseau sans fil prin­ci­pal et invité:

Réseau sans fil → onglet Réseau.

Réseau sans fil principal: on clique Dé­sac­tiver.

Réseau sans fil invité: on clique Dé­sac­tiver → SAUVER.


Réseau local

Il ne peut y avoir qu'un seul serveur DHCP par réseau IP.

On désactive le DHCP du réseau local:

Réseau local → onglet DHCP → État DHCP: on clique Désactiver → SAUVER.


Paramètres avancés

Paramètres avancées → onglet Mode WAN.

Mode WAN: on choisit VDSL → SAUVER.

Notre modem VDSL est maintenant en mode PONT (Bridge).


Reconnexion à Internet

☑ On connecte le câble téléphonique au modem.

☑ L'adresse IP de la station est toujours à 192.168.2.81 et branchée à l'un des ports LAN du modem.


Réamorçage du modem

On éteint le modem en enlevant la prise AC.
☑ On débranche la station du modem.


On attend au moins 1 minute, on rebranche la prise AC au modem et on reconnecte la station à l'un des ports LAN du modem.


Peut prendre plusieurs minutes avant que les DEL (LED) soient jaune, bleu et bleu. Soyez patients.

Lorsque les DEL ont les bonnes couleurs, on peut faire un test de vitesse pour vérifier le modem.


POWER = jaune


WAN Link = bleu
Internet = bleu


Test de vitesse

Sur le poste de travail, on lance Firefox et on se rend à l'adresse http://beta.speedtest.net/fr.

Vos vitesses peuvent varier en fonction des capacités de votre station de travail.

Victoire, le VDSL fonctionne parfaitement.


Installation du Serveur NethServer

Préparation

Diagramme

☑ On relie un port LAN du modem à la carte externe du Serveur NethServer.

☑ On ajuste l'adresse IP de la station de travail à 192.168.1.81 pour qu'elle soit sur le réseau LOCAL (192.168.1.0/24) du Serveur NethServer et on la branche au port LOCAL du serveur.


☑ On peut aussi connecter un concentrateur ou un aiguilleur au réseau LOCAL.


ISO

Site de téléchargement: https://www.nethserver.org/getting-started-with-nethserver/.

On brûle le fichier nethserver-7.6.1810-x86_64.iso sur un DVD.

Paramètre du Serveur NethServer physique

La procédure d'installation est la même que celle employée pour la machine virtuelle du Cahier-03: → Création d'un Serveur NethServer virtuel, sauf qu'on prend les paramètres ci-dessous.

DATE & TIMEOn choisit notre fuseau horaire qu'on pourra modifier plus tard dans l'interface Web du Serveur NethServer.
KEYBOARDEnglish (US)
NETWORK & HOSTNAMECarte réseau LOCALEthernet (enpXsX)ON
onglet General Automatically connect to this network when it is available
onglet IPv4 SettingsMethodManual
Address192.168.1.1
Netmask255.255.255.0
Gateway8.8.8.8
DNS servers8.8.8.8
Carte réseau ExterneEthernet (enpXsX)OFF / Disabled
HOST NAMEdorgee.micronator-101.org
ROOT PASSWORDOn choisit un mot de passe robuste.


Installation sur un serveur physique

Vu que nous ne pouvons prendre de captures d'écran depuis notre serveur physique Dell T110, les captures d'écran proviennent d'une installation sur un serveur virtuel. Par contre, les paramètres utilisés sont ceux du serveur physique Dell T110. Les captures prises du serveur physique Dell T110 reprennent au paragraphe Premier login à la console du serveur NethServer.

On insère le DVD NethServer dans le lecteur du serveur et on démarre la machine.

Tous les disques de cette machine seront effacés.

- À l'invite, faire [RETOUR].

- L'installation débute.


Date et heure

Une fois le Serveur NethServer installé, nous aurons plus de choix pour le fuseau horaire. Voir le paragraphe Date and time.

- DATE & TIME.

- On choisit notre fuseau horaire.
- Done.


Clavier

- KEYBOARD..

- On sélectionne English (US).
- Done.


Réseau

- NETWORK & HOSTNAME.

- Première carte réseau → Configure…








Pour notre serveur physique Dell T110, les cartes réseau sont:






Onglet General → cocher Automatically connect to this network when it is available.

- Onglet IPv4 Settings.
- Method:Manual.
- AddressesAdd.
- Address192.168.1.1.
- Netmask24.
- Gateway8.8.8.8.
- DNS servers:8.8.8.8.
- Save.


Au retour, les paramètres sont affichés.

Deuxième carte réseau → OFF.

Deuxième carte réseau → Configure…

Onglet IPv4 Settings → Method: Disabled → Save.


FQDN de notre serveur NethServer

Il est très important de ne pas faire de faute orthographique dans le nom du serveur et surtout dans le nom du domaine, car il est très difficile de changer ceux-ci, spécialement pour la messagerie électronique et son enregistrement MX.

- On entre le nom FQDN de notre serveur Host name: dorgee.micronator-101.org → Apply.
- Le Current host name apparaît correctement.
- Done.






Begin Installation.






ROOT PASSWORD.


On entre un mot de passe robuste on confirme → Done.


L'installation se poursuit.

À la fin de l'installation, le Serveur NethServer réamorce.


Premier login à la console du serveur NethServer

À partir d'ici, toutes les captures d'écran et exemples proviennent directement du Serveur NethServer installé sur notre serveur physique Dell T110.

Configuration initiale

Table de mappe de clavier

Avant de débuter, on peut changer la mappe du clavier2) pour celle de notre région.

À la console du serveur, on affiche la mappe actuelle du clavier.

[[email protected] ~]# localectl

   System Locale: LANG=en_US.UTF-8
       VC Keymap: us
      X11 Layout: us
       X11 Model: pc105+inet
     X11 Options: terminate:ctrl_alt_bksp
[[email protected] ~]#

On affiche les claviers disponibles.

[[email protected] ~]# localectl list-keymaps | grep ca

ca
ca-eng
ca-fr-dvorak
ca-fr-legacy
ca-multi
ca-multix
dvorak-ca-fr
es-cat
ph-capewell-dvorak
ph-capewell-qwerf2k6
[[email protected] ~]#

On active le clavier ca-multi.

[[email protected] ~]# localectl set-keymap ca-multi

[[email protected] ~]#

On vérifie.

[[email protected] ~]# localectl

   System Locale: LANG=fr_FR.UTF-8
       VC Keymap: ca-multi
      X11 Layout: us
[[email protected] ~]#


Connexion à l'interface Web

NethServer peut être configuré à l'aide de l'interface Web du gestionnaire du serveur.

À partir d'un ordinateur ou d'une tablette, vous avez besoin d'un navigateur Web tel que Mozilla Firefox, Google Chrome ou Safari pour accéder à l'interface Web à l'adresse (URL) https://abcd:980abcd est l'adresse IP configurée lors de l'installation du serveur et 980 est le port utilisé pour l'interface Web.

Pour l'instant, on se connecte à l'interface Web par l'IP du réseau LOCAL: https://192.168.1.1:980.

On ajoute une exception de sécurité.

On confirme.


  1. Nom d'utilisateur par défaut: root.
  2. Nous avons déjà choisi un mot de passe au paragraphe FQDN de notre serveur NethServer.
  3. Si nous n'avons pas choisi de mot de passe lors de l'installation, par défaut il est défini à: Nethesis,1234. Attention, ne pas oublier la “virgule”.

Modifiez le mot de passe de root dès que possible, en choisissant un mot de passe robuste, composé d’une séquence aléatoire de lettres, de chiffres et de symboles.

Welcome

NEXT.


Restore configuration

On pourrait récupérer la configuration depuis une sauvegarde précédente.

NEXT.


Set host name

Le FQDN de notre serveur a été entré au paragraphe FQDN de notre serveur NethServer. On peut le modifier ici.

NEXT.


Date and time

On choisit le fuseau horaire. Ici, nous avons beaucoup plus de choix que lors de l'installation du serveur.

NEXT.


SSH

On change le port SSH de 22 à 2222 pour dérouter, un peu plus, les intrusions malveillantes.

NEXT.


Smarthost

Envoyer les courriels en utilisant un smarthost3).

Le serveur tentera d'envoyer les courriels directement à la destination (recommandé dans la plupart des cas). En choisissant plutôt d'envoyer par un smarthost, le serveur essaiera de les transmettre via le serveur SMTP du FAI (recommandé en cas de connexion peu fiable, IP dynamique, etc.).

NEXT.


Usage statistics

Ces statistiques sont utilisées seulement pour connaître le nombre total de NethServer installés.

NEXT.


Review changes

APPLY.



Configuration détaillée

Réseau

Rôles et zones

Chaque interface réseau a un rôle qui correspond à une zone du pare-feu. Le pare-feu comporte les zones intégrées suivantes, classées de la plus prépondérante à la moins privilégiée:

VERT: réseau LOCAL, cette zone est considérée comme presque fiable. Les hôtes de ce réseau peuvent accéder à n’importe quelle autre zone. Les hôtes connectés via VPN peuvent être considérés en zone verte.

BLEU: réseau invité. Les hôtes de ce réseau peuvent accéder aux zones orange et rouge, mais pas à la zone verte.

ORANGE: réseau DMZ. Les hôtes de ce réseau peuvent accéder à la zone rouge, mais pas aux zones verte et bleue.

ROUGE: réseau externe/Internet. Les hôtes de ce réseau peuvent uniquement accéder à cette zone.

Il existe également une zone du pare-feu spéciale qui représente le pare-feu lui-même. Le pare-feu peut accéder à n’importe quelle zone.

Chaque interface réseau, avec un rôle configuré, est une zone du pare-feu. Les rôles sont “mappés” aux zones Shorewall comme suit:

vert → loc
rouge → net
bleu → blue
orange → orang (dans Shorewall, un nom de zone ne peut dépasser 5 caractères)
pare-feu → FW

Les noms personnalisés des zones sont directement “mappés” sur Shorewall en respectant la limite de 5 caractères.

Les interfaces rouges peuvent être configurées avec une adresse IP statique ou à l'aide de DHCP. Toutes les autres interfaces ne peuvent être configurées qu'avec des adresses IP statiques.

Connexion Internet

Configuration des coordonnées fournies par le FAI

Pour se connecter à l'Internet, il faut entrer les coordonnées, fournies par notre FAI, dans la configuration du Serveur NethServer.

Configuration → Network → NEW LOGICAL INTERFACE.



Internet (red) → PPPoE on ppp0.

p1p1 → nom d'usager et mot de passe fournis par notre FAI.


SUBMIT.


L'interface p1p1 a obtenu un nouveau rôle: PPPoE (red) et la nouvelle interface logique ppp0 celui de: Internet (red) - red1.

  • Sous Device, on voit que le réseau de la carte em1 (eth0) est vert, c.-à-d. que c'est un réseau de confiance et implique que quiconque sur le réseau 192.168.1.0/24 peut avoir accès au gestionnaire Web du serveur.
  • Le réseau de la carte ppp0 (eth1) est rouge, c.-à-d. que ce n'est pas un réseau de confiance.
    Voir le paragraphe Services réseau pour interdire aux internautes de ce réseau (ppp0) d'accéder à l'interface Web.

Vérification de la communication

Lancer PuTTY → entrer les informations requises → Save → Open.


Lors de la première connexion, on accepte la clé de chiffrement.

On se logue avec root et le mot de passe qu’on lui a attribué lors de l’installation.

login as: root
[email protected]'s password:mot-de-passe-de-root
Last login: Fri Jan 18 20:39:53 2019

************ Welcome to NethServer ************

This is a NethServer installation.

Before editing configuration files, be aware
of the automatic events and templates system.


          http://docs.nethserver.org

***********************************************
[[email protected] ~]#

On affiche la configuration des cartes réseau.

[[email protected] ~]# ifconfig

em1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.1  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::226:b9ff:fe7a:8edc  prefixlen 64  scopeid 0x20<link>
        ether 00:26:b9:7a:8e:dc  txqueuelen 1000  (Ethernet)
        RX packets 5970  bytes 524619 (512.3 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 9763  bytes 10987148 (10.4 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device interrupt 16

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 122  bytes 8643 (8.4 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 122  bytes 8643 (8.4 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

p1p1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet6 fe80::ee08:6bff:fe04:bf7e  prefixlen 64  scopeid 0x20<link>
        ether ec:08:6b:04:bf:7e  txqueuelen 1000  (Ethernet)
        RX packets 6366  bytes 8550695 (8.1 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 3642  bytes 254970 (248.9 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

ppp0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1492
        inet 206.248.138.152  netmask 255.255.255.255  destination 206.248.155.244
        ppp  txqueuelen 3  (Point-to-Point Protocol)
        RX packets 6345  bytes 8409736 (8.0 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 3615  bytes 174118 (170.0 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

[[email protected] ~]#

Le Serveur NethServer a bien reçu son adresse IP statique 206.248.138.152 depuis notre FAI.

On lance deux ping vers google.com pour vérifier que le DNS fonctionne cirrectement.

[[email protected] ~]# ping -c 2 google.com

PING google.com (172.217.1.174) 56(84) bytes of data.
64 bytes from yyz10s04-in-f14.1e100.net (172.217.1.174): icmp_seq=1 ttl=58 time=11.2 ms
64 bytes from yyz10s04-in-f14.1e100.net (172.217.1.174): icmp_seq=2 ttl=58 time=11.3 ms

--- google.com ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 11.247/11.293/11.340/0.116 ms
[[email protected] ~]#

Test de vitesse

On vérifie que tout fonctionne correctement en lançant un test de vitesse.

Status → Diagnostics → onglet Speedtest.

SPEEDTEST.

Vos vitesses peuvent varier en fonction des capacités de votre serveur.

On peut refaire le test à plusieurs reprises pour avoir une moyenne.



Gestionnaire des logiciels

Référence: http://docs.nethserver.org/en/v7/.
NethServer est hautement modulaire; à la fin de l'installation, un ensemble minimal de fonctionnalités, telles que la configuration réseau et la visionneuse de journaux, sont installées. La page Administration → Gestionnaire des logiciels permet à l'administrateur de sélectionner et d'installer des modules supplémentaires ainsi que de répertorier et de mettre à jour les logiciels déjà installés.

Un module est généralement constitué de plusieurs paquets. Il étend les fonctionnalités du système. Par exemple, un module peut transformer NethServer en serveur de messagerie ou en mandataire Web.

Un progiciel est une unité atomique de logiciel. Il est publié par un référentiel4) public de logiciels. Les paquets NethServer sont des fichiers au format RPM; ainsi, dans ce contexte, les termes paquet et RPM peuvent être utilisés comme synonymes.

Référentiels

Les principaux référentiels sont:

  • nethserver-base: il contient les paquets et les dépendances des modules de base. Il est mis à jour lorsqu'une nouvelle version importante est publiée. Activé par défaut.
  • nethserver-updates: il contient les paquets mis à jour. Si nécessaire, ces mises à jour peuvent être appliquées sans intervention manuelle. Activé par défaut.
  • nethforge: modules fournis par la communauté pour NethServer. Activé par défaut.
  • nethserver-testing: contient les paquets sous processus QA (Assurance Qualité). Désactivé par défaut.
  • base: paquets de base de CentOS. Activé par défaut.
  • updates: paquets de mises à jour à partir de CentOS. Activé par défaut.
  • centos-sclo-rh et centos-sclo-sclo: référentiels des SCL. Les deux activés par défaut.
  • extras: RPM supplémentaires. Activé par défaut.
  • epel: Extra Packages for Enterprise Linux. Activé par défaut.

Une installation standard doit avoir les référentiels suivants activés:

base
updates
nethserver-base
nethserver-updates
nethforge
centos-sclo-rh
centos-sclo-sclo
extras
epel

On affiche tous les référentiels disponibles pour la version NethServer-7.6.1810/x86_64.

[[email protected] ~]# yum repolist

Loaded plugins: changelog, fastestmirror, nethserver_events
Determining fastest mirrors
 * base: centos.mirror.ca.planethoster.net
 * epel: fedora-epel.mirror.lstn.net
 * extras: centos.bhs.mirrors.ovh.net
 * nethforge: buck.goip.de
 * nethserver-base: buck.goip.de
 * nethserver-updates: buck.goip.de
 * updates: centos.ca-west.mirror.fullhost.io
repo id                           repo name                                           status
!base/7/x86_64                    CentOS-7 - Base                                     10,019
!centos-sclo-rh/x86_64            CentOS-7 - SCLo rh                                   8,113
!centos-sclo-sclo/x86_64          CentOS-7 - SCLo sclo                                   736
!epel/x86_64                      Extra Packages for Enterprise Linux 7 - x86_64      12,917
!extras/7/x86_64                  CentOS-7 - Extras                                      364
!nethforge/7/x86_64               NethForge 7                                            180
!nethserver-base/7/x86_64         NethServer-7 - Base                                    322
!nethserver-updates/7/x86_64      NethServer-7 - Updates                                  81
!updates/7/x86_64                 CentOS-7 - Updates                                   1,067
repolist: 33,799
[[email protected] ~]#


Langue à la console du serveur

On affiche les langues offertes à la console du serveur.

[[email protected] ~]# localectl list-locales | grep fr_

...
fr_FR
fr_FR.iso88591
[email protected]
fr_FR.utf8
[email protected]
fr_LU
fr_LU.iso88591
[email protected]
fr_LU.utf8
[email protected]
[[email protected] ~]#

On ajuste la langue désirée pour l'affichage à la console du serveur.

[[email protected] ~]# localectl set-locale LANG=fr_FR.utf8

[[email protected] ~]#

Les modifications entreront en vigueur après le prochain redémarrage

On pourra vérifier, après le prochain redémarrage, en lançant la commande ci-dessous.

[[email protected] ~]# ls -als toto

ls: impossible d'accéder à toto: Aucun fichier ou dossier de ce type
[[email protected] ~]#


Langue de l'interface Web

On change la langue de l'interface.

Administration → Software center (peut prendre un certain temps) → on coche French language.


ADD.


APPLY CHANGES.



Le RPM nethserver-lang-fr s'installe.


Reload page.

On se déconnecte/reconnecte pour activer la traduction française.


- On entre le justificatif de root.

- On choisit Français (France).

- LOGIN.


Mises à jour des logiciels

Un système NethServer 7.6 reçoit des mises à jour de différents sources:

  • le projet NethServer lui-même,
  • le projet CentOS et
  • le référentiel EPEL

Chaque projet publie des mises à jour logicielles en fonction de ses règles spécifiques et de son cycle de développement, mais tous préfèrent la stabilité logicielle aux fonctionnalités dernier cri.

Reportez-vous au forum de la communauté - https://community.nethserver.org/ et aux notes de la version 7 - http://docs.nethserver.org/en/v7/release_notes.html#release-notes-section pour plus d'informations sur les mises à jour de NethServer.

À partir des miroirs CentOS, les mises à jour publiées par le projet CentOS sont immédiatement disponibles pour NethServer. Pour plus d'informations sur les mises à jour CentOS, voir:

Même si les projets ci-dessus visent la stabilité des logiciels, il faut vérifier si les mises à jour s’intègrent harmonieusement entre-elles.

Chaque fois que le système doit être mis à jour, créez une sauvegarde des données et consultez le journal des mises à jour afin de connaître ce qui va advenir avec les différentes mises à jour. Si possible, testez les mises à jour sur un système hors production. Pour tout pressentiment, consultez le forum de la communauté NethServer - http://community.nethserver.org/.

Configuration

Administration → Gestionnaire des logiciels → Configurer.

Télécharger les mises à jour

Installer les mises à jours automatiquement
Il n'est jamais recommandé d'installer auto­matiquement des mises à jour.

Envoyer un mail à l'administrateur système
Ajouter des destinataires personnalisés
On entre un destinataire pour recevoir les messages de disponibilité de mises à jour.

SAUVEGARDER.

Courriel de notification

Lorsque des mises à jour sont disponibles, un courriel est envoyé à l'adresse entrée dans le cadre Ajouter des destinataires personnalisés lors de la configuration des mises à jour ci-dessus.

Exemple de courriel envoyé.

The following updates will be downloaded on dorgee.micronator-101.org:
================================================================================
 Package                      Architecture
                                       Version       Dépôt                Taille
================================================================================
Mise à jour :
 nethserver-mail-common       noarch   2.4.4-1.ns7   nethserver-updates    62 k
 nethserver-mail-filter       noarch   2.4.4-1.ns7   nethserver-updates    70 k
 nethserver-mail-quarantine   noarch   2.4.4-1.ns7   nethserver-updates    33 k
 nethserver-mail-server       noarch   2.4.4-1.ns7   nethserver-updates   117 k
 nethserver-mail-smarthost    noarch   2.4.4-1.ns7   nethserver-updates    45 k

Résumé de la transaction
================================================================================
Mettre à jour  5 Paquets
Updates downloaded successfully.

Mises à jour

Le “Gestionnaire des logiciels” nous avertit que des mises à jour sont disponibles → Mises à jour.



TÉLÉCHARGER ET INSTALLER.


La mise à jour débute.

À la fin de la mise à jour, Recharger la page.


DNS

C'est ici qu'on transforme le Serveur NethServer en serveur DNS.

Le DNS est responsable de la résolution des noms de domaine (par exemple www.nethesis.it) en fournissant leur adresse IP correspondante (par exemple 10.11.12.13) et inversement. Le serveur délègue la résolution des noms aux serveurs DNS configurés, mais vous pouvez spécifier des adresses pour des noms spécifiques. Par exemple, vous pouvez configurer le serveur pour répondre aux demandes de facebook.com avec l'adresse IP 0.0.0.0, ce qui aura pour effet de rendre le site Facebook inaccessible.

Hôtes

Configuration → DNS onglet Hôtes → CRÉER NOUVEAU pour attribuer un nom d'hôte à une adresse IP. Le serveur renverra l'adresse IP configurée pour les demandes de ce nom.


Nom d'hôte
Le nom de domaine, par exemple www.nethesis.it. Il est possible de créer des noms pour le domaine local, ce qui est utile pour donner un nom mnémonique aux périphériques configurés avec une adresse IP statique ou pour tout domaine ayant la priorité sur le serveur DNS du fournisseur (voir l'exemple de facebook.com ci-dessus).

● On indique micronator-101.org.

wildcard dns record
Crée un enregistrement dans la zone DNS qui correspondra aux demandes de tous les noms de sous-domaines (ex: www.toto.com s'identifiera à toto.com).

● On coche ce paramètre.

Adresse IP
L'adresse IP du nom de cet hôte.

● On indique l'adresse de la carte em1192.168.1.1.

Description
Un commentaire facultatif pour le nom de cet hôte (exemple: “Bloquer facebook” ou “serveur vidéo”).

● On donne une description à ce nouveau serveur.

SOUMETTRE.

Le nouveau nom d'hôte est présent.


Vérification

On se rend à l'URL:

Notre Serveur NethServer répond et affiche la page Web par défaut.


Lorsqu'on se rendra à l'URL:

Notre Serveur NethServer répondra et affichera l'écran de connexion.

Alias du serveur

Les alias sont des noms alternatifs pour ce serveur. Par exemple, si le nom du serveur est exemple.com, un alias peut être toto.exemple.com. Le serveur utilisera sa propre adresse IP pour le nom d'alias.

CRÉER NOUVEAU
Vous permet de créer un nouvel alias pour ce serveur.

Nom d'hôte
Le nom d'hôte que vous souhaitez ajouter ou modifier. Il ne peut contenir que des lettres, des chiffres et des traits d'union. Il doit commencer par une lettre ou un chiffre.

● On entre: toto.micronator-dev.org.

Description
Une description facultative utile pour identifier l'alias.

● On entre: Test d'alias.

SOUMETTRE.

Le nouvel alias est créé.


On se rend à: https://www.toto.micronator-101.org.

La page Web par défaut de notre site s'affiche.


Contacts de l'organisation

Configuration → Contacts de l'organisation.

Ici, on peut modifier le contact de l'organisation.

SOUMETTRE.


Certificat du serveur

Configuration → Certificat du serveur.

On déroule le menu et on choisit → Éditer le certificat auto-signé.


On ajuste les différents paramètres.

Lorsque terminé, on clique ÉDITER LE CERTIFICAT AUTO-SIGNÉ.


On voit que le paramètre ST (State - état - province) est bien à Qc.


On rafraîchit la page du navigateur.

Le certificat a été modifié, il nous faut alors ajouter une exception pour le nouveau certificat.

Il ne sera pas nécessaire de se connecter à nouveau, car le témoin stocké dans le navigateur est toujours valide.

Si on rencontre des problème de reconnexion, vidanger l'historique du navigateur et ré-essayer à nouveau.

Vérification

On clique le cadenas puis l'icône >.

Plus d'informations.

Onglet Sécurité → Afficher le certificat.


Onglet Détails → Émetteur.

On voit les paramètres du nouveau certificat.

Fermer toutes les fenêtres du certificat.

Fournisseur de comptes

Référence: http://docs.nethserver.org/en/v7/.
NethServer peut prendre en charge l'authentification et les autorisations auprès d'un fournisseur de comptes local ou distant.

Les types de fournisseurs de comptes pris en charge sont:

  • OpenLDAP local fonctionnant sous le Serveur NethServer lui-même.
  • Serveur LDAP distant avec schéma RFC2307.
  • Contrôleur de domaine Active Directory sous Samba 4 local.
  • Active Directory distant (Microsoft et Samba).

L'utilisateur root peut configurer tout type de fournisseurs de comptes à partir de la page Fournisseur des comptes.

Il faut considérer la règle suivante concernant les fournisseurs de comptes: une fois que NethServer a été lié à un fournisseur de comptes, le nom FQDN du domaine ne peut plus être modifié à moins de désinstaller le fournisseur de comptes.

Fournisseurs distants

Une fois que NethServer a été lié à un fournisseur distant de comptes, la page Utilisateurs et groupes affiche les comptes du domaine en mode de lecture seulement.

Fournisseurs locaux

Après avoir installé un fournisseur local (OpenLDAP ou Samba 4), l'administrateur peut créer, modifier et supprimer les utilisateurs et les groupes.

Attention: Veuillez choisir judicieusement votre fournisseur de comptes, car le choix est irréversible. De plus, le système interdira toute modification du FQDN du domaine après la configuration du fournisseur de comptes.

Pour modifier le FQDN, il faut désinstaller le fournisseur de comptes, modifier le FQDN, puis réinstaller le fournisseur de comptes.
- Les usagers et les groupes devraient revenir sans problème.
- Pour la désinstallation du fournisseur de comptes local, voir la section Désinstallation du fournisseur local de comptes.

Choisir le bon fournisseur de comptes

En plus de choisir de lier un fournisseur distant ou d'installer un fournisseur local, l'administrateur doit décider quel type de serveur d'arrière-plan convient à ses besoins.

Le module Serveur de fichiers de NethServer, qui active les Dossiers partagés5), peut authentifier les clients SMB/CIFS uniquement si NethServer est lié à un domaine Active Directory.

Les fournisseurs LDAP n'autorisent l'accès aux dossiers partagés qu'en mode invité. Par contre, le fournisseur OpenLDAP local est plus facile à installer et configurer.

Si la prise en charge du protocole de partage de fichiers SMB n’est pas requise, le meilleur choix est un fournisseur OpenLDAP local.

Installation du fournisseur local OpenLDAP

Pour installer et configurer un fournisseur de comptes OpenLDAP local, on accède à la page Configuration → Fournisseur des comptes → LDAP → Install locally.

Le système a besoin d’une connexion Internet fonctionnelle afin de télécharger des paquets supplémentaires.

A la fin de l'installation, le paquet est automatiquement configuré et l'administrateur peut gérer les utilisateurs et les groupes à partir de la page Gestion → Utilisateurs et groupes.

Nous allons définir LDAP comme fournisseur de comptes.

- Configuration → Fournisseur des comptes → LDAP.

- Install locally.




INSTALLER.



Le paquet OpenLDAP s'installe.

OpenLDAP a été installé.
On rafraîchit la page pour afficher les nouveaux menus.


Désinstallation du fournisseur local de comptes

Les fournisseurs locaux de comptes LDAP et AD peuvent être désinstallés à partir de la page Configuration → Fournisseur des comptes → Uninstall.

Lorsque la base de données du fournisseur local de comptes est désinstallée, tous les comptes des utilisateurs, des groupes et des ordinateurs sont supprimés.

Une liste d'utilisateurs et de groupes au format TSV (Tab Separated Values) est transférée dans les fichiers /var/lib/nethserver/backup/users.tsv et /var/lib/nethserver/backup/groups.tsv.

Voir aussi: http://docs.nethserver.org/en/v7/accounts.html#import-users-section.

Les fichiers existants, appartenant aux utilisateurs et aux groupes, doivent être supprimés manuellement.

Voici la liste des répertoires système contenant les données des utilisateurs et des groupes:

  • @lightgray:/var/lib/nethserver/home
  • @lightgray:/var/lib/nethserver/vmail
  • @lightgray:/var/lib/nethserver/ibay

Règles de mot de passe

Après l'installation d'un fournisseur de comptes, on rafraîchit la page pour faire apparaître le menu Règles de mot de passe.

Sécurité → Règles de mot de passe.

Politique de difficulté de mot de passe pour les utilisateurs
Si coché, définit le format à Fort pour le mot de passe des utilisateurs (non coché implique “aucune règle” sauf 7 caractères).

Expiration du mot de passe des utilisateurs
Active l'expiration du mot de passe pour les utilisateurs (si cette case n'est pas cochée, les mots de passe n'expirent jamais).

La durée maximum du mot de passe (180 days) → [ 30-365 days ]
Nombre maximal de jours pendant lesquels vous pouvez conserver le même mot de passe (par défaut: 180 jours).

La durée minimum du mot de passe (0 days) → [ 0 - 365 days ]
Nombre minimal de jours pendant lesquels vous êtes obligé de conserver le même mot de passe (par défaut: 0 jour).

Fort

La règle par défaut.

Cette stratégie impose que le mot de passe respecte les règles suivantes:

  • Longueur minimale de 7 caractères.
  • Contenir au moins 1 chiffre.
  • Contenir au moins 1 caractère majuscule.
  • Contenir au moins un caractère minuscule.
  • Contenir au moins 1 caractère spécial.
  • Au moins 5 caractères différents.
  • Ne doit pas être présent dans les dictionnaires de mots courants.
  • Doit être différent du nom d'utilisateur.
  • Impossible de répéter des motifs formés de 3 caractères ou plus (par exemple, le mot de passe As1.$AS1.$ n'est pas valide).

AVERTISSEMENT La modification de la règle par défaut est fortement déconseillée. L'utilisation de mots de passe faibles conduit souvent à des serveurs compromis par des attaquants externes.

Aucun

Il n'y a pas de contrôle spécifique sur le mot de passe saisi, mais la longueur minimale est de 7 caractères.

Utilisateur et groupes

Gestion → Utilisateurs et groupes.


Un fournisseur de comptes est requis pour accéder à de nombreux services fournis par le serveur (courrier électronique, dossiers partagés, etc.).

Vous pouvez vous connecter à un fournisseur distant de comptes LDAP ou Active Directory ou en installer un local.

  • La création et la modification des utilisateurs est disponible uniquement si vous installez un fournisseur de comptes local.
  • Si les utilisateurs sont lus à partir d’un fournisseur distant, les listes d’utilisateurs et de groupes ne peuvent être que consultées.
  • Chaque utilisateur est caractérisé par un justificatif d'identité (utilisateur et mot de passe).
  • Un compte utilisateur nouvellement créé reste verrouillé jusqu'à ce que soit défini son mot de passe.
  • Un utilisateur bloqué ne peut pas utiliser les services nécessitant une authentification.

Créer / Modifier

Vous permet de créer ou de modifier des données utilisateur. Le nom d'utilisateur ne peut pas être modifié après sa création.

Utilisateur

Informations de base sur l'utilisateur. Les champs ci-dessous sont obligatoires.

Nom d'utilisateur
Le nom d'utilisateur sera utilisé pour accéder aux services. Il ne peut contenir que des lettres minuscules, des chiffres, des tirets, des points, des traits de soulignement (_) et doit commencer par une lettre minuscule. Par exemple, “louise”, “gtoto” et “tatie_jojo” sont des noms d'utilisateurs valides; “4Amis”, “Tonton Franco” et “aldo/erreur” ne le sont pas.

Nom
C'est le vrai nom de l'utilisateur. Par exemple, “Général Toto”.

Groupes

À l'aide de la barre de recherche, vous pouvez sélectionner les groupes.

Nouvel utilisateur

Nous allons créer un nouvel utilisateur: michelandre.
Vous ne pouvez pas utiliser de caractères accentués dans Nom d'utilisateur.

Gestion → Utilisateurs et groupes → onglet Utilisateurs → CRÉER NOUVEAU.


On entre les informations demandées.

L'utilisateur michelandre a été créé. Le compte a été activé, car on lui a donné un mot de passe.


Compte admin

Si un fournisseur de comptes LDAP ou AD local est installé, un utilisateur admin, membre du groupe domain admins, est créé automatiquement. Ce compte permet d'accéder à toutes les pages de configuration du gestionnaire du Serveur NethServer. Il est initialement désactivé et n'a aucun accès à la console.

Astuce: Pour activer le compte administrateur, il suffit de définir son mot de passe.

Des privilèges spéciaux sont accordés au compte admin sur certains services spécifiques tels que joindre un poste de travail à un domaine Active Directory.

Si NethServer est lié à un fournisseur distant de comptes, l'utilisateur admin et le groupe domain admins peuvent y être créés manuellement s'ils n'existent pas déjà.

Si un utilisateur ou un groupe ayant un compte similaire est déjà présent dans la base de données du fournisseur distant de comptes, mais que son nom d'utilisateur est différent d'admin, NethServer peut être configuré pour se servir de ce compte similaire en lançant les deux commandes suivantes:

config setprop admins user customadmin group customadmins

La commande ci-dessous peut prendre un certain temps.

/etc/e-smith/events/actions/system-adjust custom

Activation du compte admin

Gestion → Utilisateurs et groupes → onglet Utilisateurs → vis-à-vis admin → Éditer.

La clé indique que le compte n'est pas activé.

- Il n'est pas recommandé d'autoriser Remote shell (SSH) pour l'utilisateur admin.
- Changer le mot de passe.

- On entre un mot de passe robuste.
- On confirme.
- SOUMETTRE.

Ci contre, si nous modifions un paramètre, il faut cliquer SOUMETTRE avant de changer le mot de passe, sinon la modification du paramètre sera perdue.

Le compte admin est activé, la clef est disparue.



Ajout de l'utilisateur michelandre au groupe domain admins

Gestion → Utilisateurs et groupes → onglet Groupes → à la fin de la ligne du groupe domain admins → Éditer.

Sous Membres, on entre michelandre, puis on le sélectionne pour l'Ajouter au groupe domain admins → SOUMETTRE.

Vérification

- Onglet Utilisateurs → vis à vis michelandre → Éditer.

- L'utilisateur michelandre fait bien partie du groupe domain admins.


SSH

À la page Sécurité → SSH, on peut modifier le port utilisé par le démon sshd, autoriser ou non la connexion de root et l'authentification par mot de passe.


Services réseau

Comme on le voit ci-contre, les services httpd, httpd-admin et sshd sont accessibles depuis le réseau rouge (Internet).

  • Le service httpd est accessible depuis l'Internet afin que les internautes puissent accéder à nos futurs sites Web.
  • Par contre, le service httpd-admin ne devrait être accessible que depuis les réseaux de confiance.
  • Le service sshd peut être accessible occasionnellement depuis l'Internet, mais ce n'est pas recommandé de manière permanente.

Sécurité → Services Réseau. On modifie le service httpd-admin (Interface Web NethServer) en cliquant Éditer à la fin de sa ligne.

On décoche Internet (rouge) et on clique SOUMETTRE.


On édite aussi le service sshd (SSH). On décoche Internet (rouge) et on clique SOUMETTRE.


On vérifie.


On utilise le navigateur TOR pour vérifier les accès ci-contre.

- On peut accéder à notre site Web à l'URL: https://206.248.138.152.

- On ne peut pas accéder à l'interface Web NethServer à l'URL: https://206.248.138.152:980.


TLS Policy

Stratégie TLS

La page de stratégie TLS contrôle la manière dont chaque service configure le protocole TLS (Transport Layer Security) en sélectionnant un identificateur de stratégie.

Sauf indication contraire, les paramètres TLS des stratégies sont toujours cumulatifs: les stratégies les plus récentes étendent les anciennes.

Chaque module décide de la manière d'appliquer un identifiant de stratégie spécifique offrant un compromis entre sécurité et compatibilité client. Les nouvelles stratégies privilégient la sécurité tandis que les plus anciennes offrent une meilleure compatibilité avec les anciens clients.

Policy 2018-10-01

Sécurité → TLS policy.

Nous ne modifions rien et laissons la sélection suggérée, c.-à-d. Policy 2018-10-01.

Cette stratégie restreint les paramètres TLS de la configuration par défaut d'Ejabberd. Elle s'applique uniquement à la version 18 et plus d'Ejabberd.

Ejabberd (XMPP)

Voir https://en.wikipedia.org/wiki/NSA_Suite_B_Cryptography.

@lightgray:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA


Messagerie électronique

Configuration → Messagerie électronique.

Nous avons déjà décidé de ne pas utiliser Smarthost au paragraphe Smarthost.


DHCP

Serveur DHCP

Le protocole DHCP (Dynamic Host Configuration Protocol) permet d’attribuer des adresses IP aux clients du réseau LOCAL.

Configuration → DHCP → l'onglet Serveur DHCP permet de configurer le serveur DHCP.

On peut activer le service DHCP pour le réseau LOCAL du Serveur NethServer.

Il ne peut y avoir qu'un seul serveur DHCP actif par segment de réseau IP.

On peut activer le serveur DHCP de NethServer pour le réseau 192.168.1.0/24.

em1 - green
Non coché: le serveur DHCP sera désactivé et les clients du réseau LOCAL ne recevront pas d'adresse IP de manière automatique par ce serveur.
● Décocher cette option s'il existe déjà un serveur DHCP sur votre réseau LOCAL.
Coché: le serveur émettra des adresses IP aux ordinateurs du réseau LOCAL (recommandé).

Début de la plage d'adresses IP
Première adresse IP de la plage attribuée aux clients du réseau LOCAL.

Fin de la plage d'adresses IP
La dernière adresse IP de la plage; les adresses entre début et fin seront attribuées aux clients.

Options avancées

IP Passerelle
Facultatif - l'adresse IP de la passerelle à envoyer aux clients DHCP. Si laissée vide, le serveur lui-même sera la passerelle pour tous les clients.

Temps de location
Facultatif - durée du bail IP. Si laissée vide, la valeur par défaut de 86 400 secondes (24 heures) sera utilisée.

Domaine
Facultatif - nom de domaine à envoyer aux clients DHCP. Si définie, ce domaine sera ajouté à la résolution de noms des clients.

Serveurs DNS
Facultatif - liste de serveurs DNS, séparés par des virgules, à envoyer aux clients DHCP. Si laissée vide, le serveur lui-même sera le serveur DNS pour tous les clients.

Serveurs WINS
Facultatif - liste de serveurs WINS (Windows Internet Naming Service), séparés par des virgules, à envoyer aux clients DHCP. Si laissée vide, le serveur lui-même sera le serveur WINS pour tous les clients.

Serveurs NTP
Facultatif - liste de serveurs NTP (Network Time Protocol), séparés par des virgules, à envoyer aux clients DHCP. Si laissée vide, le serveur lui-même sera le serveur NTP pour tous les clients.

Serveurs TFTP
Facultatif - liste de serveurs TFTP (Trivial File Transfer Protocol), séparés par des virgules, à envoyer aux clients DHCP. Si laissée vide, le serveur lui-même sera le serveur TFTP pour tous les clients.

Réservation d'adresse IP

Créer une réservation d'IP
Ajoute une nouvelle allocation statique (réservation) au serveur DHCP. Le périphérique avec l'adresse MAC spécifiée recevra toujours l'adresse IP spécifiée.

Nom d'hôte
Le nom d'hôte que vous souhaitez attribuer au client du réseau local avec l'adresse IP spécifiée.

Adresse Mac
L'adresse MAC de la carte réseau du client (par exemple 11: 22: 33: 44: 55: 66: 77: 88).

Adresse IP
L'adresse IP que vous souhaitez attribuer au client.

Description
Une description facultative pour identifier le client.


Date et heure

Configuration → Date et heure.

Nous avons déjà configuré la date et l'heure au paragraphe Date and time.

Routes statiques

Configuration → Routes Statiques.

Cette page permet de créer des routes statiques spéciales qui utiliseront la passerelle spécifiée. Ces itinéraires sont généralement utilisés pour connecter un réseau privé.

Pensez à ajouter ce réseau aux Réseaux de confiance si vous souhaitez autoriser des hôtes distants à accéder à des services locaux.


Réseau

Configuration → Réseau.

Nous avons déjà configuré les réseaux au paragraphe Connexion Internet.

DNS dynamique

Introduction

Référence: https://wiki.nethserver.org/doku.php?id=module:ddclient.
Le DNS dynamique (DDNS ou DynDNS) est une méthode permettant de mettre automatiquement à jour un serveur de noms, souvent en temps réel, avec une nouvelle configuration DNS de noms d’hôte, adresses ou autres informations.

Les utilisateurs d'Internet reçoivent une allocation d’adresses IP de la part de leur FAI. Les adresses attribuées peuvent être fixes (ou statiques) et changer de temps à autre; ces adresses sont dites dynamiques. Les adresses dynamiques ne sont généralement attribuées qu'aux clients résidentiels et aux petites entreprises, car la plupart des entreprises exigent des adresses statiques.

Les adresses IP dynamiques posent un problème si le client souhaite fournir un service tel qu'un site Web. Étant donné que l'adresse IP peut changer fréquemment, les noms de domaine correspondants doivent être rapidement reconfigurés dans le DNS afin de maintenir l'accessibilité à une URL connue.

De nombreux fournisseurs proposent un service DNS dynamique, gratuit ou payant, pour mettre à jour ces changements d'adresses IP. Pour un Serveur NethServer, la reconfiguration automatique peut être accomplie par le module ddclient.

Compte chez un fournisseur de DNS dynamique

Il faut avoir un compte chez un fournisseur de DNS dynamique et y avoir créé un nom de domaine.

Introduction

Lors de l'installation du premier serveur pour notre domaine micronator.org nous avons utilisé le service DNS dynamique de Dyndns.org, car nous y avions un compte gratuit. Maintenant, la gratuité est disparue.

Pour ce cahier, nous utiliserons noip.com comme fournisseur de DNS dynamique.

Fournisseur DNS dynamique

Noip.comZoneEdit.comEasydns.comdslreports.com
Hammernode (hn.org)eurodyndns.orgDtdns.comloopia.se
dnspark.comDynhost (ovh.com)Changeip.comNamecheap

Création d'un compte chez noip.com

Avant toute chose, il faut créer un compte chez le fournisseur noip.com. On se rend à l'adresse https://www.noip.com/sign-up pour y créer un compte.

- Dérouler le menu et choisir .ddns.net.
- On entre les informations demandées et on clique Free Sign Up.



Nous allons recevoir par courriel, un lien pour la confirmation.


Dans le courriel reçu, on clique Activate Account.


On peut vérifier notre nouveau nom d'hôte en cliquant Verify Hostname Settings.

- Voilà, nous avons un nom d'hôte.
- Notre nom de domaine chez Noip est maintenant: micronator-101.ddns.net.


Serveur de courrier

Il faut indiquer notre serveur de courrier à notre fournisseur DNS dynamique.


Manage Hosts → Modify.

Dans la section MX Record, on entre mail.nom-du-domaine → Update Host.


Manage Hosts → vis-à-vis micronator-101.ddns.net → Modify.


On voit la date et l'heure de la dernière mise à jour de notre adresse IP dynamique.

De la même manière, on vérifie nos autres domaines.

Enregistrement SPF

Comme on le voit ci-contre, si on veut ajouter une entrée DNS pour SPF, il nous faut une mise à niveau de notre compte noip.com qui nous coûtera quelques dollars…

Pour la différence de prix, il est préférable d'avoir un nom de domaine FQDN et une adresse IP fixe chez un régistraire reconnu.

Pour un exemple d'entrée SPF, voir le paragraphe Enregistrement TXT (Text).

Référence: https://fr.wikipedia.org/wiki/Sender_Policy_Framework.
Sender Policy Framework (SPF) est une norme de vérification du nom de domaine de l'expéditeur d'un courrier électronique, normalisée dans la RFC 7208 (section 3.1). L'adoption de cette norme est de nature à réduire les pourriels.

Description

Le protocole Simple Mail Transfer Protocol (SMTP) utilisé pour le transfert du courrier électronique à travers l'Internet ne prévoit pas de mécanisme de vérification de l'expéditeur, c'est-à-dire qu'il est facile d'envoyer un courrier avec une adresse d'expéditeur factice, voire usurpée. SPF vise à réduire les possibilités d'usurpation en publiant, dans le DNS, un enregistrement (de type TXT) indiquant quelles adresses IP sont autorisées ou interdites à envoyer du courrier pour le domaine considéré.

L'identité testée par SPF est celle indiquée par la commande MAIL FROM dans la session SMTP. C'est donc une information qui appartient à l'enveloppe du courrier et non pas à ses en-têtes. (Dans certaines conditions, SPF peut aussi utiliser le nom de la machine expéditrice, tel que spécifié dans la commande HELO.)

Hôtes

Nous allons créé un nouvel hôte (micronator-101.ddns.net) pour notre FQDN du service dynamique NoIP.

On n'utilise jamais www avec un nom d'hôte utilisant un service de DNS dynamique.

Configuration → DNS onglet Hôtes → CRÉER NOUVEAU.


Nom d'hôte
On indique micronator-101.ddns.net.

wildcard dns record
On coche ce paramètre.

Adresse IP
On indique l'adresse sur le réseau LOCAL.

Description
On donne une description de ce nouvel hôte → Hôte chez NoIP.

SOUMETTRE.

Le nouvel hôte a été créé.


Installation du module DNS dynamique

Prérequis: installation du référentiel stephdl

Référence: https://wiki.nethserver.org/doku.php?id=stephdl_repository.

Si nous ne sommes pas connecté, on ouvre une session PuTTY vers le Serveur NethServer et on se logue en tant que root.

[[email protected] ~]# yum install -y  http://mirror.de-labrusse.fr/NethServer/7/x86_64/nethserver-stephdl-1.0.7-1.ns7.sdl.noarch.rpm

...
Transaction Summary
============================================================================================
Install  1 Package

Total size: 40 k
Installed size: 40 k
...
Installed:
  nethserver-stephdl.noarch 0:1.0.7-1.ns7.sdl

Complete!
[[email protected] ~]#


Installation du module nethserver-ddclient

[[email protected] ~]# yum install -y nethserver-ddclient --enablerepo=stephdl

...
Transaction Summary
============================================================================================
Install  1 Package (+6 Dependent packages)

Total download size: 308 k
Installed size: 742 k
...
Installed:
  nethserver-ddclient.noarch 0:1.0.7-1.ns7.sdl

Dépendances installées :
  ddclient.noarch 0:3.8.3-2.el7                  perl-Digest-SHA1.x86_64 0:2.13-9.el7
  perl-JSON-Any.noarch 0:1.32-1.el7              perl-JSON-XS.x86_64 1:3.01-2.el7
  perl-Types-Serialiser.noarch 0:1.0-1.el7       perl-common-sense.noarch 0:3.6-4.el7

Complete!
[[email protected] ~]#


On rafraîchit notre page Web pour afficher le nouveau menu.


Création d'un hôte de DNS dynamique

Configuration → Service DNS dynamique → onglet Service DNS Dynamique → CRÉER NOUVEAU pour ajouter un nouveau nom d'hôte utilisant un DNS dynamique.


Justificatifs d'identité

On entre les informations demandées.

Nom d'hôte DNS dynamique
Le nom d'hôte d'un client d'un service DNS dynamique doit être un nom complet pour votre nom d'hôte, ex: arthur-rimbaud.dyndns.org. Il ne peut contenir que des lettres, des chiffres et des traits d'union et il doit commencer par une lettre ou un chiffre.

Description
Un description facultative du nom d'hôte.

Login
Identifiant de connexion à votre fournisseur de DNS dynamique.

Mot de passe
Le mot de passe utilisé pour vous connecter à votre fournisseur de DNS dynamique.

Enregistrement MX de votre serveur de courrier
Vous pouvez fournir le nom utilisé par votre enregistrement MX définissant le nom de votre serveur de courriers, non disponible par tous les fournisseurs de DNS dynamique.

Fournisseurs d'adresses dynamiques

Si votre FAD utilise des paramètres spécifiques où s'il n'apparaît pas dans la liste des Paramètres des fournisseurs officiels (voir le prochain paragraphe), vous pouvez utiliser Personnaliser les paramètres du fournisseur pour entrer ses paramètres en cliquant:
⦿ Personnaliser les paramètres du fournisseur

Nom du serveur (FQDN)
Adresse du serveur (FQDN): ce champ est le nom de domaine complet fourni par votre fournisseur de DNS dynamique.

Protocole Ddclient
Ce champ est le protocole ddclient que vous devez utiliser avec votre fournisseur.

Paramètres des fournisseurs officiels

Vous pouvez choisir entre les fournisseurs ci-contre, si le vôtre n'est pas disponible, veuillez demander à Stéphane de Labrusse: stephd at de-labrusse dot fr de l'ajouter.

⦿ Paramètres des fournisseurs officiels

⦿ Adresses dynamiques No-IP (noip.com)

SOUMETTRE.

Le nom de notre hôte est créé.


Paramètre du service Ddclient

On utilise les paramètres par défaut.

Vérification

Processus

Vérification du processus.

[[email protected] ~]# ps aux | grep ddclient

ddclient  3286  0.0  0.2 145472  7852 ?        S    19:05   0:00 ddclient - sleeping for 170 seconds
root      9268  0.0  0.0 112728   972 pts/0    S+   19:08   0:00 grep --color=auto ddclient
[[email protected] ~]#

Le processus ddclient est actif.

Site Web

On se rend à notre site Web en spécifiant notre nom de domaine dynamique.
Il est préférable d'utiliser le navigateur TOR pour vérifier si tout fonctionne correctement.

Avec un service dynamique, il ne faut pas utiliser de www. tel que ci-dessous:

Vérification chez noip.com

Avec Firefox, on se logue chez noip.com.

On clique Dynamic DNS.

On voit notre adresse IP et l'heure de sa dernière mise à jour.

On se déconnecte de chez noip.com.

À la console du serveur, on affiche l'heure

[[email protected] ~]# date

Mon Jan 14 19:09:07 EST 2019
[[email protected] ~]#

Montréal est dans le fuseau horaire (EST) UTC-5; l'heure Atlantic Standard Time (AST) est UTC-4.

On vérifie la date et l'heure de la mise à jour dans le journal /var/log/messages.

Jan 19 19:04:21 dorgee esmith::event[15911]: Event: nethserver-ddclient-update SUCCESS
Jan 19 19:05:22 dorgee ddclient[15940]: WARNING: updating micronator-101.ddns.net: nochg: No update required; unnecessary attempts to change to the current address are considered abusive

Serveur sur un réseau local (intranet)

Pour accéder à une page Web depuis l'Internet, si notre Serveur NethServer est sur un réseau LOCAL, c.-à-d. derrière une passerelle, il nous faudrait utiliser Renvoi de ports sur le serveur passerelle.

Le serveur passerelle (notre serveur principal) permet de re-directionner tous les ports y compris le port 80.

Malheureusement, si on redirectionne le port 80 vers un serveur LOCAL, on ne pourra plus accéder au site sur la passerelle elle-même. Il est donc difficile, mais non impossible, pour un site de fonctionner correctement en étant sur un réseau LOCAL et être accessible depuis l'Internet tout en utilisant une adresse IP privée.

La solution consiste à configurer le serveur principal, celui qui est directement branché à l'Internet, en tant que Mandataire inversé pour rediriger les requêtes Web vers le serveur sur le réseau LOCAL. Voir le Cahier-10: Serveur mandataire inversé.

Le service DNS dynamique fonctionne correctement.


Régistraire de domaines

Introduction

Nous avons choisi GoDaddy.com comme régistraire de notre nouveau domaine. Cette société est efficace et offre un bon support. De plus, lorsqu'on ajuste les enregistrements DNS, ils se diffusent très rapidement dans tous les serveurs DNS de la planète; contrairement à certains autres régistraires qui font attendre entre 24 et 48 heures avant de diffuser les nouveaux enregistrements.

Enregistrement d'un nom de domaine

Recherche d'une aubaine

Pour voir les dernières aubaines offertes, on lance une recherche godaddy 99 cent dans Google.

Cherchez bien et vous allez trouver!

Soyez prudent, assurez-vous que l'offre vient bien de GoDaddy!

Ici, nous voyons que GoDaddy offre un domaine .com pour 99 cents. Cette offre est très avantageuse pour un serveur de test.

On clique le lien.

L'exemple de ce chapitre est pour le domaine micronator-101.com, mais les manipulation sont exactement les même pour micronator-101.org ou tout autre domaine FQDN.

Recherche d'un nom de domaine

La page s'affiche en anglais, mais si on change pour français, l'offre disparaît. Nous restons en anglais pour l'instant et, plus loin, on choisira l'affichage français.

On cherche si le domaine micronator-101.com est disponible.


Sélection du domaine recherché

On s'assure que les prix sont en dollars canadiens (CAD).

Le domaine micronator-101.com est disponible pour $0.99CAD. On clique Select.

Coordonnées privées vs publiques

Normalement, nos coordonnées seront publiques et quiconque faisant une recherche dans un whois, verra notre nom, etc…

Pour remédier à la situation, GoDaddy offre de rendre nos coordonnées privées. Lorsque quelqu'un fera un recherche, ce seront les coordonnées de GoDaddy qui seront affichées.

GoDaddy charge$9.99CAD par année pour cet escamotage.

On choisit cette option et on clique Scroll down to continue to cart.

Puis, on clique Continue to Cart.


Modification du nombre d'années de l'abonnement

Maintenant, on peut afficher en français en déroulant le menu des langues disponibles.

- On change l'abonnement de 2 ans à 1 an.

- On vérifie que nos coor­don­nées seront privées.

- On vérifie le total de la fac­tu­re.

Si tout semble correct, on clique Procéder au paiement.


Nouveaux clients / Clients existants

- On vérifie le total de la facture.

- Sous Nouveaux clients, on clique Continuer.


Facturation & Paiement

Informations de facturation

- On entre toutes les informations demandées.

- Si on a lu et qu'on accepte les conditions, on coche:

J'accepte les conditions suivantes.

Continuer.


Informations du compte et Informations de paiement

On entre les informations demandées puis on clique Continuer.


Information de facturation

- On vérifie toutes les informations affichées.

- Si on a lu et qu'on accepte les conditions, on vérifie qu'on a bien coché J'accepte les conditions suivantes.

- On clique Passez votre commande.

Un résumé de la transaction sera affiché à l'écran suivant.


Courriels

Premier courriel

À l'adresse de courriel fournie à GoDaddy, on reçoit un premier courriel détaillant notre facture.


Deuxième courriel

- On reçoit un deuxième courriel nous demandant de confirmer notre adresse courriel.

- On clique Verify your email address.

- Si on ne confirme pas notre adresse courriel, GoDaddy va mettre temporairement notre site en attente jusqu'à ce que la vérification soit effectuée.


Troisième courriel

- Après la confirmation de notre adresse, on reçoit un troisième courriel nous remerciant.

- GoDaddy nous offre des domaines avec d'autres suffixes.

- Si on veut faire la gestion de notre domaine, on peut cliquer MANAGE MY DOMAIN.


Login chez GoDaddy

On se logue chez GoDaddy.


Renouvellement automatique du domaine

- Par défaut, GoDaddy renouvelle automatiquement un nouveau domaine enregistré chez-lui.

- On déroule le menu DOMAINES.

- Paramètres du domaine
.


- On met à Off le Renouvellement automatique.

- Puis on revient à notre domaine en cliquant Mes Domaines.


Les enregistrements DNS

Référence: https://fr.wikipedia.org/wiki/Domain_Name_System#Principaux_enregistrements_DNS.
Le type d'enregistrement de ressource RR (pour Resource Record) est codé sur 16 bits, IANA conserve le registre des codes assignés. Les principaux enregistrements définis sont les suivants:

  • A record ou address record qui fait correspondre un nom d'hôte à une adresse IPv4 de 32 bits distribués sur quatre octets ex: 123.123.123.123;
  • AAAA record ou IPv6 address record qui fait correspondre un nom d'hôte à une adresse IPv6 de 128 bits distribués sur seize octets;
  • CNAME record ou canonical name record qui permet de faire d'un domaine un alias vers un autre. Cet alias hérite de tous les sous-domaines de l'original;
  • MX record ou mail exchange record qui définit les serveurs de courriel pour ce domaine;
  • PTR record ou pointer record qui associe une adresse IP à un enregistrement de nom de domaine, aussi dit “reverse” puisqu'il fait exactement le contraire de A record;
  • NS record ou name server record qui définit les serveurs DNS de ce domaine;
  • SOA record ou Start Of Authority record qui donne les informations générales de la zone: serveur principal, courriel de contact, différentes durées dont celle d'expiration, numéro de série de la zone;
  • SRV record qui généralise la notion de MX record, mais qui propose aussi des fonctionnalités avancées comme le taux de répartition de charge pour un service donné, standardisé dans la RFC 2782;
  • NAPTR record ou Name Authority Pointer record qui donne accès à des règles de réécriture de l'information, permettant des correspondances assez lâches entre un nom de domaine et une ressource. Il est spécifié dans la RFC 3403;
  • TXT record permet à un administrateur d'insérer un texte quelconque dans un enregistrement DNS (par exemple, cet enregistrement est utilisé pour implémenter la spécification Sender Policy Framework);
  • d'autres types d'enregistrements sont utilisés occasionnellement, ils servent simplement à donner des informations (par exemple, un enregistrement de type LOC indique l'emplacement physique d'un hôte, c'est-à-dire sa latitude et sa longitude). Cet enregistrement aurait un intérêt majeur mais n'est malheureusement que très rarement utilisé dans le monde Internet.

Gestion des DNS

Chez GoDaddy, on clique MICRONATOR-101.COM.


Enregistrement A

Utilisation: Un enregistrement d'hôte relie un nom de domaine ou de sous-domaine à une adresse IP.

- Onglet Fichier de zone DNS.

- Sous l'encart A (Host), on clique Ajouter l'enregistrement.


- Type d'enregistrement:
On choisit A (Host).

- Hôte:
On entre le caractère @.

- Pointe sur:
On entre notre adresse IP fixe.

Si on utilise une adresse IP dynamique telle que micronator-101.ddns.net provenant de NoIP, on entre alors micronator-101.ddns.net dans le champ Pointe sur:.

- TTL:
Demeure à 1 heure.

- Cliquer Terminer.


- Au retour, tout vérifier.

-Enregistrer les modifications.


Voilà! Notre Enregistrement A est défini.


Pour supprimer un enregistrement, on clique l'icône de la Poubelle; pour le modifier on clique l'icône avec le Crayon.

Enregistrement AAAA (hôte IPv6)

Utilisation: Un enregistrement AAAA contient l'adresse IPv6 d'un nom de domaine ou d'un sous-domaine. Leurs différents éléments sont séparés par le caractère deux-points “:”.

Présentement, on n'utilise pas le protocole IPv6.


Enregistrement CName (Alias)

Utilisation: Les enregistrements CNAME (ou “enregistrements d'alias”) relient un sous-domaine à un enregistrement “A (Host)” pour permettre la traduction du sous-domaine en adresse IP. Voir CNAME.
On clique Ajouter l'enregistrement.

  • On entre les CNAME ci-dessous un à la fois et à chacun → Ajouter un(une) autre.
  • email, ftp, http, https, imap, mail, mobilemail, pda, pop, proxy, smtp, webmail, wpad et www.
  • Après le dernier CNAME, on clique Terminer → Enregistrer les modifications.


Enregistrement MX (Mail Exchanger)

Utilisation: Les enregistrements MX assurent le routage des courriels adressés à un nom de domaine. Comme un enregistrement CNAME, un enregistrement MX relie un nom de domaine ou sous-domaine à un autre nom de domaine ou à un autre sous-domaine pour lequel il existe un enregistrement “A (Host)”.

Cet enregistrement pointe vers notre serveur de messagerie; toujours “mail.” suivi du nom du domaine pour un Serveur NethServer.


Enregistrement TXT (Text)

Utilisation: Les enregistrements TXT contiennent une chaîne de texte qui communique les informations nécessaires à certains protocoles (par exemple, SPF). Pour plus de détails sur SPF, voir le paragraphe Enregistrement SPF.


Dans le cadre TXT (Text), cliquer Ajouter l'enregistrement.

On entre les informations nécessaires, exactement tel que ci-dessous → Terminer.


Au retour, on vérifie tout.


On clique Enregistrer les modifications.


Encore une fois, on vérifie tout.


Enregistrement SRV (Service)

Utilisation: Les enregistrements SRV ou “enregistrements de service” sont chargés de localiser des services relatifs aux domaines, par exemple FTP, HTTP ou SIP.

Non utilisé.


Enregistrement NS (Nameserver)

Utilisation: Les enregistrements NS spécifient les serveurs de noms prioritaires du domaine considéré. Dans chaque zone DNS, il doit exister au moins deux enregistrements NS.

Ces enregistrements sont automatiquement fournis et entrés par GoDaddy. Ne pas les modifier.

Déconnexion

Après avoir tout vérifier, en haut de l'écran, on clique notre nom d'usager pour dérouler le menu → Déconnexion.

On est alors retourné sur la page d'acceuil de GoDaddy.


Ajout de l'hôte micronator-101.com

DNS onglet Hôtes → CRÉER NOUVEAU pour ajouter notre nouvel hôte.

- On entre les informations demandées.
- SOUMETTRE.


Notre nouvel hôte a été créé.


Vérification

Il est préférable d'utiliser le navigateur TOR pour vérifier si tout fonctionne correctement.

On se rend à notre site Web en spécifiant no­tre nouveau domaine:

Victoire, notre nouveau domaine fonctionne correctement.


Certificat Let's Encrypt

Glossaire

Ce préambule rassemble quelques termes reliés à la cryptographie.

Cryptographie asymétrique

Référence: https://fr.wikipedia.org/wiki/Cryptographie_asym%C3%A9trique.
La cryptographie asymétrique, ou cryptographie à clé publique, est une méthode de chiffrement qui s'oppose à la cryptographie symétrique. Elle repose sur l'utilisation d'une clé publique (qui est diffusée) et d'une clé privée (gardée secrète), la première permettant de coder le message et la seconde de le décoder. Ainsi, l'expéditeur peut utiliser la clé publique du destinataire pour coder un message que seul le destinataire (en possession de sa clé privée) peut décoder, garantissant la confidentialité du contenu.

Chiffrement

L'un des rôles de la clé publique est de permettre le chiffrement; c'est donc cette clé qu'utilisera Bob pour envoyer des messages chiffrés à Alice. L'autre clé — l'information secrète — sert à déchiffrer. Ainsi, Alice, et elle seule, peut prendre connaissance des messages de Bob. La connaissance d'une clé ne permet pas de déduire l'autre.

Certificat

Référence: https://fr.wikipedia.org/wiki/Certificat_%C3%A9lectronique.
Un certificat électronique (aussi appelé certificat numérique ou certificat de clé publique) peut être vu comme une carte d'identité numérique. Il est utilisé principalement pour identifier et authentifier une personne physique ou morale, mais aussi pour chiffrer des échanges. Il est signé par un tiers de confiance qui atteste du lien entre l'identité physique et l'entité numérique (Virtuel). Le standard le plus utilisé pour la création des certificats numériques est le X.509.

Référence: https://fr.wikipedia.org/wiki/X.509.
Dans le système X.509, une autorité de certification attribue un certificat liant une clé publique à un nom distinctif (Distinguished Name) dont le format est défini par la recommandation X.500, ou encore à un nom alternatif (Alternative Name) tel qu'une adresse électronique ou un enregistrement DNS.

Ce certificat place la signature d'une autorité de certification dans le dernier champ. Concrètement, cette signature est réalisée par un condensat de tous les champs précédents du certificat et un chiffrement de ce condensat par la clé privée de l'autorité de certification. N'importe qui possédant la clé publique de cette autorité de certification peut déchiffrer le condensat et le comparer au calcul de son propre condensat du certificat. Si les deux condensats sont identiques, cela garantit que le certificat est intègre et qu'il n'a pas été modifié.

Chaîne de certification

Le certificat de l'autorité de certification qui contient sa clé publique peut à son tour être signé par un autre certificat de plus haut niveau, formant ainsi une chaîne. Tout en haut de la chaîne on trouve les certificats les plus importants: les certificats racines.

Certificats racines

Les certificats racines sont des clés publiques non signées, ou auto-signées, dans lesquelles repose la confiance. Les logiciels, comme les navigateurs Web ou les clients de messagerie détiennent des certificats racines de nombreuses autorités de certification commerciales ou gouvernementales. Quand un navigateur ouvre une connexion sécurisée (TLS/SSL) vers un site possédant un certificat émis par une autorité connue, il considère le site comme sûr dans la mesure où le chemin de certification est validé. Le passage en mode sécurisé est alors transparent.

SAN et Wildcard

Référence: https://www.thawte.fr/ssl/san-uc-ssl-certificates/#.
Référence: https://www.thawte.fr/ssl/wildcard-ssl-certificates/.
Que signifient les termes SAN (Subject Alternative Names) et UC (Unified Communications)?

Les certificats qui utilisent les SAN (Subject Alternative Names) sont des outils puissants qui permettent de sécuriser plusieurs noms de domaines de façon efficace et économique. Les certificats SSL Thawte permettent de sécuriser jusqu'à 25 noms de domaines complets avec un seul certificat utilisant les SAN. Les noms de certificats qui utilisent les SAN sont également appelés certificats UC (Unified Communications ou communications unifiées) et sont utilisés avec Microsoft Exchange Server 2007, Microsoft Exchange Server 2010 et Microsoft Communications Server. L'objectif d'un certificat avec SAN est le même que n'importe quel autre certificat; il permet à un serveur de définir son identité et d'établir une communication sécurisée. Les certificats avec SAN procurent également un champ SAN (Subject Alternative Name) qui permet de protéger les noms de domaines additionnels avec un seul certificat.

Pourquoi ai-je besoin d'un SAN?

Au lieu d'acheter des certificats individuels pour chaque nom de domaine, vous pouvez ajouter des noms de domaines dans les champs SAN pour partager le même certificat. Non seulement l'entreprise économise le coût d'achat de certificats individuels, mais elle gagne également du temps en évitant d'avoir à gérer plusieurs certificats.

Par exemple, un seul certificat avec prise en charge des SAN serait capable de sécuriser les noms de domaines suivants:

  • www.macompagnie.com
  • mail.macompagnie.com
  • macompagnie.com
  • www.toto.net
  • mail.toto.net
  • toto.net

Certificat SAN vs certificat Wildcard

Les certificats Wildcard sont similaires aux certificats SAN avec quelques restrictions. Avec un certificat Wildcard, vous pouvez sécuriser plusieurs sous-domaines avec un seul domaine racine. Par exemple, si vous avez un certificat Wildcard pour www.macompagnie.com, il sécurise également intranet.macompagnie.com et email.macompagnie.com avec le même certificat.

Cependant, vous ne pourrez pas sécuriser plusieurs domaines uniques comme www.macompagnie.net et www.toto.org.

Certificats SSL Wildcard

Sécurisation de plusieurs sous-domaines sur un seul serveur.

Les certificats SSL Wildcard Thawte sécurisent plusieurs sous-domaines avec un certificat SSL unique, réduisant ainsi le temps et le coût de gestion. L'utilisation de la notation Wildcard (un astérisque et un point avant votre nom de domaine) vous permet d'étendre la sécurité à différents sous-domaines, basés sur le nom de votre domaine de niveau supérieur.

CNAME

Référence: https://en.wikipedia.org/wiki/CNAME_record.
Un enregistrement CNAME ou enregistrement de Nom Canonique est un type d'enregistrement ressource dans le Domain Name System (DNS) qui spécifie que le nom de domaine est un alias d'un autre nom de domaine canonique.

Utilisation d'enregistrement CNAME

En utilisant les CNAME, vous rendez les données de votre DNS plus facile à gérer. Les enregistrements CNAME redirigent vers un Enregistrement A. Par conséquent, si vous changez l'adresse IP d'un Enregistrement A, tous vos enregistrements CNAME pointés vers cet enregistrement, suivent automatiquement le nouvel IP de l'Enregistrement A. La solution alternative est d'avoir des Enregistrements A multiples, mais alors vous aurez des endroits multiples pour changer l'adresse IP qui augmente les chances d'erreur.

L'utilisation la plus populaire d'un enregistrement CNAME, est de fournir un accès à un serveur Web en utilisant soit le standard www.domaine.com ou soit domaine.com (sans le www). Cette règle est généralisée en ajoutant un enregistrement CNAME pour le nom www pointant au nom court (lors de la création d'un Enregistrement A pour le nom court - sans www).

Exemple

Vous avez un site Web avec le nom de domaine monsite.quebec. Ce nom de domaine est connecté à un Enregistrement A qui traduit le nom de domaine à l'adresse IP appropriée, par exemple 11.22.33.44.

Vous avez aussi plusieurs sous-domaines, comme coquille.monsite.quebec, email.monsite.quebec, etc… et vous souhaitez que ces sous-domaines pointent à votre nom de domaine principal monsite.quebec. Au lieu de créer des Enregistrements A pour chaque sous-domaine et les lier à l'adresse IP de votre domaine principal, vous créez un alias (enregistrement CNAME) pour chacun d'eux pour obtenir la figure ci-contre. Dans le cas où votre adresse IP change, vous devez seulement éditer un Enregistrement A et tous les sous-domaines suivent automatiquement du fait des CNAME pointant vers le domaine principal.

Si Micronator possède un serveur qui fait partie du domaine principal et dont le nom est coquille, nous pouvons alors insérer un CNAME coquille pour ce serveur.

Description

Un certificat émis par l'autorité de certification Let's Encrypt vous permettra de chiffrer les connexions de votre serveur avec une clé TLS/SSL reconnue mondialement. Les usagers pourront utiliser https et vu que le certificat aura été émis par une autorité de certification reconnue, le cadenas sera toujours vert.

Référence: https://fr.wikipedia.org/wiki/Let's_Encrypt.
Let's Encrypt est une autorité de certification (CA) lancée le 3 décembre 2015 (Bêta Version Publique). Cette autorité fournit des certificats gratuits X.509 pour le protocole cryptographique TLS/SSL au moyen d'un mécanisme automatisé destiné à se passer du processus complexe actuel impliquant: la création manuelle, la validation, la signature, l'installation et le renouvellement des certificats pour la sécurisation des sites Internet.

Principe de fonctionnement de Letsencrypt

Référence: https://linuxfr.org/news/reparlons-de-let-s-encrypt.
La facilité d'utilisation promise par Let's Encrypt repose principalement sur un script client et sur l'automatisation qu'il propose.

Le client s'occupe (ou peut s'occuper) de deux tâches distinctes:

1) obtenir un certificat pour le(s) domaine(s) souhaité(s), et
2) installer le certificat obtenu.

Pour obtenir un certificat, le client:

  • génère une paire de clés et une demande de signature de certificat (Certificate Signing Request: CSR);
  • envoie la demande à un serveur ACME;
  • répond aux défis d'authentification (challenges) posés par la CA, permettant au requérant de prouver qu'il contrôle le(s) domaine(s) en question;
  • reçoit le certificat signé.

Le client installe le certificat, la clé privée correspondante et les certificats intermédiaires là où le serveur Web pourra les trouver. Enfin il configure et relance ledit serveur s'il sait le faire (si le serveur en question est Apache HTTP ou Nginx, pour l'instant).

Le client garde aussi une trace des certificats obtenus. Lancé à intervalle régulier, il répétera automatiquement la procédure s'il détecte qu'un certificat est sur le point d'expirer.

En définitive, le but est que l'administrateur puisse mettre en place un certificat TLS en une seule commande, avant d'oublier jusqu'à l'existence même du client.

Courriels du certificat

Aucun courriel n'est envoyé pour confirmer le certificat, mais vous devez fournir une adresse courriel et un/des CNAME valides lors de l'exécution du script client.

Transparence des certificats

Une partie de la mission de transparence de la société Let's Encrypt comprend la divulgation publique des certificats qu'elle délivre via Certificate Transparency. L'adresse courriel n'est pas divulguée publiquement.

Limites

90 jours

Les certificats Let's Encrypt sont valides pour 90 jours. Let's Encrypt recommande de les renouveler tous les 60 jours pour avoir une certaine marge de manoeuvre.

5/7

En date du 2019-03-14:

  • Limite de 5 certificats par domaine, dans une fenêtre de 7 jours.
  • Limite de 500 enregistrements par IP, toutes les 3 heures.

Référence: https://letsencrypt.org/docs/rate-limits/.

* Certificats par domaine signifie 5 émissions de certificat et non pas combien de domaines au sein d'un certificat multi-domaines SAN.

** Un certificat multi-domaines SAN ayant domaine1.com, www.domaine1.com, domaine2.com, www.domaine2.com, toto.info, titi.org est compté comme 1 certificat, mais on ne peut renouveler ce certificat multi-domaines plus de 5 fois par période de 7 jours?

*** Il n'y a pas de limites pour le nombre de domaines contenus dans un certificat multi-domaines SAN ou plus précisément jusqu'au maximum standard de 100. Let's Encrypt a choisi cette limite de 100 sur une base de prudence, car il semble que lorsqu'on en obtient plus de 100, certains navigateurs Web ont un comportement erratique. Let's Encrypt peut probablement augmenter cette limite si quelqu'un en fait la demande.

Répertoire .well-known

Référence: https://dev-notes.eu/2017/01/apache-directives-in-config-vs-htaccess/
Référence: http://httpd.apache.org/docs/current/howto/htaccess.html#page-header.

Lors d'une demande de certificat à Let's Encrypt, ce dernier doit pouvoir accéder au répertoire .well-known et à son sous-répertoire acme-challenge situés dans le répertoire Web principal et y déposer ses fichiers de défis. S'il ne peut accéder à ces répertoires, les défis seront considérés comme non relevés et le certificat ne sera pas émis.

Nous allons créer un fichier /etc/httpd/conf.d/z_well-known.conf pour indiquer à Apache de rendre accessibles les deux répertoires en question.

Prendre tout le contenu de l'encadré pour la commande.

cat > /etc/httpd/conf.d/z_well-known.conf <<'EOT'
Alias "/.well-known/acme-challenge/" "/var/www/html/.well-known/acme-challenge/"
<Directory "/var/www/html/.well-known/acme-challenge/">
   Require all granted
   Options -Indexes +FollowSymLinks
   AllowOverride All
</Directory>

EOT

On vérifie.

[[email protected] ~]# ls -als /etc/httpd/conf.d/z_well-known.conf

4 -rw-r--r-- 1 root root 231 Apr 20 13:36 /etc/httpd/conf.d/z_well-known.conf
[[email protected] ~]#

On affiche le contenu du fichier.

[[email protected] ~]# cat /etc/httpd/conf.d/z_well-known.conf

Alias "/.well-known/acme-challenge/" "/var/www/html/.well-known/acme-challenge/"
<Directory "/var/www/html/.well-known/acme-challenge/">
   Require all granted
   Options -Indexes +FollowSymLinks
   AllowOverride All
</Directory>

[[email protected] ~]#

Il n'y a pas de ligne vide au dessus de Alias… Nous avons inséré une ligne vide pour faciliter la copie de la commande.

Lors de son lancement, Apache incorpore tous les fichiers qui se trouvent dans le répertoire /etc/httpd/conf.d/ et qui ont l'extension .conf. Cette incorporation des fichiers se fait par ordre alphabétique et c'est pour cette raison qu'on a nommé notre nouveau fichier de configuration z_well-known.conf.

Redémarrage du démon httpd

On redémarre le démon Apache afin qu'il relise ses fichiers de configuration.

[[email protected] ~]# systemctl restart httpd

[[email protected] ~]#

Insertion du fichier dans la sauvegarde des données

On vérifie si le nom du fichier /etc/httpd/conf.d/z_well-known.conf est déjà présent dans le fichier d'inclusion de la sauvegarde des données: /etc/backup-data.d/custom.include, sinon on l'insère.

Prendre tout le contenu de l'encadré pour la commande.

NouvelleInclusion="/etc/httpd/conf.d/z_well-known.conf"
if grep -Fxq "$NouvelleInclusion" /etc/backup-data.d/custom.include
then
    # L'entrée a été trouvée dans custom.include
    echo -e "\nLe fichier custom.include contient déjà l'entrée:\n$NouvelleInclusion \n"
else
    # L'entrée n'a pas été trouvée dans custom.include
    echo -e "$NouvelleInclusion" >> /etc/backup-data.d/custom.include
    echo -e "\nL'entrée: $NouvelleInclusion a été ajoutée\n"
fi

On vérifie.

[[email protected] ~]# cat /etc/backup-data.d/custom.include | grep z_well-known.conf

/etc/httpd/conf.d/z_well-known.conf
[[email protected] ~]#


Demande d'un certificat officiel

Référence: https://wiki.nethserver.org/doku.php?id=developer:letsencrypt.

On veut obtenir un certificat TLS/SSL de Let's Encrypt pour le domaine micronator-101.org et ses hôtes tels que ci-dessous.




Configuration → Certificat du serveur → on déroule le menu → Requête de certificat Let's Encrypt.

- On entre l'adresse courriel qui recevra les alertes.
- On entre les CNAME désirés pour le certificat.
- Le certificat sera émis au nom du premier CNAME du tableau, c.-à-d. micronator-101.org.
- Cliquer REQUÊTE DE CERTIFICAT LET'S ENCRYPT.


Si certains de vos défis sont renvoyés sans erreur, mais que certains échouent, il est possible que vous n'ayez pas d'enregistrements DNS A, MX ou CNAME pour tous les noms d'hôtes que vous avez ajoutés à votre certificat. Lorsque Let's Encrypt lance les défis pour une liste de noms d'hôtes et qu'un de ceux-ci ne répond pas, le défi échoue et le certificat n'est pas généré.

La cause principale des défis non relevés est qu'il n'existe pas d'enregistrements DNS pour tous les noms d'hôtes ajoutés à la demande du certificat. La plupart des administrateurs de systèmes ne créent pas tous les enregistrements DNS nécessaires et le certificat n'est pas généré.


Certificat par défaut

On désigne le nouveau certificat émis par Let's Encrypt en tant que celui qui sera utilisé par défaut, car c'est le certificat standard auto-signé qui l'est encore comme le démontre le crochet de la colonne Défaut de la capture d'écran ci-dessous.

- On déroule le menu à l'extrême droite de la ligne du certificat Let's Encrypt.
- Set as default.


CONFIRM.


C'est le certificat Let's Encrypt qui sera maintenant utilisé par défaut.


Examen du certificat

On rafraîchit la page et on ajoute une exception pour le nouveau certificat.

- Le cadenas est vert.
- On se logue.

- On clique le cadenas.
- On clique l'icône >.


Plus d'informations.




- Onglet Sécurité.
- Afficher le certificat.

- Onglet Détails.
- Émis pour micronator-101.org
- Émis par Let's Encrypt Authority X3
- On voit la date de début et de fin.


- Onglet Détails.
- Validité → Pas après.
- Le certificat est valide pour 90 jours.


- Nom alternatif du sujet du certificat.

- Tous nos CNAME choisis lors de la demande du certificat sont affichés.

- Fermer toutes les fenêtres du certificat.


On examine la configuration de la BD de PKI.

[[email protected] ~]# config show pki

pki=configuration
    CertificateDuration=3650
    ChainFile=/etc/letsencrypt/live/micronator-101.org/chain.pem
    CommonName=Micronator
    CountryCode=CA
    CrtFile=/etc/letsencrypt/live/micronator-101.org/cert.pem
    [email protected]
    KeyFile=/etc/letsencrypt/live/micronator-101.org/privkey.pem
    LetsEncrypt=disabled
    LetsEncryptDomains=micronator-101.org,mail.micronator-101.org,www.micronator-101.org,http.micronator-101.org,https.micronator-101.org,ftp.micronator-101.org,proxy.micronator-101.org,wpad.micronator-101.org
    [email protected]
    LetsEncryptRenewDays=30
    Locality=Montreal
    Organization=RF-232
    OrganizationalUnitName=Service informatique
    State=Qc
    SubjectAltName=*.micronator-101.org
[[email protected] ~]#

La propriété CertificateDuration=3650 s'applique au certificat auto-signé par le Serveur NethServer et non pas à celui émis par Let's Encrypt.

Vérification par Qualsys SSLLabs

Une fois que vous avez obtenu votre certificat, testez-le en vous rendant chez Qualsys SSLLabs, https://www.ssllabs.com/ssltest/, et soumettez le nom FQDN de votre domaine pour vous assurer qu'il fonctionne correctement.


Hostname: micronator-101.org → Submit.

- Overall Rating → A.
- Certificate → 100%.

Vérification des fichiers et répertoires

On vérifie le répertoire /etc/letsencrypt/.

[[email protected] ~]# ls -als /etc/letsencrypt/

total 12
 0 drwxr-xr-x.   9 root root  108 22 janv. 11:25 .
12 drwxr-xr-x. 114 root root 8192 25 janv. 14:56 ..
 0 drwx------    3 root root   42 22 janv. 11:25 accounts
 0 drwx------    3 root root   32 22 janv. 11:25 archive
 0 drwxr-xr-x    2 root root   34 22 janv. 14:18 csr
 0 drwx------    2 root root   34 22 janv. 14:18 keys
 0 drwx------    3 root root   46 22 janv. 14:18 live
 0 drwxr-xr-x    2 root root   37 22 janv. 14:18 renewal
 0 drwxr-xr-x    5 root root   43 22 janv. 11:25 renewal-hooks
[[email protected] ~]#

Le répertoire des requêtes de signature du certificat (Certificate Signing Request). Une seule à date.

[[email protected] ~]# ls -als /etc/letsencrypt/csr

total 4
0 drwxr-xr-x  2 root root   34 22 janv. 14:18 .
0 drwxr-xr-x. 9 root root  108 22 janv. 11:25 ..
4 -rw-r--r--  1 root root 1175 22 janv. 11:25 0000_csr-certbot.pem
[[email protected] ~]#

Le répertoire des pointeurs du certificat.

[[email protected] ~]# ls -als /etc/letsencrypt/live/micronator-101.org

total 4
0 drwxr-xr-x 2 root root  93 22 janv. 14:18 .
0 drwx------ 3 root root  46 22 janv. 14:18 ..
0 lrwxrwxrwx 1 root root  42 22 janv. 11:25 cert.pem -> ../../archive/micronator-101.org/cert1.pem
0 lrwxrwxrwx 1 root root  43 22 janv. 11:25 chain.pem -> ../../archive/micronator-101.org/chain1.pem
0 lrwxrwxrwx 1 root root  47 22 janv. 11:25 fullchain.pem -> ../../archive/micronator-101.org/fullchain1.pem
0 lrwxrwxrwx 1 root root  45 22 janv. 11:25 privkey.pem -> ../../archive/micronator-101.org/privkey1.pem
4 -rw-r--r-- 1 root root 692 22 janv. 11:25 README
[[email protected] ~]#

Le répertoire des certificats. Un seul à date.

[[email protected] ~]# ls -als /etc/letsencrypt/archive/micronator-101.org

total 16
0 drwxr-xr-x 2 root root   83 22 janv. 14:18 .
0 drwx------ 3 root root   32 22 janv. 11:25 ..
4 -rw-r--r-- 1 root root 2159 22 janv. 11:25 cert1.pem
4 -rw-r--r-- 1 root root 1647 22 janv. 11:25 chain1.pem
4 -rw-r--r-- 1 root root 3806 22 janv. 11:25 fullchain1.pem
4 -rw------- 1 root root 1708 22 janv. 11:25 privkey1.pem
[[email protected] ~]#

Le script a créé un répertoire de stockage pour notre domaine micronator-101.org (le premier de la ligne de notre demande, voir Examen du certificat).

Journal Let's Encrypt

Fichier: /var/log/letsencrypt/letsencrypt.log.


Ligne de commande

Usage

[[email protected] ~]# /usr/libexec/nethserver/letsencrypt-certs -h

Usage: /usr/libexec/nethserver/letsencrypt-certs [-h] [-f] [-d] [-v] [-t] [-e]

Options:
  -h : show this help
  -f : force certificate renew
  -d : comma-separated list of domains,
       if not set read from config db pki[LetsEncryptDomains]
  -v : verbose
  -t : testing, enable staging CA
  -e : use given mail for registration
[[email protected] ~]#

Renouvellement

[[email protected] ~]# /usr/libexec/nethserver/letsencrypt-certs -v

/usr/bin/certbot  certonly --webroot --webroot-path /var/www/html/ --text --non-interactive --agree-tos  --email [email protected]  -d micronator-101.org  -d mail.micronator-101.org  -d www.micronator-101.org  -d http.micronator-101.org  -d https.micronator-101.org  -d ftp.micronator-101.org  -d proxy.micronator-101.org  -d wpad.micronator-101.org  -v
...
Cert not yet due for renewal
Keeping the existing certificate

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Certificate not yet due for renewal; no action taken.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
[[email protected] ~]#

À cause de la ligne Cert not yet due for renewal, on force le renouvellement.

[[email protected] ~]# /usr/libexec/nethserver/letsencrypt-certs -v -f 

/usr/bin/certbot  certonly --webroot --webroot-path /var/www/html/ --text --non-interactive --agree-tos  --email [email protected]  -d micronator-101.org  -d mail.micronator-101.org  -d www.micronator-101.org  -d http.micronator-101.org  -d https.micronator-101.org  -d ftp.micronator-101.org  -d proxy.micronator-101.org  -d wpad.micronator-101.org  --force-renewal  -v 
IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/micronator-101.org/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/micronator-101.org/privkey.pem
   Your cert will expire on 2019-04-25. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Executing certificate-update event...

[[email protected] ~]#

Pointeurs

Un nouveau certificat a été créé.

Les noms des pointeurs sont demeurés les mêmes.


Le répertoire des pointeurs du certificat.

[[email protected] ~]# ls -als /etc/letsencrypt/live/micronator-101.org

total 4
0 drwxr-xr-x 2 root root  93 25 janv. 17:53 .
0 drwx------ 3 root root  46 22 janv. 14:18 ..
0 lrwxrwxrwx 1 root root  42 25 janv. 17:53 cert.pem -> ../../archive/micronator-101.org/cert2.pem
0 lrwxrwxrwx 1 root root  43 25 janv. 17:53 chain.pem -> ../../archive/micronator-101.org/chain2.pem
0 lrwxrwxrwx 1 root root  47 25 janv. 17:53 fullchain.pem -> ../../archive/micronator-101.org/fullchain2.pem
0 lrwxrwxrwx 1 root root  45 25 janv. 17:53 privkey.pem -> ../../archive/micronator-101.org/privkey2.pem
4 -rw-r--r-- 1 root root 692 22 janv. 11:25 README
[[email protected] ~]#

Les noms des pointeurs sont demeurés les mêmes, mais ils pointent maintenant vers le nouveau certificat, le numéro 2.

Certificat de TEST

On force le renouvellement pour un certificat de TEST.

[[email protected] ~]# /usr/libexec/nethserver/letsencrypt-certs -v -f -t

...
/usr/bin/certbot  certonly --webroot --webroot-path /var/www/html/ --text --non-interactive --agree-tos  --email [email protected]  -d micronator-101.org  -d mail.micronator-101.org  -d www.micronator-101.org  -d http.micronator-101.org  -d https.micronator-101.org  -d ftp.micronator-101.org  -d proxy.micronator-101.org  -d wpad.micronator-101.org  --force-renewal  --test-cert  -v 
IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/micronator-101.org/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/micronator-101.org/privkey.pem
   Your cert will expire on 2019-04-25. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
Restoring /etc/letsencrypt/ ...
[[email protected] ~]#

Il faut surveiller que le certificat et la chaîne aient bien été créés sinon, une erreur s'est glissée quelque part.

Rien ne change, car le TEST fait une sauvegarde de répertoire /etc/letsencrypt/, exécute sa requête, manipule le répertoire original puis, lorsque la requête de TEST est terminée, il restaure la sauvegarde du répertoire contenant le certificat officiel demandé précédemment.

Le module Let's Encrypt ainsi que tous ses fichiers de configuration fonctionnent correctement.


Pare-feu

Description

Pare-feu et passerelle

NethServer peut servir de pare-feu et de passerelle à l’intérieur du réseau LOCAL sur lequel il est installé. Tout le trafic entre les ordinateurs du réseau LOCAL et Internet transite par le serveur qui décide de l’acheminement des paquets et des règles à appliquer.

Caractéristiques principales:

  • Configuration réseau avancée (pont, liens, alias, etc.).
  • Prise en charge de plusieurs réseaux (jusqu'à 15).
  • Gestion des règles de pare-feu.
  • Mise en forme du trafic6) (QoS).
  • Redirection de ports.
  • Règles de routage pour dévier le trafic sur un WAN spécifique.
  • Système de prévention des intrusions (IPS7)).
  • Inspection approfondie des paquets (DPI8)).
  • Le mode Pare-feu et passerelle n'est activé que si:
    ♦ le paquet nethserver-firewall-base est installé (module Sauvegarde) et
    ♦ au moins une interface réseau est configurée avec un rôle rouge.

Stratégies

Lorsqu'un paquet réseau traverse une zone de pare-feu, le système évalue une liste de règles pour décider si le trafic doit être bloqué ou autorisé. Les Stratégies sont les règles par défaut à appliquer lorsque le trafic réseau ne correspond à aucun critère existant.

Le pare-feu configure 4 zones par défaut avec des stratégies intégrées. Chaque interface est identifiée par une couleur indiquant son rôle dans le système; voir Réseau.

Ci-dessous, la circulation est autorisée de gauche à droite et bloquée de droite à gauche:
VERT → BLEU → ORANGE → ROUGE

Le pare-feu implémente deux stratégies par défaut, les choix possibles sont:
1) - Autorisé: tout le trafic du réseau local (vert) vers l'Internet (rouge) est activé par défaut.
2) - Bloqué: tout le trafic du réseau local (vert) vers l'Internet (rouge) est désactivé par défaut.

Avec la stratégie Bloqué, vous devez explicitement créer des règles pour tous les services devant être autorisés. Par exemple, une règle qui autorise le trafic Web (ports 80 et 443) de vert à rouge.

Pour remplacer une stratégie, vous devez créer une règle de pare-feu entre les zones. Vous pouvez créer des règles entre les zones pour modifier les stratégies par défaut à partir de la page Passerelle → Règles du pare-feu.

Le trafic du réseau LOCAL vers le serveur sur le port SSH (valeur par défaut 22 - que nous avons modifié à 2222) et celui vers le port de l'interface Web du serveur (valeur par défaut 980) est toujours autorisé.

Règles

Les règles s'appliquent à tout le trafic traversant le pare-feu. Lorsqu'un paquet réseau passe d'une zone à une autre, le système recherche parmi les règles configurées; si le paquet correspond à une règle, celle-ci est appliquée.

L’ordre de la règle est très important. Le système applique toujours la première règle qui correspond.

Une règle comprend cinq parties principales:

  • Action
  • Source
  • Destination
  • Service
  • Condition de temps

Les actions disponibles sont:

ACCEPT - accepte le trafic réseau.
REJECT - bloque le trafic et avertit l'hôte émetteur.
DROP - bloque le trafic, les paquets sont abandonnés et aucune notification n'est envoyée à l'hôte émetteur.
ROUTE - achemine le trafic vers le réseau spécifié.
PRIORITY - étiquette le trafic avec une priorité haute/basse.

Le pare-feu ne générera pas de règles pour les zones bleues et oranges si au moins une interface rouge est configurée.

REJET vs DROP

En règle générale, vous devez utiliser REJECT lorsque vous souhaitez informer l'hôte source que le port auquel il tente d'accéder est fermé. Habituellement, les règles du côté du réseau LOCAL peuvent utiliser REJECT.

Pour les connexions provenant d’Internet, il est recommandé d’utiliser DROP afin de minimiser la divulgation des informations à tout attaquant.

Journal

Lorsqu'une règle correspond au trafic en cours, il est possible d'enregistrer l'événement dans un fichier journal en cochant l'option de l'interface Web. Le journal du pare-feu est enregistré dans le fichier /var/log/firewall.log.

Lissage du trafic

La mise en forme du trafic permet d'appliquer des règles de priorité au trafic réseau à travers le pare-feu. De cette manière, il est possible d’optimiser la transmission, de vérifier la latence et d’ajuster la bande passante disponible.

Pour activer le lissage du trafic, il est nécessaire de connaître la quantité exacte de bande passante disponible en téléversement et en téléchargement.

Si la bande passante de téléversement et de téléchargement ne sont pas définies pour une interface rouge, les règles de lissage du trafic ne seront pas activées pour cette interface.

Multi WAN

Le terme WAN (Réseau étendu) fait référence à un réseau public extérieur au serveur, généralement connecté à l'Internet.

  • Le fournisseur est la société qui gère le lien WAN.
  • Chaque fournisseur représente une connexion WAN et est associé à une carte réseau. Chaque fournisseur définit un poids; plus le poids (weight) est élevé, plus la priorité de la carte réseau associée au fournisseur est élevée.
  • Le système prend en charge jusqu'à 15 connexions WAN.
  • Si le serveur a au moins deux cartes rouges configurées, il est nécessaire de configurer correctement les champs Link weight, Bande-passante entrante (kbps) et Bande-passante sortante (kbps) à partir de la page Configuration → Réseau.

Link weight

Le “poids” de la connexion.

Le trafic sera acheminé proportionnellement au poids; un poids plus élevé signifie plus de trafic. Un fournisseur d'un poids de 100 recevra le double du trafic de celui d’un poids de 50. Il faut attribuer les poids selon la bande passante.

Lorsque vous utilisez le mode Sauvegarde active, le poids détermine l’utilisation de la ligne. Si le premier fournisseur a un poids de 100 et le second un poids de 50, le trafic est toujours envoyé au premier fournisseur. Le second ne sera utilisé que si le premier fournisseur tombe en panne.

Objet du pare-feu

Les objets du pare-feu facilitent la création de règles de pare-feu.

Un objet peut être utilisé dans plusieurs règles.

Hôtes

Un hôte représente une machine avec une adresse IP. Il peut être LOCAL ou distant. Lorsque des règles sont écrites dans un fichier, l'objet hôte sera traduit par sa propre adresse IP.

Hôte - Identifiant pour l'hôte.
Adresse IP - Adresse IP de l'hôte.
Description - Description facultative.

Voir le paragraphe Règle spéciale pour un poste de travail pour la création d'un hôte pour l'IP 192.168.1.81/poste de travail.

Port Forwarding

Utilisez cette page pour modifier les règles de pare-feu, c’est-à-dire pour ouvrir un port spécifique (ou une plage de ports) sur le serveur et transférer le trafic d’un port à un autre. Les règles de transfert de port autorisent l'accès aux hôtes du réseau LOCAL depuis l'Internet.

Pare-feu de base

Installation

Administration → Gestionnaire des logiciels → cocher Pare-feu basique.

AJOUTER.


APPLIQUER LES CHANGEMENTS.


Recharger la page pour afficher les nouveaux menus.

Tout s'est bien passé. Il n'y a ni message d'erreur ni avertissement.


Règles du pare-feu

Passerelle → Règles du pare-feu.

On déroule le menu → Configurer.


Trafic vers Internet (interface rouge)

Les choix possibles sont:

⦿ Autorisé
Tout le trafic du réseau LOCAL (vert) vers l'Internet (rouge) est activé par défaut.

Bloqué
Tout le trafic du réseau LOCAL (vert) vers l'Internet (rouge) est désactivé.
Avec la stratégie Bloqué, vous devez explicitement créer des règles pour tous les services devant être autorisés. Par exemple: une règle qui autorise le trafic Web (ports 80 et 443) de vert à rouge.

Ping depuis Internet

⦿ Activé
Si activé, les interfaces publiques (rouge) répondront aux requêtes ping (ACCEPT).

Désactivé
Si cette option est désactivée, les interfaces publiques rejetteront les requêtes ping (DROP).

Pour simplifier le dépannage, il est recommandé de laisser le ping activé.

Validation MAC (association fixe IP/MAC)
Si activé, tout le trafic provenant des hôtes des interfaces vertes et bleues est vérifié par rapport à une liste d'adresses IP avec les adresses MAC associées. L'association IP/MAC peut être configurée à l'aide de la page Configuration → DHCP.

Règle spéciale pour un poste de travail

Réseau LOCAL

Un de nos postes de travail possède une adresse privée et n'est pas sur le réseau LOCAL (vert) du Serveur NethServer.

Vu que le Serveur NethServer verra que la demande de connexion provient de l'adresse 192.168.1.102 (l'aiguilleur) et non pas du poste de travail 10.10.100.111, il autorisera la connexion, car l'aiguilleur 192.168.1.102 est sur le réseau LOCAL et il est aussi le relais du poste de travail 10.10.100.111.

Internet

Ci-dessous, nous avons un client dont le Serveur NethServer possède l'adresse IP 90.56.214.76 et il veut que nous nous occupions de la maintenance de ce serveur.

Notre poste de travail 192.168.1.81 n'est pas sur le réseau LOCAL de ce client et on ne peut accéder directment à son serveur. Il doit alors autoriser l'accès à son interface Web depuis l'internet et créer une règle spéciale pour que notre poste de travail puisse y accéder.

Activation de httpd-admin depuis l'Internet

Sur l'interface Web du client, celui-ci doit autoriser l'accès depuis l'Internet.

Sécurité → Service réseau → vis à vis httpd-admin (Interface Web NethServer) → Éditer.

- Le client coche Internet (rouge).
- SOUMETTRE.


Le client vérifie.


Création de l'hôte

La requête de connexion de notre poste de travail 192.168.1.81 proviendra de l'Internet à travers notre serveur passerelle 206.248.138.152.

La règle du pare-feu doit donc utiliser l'adresse IP de notre Serveur NethServer 206.248.138.152 et non pas l'adresse IP de notre poste de travail 192.168.1.81.

Sur l'Interface Web du client: Passerelle → Objet du pare-feu → onglet Hôtes → CRÉER NOUVEAU. Le client entre les informations demandées.

Le nouvel hôte a été créé.


Création de la règle du pare-feu

Sur l'Interface Web du client: Passerelle → Règles du pare-feu.

- Le client déroule le menu.
- Créer une règle en première position.


Il clique TOUT de Source.


Hôte poste-de-travail.


Le client clique TOUT de Destination.


Firewall.


Il clique TOUT de Service.



httpd-admin - network services.

Le client clique à l'intérieur de Time condition.


Toujours.

Pour être plus sécuritaire, le client pourrait créer une Condition de temps en lançant une recherche Heure de connexion distante pour faire apparaître Create time condition “Heure de connexion distante” qu'il clique et il insère les informations demandées.


SOUMETTRE.

APPLIQUER LES CHANGEMENTS.

  • Attention
    Si le propriétaire d'un autre poste de travail sur notre réseau connaît le mot de passe de root du Serveur NethServer distant, ce poste de travail a, lui aussi, accès à l'interface Web. Le client doit s'assurer d'avoir des mots de passes très robustes.
  • Astuce
    Pour ne pas divulguer le mot de passe de root et limiter les accès, le client peut créer un utilisateur avec le nom de distant et le mettre dans le groupe domain admins. Ainsi, il n'y aura qu'un seul utilisateur distant qui pourra se loguer à l'interface Web. Encore une fois, un mot de passe très robuste est requis.


Vérification

Depuis notre poste de travail 192.168.1.81, on se connecte au Serveur NethServer de notre client à l'URL:

Dans le navigateur, on ajoute une exception pour le certificat du client. L'URL se transforme en:

et on entre les information que le client nous a fournies.


Nous somme dans l'interface Web du Serveur NethServer du client tel que démontré par l'affichage à l'extrême droite: [email protected].


Le pare-feu basique est fonctionnel.


Fail2ban

Description

Référence: https://www.fail2ban.org/wiki/index.php/Main_Page.
Référence: https://www.fail2ban.org/wiki/index.php/FAQ_french.
Référence: http://docs.nethserver.org/en/v7/fail2ban.html.

Fail2ban lit des fichiers de journaux tels que /var/log/pwdfail ou /var/log/apache/error_log et bannit les adresses IP qui ont généré un trop grand nombre d'échecs lors de l'authentification. Il met à jour les règles de pare-feu pour rejeter ces adresses IP. Des règles peuvent êtres définies par l'administrateur. Fail2ban peut lire plusieurs fichiers de journaux tels que celui de sshd ou du serveur Apache.

Fail2Ban est capable de réduire le nombre de tentatives d’authentification incorrectes, mais il ne peut éliminer les risques que représente une configuration d'authentification défaillante.

Pour améliorer la sécurité, utilisez le pare-feu pour restreindre l'accès aux divers services uniquement depuis les réseaux de confiance.

Installation

Administration → Gestionnaire des logiciels → onglet Disponible → cocher Fail2ban et whois → AJOUTER.


APPLIQUER LES CHANGEMENTS.

Recharger la page pour afficher les nouveaux menus.

Configuration

Sécurité → Fail2ban → onglet Configuration.

La plupart des paramètres peuvent être modifiés sous l'onglet Configuration, seuls les paramètres réellement avancés doivent être configurés à la ligne de commande.

Activer Fail2ban
Configure le service pour démarrer et rouler.

IP Whitelisting (one per line)
Entrer les adresses IP qui seront ignorées par Fail2ban (une adresse par ligne).
Par défaut, tous les réseaux LOCAUX sont sur la liste blanche.

Send email notifications

Send email notifications
Envoyer des notifications par courrier électronique.

Administrators emails (one per line)
Entrer les adresses courriel des administrateurs qui recevront les notifications (une adresse par ligne).

Notify jail start/stop events
Ne pas activer ce paramètre, car vous serez inondé de courriels de départs et d'arrêts de Fail2ban.

Les prisons

- Une prison est la combinaison d'un filtre et d'une ou plusieurs actions.
- Toutes les prisons peuvent être activées/dé­sactivées individuellement sous le paramètre Jails.
- Lorsque vous installez un nouveau module, la prison correspondante (si elle existe) est automatiquement activée après l'installation du paquet.

Avancé

  • Nombre de tentatives (maxretry)
    Le nombre maximal de tentatives avant d'être banni. Défaut de 3.
  • Durée (bantime)
    Période de temps pour atteindre le nombre de tentatives avant le bannissement. Défaut de 900 secondes.
  • Ban time (bantime)
    Durée de bannissement d'une adresse IP. Défaut de 1800 secondes.

Recidive jail is perpetual
Lorsqu'une adresse IP est condamnée plusieurs fois à la prison, elle y demeure pour une période beaucoup plus longue. Si ce paramètre est activé, cette période est perpétuelle.
À noter que si un banni utilise une adresse IP dynamique et qu'après un certain temps, cette adresse est relâchée par le FAI puis, remise à un autre internaute par le FAI, ce nouvel internaute est aussi banni, car il utilise une adresse déjà en récidive.

Allow bans on the LAN
Par défaut, tous les réseaux LOCAUX sont sur la liste blanche. Activez ce paramètre pour traiter les adresses IP des réseaux LOCAUX comme les autres adresses.

Logging Level
Niveau de journalisation des événements. Les choix possibles sont: CRITICAL, ERROR, WARNING, NOTICE, INFO et DEBUG. Le défaut est INFO.

SOUMETTRE.

Comme on le voit ci-contre, le service redémarre (restart) pour prendre en compte les nouveaux paramètres.

Bannissement manuel

Notre installation chez 11.22.33.44 est terminée et nous avons muté notre associé chez un autre client. On a changé l'adresse IP (vue de l'Internet) de l'hôte Poste de travail distant (poste-de-travail) pour celle de notre nouveau client. La Règle du pare-feu admin distant demeure la même, car elle est utilisée par le poste de travail de notre nouveau client.

Vu qu'un bannissement à la prison Recidive est perpétuelle (voir ci-dessus Recidive jail is perpetual )

[[email protected] ~]# config show fail2ban | grep -i recidive

    Recidive_MaxRetry=
    Recidive_Perpetual=enabled
    Recidive_status=true
[[email protected] ~]#

… on pourrait bannir manuellement l'adresse 11.22.33.44.

[[email protected] ~]# fail2ban-client set recidive banip 11.22.33.44

11.22.33.44
[[email protected] ~]#

Vérification à la ligne de commande

[[email protected] ~]# fail2ban-client status recidive

Status for the jail: recidive
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     6
|  `- File list:        /var/log/fail2ban.log
`- Actions
   |- Currently banned: 1
   |- Total banned:     1
   `- Banned IP list:   11.22.33.44
[[email protected] ~]#

L'utilisateur michelandre a reçu un courriel lui signalant que le bannissement d'une adresse IP avait eu lieu.

Il reçoit ce courriel, car il est sur la liste du paragraphe Send email notifications.

Si les informations du WHOIS n'apparaissent pas, redémarrer tous les services pour vous assurez que ceux-ci se réinitialisent correctement.

 /etc/e-smith/events/actions/system-adjust

Vérification avec l'interface Web

Statut → Fali2ban → onglet Ban statistics.

Onglet Unban IP.

Suppression d'un bannissement

Les adresses IP sont bannies lorsqu'elles sont trouvées plusieurs fois dans le journal durant la période spécifiée. Elles sont stockées dans une base de données pour être à nouveau bannies à chaque redémarrage du serveur ou du service.

- Statut → Fail2ban → onglet Unban IP.
- On entre l'adresse sous Unban the specified IP.
- SUBMIT/REFRESH.



L'adresse IP n'est plus bannie.

Ligne de commande

Usage

Pour afficher toutes les options de la commande fail2ban-client.

[[email protected] ~]# fail2ban-client -h

Usage: /usr/bin/fail2ban-client [OPTIONS] <COMMAND>

Fail2Ban v0.9.7 reads log file that contains password failure report
and bans the corresponding IP addresses using firewall rules.

Options:
    -c <DIR>             configuration directory
    -s <FILE>            socket path
    -p <FILE>            pidfile path
    -d                   dump configuration. For debugging
    -i                   interactive mode
    -v                   increase verbosity
    -q                   decrease verbosity
    -x                   force execution of the server (remove socket file)
    -b                   start server in background (default)
    -f                   start server in foreground (note that the client forks once itself)
    -h, --help           display this help message
    -V, --version        print the version
...
    get <JAIL> actionmethods <ACT>           gets a list of methods for the
                                             action <ACT> for <JAIL>
    get <JAIL> action <ACT> <PROPERTY>       gets the value of <PROPERTY> for
                                             the action <ACT> for <JAIL>

Report bugs to https://github.com/fail2ban/fail2ban/issues
[[email protected] ~]#

Suppression d'un bannissement

Si nous n'avions pas supprimer le bannissement de l'adresse IP 11.22.33.44 depuis l'interface Web, nous aurions pu le supprimer à la ligne de commande.

[[email protected] ~]# fail2ban-client set recidive unbanip 11.22.33.44

11.22.33.44
You have new mail in /var/spool/mail/root
[[email protected] ~]#

On vérifie.

[[email protected] ~]# fail2ban-client status recidive

Status for the jail: recidive
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     6
|  `- File list:        /var/log/fail2ban.log
`- Actions
   |- Currently banned: 0
   |- Total banned:     1
   `- Banned IP list:
[[email protected] ~]#

La liste des adresses IP bannies est vide.

Désactivation de httpd-admin depuis l'Internet

Le bannissement et la règle ont été vérifiés, on pourra désactiver l'accès à l'interface Web depuis l'Internet lorsque ce ne sera plus nécessaire pour notre associé chez notre nouveau client.

Sécurité → Service réseau → vis à vis httpd-admin (Interface Web NethServer) → Éditer.

- On décoche Internet (rouge).
- SOUMETTRE.

Fail2ban fonctionne correctement.


Messagerie électronique

Description

Référence: https://github.com/NethServer/nethserver-mail.

Le module Email est divisé en trois parties principales:

1) - Serveur SMTP pour l'envoi et la réception.
2) - Serveur IMAP et POP3 pour lire le courrier électronique et le langage Sieve pour l’organiser.
3) - Filtre anti-spam, antivirus et bloqueur de pièces jointes.

Les avantages sont:

  • Autonomie complète dans la gestion du courrier électronique.
  • Évite les problèmes dûs au fournisseur de services Internet.
  • Possibilité de traquer l'itinéraire des messages afin de détecter les erreurs.
  • Analyse antivirus et anti-spam optimisée.

Voir également les rubriques connexes suivantes:

Depuis NethServer 7.5.1804, les nouvelles installations de messagerie, de connecteur et de mandataire POP3 sont basées sur le moteur de filtrage Rspamd. Les installations précédentes de NethServer sont automatiquement mises à niveau vers Rspamd.

Ports d'écoute SMTP de Postfix

Référence: https://github.com/NethServer/nethserver-mail#postfix-smtp-listening-ports.

Le serveur SMTP de Postfix est à l’écoute sur les ports TCP suivants:

  1. 25 → port standard SMTP; utilisé par d'autres MTA.
  2. 587 → port standard d'envoi SMTP; STARTTLS requis par défaut pour protéger les mots de passe de connexion; utilisé par les MUA.
  3. 465 → port standard d'envoi SMTPS; TLS toujours requis au niveau du connecteur (socket); utilisé par les MUA qui ne supportent pas STARTTLS.
  4. 10587 → port supplémentaire d'envoi SMTP pour localhost uniquement; aucun TLS requis; utilisé par les applications de messagerie locales.

Entrée DNS

On s'assure que notre domaine ait une entrée DNS sur le serveur.

Configuration → DNS onglet Hôtes.


Alias

Par précaution si ce n'est déjà fait, on crée un alias pour mail.micronator-101.org.


Installation de la messagerie

Référence: http://docs.nethserver.org/en/latest/mail.html.

Le logiciel nethserver-mail-disclaimer est considéré comme obsolète, car le projet alterMIME, fournissant l'implémentation réelle, n'est plus développé et peut cesser de fonctionner à tout moment. Ce paramètre a été exclus dans les nouvelles mise à jour.

Administration → Gestionnaire des logiciels → onglet Disponible → cocher Email et nethserver-mail-quarantine (ne pas cocher nethserver-mail-disclaimer), cocher Proxy SMTP et Roundcube web mail → AJOUTER.


APPLIQUER LES CHANGEMENTS.

Recharger la page pour afficher les nouveaux menus.


Activation de la mise en quarantaine

Administration → Gestionnaire de logiciels → onglet Installé → vis-à-vis Email → Éditer.


On coche nethserver-mail-quarantine → APPLI­QUER LES CHANGEMENTS.


Recharger la page.


Configuration

Domaines

Si le menu Configuration → Messagerie électronique n'apparaît pas, rafraîchir la page.

Configuration → Messagerie électronique → onglet Domaines.

NethServer peut gérer un nombre illimité de domaines de messagerie, configurables à partir de la page Configuration → Messagerie électronique → Domaines.

Pour chaque domaine, il existe deux alternatives:
1) - Livrer les messages aux boîtes aux lettres locales, selon le format Maildir: https://fr.wikipedia.org/wiki/Maildir.
2) - Relayer les messages vers un autre serveur de messagerie.

Si un domaine est supprimé, ses courriels ne seront pas supprimés; tous les messages déjà reçus sont conservés.

Configuration → Messagerie électronique → onglet Messages.

NethServer permet de stocker une copie cachée de tous les messages dirigés vers un domaine particulier; ils seront envoyés au destinataire final ainsi qu’à une adresse électronique personnalisée.

Toujours envoyer une copie (Bcc)
Si la case est cochée, la copie cachée est activée.

Dans certains pays, l'activation de l'option Toujours envoyer une copie (Bcc) peut être contraire aux lois sur la confidentialité.

Onglet Domaines → Éditer.


Domaine
Notre domaine principal est micronator-dev.org.

Description
Champ facultatif utile à l'administrateur système pour noter à quel domaine s'appliquent les paramètres spécifiés.

Messages to domain micronator-dev.org
Développer cette option pour configurer le serveur afin qu'il distribue le courrier entrant, adressé au domaine spécifié, dans des dossiers locaux.

⦿ Distribution locale
Copie cachée (BCC)
Accepter des destinataire inconnus
Si le destinataire final ne peut pas être établi (c'est-à-dire que l'adresse du destinataire n'existe pas), le message est normalement rejeté. Parfois (lorsqu’un domaine de messagerie est migré), il peut être utile de l’accepter et de remettre le message, en mode silencieux, à une boîte aux lettres fourre-tout. Ce comportement peut être obtenu en activant cette option.

Relais vers un autre serveur
Si on sélectionne cette option, le courrier entrant sera transféré vers le serveur spécifié.

DKIM

Signer les messages sortant avec DomainKeys Identified Mail (DKIM)
DomainKeys Identified Mail (DKIM) fournit un moyen de valider le MTA d'envoi en ajoutant une signature cryptographique aux en-têtes MIME des messages sortants.
Cocher pour activer la signature DKIM pour ce domaine de messagerie.
Les en-têtes de signature DKIM sont ajoutés uniquement aux messages envoyés via les ports TCP 5879)(envoi) et 465 (smtps).

Référence: https://wiki.nethserver.org/doku.php?id=email_protection_resources#domainkeys_identified_mail_dkim.

Enregistrement DNS

Pour fonctionner efficacement, le DNS public doit être configuré correctement. Reportez-vous aux instructions de votre fournisseur DNS pour exécuter les étapes suivantes:

  • Ajoutez un enregistrement TXT à votre fournisseur de service DNS public avec la clé default._domainKey.
  • Copier et coller le texte de la clé dans l'enregistrement DNS.


On se rend chez notre régistraire:

Mes domaines → micronator-101.org → en bas de la page Manage DNS → ADD.


- Type: TXT.

- Host: default._domainKey.

- TXT Value: coller le texte v=DKIM1…DAQAB, de l'encadré en bleu ci-dessus.

- Save.


Le nouvel enregistrement est ajouté à la liste.


On clique Enregistrer les modifications.


De retour à l'interface Web de notre Serveur NethServer:

SOUMETTRE pour enregistrer les modifications.


Vérification

On se rend à: https://dkimcore.org/tools/keycheck.html.

On entre les informations demandées → Check.


L'enregistrement DKIM est valide.


Ajout d'un nouveau domaine de messagerie

Pour le domaine micronator-101.ddns.net, voir Création d'un compte chez noip.com.

Configuration → Messagerie électronique → onglet Domaines → CRÉER NOUVEAU.


Entre les informations demandées pour le nouveau domaine de messagerie: micronator-101.ddns.net.

On n'utilise pas de signature DKIM, car on ne peut ajouter d'enregistrements DNS chez NoIP.


Le nouveau domaine a été ajouté.


Entrée DNS pour micronator-101.ddns.net

Si on veut que le domaine micronator-101.ddns.net (domaine chez NoIP) puisse recevoir/envoyer des courriels, il faut que ce domaine ait une entrée dans le DNS du Serveur NethServer.

Configuration → DNS onglet Hôtes → CRÉER NOUVEAU.

On entre les informations demandées.

SOUMETTRE.

L'entrée DNS a été ajoutée.


Alias de messagerie

Pour que l'utilisateur michelandre puisse recevoir des courriels à l'adresse [email protected], il faut lui créer un alias de messagerie.




Gestion → Adresse mail → onglet Alias de messagerie → CRÉER NOUVEAU.

- On entre les informations demandées.
- Pour Destination, on entre michelandre et il apparaît dans le champ en dessous; on sélectionne l'adresse courriel de cet utilisateur.
- SOUMETTRE.

On vérifie.

Filtre

Référence: http://docs.nethserver.org/en/latest/mail.html#filter.

Tous les courriels en transit sont soumis à une liste de vérifications pouvant être activées de manière sélective.
Si ce n'est déjà fait: Configuration → Messagerie électronique → Filtre.

Bloquer les pièces jointes
Le serveur peut bloquer les classes de pièces jointes suivantes.

  • Exécutables (ex: exe, msi)
  • Archives (ex: zip, tar.gz, docx)
  • Liste personnalisée

Antivirus
Le module antivirus trouve les messages électroniques contenant des virus. Les messages infectés sont ignorés. La base de données de signatures de virus est mise à jour périodiquement.

Anti-spam
Le module anti-spam https://rspamd.com/ analyse les courriels en détectant et en classant les messages à l'aide de critères heuristiques, de règles prédéterminées et d'évaluations statistiques du contenu des messages.
On ajuste les niveaux en cliquant et glissant les curseurs.
Le filtre peut également vérifier si le serveur émetteur est répertorié dans une ou plusieurs listes noires (DNSBL).

Un note est associée à chaque règle. La note totale collectée à la fin de l'analyse permet au serveur de décider ce qu'il doit faire avec le message, en fonction de trois seuils pouvant être ajustés sous Configuration → Courriel (Email) → Filtre → Anti-spam.

  • Si la note est supérieure au seuil de la liste grise, le message est temporairement rejeté. La technique greylisting10) suppose qu'un polluposteur est pressé et est susceptible d'abandonner, tandis qu'un MTA compatible SMTP tentera à nouveau de remettre le message différé.
  • Si la note est supérieure au seuil des courriers indésirables, le message est marqué comme tel en ajoutant l'en-tête spécial X-Spam: Yes pour des traitements spécifiques. Le message est alors envoyé comme tout autre message. En guise d'alternative, l'option Ajouter un préfixe au Sujet des messages considérés comme spam rend l'indicateur de courrier indésirable visible sur l'objet du message en préfixant ce dernier du texte spécifié.
  • Si la note est supérieure au Seuil de refus du message pour cause de spam, le message est rejeté.

Les filtres statistiques, appelés Filtrage bayésien du spam11), sont des règles spéciales qui évoluent et s’adaptent rapidement aux messages d’analyse marqués comme spam ou ham12).

Les filtres statistiques peuvent ensuite apprendre avec n’importe quel client IMAP en déplaçant simplement un message dans le dossier “Junk”.

Avant de commencer, vous devez activer le dossier de courrier indésirable à partir de la page Configuration → Messagerie électronique → Boîtes mails en cochant l'option Déplacer dans le dossier “Junk”.

  • En mettant un message dans le dossier de courrier indésirable, les filtres apprennent qu'il s'agit d'un spam et attribueront un score plus élevé à des messages similaires.
  • Au contraire, en enlevant un message du dossier “Junk”, les filtres apprennent que c’est un ham; la prochaine fois, un score inférieur sera attribué.

Par défaut, tous les utilisateurs peuvent faire apprendre aux filtres en utilisant cette technique. Si un groupe appelé spamtrainers existe, seuls les utilisateurs de ce groupe seront autorisés à faire apprendre aux filtres.

L'apprentissage des filtres bayésiens s’applique à tous les utilisateurs du système et non pas uniquement à ceux qui ont marqué un courrier électronique en tant que spam ou ham.

Il est important de comprendre le fonctionnement des tests bayésiens:

  • Ils ne marquent pas les messages comme spam s'ils contiennent un sujet ou une adresse d'expéditeur spécifique. Ils ne font que collecter les caractéristiques particulières du message.
  • Un message ne peut être noté qu'une seule fois. Le même message noté plusieurs fois n’affecte rien, car les tests dynamiques ont déjà été appris pour ce message.
  • Les tests bayésiens ne sont actifs que s’ils reçoivent suffisamment d’informations; ce qui implique un minimum de 200 spams et de 200 hams.

Une bonne habitude est de vérifier fréquemment le dossier des courriels indésirables afin de ne pas perdre les courriels reconnus à tort comme spam.

Si le système ne reconnaît pas correctement les spams, même après avoir été éduqué, les listes blanches et les listes noires peuvent alors vous aider. Ce sont des listes d'adresses courriels ou de domaines, toujours autorisées ou toujours bloquées, pour envoyer ou recevoir des messages.

De retour à la page Configuration → Messagerie électronique → Filtre.

Ajouter un préfixe au Sujet des messages considérés comme spam
On peut ajouter un préfixe au Sujet des messages considérés comme pourriel.


Règles par adresses mails

Cette section permet de créer trois types de règles:

1) - Nouveau blocage depuis: tout message de l'expéditeur spécifié est bloqué.

2) - Nouvelle autorisation depuis: tout message de l'expéditeur spécifié est accepté.

3) - Nouvelle autorisation pour: tout message au destinataire spécifié est accepté.

Il est possible de créer une règle Nouveau blocage ou Nouvelle autorisation même pour un domaine complet de messagerie et non pas seulement pour une adresse courriel unique: il vous suffit de spécifier le domaine souhaité (par exemple: nethserver.org).

- ▼ Dérouler le menu Nouveau blocage depuis.
- Cliquer Nouvelle autorisation depuis
- Entrer nethserver.org.
- Cliquer l'icône à droite.

SOUMETTRE.

Les vérifications antivirus sont appliquées malgré les paramètres de la liste blanche.

Interface web Rspamd

Le module anti-spam du Serveur NethServer est implémenté par Rspamd https://rspamd.com/ qui fournit une interface Web d’administration à laquelle on peut accéder:
- à l'URL: https://<HOST_IP>:980/rspamd,
- ou à l'URL: https://www.micronator-101.org:980/rspamd/,
- ou Statut → Application → Rspamd → OUVERT → on entre le justificatif de l'utilisateur admin → OK.


La page de RSPAMD s'affiche.

Le menu offre plusieurs choix d'affichage et de configurations.

Adresses mail

Chaque utilisateur possède une boîte aux lettres personnelle et tout nom d'utilisateur sous la forme <nom-d'utilisateur>@<domaine> est également une adresse électronique valide pour y envoyer des messages.

Gestion → Adresse mail → onglet Boîtes aux lettres utilisateurs affiche la liste des boîtes aux lettres.


Boîtes au lettres utilisateurs

Pour un utilisateur spécifique (ex: [email protected]), le bouton Éditer permet de dé­sactiver l'accès au service mail (IMAP, POP3, SMTP/AUTH). Les messages envoyés à la boîte aux lettres de cet utilisateur peuvent être transférés à une adresse électronique externe.

Si le système est lié à un fournisseur distant de comptes et qu'un compte d'utilisateur est supprimé à distance, la boîte aux lettres associée doit être effacée manuellement. Le préfixe du chemin du répertoire est /var/lib/nethserver/vmail/.

Accéder au service mail
Permet d'activer/désactiver l'accès au service de messagerie. Ce paramètre est activé par défaut.

Réseau local seulement
Parfois, une entreprise interdit les communications externes à l’organisation. L'option Réseau local seulement bloque la possibilité à une adresse de recevoir du courrier électronique de l'extérieur. Néanmoins, l'option Réseau local seulement peut être utilisée pour échanger des messages avec d'autres comptes du système.

Transférer des messages
Lorsque coché, ce paramètre affiche un cadre pour entrer l'adresse courriel de destination du transfert.
On peut garder une copie du message sur le serveur.

Quota de la boîte mails personnalisé
Permet d'ajuster le quota de la boîte aux lettres de cet utilisateur en cliquant et en glissant le curseur. (Défaut de 2 Go).

Durée de rétention personnalisée des spams
Le curseur permet d'ajuster le temps de rétention des pourriels de cet utilisateur.

SOUMETTRE si on a modifié un paramètre.

Boîtes au lettres partagées

Les boîtes aux lettres peuvent être partagées entre des groupes d'utilisateurs. Cet onglet permet de créer une nouvelle boîte aux lettres partagée et d'en définir un ou plusieurs groupes propriétaires. Les boîtes aux lettres partagées peuvent également être créées par tout client IMAP prenant en charge l'extension de protocole IMAP ACL (RFC 4314).

Alias de messagerie

Le système permet la création d’un nombre illimité d’adresses électroniques supplémentaires, à partir de cet onglet.

Chaque alias de messagerie est associé à une ou plusieurs Destinations. Une destination peut être un des types suivants:

  • boîte aux lettres d'utilisateur,
  • boîte aux lettres partagée ou
  • adresse courriel externe.

Un alias de messagerie peut être lié à n'importe quel domaine de messagerie ou être spécifique à un domaine particulier.

Exemple:

  • Premier domaine: mondomaine.net.
  • Deuxième domaine: exemple.com.

Pour une adresse électronique valide pour les deux domaines (séparées par une virgule): [email protected], [email protected].

Pour une adresse courriel de l'usager toto, valide uniquement pour un domaine: [email protected].

Boîtes mails

Configuration → Messagerie électronique → Boîtes mails contrôle les protocoles disponibles pour accéder à une boîte aux lettres d'utilisateur.

Protocoles d'accès aux boîtes mails

IMAP 13) (recommandé)

POP3 14) (obsolète)

Autoriser les connexions non chiffrées
Pour des raisons de sécurité, tous les protocoles nécessitent par défaut, le chiffrage STARTTLS. Autoriser les connexions non chiffrées désactive cette exigence importante et permet de transmettre sur le réseau les mots de passe et le contenu du courrier en texte clair.

N'autorisez pas les connexions non chiffrées dans les environnements de production!

Espace disque

À partir de la même page (Configuration → Messagerie électronique → Boîtes mails), l'espace disque de toutes les boîtes aux lettres peut être limité à un quota par défaut.

⦿ Appliquer les quotas si cliqué/activé, la page Quota emails récapitule l'utilisation du quota pour chaque utilisateur. Ce résumé est mis à jour lorsqu'un utilisateur se connecte ou qu'un message est livré.

Le quota peut être personnalisé pour un utilisateur spécifique dans Gestion → Adresse mail → Boîtes aux lettres utilisateurs → vis-à-vis un utilisateur → Éditer → Quota de la boîte mails personnalisé.

Traitement des spams

De retour à la page Configuration → Messagerie électronique → Boîtes mails, les messages marqués comme pourriel peuvent être automatiquement déplacés en activant l'option Déplacer dans le dossier “Junk”.

Si cette option est activée, tous les spams pour tous les utilisateurs sont automatiquement supprimés à la fin de la période de conservation spécifiée.

La période de rétention du courrier indésirable peut être personnalisée pour un utilisateur spécifique dans Gestion → Adresse mail → Boîtes aux lettres utilisateurs → Éditer vis-à-vis un utilisateur:

Durée de rétention personnalisée des spams.
Déplacer le curseur pour ajuster.

De retour à Configuration → Messagerie électronique → Boîtes mails, l'utilisateur root peut personnifier (emprunter l'identité d') un autre utilisateur et ainsi obtenir tous les droits et autorisations sur les dossiers et contenus du courrier de la boîte aux lettres de cet utilisateur.

Root peut se connecter en tant qu'un autre utilisateur est le paramètre qui contrôle cette personnification qui est également appelée uti­li­sateur principal dans Dovecot15).
Lorsque ce paramètre est activé, le justificatif d'identification suivant est accepté par le serveur IMAP:
♦ nom d'utilisateur avec le suffixe *root ajouté
♦ mot de passe de root

Exemple: pour accéder à la boîte aux lettres de michelandre, root doit utiliser le justificatif d'identification suivant:
♦ nom d'utilisateur: michelandre*root
♦ mot de passe: mot-de-passe-de-root

Messages

Configuration → Messagerie électronique → onglet Messages, le curseur Taille maximum des messages dans la file d'attente définit la taille maximale totale des messages dans la file d'attente du système de courriers. Si cette limite est dépassée, aucun message ne peut entrer dans le système et il est rejeté.

Une fois qu'un message entre dans NethServer, il est conservé dans une file d'attente, en attendant la livraison finale ou le relais vers un autre système.

Lorsque NethServer relaie un message vers un serveur distant, des erreurs peuvent survenir:

  • la connexion réseau a échoué, ou
  • l'autre serveur est en panne ou surchargé.

Ces erreurs et certaines autres sont temporaires. Dans ces cas, NethServer tente de se reconnecter à l'hôte distant à intervalles réguliers jusqu'à ce qu'une limite de temps soit atteinte. Le curseur Durée de vie des messages dans la file d'attente modifie cette limite. Par défaut, elle est définie à 4 jours.

Lorsque les messages sont dans la file d'attente, l'administrateur peut demander une tentative immédiate de relayer les messages en appuyant sur Statut → Queue d'e-mail → Tenter d'envoyer → à l'écran surgissant, Tenter d'envoyer.

L'administrateur peut supprimer sélectivement les messages en file d'attente ou vider complètement la file d'attente avec le bouton Supprimer tout.

De retour à Configuration → Messagerie électronique → Messages et pour conserver une copie cachée de tous les messages traversant le serveur de messagerie, cochez la case:

Toujours envoyer une copie (Bcc)
Cette fonctionnalité est différente de la même case à cocher sous Configuration → Courrier (E-mail) → Domaine → Copie cachée (Bcc), car elle ne différencie pas les domaines de messagerie et traite également les messages sortants.

Dans certains pays, l'activation de l'option Toujours envoyer une copie (Bcc) peut être contraire aux lois sur la confidentialité.

Smarthost

La page Configuration → Courrier (E-mail) → Smarthost configure tous les messages sortant de manière à ce qu'ils soient dirigés vers un serveur SMTP spécial, techniquement appelé smarthost. Un smarthost accepte de relayer des messages sous certaines restrictions. Il pourrait vérifier:

  • l'adresse IP du client et
  • les informations d'identification du client SMTP AUTH.

L'envoi via un smarthost n'est généralement pas recommandé. Ce paramètre ne peut être utilisé que si le serveur est temporairement sur une liste noire16) ou si l'accès SMTP normal est limité par le fournisseur d'accès Internet (FAI).

Envoyer les messages en utilisant un smarthost
Par défaut, le Serveur NethServer tentera d'envoyer les courriels directement à la destination (recommandé dans la plupart des cas).
En choisissant plutôt d'envoyer par un smarthost, il essaiera de les transmettre via le serveur SMTP du FAI (recommandé en cas de connexion peu fiable, IP dynamique, etc.).
Nom d'hôte - Le nom du serveur de messagerie du fournisseur d'accès Internet.
Port - Le port du serveur de messagerie du FAI.
Nom d'utilisateur - Si le serveur du FAI requiert une authentification, spécifiez le nom d'utilisateur.
Mot de passe - Le mot de passe requis par le FAI.

Autoriser les connexions non cryptées
Normalement, si vous utilisez une connexion authentifiée (avec nom d'utilisateur et mot de passe), une connexion chiffrée est requise pour protéger le mot de passe. La sélection de cette option permettra à une connexion non sécurisée de se connecter au FAI (non recommandé, à utiliser uniquement si le FAI a des problèmes).

Accès SMTP

Autoriser l'envoi à partir de ces adresses IP
Autoriser l'envoi de messages électroniques à partir de l'adresse IP spécifiée, sans authentification SMTP ni autres restrictions de sécurité. Cette option convient à un dispositif17) réseau patrimonial18) qui ne prend pas en charge le protocole SMTP/AUTH.

Ne changez pas la politique par défaut sur les nouveaux environnements!

Par exemple: certains périphériques (imprimantes, numériseur/digitaliseur,…) ne prennent pas en charge l'authentification SMTP, le chiffrage ou les paramètres de port. Ces périphériques peuvent être activés pour envoyer des courriels en entrant leur adresse IP dans la zone de texte Autoriser l'envoi à partir de ces adresses IP.

▼ Options avancées

Autoriser l'envoi à partir des réseaux de confiance
Autorise l'envoi de messages électroniques à partir de n'importe quel hôte des réseaux de confiance, sans authentification SMTP ni autres restrictions de sécurité.

Activer l'authentification sur le port 25
Les clients de messagerie devraient envoyer leurs messages uniquement à l'aide du port 587 d'envoi standard. Pour les environnements patrimoniaux, cette option active aussi l'authentification du client ainsi que le relais de messagerie sur le port 25.

Validation de l'adresse de l'expéditeur

Référence: https://github.com/NethServer/nethserver-mail#sender-address-validation.
Si la propriété postfix/SenderValidation est définie sur enabled, le serveur SMTP limite l'utilisation de la commande Mail from. L'adresse de l'expéditeur doit être associée au nom de connexion SMTP. La correspondance login/expéditeur est spécifiée dans les tables Postfix suivantes, toutes deux implémentées avec un gabarit e-smith: “/etc/postfix/login_maps” et “/etc/postfix/login_maps.pcre”.

(Optionnel) - Pour activer la propriété SenderValidation:

[[email protected] ~]# config setprop postfix SenderValidation enabled

[[email protected] ~]#

On signale le changement.

[[email protected] ~]# signal-event nethserver-mail-server-update

[[email protected] ~]#

On vérifie.

[[email protected] ~]# config show postfix

postfix=service
    AccessBypassList=
    AccessPolicies=
    AlwaysBccAddress=
    AlwaysBccStatus=disabled
    ConnectionsLimit=0
    ConnectionsLimitPerIp=0
    HeloHost=
    MessageQueueLifetime=4
    MessageSizeMax=20000000
    MessageSizeMin=1048576
    SenderValidation=enabled
    SmartHostName=
    SmartHostPassword=
    SmartHostPort=25
    SmartHostStatus=disabled
    SmartHostTlsStatus=enabled
    SmartHostUsername=
    SystemUserRecipientStatus=disabled
    TCPPorts=25,465,587
    access=green,red
    status=enabled
[[email protected] ~]#


Logs - Journaux

Administration → Logs

Chaque opération du serveur de messagerie est enregistrée dans les fichiers journaux suivants:

/var/log/imap - contient les opérations de connexion et de déconnexion des utilisateurs.

/var/log/maillog - enregistre toutes les transactions de courrier.

Une transaction enregistrée dans le fichier maillog implique généralement différents paramètres du serveur de messagerie. Chaque ligne contient respectivement:

  • l'horodatage,
  • le nom d'hôte,
  • le nom du composant et l'id du processus de l'instance du composant
  • et un message texte détaillant l'opération.

Webmail

Installation

Nous avons installé Webmail (Roundcube web mail) lors de l'installation des modules de la messagerie électronique au paragraphe Installation de la messagerie.

Description

Le client par défaut de la messagerie électronique est Roundcube. Les principales caractéristiques de Roundcube sont:

  • Simple et rapide.
  • Carnet d'adresses intégré avec le protocole LDAP interne.
  • Prise en charge des messages HTML.
  • Prise en charge des dossiers partagés.
  • Extensions.

Accès

Webmail est disponible aux URL suivantes:
- http://FQDN/webmail
- http://FQDN/roundcubemail

Pour un serveur avec l'adresse IP 192.168.1.1 et le nom de domaine micronator-101.org, les adresses valides sont les suivantes:
- http://192.168.1.1/webmail
- http://192.168.1.1/roundcubemail
- http://www.micronator-101.org/webmail
- http://www.micronator-101.org/roundcubemail
- https://mail.micronator-101.org/webmail
- https://mail.micronator-101.org/roundcubemail

La connexion est sécuritaire, le protocole http sera transformé en protocole https.

Pour accéder à Webmail sur un Hôte virtuel (dans le sens de NethServer et non pas de VirtualBox) il faut toujours employer: https://mail.FQDN/webmail ou https://www.mail.FQDN/webmail

Courriel de test

Remarque: si NethServer est lié à un fournisseur distant de comptes Active Directory, un compte utilisateur dédié dans AD est requis par le module pour être pleinement opérationnel! Voir Join an existing Active Directory domain à l'URL http://docs.nethserver.org/en/v7/accounts.html#join-existing-ad-section.

On accède à la messagerie électronique de notre Serveur NethServer:

Le pro­tocole devient automatiquement https.

L'utilisateur admin se logue.


La page de la boîte de réception d'admin s'affiche.

Rédiger pour écrire un nouveau message.


On rédige un message pour l'utilisateur michelandre → Envoyer.


Dans le répertoire Envoyés, le message est présent.


- Déconnexion.

- L'utilisateur michelandre se connecte à Webmail.


Le courriel d'admin a bien été reçu par michelandre.

On double-clique l'objet du courriel pour l'afficher.


Le message reçu de l'utilisateur admin s'affiche.


On clique l'icône Plus d'actions… pour afficher les menus masqués → Afficher la source.


La source du message s'affiche et on peut voir que la signature DKIM fait bien partie du message.

Return-Path: <[email protected]>
Delivered-To: [email protected]
Received: from dorgee.micronator-101.org
    by dorgee.micronator-101.org with LMTP id +AWSASDLTFymGQAAYOHJyQ
    for <[email protected]>; Sat, 26 Jan 2019 16:03:28 -0500
Received: from www.micronator-101.org (localhost [127.0.0.1])
    by dorgee.micronator-101.org (Postfix) with ESMTP id D4CCF40C4CB3
    for <[email protected]>; Sat, 26 Jan 2019 16:03:27 -0500 (EST)
DKIM-Filter: OpenDKIM Filter v2.11.0 dorgee.micronator-101.org D4CCF40C4CB3
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=micronator-101.org;
    s=default; t=1548536607;
    bh=sExTSFtDXS2NhmPa2QfkcvkqFW7fafSUx3JYA0b1hys=;
    h=Date:From:To:Subject:From;
    b=T99iieqd0qwbf287HUvjfAUGD51r0LZ25tAbzKGuLAVlszNP+Eyicym74ut88k9Lc
     Q930rXU/JYGxJNkSBn7DnH7nxpKGtl/cOP5qfiwK9Ha/GX5Wjer72886scv6joWMWF
     2ZrUB2NxeyLUmYfdATyoR1EcQb2R06vgRPMAHMLPuA3mZILvADwpq/F87sbAAv8xy7
     uMN+0L52KTiqqScWSxocEVpBrJ9bbLs2wmpbln+IhM6ads2XhG2ZG2Q6rLu9FbVmqU
     FxmXUEqg5y/5Bs1Kr65I8jizVBpxxm1/quf2xEqpJpJpnrOs5uJmQU6o2pvNw2P8G0
     w7yGCAsATAIKQ==
MIME-Version: 1.0
Content-Type: text/plain; charset=US-ASCII;
 format=flowed
Content-Transfer-Encoding: 7bit
Date: Sat, 26 Jan 2019 16:03:27 -0500
From: [email protected]
To: Michel-Andre <[email protected]>
Subject: Test de courriel
Message-ID: <[email protected]>
X-Sender: [email protected]
User-Agent: Roundcube Webmail/1.1.12

Bonjour le monde!

admin


Extensions

Roundcube prend en charge de nombreuses extensions qui sont déjà intégrées à l'installation.

Les extensions activées par défaut sont:

  • Manage sieve: gère les filtres pour le courrier entrant.
  • Mark as junk: marque les messages sélectionnés comme courriers indésirables et les déplace dans le dossier des courriers indésirables.

Extensions recommandées

  • New mail notifier → Notification de nouveau courrier.
  • Emoticons → Émoticônes.
  • VCard support → Support VCard.

Des extensions peuvent être ajoutées ou supprimées en modifiant la liste, séparée par des virgules, dans la propriété PluginsList.

Exemple pour activer: Notification de nouveau courrier, Marquer comme indésirables et Gérer les extensions sieve depuis la ligne de commande, exécutez:

config setprop roundcubemail PluginsList managesieve,markasjunk,newmail_notifier

On signale les changements.

signal-eventnethserver-roundcubememail-update

On peut trouver une liste des extensions disponibles dans le répertoire: /usr/share/roundcubemail/plugins.

Pour obtenir la liste, exécuter simplement:

[[email protected] ~]# ls /usr/share/roundcubemail/plugins

acl                         help                 password
additional_message_headers  hide_blockquote      redundant_attachments
archive                     http_authentication  show_additional_headers
attachment_reminder         identity_select      squirrelmail_usercopy
autologon                   jqueryui             subscriptions_option
database_attachments        legacy_browser       userinfo
debug_logger                managesieve          vcard_attachments
emoticons                   markasjunk           virtuser_file
enigma                      newmail_notifier     virtuser_query
example_addressbook         new_user_dialog      zipdownload
filesystem_attachments      new_user_identity
[[email protected] ~]#

Pour voir les extensions installées:

[[email protected] ~]# config show roundcubemail

roundcubemail=configuration
    PluginsList=managesieve,markasjunk
    Server=localhost
    access=public
[[email protected] ~]#


Accès à Webmail

Avec la configuration par défaut, Webmail est accessible via HTTPS à partir de n'importe quel réseau.

Si vous souhaitez restreindre l'accès uniquement aux réseaux verts et de confiance, exécutez:

config setprop roundcubememail access private
signal-event nethserver-roundcubememail-update

Si vous voulez ouvrir l'accès depuis n'importe quel réseau:

config setprop roundcubememail access public
signal-event nethserver-roundcubememail-update


Nom du serveur dans l'écran de connexion à Webmail

À l'écran de connexion à Webmail, dans le champ Serveur, le nom du domaine principal du serveur apparaît.

On peut supprimer complètement l'affichage de cette ligne.

Utile surtout si nous avons plusieurs domaines hébergés sur le Serveur NethServer, car peu importe le domaine auquel nous nous connectons, c'est toujours le nom du domaine principal qui est affiché.

Pour supprimer l'affichage de cette ligne, il nous faut modifier le fichier de configuration de PHP: /etc/roundcubemail/config.inc.php et y ajouter la ligne suivante: config['default_host'] = '127.0.0.1';.

Par contre, si nous modifions directement ce fichier, le prochain ré-amorçage écrasera la modification lorsque le serveur assemblera les gabarits de configuration du système.

Il nous faut donc créer un gabarit personnalisé et y insérer la nouvelle ligne de configuration. Ainsi, lors de l'assemblage des gabarits, le serveur incorporera le gabarit personnalisé aux gabarits standards de configuration de PHP.

Création du répertoire pour le gabarit personnalisé.

[[email protected] ~]# mkdir -p /etc/e-smith/templates-custom/etc/roundcubemail/config.inc.php

[[email protected] ~]#

On crée le fichier 91CacherNomDuServeur et on y insère la ligne de configuration.

Le numéro du fichier doit être plus petit que 95.

Prendre tout le contenu de l'encadré pour la commande.

cat > /etc/e-smith/templates-custom/etc/roundcubemail/config.inc.php/91CacherNomDuServeur <<'EOT'
$config['default_host'] = '127.0.0.1';

EOT

On vérifie.

[[email protected] ~]# cat /etc/e-smith/templates-custom/etc/roundcubemail/config.inc.php/91CacherNomDuServeur

$config['default_host'] = '127.0.0.1';

[[email protected] ~]#

Il n'y a pas de ligne vide avant $config['default_host'] = '127.0.0.1'; Nous en avons inséré une pour faciliter la copie de la commande.

On signale le changement.

[[email protected] ~]# expand-template /etc/roundcubemail/config.inc.php

[[email protected] ~]#

On redémarre le démon httpd.

[[email protected] ~]# systemctl restart httpd

[[email protected] ~]#

On se rend à l'URL de connexion à Webmail: https://www.micronator-101.org/webmail/.

Le domaine du serveur ne s'affiche plus.

Sauvegarde

On vérifie si le nom du répertoire /etc/e-smith/templates-custom/etc/roundcubemail/ est déjà présent dans le fichier d'inclusion de la sauvegarde des données: /etc/backup-data.d/custom.include, sinon on l'insère.

Prendre tout le contenu de l'encadré pour la commande.

NouvelleInclusion="/etc/e-smith/templates-custom/etc/roundcubemail/"
if grep -Fxq "$NouvelleInclusion" /etc/backup-data.d/custom.include
then
    # L'entrée a été trouvée dans custom.include
    echo -e "\nLe fichier custom.include contient déjà l'entrée:\n$NouvelleInclusion \n"
else
    # L'entrée n'a pas été trouvée dans custom.include
    echo -e "$NouvelleInclusion" >> /etc/backup-data.d/custom.include
    echo -e "\nL'entrée: $NouvelleInclusion a été ajoutée\n"
fi

On vérifie.

[[email protected] ~]# cat /etc/backup-data.d/custom.include | grep roundcube

/etc/e-smith/templates-custom/etc/roundcubemail/
[[email protected] ~]#

Ci-dessus, il n'y a pas de ligne vide avant /etc/e-smith/templates-custom/etc/roundcubemail/. Nous en avons inséré une afin de faciliter la copie de la commande.

Suppression de Webmail

Si vous souhaitez supprimer Roundcube, exécutez la commande suivante à la ligne de commande du serveur.

yum autoremove nethserver-roundcubemail


Migration des courriels vers NethServer

S'applique à la migration des courriels depuis des serveurs SME-8.x/9.x vers un serveur NethServer-7.6-1810.

Référence: http://docs.nethserver.org/en/latest/migration.html#email.

Lors d'une migration d'un serveur de messagerie, le serveur SOURCE peut être en production même après la synchronisation et les courriels continueront à y être livrés jusqu'à ce que le serveur SOURCE soit mis hors service.

Un script basé sur rsync est fourni avec le paquet nethserver-mail-server. Ce script s'exécute sur l'hôte DESTINATION et synchronise les boîtes aux lettres de l'hôte DESTINATION depuis l'hôte SOURCE.

Usage:

/usr/share/doc/nethserver-mail-server-<VERSION>/sync_maildirs.sh [-h] [-n] [-p] -s IPADDR

        -h         message d'aide
        -n         essai à vide (dry run)
        -p PORT    port ssh de SOURCE (22 par défaut)
        -s IPADDR  adresse IP de SOURCE
        -t TYPE    type de SOURCE: sme8 (par défaut), ns6

Le serveur SOURCE à l'adresse IPADDR doit être accessible par l'usager root via ssh avec authentification par clé publique.

Pour une migration complète d'un Serveur SME vers un Serveur NethServer, voir la marche à suivre à la page: http://docs.nethserver.org/en/latest/migration.html#.

Clé ssh

Le serveur DESTINATION doit générer une clé SSH, qu'on téléversera sur le serveur SOURCE, afin que l'utilisateur root puisse ouvrir un canal de communication SSH sans devoir fournir un mot de passe.

Génération de la clé SSH

Sur le serveur DESTINATION, on génère une clé SSH de type RSA et de 2048 bits.

  • On accepte le nom du fichier par défaut en tapant la touche [Entrée].
  • On n'utilise pas de phrase de passe19) en tapant la touche [Entrée].
  • On confirme en tapant encore la touche [Entrée].
[[email protected] ~]# ssh-keygen -t rsa -b 2048

Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): [Entrée]
Enter passphrase (empty for no passphrase): [Entrée]
Enter same passphrase again: [Entrée]
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:J2D2uKWZPz0RQrkP25FA+bDtp0EUp6BxUzu1jJFQk7M [email protected]
The key's randomart image is:
+---[RSA 2048]----+
|  . ==B=+o       |
|   + o=X*.       |
|  .  .O=o* .     |
|     oE=* =      |
|      .=S*.o     |
|      .*.o+      |
|      =  . .     |
|       .. o      |
|        .. .     |
+----[SHA256]-----+
[[email protected] destination ~]#

On vérifie.

[[email protected] destination ~]# ls -als /root/.ssh/

total 12
0 drwx------  2 root root   57 22 janv. 21:20 .
0 dr-xr-x---. 4 root root  251 22 janv. 19:49 ..
4 -rw-------  1 root root 1675 22 janv. 21:20 id_rsa
4 -rw-r--r--  1 root root  412 22 janv. 21:20 id_rsa.pub
4 -rw-r--r--  1 root root  228 22 janv. 19:49 known_hosts
[[email protected] destination ~]#

La clé id_rsa est la clé privée qui doit toujours être cachée et n'être divulguée à absolument personne.

La clé id_rsa.pub est la clé publique et peut être partagée avec n'importe qui. Elle sert à chiffrer un message qui vous est destiné et que seule votre clé privée peut déchiffrer.

Téléversement de la clé SSH publique de root

Serveur DESTINATION, notre Serveur NethServer qui va recevoir les courriers depuis le serveur SOURCE, le serveur SME-8.x/9.x distant.

On téléverse la clé publique de root vers le serveur SOURCE afin que notre utilisateur root puisse entrer en communication avec SOURCE sans devoir utiliser un mot de passe lors d'une connexion SSH.

[[email protected] ~]#  cat /root/.ssh/id_rsa.pub                 \
                           | ssh -p 2222 [email protected]      \
                           "cat >> /root/.ssh/authorized_keys2"

The authenticity of host '[192.168.1.101]:2222 ([192.168.1.101]:2222)' can't be established.
RSA key fingerprint is a0:2f:27:ab:cc:d8:c4:57:fc:57:ee:63:dd:58:dd:02.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[192.168.1.101]:2222' (RSA) to the list of known hosts.
[email protected]'s password: mot-de-passe-de-root-du_serveur-SOURCE
[[email protected] ~]#

● La première ligne: "cat /root/.ssh/.ssh/id_rsa.pub \" indique à SOURCE d'afficher la clé publique “id_rsa.pub” de root. Le caractère “\” à la fin de la ligne indique que la commande se poursuit sur la ligne suivante.

●Le caractère de pipe “|” au début de la deuxième ligne indique de passer le résultat de la commande précédente, c.-à-d. cat, à la commande suivante, c.-à-d. ssh. Le paramètre “-p 2222” indique d'utiliser le port 2222 pour la communication ssh. Le paramètre “[email protected]” indique de se connecter en tant que root à l'adresse “192.168.1.101”.

● La troisième ligne, qui est entre guillemets (“…”), indique au serveur SOURCE d'exécuter la commande qui se trouve entre ces guillemets. Donc, SOURCE, le serveur distant va afficher avec “cat” ce qu'il reçoit et va l'ajouter ">>" au fichier “/root/.ssh/authorized_keys2”.

Vérification de la connexion

On vérifie la connexion ssh sans mot de passe.

[[email protected] ~]# ssh -p 2222 [email protected]

Last login: Tue Jan 22 21:34:14 2019 from 192.168.1.81
************ Welcome to SME Server 9.2 *************

Before editing configuration files, familiarise
yourself with the automated events and templates
systems.

Please take the time to read the documentation
http://wiki.contribs.org/Main_Page

Remember that SME Server is free to download
and use, but it is not free to build

Please help the project :
http://wiki.contribs.org/Donate

****************************************************
[[email protected] ~]#

La connexion sans mot de passe fonctionne correctement.

On vérifie le domaine de SOURCE.

[[email protected] ~]# cat /etc/hosts

#------------------------------------------------------------
#              !!DO NOT MODIFY THIS FILE!!
#
# Manual changes will be lost when this file is regenerated.
#
# Please read the developer's guide, which is available
# at http://www.contribs.org/development/
#
# Copyright (C) 1999-2006 Mitel Networks Corporation
#------------------------------------------------------------
127.0.0.1       localhost
192.168.1.101   source.micronator.org source
[[email protected] ~]#

Le domaine de SOURCE est: micronator.org.

On se désengage de la connexion sans mot de passe.

[[email protected] ~]# exit

logout
Connection to 192.168.1.101 closed.
[[email protected] ~]#

Nous sommes de retour sur le serveur DESTINATION.

Migration des courriels

Seuls les utilisateurs qui ont un compte sur SOURCE et aussi un compte sur DESTINATION seront synchronisés.

Les nouveaux utilisateurs sur le Serveur NethServer doivent s'être déjà logués au moins une fois à Webmail pour que leur répertoire de messagerie /var/lib/nethserver/vmail/adresse-courriel soit créé sinon, leur courriels ne seront pas transférés.

● On vérifie l'usage du script.

Ajuster la version pour le nom du répertoire; nous utilisons la version 2.4.5 de nethserver-mail-server.

[[email protected] ~]# /usr/share/doc/nethserver-mail-server-2.4.5/sync_maildirs.sh -h

Usage:
    /usr/share/doc/nethserver-mail-server-2.4.5/sync_maildirs.sh [-h] [-n] [-p] -s IPADDR
        -h          help message
        -n          dry run
        -p PORT     ssh port on source host (default 22)
        -s IPADDR   rsync from source host IPADDR
        -t TYPE     source type: sme8 (default), ns6

[[email protected] ~]#


Test de Migration

● On lance un essai à vide.

Ajuster la version pour le nom du répertoire; nous utilisons la version 2.4.5 de nethserver-mail-server.

[[email protected] ~]# /usr/share/doc/nethserver-mail-server-2.4.5/sync_maildirs.sh -n -p 2222 -s 192.168.1.101


>f+++++++++ cur/1548091187.24166.dorgee:2,S
.d..t...... new/
.d..t...... tmp/
[INFO] Tue Jan 22 21:51:13 EST 2019 -- Synchronizing root Maildir/
[INFO] Skip root because it exists only in ns7
[INFO] Tue Jan 22 21:51:13 EST 2019 -- Synchronizing vmail Maildir/
rsync: change_dir "/home/e-smith/files/users/vmail/Maildir" failed: No such file or directory (2)
rsync error: some files/attrs were not transferred (see previous errors) (code 23) at main.c(1650) [Receiver=3.1.2]
rsync: [Receiver] write error: Broken pipe (32)
[INFO] Tue Jan 22 21:51:13 EST 2019 -- Synchronizing [email protected] Maildir/
[INFO] Skip [email protected] because it exists only in ns7
[[email protected] ~]#

Seuls les utilisateurs qui ont un compte sur SOURCE et aussi un compte sur DESTINATION seront synchronisés.

Migration réelle

● On lance la migration réelle. (Peut prendre un certain… être très patient.)

Ajuster la version pour le nom du répertoire; nous utilisons la version 2.4.5 de nethserver-mail-server.

[[email protected] ~]# /usr/share/doc/nethserver-mail-server-2.4.5/sync_maildirs.sh -p 2222 -s 192.168.1.101

[INFO] Tue Jan 22 22:23:52 EST 2019 -- Synchronizing [email protected] Maildir/
[INFO] Tue Jan 22 22:24:41 EST 2019 -- Synchronizing [email protected] Maildir/
[INFO] Tue Jan 22 22:24:47 EST 2019 -- Synchronizing root Maildir/
[INFO] Skip root because it exists only in ns7
[INFO] Tue Jan 22 22:24:47 EST 2019 -- Synchronizing vmail Maildir/
rsync: change_dir "/home/e-smith/files/users/vmail/Maildir" failed: No such file or directory (2)
rsync error: some files/attrs were not transferred (see previous errors) (code 23) at main.c(1650) [Receiver=3.1.2]
rsync: [Receiver] write error: Broken pipe (32)
[INFO] Tue Jan 22 22:24:48 EST 2019 -- Synchronizing [email protected] Maildir/
[INFO] Skip [email protected] because it exists only in ns7
[[email protected] ~]#


Fichiers journaux

Foire aux questions

Définition d’un journal

Un journal (log) est un fichier texte dans lequel sont écrits tous les événements qui lui sont associés. Par exemple, le journal messages contiendra, entre autres, les messages affichés au démarrage de votre serveur.

Répertoire des journaux

Les fichiers journaux se trouvent dans le répertoire /var/log. On y trouve, par exemple, notre fichier messages.

Journaux dans l'interface Web

Pour vous faciliter la tâche, les développeurs de NethServer on tout prévu! Pour rechercher et lire facilement un journal, connectez-vous à l'interface Web de NethServer. Dans la colonne de gauche, cliquez Administration → Logs.

Vous voulez visualiser le fichier messages, cliquez sur /var/log/messages.

Voir un journal

Trouver

Vous permet de rechercher des mots et des phrases dans tous les journaux du serveur.

Vous pouvez accéder directement à chaque journal via les liens répertoriés.


Afficher un seul journal

Vous permet de parcourir le contenu du journal sélectionné et de suivre le flux de texte en temps réel.

Fermer
Ferme la fenêtre du journal sélectionnée et revient à la page principale.

Vide
Permet de vider le contenu de la fenêtre du journal. Les données sont uniquement supprimées de la fenêtre d'affichage, aucune modification n'est apportée au contenu du journal.

Suivre
Met à jour, en temps réel, la fenêtre d'affichage avec toutes les nouvelles informations écrites dans le journal.

Arrêtez
Arrête la mise à jour de la visualisation du journal en temps réel.


Diagnostiques

External IP address

Statut → Diagnostiques → External Public IP affiche l'adresse publique du réseau (celle vue depuis l'Internet).


Adresses réseaux

Affiche les adresses IP de toutes les cartes réseau du système.


Route réseau

Référence: https://fr.wikipedia.org/wiki/Table_de_routage.
Une table de routage est une structure de données utilisée par un routeur ou un ordinateur en réseau et qui associe des préfixes à des moyens d'acheminer les trames vers leur destination.


Mail Test

Permet de vérifier que le serveur de courrier fonctionne correctement.

SENDMAIL pour envoyer un courriel de test à l'usager spécifié sous Mailbox to test.


L'utilisateur root se logue à Webmail.

L'utilisateur root a bien reçu le message de test.


Nslookup

Référence: https://fr.wikipedia.org/wiki/Nslookup.
nslookup est un programme informatique de recherche d'information dans le DNS, qui associe nom de domaine et adresses IP. nslookup permet donc d'interroger les serveurs DNS pour obtenir les informations définies pour un domaine déterminé.

Nom d'hôte ou IP: nethserver.org → NSLOOKUP.


Ping

Référence: https://fr.wikipedia.org/wiki/Ping_(logiciel).
Ping est le nom d'une commande informatique permettant de tester l'accessibilité d'une autre machine à travers un réseau IP. La commande mesure également le temps mis pour recevoir une réponse, appelé round-trip time (temps aller-retour).

Nom d'hôte ou IP: nethserver.org → PING.
Ping utilise une requête ICMP Request et attend une réponse Reply. L'envoi est répété pour des fins statistiques: déterminer le taux de paquets perdus et le délai moyen de réponse. Si d'autres messages ICMP sont reçus de la part de routeurs intermédiaires (comme TTL exceeded, Fragmentation needed, administratively prohibited…), ils sont affichés à l'écran.

Scan

Balaie le réseau LOCAL à la recherche d'adresses IP connectées à cette interface.

Network interfaces: em1 → SCAN.

192.168.1.3: aiguilleur sans fil pour cellulaires, tablettes, etc.
192.168.1.10: l'adaptateur téléphonique analogique HT-502. Voir le chapitre Adaptateur téléphonique analogique HT-502.
192.168.1.81: le poste de travail.

SpeedTest

Vérifie la vitesse de téléchargement-téléversement de la carte réseau.

Network interfaces: em1 → SPEEDTEST.


Traceroute

Référence: https://fr.wikipedia.org/wiki/Traceroute.
traceroute (ou tracert sous Windows) est un programme utilitaire qui permet de suivre les chemins qu'un paquet de données (paquet IP) va prendre pour aller de la machine locale à une autre machine connectée au réseau IP. Il a été conçu au sein du Laboratoire national Lawrence-Berkeley.

Nom d'hôte ou IP: nethserver.org → TRACEROUTE.

Adaptateur téléphonique analogique HT-502

Description générale

Ce chapitre est optionnel.

Introduction

Ce chapitre présente la marche à suivre pour configurer un adaptateur téléphonique analogique HT-502 et le connecter à un réseau ayant un Serveur NethServer lui servant de passerelle.

But du HT-502

Grandstream HT502

Référence générale: http://www.grandstream.com/products/gateways-and-atas/analog-telephone-adaptors/product/handytone-502.

L'adaptateur téléphonique analogique Grandstream Handytone offre aux utilisateurs débutants de la téléphonie IP: une superbe qualité audio riche en termes de fonctionnalités, l'interopérabilité avec les principaux fournisseurs de VoIP et la compatibilité avec la plupart des fournisseurs de services. Le Handytone est compact, fonctionne avec n’importe quel téléphone avec ou sans fil, ou machine fax et offre la simplicité du prêt à l'emploi (plug-n-play) qui le rend idéal pour l’utilisateur de téléphonie IP de base.

- Ressources HandyTone 502: http://www.grandstream.com/support/resources/?title=HandyTone%20502.
- HT502 Dual FXS Port Analog Telephone Adaptor User Manual: (anglais) http://www.grandstream.com/sites/default/files/Resources/ht502_user_manual.pdf.

Téléphonie cellulaire gratuite par Internet

Fongo

Téléphonie cellulaire par Internet: http://www.micronator.org/?page_id=58 - Très utile pour vérifier le fonctionnement du HT-502.

Redirection de ports vers le HT-502

Introduction

Pour plus de sécurité, notre ATA ne sera pas directement relié à l'Internet, mais sera connecté sur le réseau LOCAL du Serveur NethServer. Lors de la configuration du HT-502, nous lui assignerons l'adresse IP statique 192.168.1.10.

Pour que l'ATA puisse recevoir et envoyer des appels, il faut que le Serveur NethServer redirectionne les ports utilisés par le HT-502.

Ports utilisés par le HT-502

http://www.grandstream.com/sites/default/files/Resources/ht502_user_manual.pdf page 42/43.

Local RTP portDefines the local RTP port pair the HT502 will listen and transmit. The default value for FXS port 1 is 5004. The default value for FXS port 2 is 5012.
Local SIP portDefines the local SIP port the HT502 will listen and transmit. The default value for FXS port 1 is 5060. The default value for FXS port 2 is 5062.

Nous voyons que les ports utilisés sont 5004 et 5060. Nous allons donc redirectionner ces ports du Serveur NethServer vers le HT-502.

Redirections des ports






Passerelle → Port Forwarding → CRÉER NOUVEAU.

- Cocher TCP,UDP
- Cocher Tout
- Port d'origine → 5004
- Port de destination → 5004
- On clique dans le cadre sous Hôte de destination.

- Un écran surgissant s'affiche.
- Sur la ligne Chercher… on entre HT-502 → [Entrée].
- Créer hôte “HT-502”.

- Nom: → ht-502 (en minuscule).
- Adresse IP: → 192.168.1.10.
- La Description est déjà entrée.
- SOUMETTRE.


- Autoriser seulement depuis: → 0.0.0.0.
- Description: → Port RTP local.
- SOUMETTRE.






CRÉER NOUVEAU.

- Cocher TCP,UDP et Tout.
- Port d'origine → 5060.
- Port de destination → 5060.
- On clique dans le cadre sous Hôte de destination.
- Sélectionner Hôte ht-502.




- Autoriser seulement depuis: → 0.0.0.0.
- Description: → Port SIP local.
- SOUMETTRE.


Peu importe d'où elles proviendront, les requêtes pour les ports 5004 et 5060 seront redirigés vers ceux de l'adaptateur HT-502.

Le Serveur NethServer est maintenant configuré pour permettre au HT-502 de recevoir des requêtes depuis l'Internet.

Si vous avez un télécopieur connecté au port #2 du HT-502 voir les pages suivantes:
http://support.t38fax.com/support/solutions/articles/19000015872-grandstream-handytone-502-ht502-ata
http://support.t38fax.com/support/solutions/articles/19000026933-recommended-fax-machine-settings
http://help.fluentcloud.com/support/solutions/articles/4000092935-recommended-setup-for-fax-ata-devices-in-my-fluentcloud-com

VoIP & HT-502

Réinitialisation à la configuration d'usine

  • On débranche tout du HT-502 sauf l'alimentation.
  • On s'assure que le HT-502 est à sa configuration d'usine en appuyant sur le bouton Reset pour au moins 7 secondes.
  • On attend 30 secondes pour la fin du réamorçage.

Branchement d'une station

  • On configure le poste de travail (Win-8.1) pour recevoir son adresse IP dynamiquement par DHCP.
  • Clac sur l'icône réseau sur la barre de notification → Ouvrir le Centre réseau et partage → Modifier les paramètres de la carte.
  • Double-cliquer la carte Éthernet → Propriétés →.
  • Double-cliquer Protocole Internet version 4 (TCP/IPv4).
  • Onglet Général → sélectionner Obtenir une adresse IP automatiquement.
  • Sélectionner Obtenir les adresses des serveurs DNS automatiquement.
  • OK.
  • Fermer toutes les fenêtres.


Pour pouvoir configurer le HT-502, on branche le poste de travail directement à son port LAN.

Le poste de travail recevra son adresse IP: 192.168.2.100 et celle de la passerelle: 192.168.2.1 du DHCP du HT-502.

Login

Il faut utiliser le mot de passe selon la page 28 du “User Manual” (anglais): http://www.grandstream.com/sites/default/files/Resources/ht502_user_manual.pdf.


Avec un navigateur Web du poste de travail, on se rend à l'adresse 192.168.2.1 et on se logue avec le mot de passe “admin”.


Statut

Lorsqu'on se logue, la page de l'on­glet STATUS est affichée et donne la configuration actuelle du HT-502.


Configuration

Onglet BASIC SETTINGS

  • End User Password: on entre un mot de passe robuste.
  • Web Port: on laisse le port Web à 80, le port par défaut.
  • Telnet Server: on sélectionne YES pour pouvoir y accéder en tout temps et vérifier les paramètres.
    Si on met ce serveur à NO, on ne pourra plus accéder au HT-502 après l'avoir réamorcé.


IP Address:

On choisit statically configured as: pour donner au HT-502 une adresse IP statique:

Statically configure as:

IP Address: → 192.168.1.10
Subnet Mask: → 255.255.255.0
Default Router: → 192.168.1.1
DNS Server 1: → 192.168.1.1.


Time Zone: → GMT-05:00 (Eastern Time)


- Reply to ICMP on WAN port: → Yes.
Pour pouvoir faire un ping afin de savoir si le HT-502 est vivant.

- WAN side HTTP/Telnet access: → Yes.
Pour pouvoir accéder en tout temps aux paramètres de con­fi­guration.


- Enable LAN DHCP: → Yes
On active le DHCP pour le port LAN.

- LAN DHCP Base IP: → 192.168.3.10.
Le port LAN sera à cette nou­vel­le adresse, car par défaut, le modem VDSL utilise déjà l'a­dresse 192.168.2.1.


Apply

Apply pour appliquer et enregistrer les nouveaux paramètres.


Réamorçage

Les paramètres ont été sauvegardés et seront effectifs seulement après un réamorçage.

On clique Reboot.

Attendre 30 secondes.

Vérifications

Port LAN

1) Débrancher le poste de travail du port LAN.
2) Déconnecter la prise d'alimentation du HT-502.
3) Attendre 30 secondes
4) Rebrancher l'alimentation du HT-502.

5) S'assurer que le poste de travail a toujours une connexion réseau IP dynamique par DHCP.
6) On reconnecte la station de travail au port LAN du HT-502.
7) On vérifie l'adresse reçue par la station de tra­vail.
Le poste de travail a bien reçu l'adresse 192.168.3.100 par le DHCP du port LAN du HT-502.


- Avec le navigateur du poste de travail, on se rend à 192.168.3.10, la nouvelle adresse de base du port LAN telle que définie au paragraphe Statically configure as.

- On entre le nouveau mot de passe donné précédemment au paragraphe End User Password.

- Login.

On est logué sans aucun pro­blème.

On voit que l'adresse 192.168.1.10 a bien été affectée au port WAN.

Tout ceci démontre que nos nouveaux pa­ra­mè­tres ont bien été sauvegardés et activés.

Comme le poste de travail est toujours con­nectée au port LAN et que nous pouvons communiquer avec le HT-502, nous pouvons en déduire que l'adresse IP de ce port est bien 192.168.3.10 car le poste de travail a reçu l'adresse 192.168.3.100 qui est bien la première adresse de la plage que le DHCP du HT-502 alloue telle qu'on peut la voir sur la capture d'écran ci-dessous.

Sous l'onglet BASIC SETTINGS, on peut voir que l'adresse IP du port LAN est maintenant 192.168.3.10 et que le DHCP est toujours activé pour ce réseau.

Port WAN

- Vu que l'adresse IP du port WAN est maintenant 192.168.1.10, on redonne les coordonnées IP ori­gi­na­les au poste de travail.

- On dé­bran­che le poste de travail du port LAN et on le branche au port WAN.

Login

- Avec le navigateur du poste de travail, on se rend à la nouvelle a­dresse du port WAN: 192.168.1.10.

- On vérifie qu'on peut se loguer en utilisant le nouveau mot de passe.

Si on ne peut se loguer, une erreur s'est glissée quelque part et il faut recommencer la configuration.

On clique l'onglet BASIC SETTINGS pour s'assurer qu'on peut y accéder.


- On clique sur l'onglet Advanced Settings.

- On nous demande un mot de passe.


- On entre le nouveau mot de passe.

- Login.


Lorsqu'on veut afficher le contenu de l'onglet Advanced Settings, le mot de passe n'est pas reconnu et on ne peut accéder aux paramètres avancées, ce qui est normal; voir le paragraphe Mot de passe du FAI ci-dessous.

Revérification du port LAN

- On remet le poste de travail pour qu'il recoive son adresse IP par DHCP et on le branche au port LAN.

- On revérifie l'adresse obtenue et elle est la même que précédemment: 192.168.3.100.

Mot de passe du FAI

- Avec le navigateur Web du poste de travail, on se rend à la nouvelle adresse du HT-502, c.-à-d. 192.168.3.10.

Après un réamorçage et un ré-approvisionnement par le FAI, un nouveau mot de passe est utilisé:

motdepassetrescomplexe

- On entre ce mot de passe du FAI et on clique Login.

- On peut se loguer sans problème et afficher le contenu de l'onglet Advanced Settings.

Connexion du HT-502 au réseau local

1) Débrancher le poste de travail du port WAN.
2) Débrancher l'alimentation du HT-502.
3) Brancher le port WAN à l'aiguilleur du réseau LOCAL.
4) Brancher la prise téléphonique au port PHONE1.
5) Rebrancher l'alimentation du HT-502 et attendre environ une minute pour les vérifications finales.


Vérifications finales

1) Sur le devant du HT-502, les DEL (LED) POWER et PHONE1 sont de couleur jaune et toujours allumées; WAN clignote.
2) On soulève le récepteur téléphonique et PHONE1 s'éteint.
2) On replace le récepteur téléphonique et PHONE1 redevient jaune.
4) Si on possède un télécopieur (Fax), on peut envoyer une télécopie qui demande de nous la retourner.
5) Pour vérifier la téléphonie, on téléphone à une copine et on lui demande de nous téléphoner pour s'assurer que tout est vraiment fonctionnel.

Notre Adaptateur téléphonique analogique HT-502 est parfaitement fonctionnel.


Logiciels utilitaires

Description

Certains logiciels peuvent s'avérer très utiles pour la gestion du Serveur NethServer.

PuTTY

Nous avons installé sur le poste de travail les logiciels utilitaires lors de l'étude du Cahier-02: Installation et configuration des logiciels prérequis et nous reproduisons ici leur utilisation au cas où vous ne disposeriez pas de ce cahier. Les exemples utilisés sont ceux du Cahier-02.

Lancer PuTTY → entrer les informations requises → Save → Open.

Lors de la première connexion, on accepte la clé de chiffrement.

On se logue avec root et le mot de passe qu’on lui a attribué lors de l’installation.

Vérification des cartes réseau.

[[email protected] ~]# ifconfig

em1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.1  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::226:b9ff:fe7a:8edc  prefixlen 64  scopeid 0x20<link>
        ether 00:26:b9:7a:8e:dc  txqueuelen 1000  (Ethernet)
        RX packets 59110  bytes 19699640 (18.7 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 55554  bytes 30950756 (29.5 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device interrupt 16

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Boucle locale)
        RX packets 12405  bytes 2421429 (2.3 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 12405  bytes 2421429 (2.3 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

p1p1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet6 fe80::ee08:6bff:fe04:bf7e  prefixlen 64  scopeid 0x20<link>
        ether ec:08:6b:04:bf:7e  txqueuelen 1000  (Ethernet)
        RX packets 298360  bytes 346493886 (330.4 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 271444  bytes 54477460 (51.9 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

ppp0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1492
        inet 206.248.138.152  netmask 255.255.255.255  destination 206.248.155.132
        ppp  txqueuelen 3  (Protocole Point-à-Point)
        RX packets 144748  bytes 193633589 (184.6 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 143476  bytes 7507991 (7.1 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

[[email protected] ~]#

PuTTY est fonctionnel.


WinSCP

Nous avons aussi installé WinSCP sur le poste de travail lors de l'étude du Cahier-02: Installation et configuration des logiciels prérequis.

On lance WinSCP, on entre les coordonnées de notre serveur → Sauver…

- On peut créer un raccourci sur le bureau.
- OK.


Outils → Préférences…





Fenêtre → Afficher le chemin complet.

- Panneaux.
- ☑ Afficher les fichiers cachés.
- ☑ Sélectionner le nom complet lors d'un renommage.
- OK.




- Les informations sont sauvegardées.
- Connexion pour se connecter.


- Lors de la première connexion, on accepte la clé de chiffrement → Oui.

- On entre le mot de passe de root du serveur distant → OK.


On peut copier d’un panneau vers l’autre en sélectionnant un ou plusieurs fichiers/répertoires puis cliquer/glisser.

WinSCP est fonctionnel.


Midnight Commander (mc)

Référence: https://fr.wikipedia.org/wiki/Midnight_Commander.
GNU Midnight Commander (mc) est un gestionnaire de fichiers multiplate-forme inspiré de Norton Commander et écrit par Miguel de Icaza. C'est une application en mode texte. L'interface principale se compose de deux “panneaux” qui affichent les fichiers présents par rapport à leur emplacement sur le disque. Midnight Commander inclut un éditeur de texte interne avec le repérage de la syntaxe, un outil permettant de visualiser le contenu d'un RPM, et un autre permettant de se connecter à un serveur FTP.

[[email protected] ~]# yum install -y mc

...
Transaction Summary
============================================================================================
Install  1 Package (+1 Dependent package)

Total download size: 1.8 M
Installed size: 5.7 M
Downloading packages:
(1/2): gpm-libs-1.20.7-5.el7.x86_64.rpm                              |  32 kB  00:00:00
(2/2): mc-4.8.7-11.el7.x86_64.rpm                                    | 1.7 MB  00:00:01
--------------------------------------------------------------------------------------------
Total                                                       1.1 MB/s | 1.8 MB  00:00:01
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
  Installing : gpm-libs-1.20.7-5.el7.x86_64                                             1/2
...
  Verifying  : gpm-libs-1.20.7-5.el7.x86_64                                             2/2

Installed:
  mc.x86_64 1:4.8.7-11.el7

Dependency Installed:
  gpm-libs.x86_64 0:1.20.7-5.el7

Complete!
[[email protected] ~]#


Pour lancer cet utilitaire: mc

[F-1] pour l'aide.

[F-10] pour quitter Midnight Commander.

locate

Référence: https://fr.wikipedia.org/wiki/Locate.
L'utilitaire locate est une commande Unix permettant de localiser (to locate en anglais) un fichier.

À la différence des autres méthodes de recherche, locate ne cherche pas les fichiers demandés dans l'arborescence des répertoires, mais dans une base de données mise régulièrement à jour (au moyen de la commande updatedb, que l'on automatise, si ce n'est pas déjà le cas, au moyen de cron). Cette base de données contient les références vers les fichiers contenus dans les répertoires du système.

L'avantage de cette méthode repose sur la grande rapidité d'une telle recherche. En revanche, tout ajout, suppression ou déplacement d'un fichier survenus entre deux mises à jour ne sera pas répercuté dans la base de données à moins d'une mise à jour manuelle.

[[email protected] ~]# yum install -y mlocate

...
Transaction Summary
============================================================================================
Install  1 Package

Total download size: 113 k
Installed size: 379 k
Downloading packages:
mlocate-0.26-8.el7.x86_64.rpm                                        | 113 kB  00:00:01
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
  Installing : mlocate-0.26-8.el7.x86_64                                                1/1
  Verifying  : mlocate-0.26-8.el7.x86_64                                                1/1

Installed:
  mlocate.x86_64 0:0.26-8.el7

Complete!
[[email protected] ~]#

Mise à jour de la BD de locate.

[[email protected] ~]# updatedb

[[email protected] ~]#

Exemple de recherche.

[[email protected] ~]# locate .well-kno

/var/www/html/.well-known
/var/www/html/.well-known/acme-challenge
[[email protected] ~]#


Shell In A Box

Référence: https://wiki.nethserver.org/doku.php?id=shellinabox.
Shell In A Box implémente un serveur Web capable d'exporter des outils arbitraires de ligne de commande vers un émulateur Web de terminal en utilisant la technologie Ajax pour donner l’apparence d’un shell natif. Cet émulateur est accessible à tout navigateur Web compatible JavaScript et CSS et ne nécessite aucune extension supplémentaire du navigateur.

Référentiel stephdl

Si ce n'est déjà fait, vous devez installer le référentiel stephdl.
Référence: https://wiki.nethserver.org/doku.php?id=stephdl_repository.

[[email protected] ~]# yum install -y  http://mirror.de-labrusse.fr/NethServer/7/x86_64/nethserver-stephdl-1.0.7-1.ns7.sdl.noarch.rpm

...
Transaction Summary
============================================================================================
Install  1 Package

Total size: 40 k
Installed size: 40 k
...
Installed:
  nethserver-stephdl.noarch 0:1.0.7-1.ns7.sdl

Complete!
[[email protected] ~]#

Vérification.

[[email protected] ~]# rpm -qa | grep stephdl

nethserver-stephdl-1.0.7-1.ns7.sdl.noarch
[[email protected] ~]#

Installation du module

[[email protected] ~]# yum install -y nethserver-shellinabox --enablerepo=stephdl

...
Resolving Dependencies
...
Dependencies Resolved
...
Transaction Summary
============================================================================================
Install  1 Package (+1 Dependent package)

Total download size: 164 k
Installed size: 551 k
...
Installed:
  nethserver-shellinabox.noarch 0:0.1.6-1.ns7.sdl

Dependency Installed:
  shellinabox.x86_64 0:2.20-5.el7

Complete!
[[email protected] ~]#

On rafraîchit la page de l'interface WEB pour faire apparaître les nouveaux menus.

Configuration → Paramètres du terminal pour définir des paramètres spécifiques.

Activer Shellinabox
Active ou désactive le module.

Port TCP
Définit le port TCP du démon.

⦿ Accès privé
Si vous sélectionnez cette options, vous ne pouvez utiliser Shellinabox que sur votre réseau LOCAL.
* L'authentification Apache peut être forcée avec la prochaine option.

Forcer l'accès restreint de l'utilisateur
Apache est utilisé pour restreindre l'accès aux utilisateurs. Lorsque Shellinabox est défini sur l'Accès Privé, l'authentification d'Apache n'est pas obligatoire, mais vous pouvez le forcer ici. Apache doit autoriser un utilisateur, mais l'utilisateur doit toujours avoir un accès au shell du système.

Accès Public
Pour utiliser Shellinabox en dehors de votre réseau LOCAL.
Lorsque vous autorisez une connexion depuis l'extérieur de votre réseau local ou spécifiquement pour une ou plusieurs adresses IP, l'authentification de l'utilisateur est obligatoire. L'utilisateur admin est autorisé par défaut, mais vous pouvez ajouter plus d'utilisateurs. (Pour NS7 et NS6, vous devez définir un mot de passe dans le panneau de l'utilisateur du gestionnaire de serveur.)

Accès IP
Si cous sélectionnez cette options, l'accès n'est autorisé que depuis les adresses IP spécifiées (une adresse IP par ligne).

De plus, vous pouvez restreindre l'accès qu'à certains utilisateurs en cochant Forcer l'accès restreint de l'utilisateur et en spécifiant un utilisateur autorisé par ligne.

Si on change un paramètre: →

Redémarrage du démon

Statut → Services → shellinaboxd → Redémarrage.

Accès

Administration → Terminal.

On se logue avec le nom d'un des usagers autorisés.


À la console du Terminal, on se logue en utilisant root.

Sauvegarde

Description

Référence: http://docs.nethserver.org/en/v7/backup.html.
Une sauvegarde est le seul moyen de restaurer une machine en cas de sinistre. Le système gère deux types de sauvegardes:

  • Sauvegarde de la configuration
    Ce type de sauvegarde ne contient que les fichiers de configuration du système. Son objectif est de restaurer rapidement une machine en cas de récupération après sinistre.
  • Sauvegarde des données
    Ce type de sauvegarde est activé par l’installation du module Sauvegarde et contient, par défaut, toutes les données stockées dans le système (répertoires des utilisateurs, dossiers partagés, courriels, etc.). Cette sauvegarde s'exécute une fois par jour et peut être complète ou incrémentielle sur une base hebdomadaire (six incrémentielles et la septième complète). Elle contient également l'archive de la Sauvegarde de la configuration. Plusieurs sauvegardes peuvent être configurées pour enregistrer différentes données à des intervalles différents.
    Lorsque la machine est fonctionnelle, une restauration complète des données peut être effectuée même si la machine est déjà en production.

Sauvegarde de la configuration

Ces sauvegardes sont conservées dans: /var/lib/nethserver/backup/history.

Depuis la page Sauvegarde (configuration), la configuration du système peut être sauvegardée, téléchargée, téléversée et restaurée.

En outre, une tâche automatisée s'exécute chaque nuit à 00h15 et crée une nouvelle archive, /var/lib/nethserver/backup/backup-config.tar.xz, si la configuration a été modifiée au cours des dernières 24 heures.

Configuration

Configuration → Sauvegarde (configuration) → onglet Configurer → on spécifie le nombre de sauvegardes automatiques à conserver → SOUMETTRE.

Ces sauvegardes n'ont que quelques Ko; on peut en garder un assez grand nombre.

La liste des modules installés est incluse dans l'archive de sauvegarde. La procédure de restauration peut télécharger et installer automatiquement les modules énumérés.

Personnalisation

Exclusion de fichiers/répertoire

Si vous souhaitez exclure un fichier ou un répertoire de la Sauvegarde de la configuration, ajoutez une ligne au fichier /etc/backup-config.d/custom.exclude.

Inclusion

Dans la plupart des cas, il n'est pas nécessaire de modifier la Sauvegarde de la configuration, mais peut être utile par exemple si vous avez une configuration httpd personnalisée. Dans ce cas, vous pouvez ajouter le fichier contenant la personnalisation à la liste des fichiers à sauvegarder.

Si vous souhaitez ajouter un fichier ou un répertoire à la Sauvegarde de la configuration, ajoutez une ligne au fichier /etc/backup-config.d/custom.include.

Exemple: pour sauvegarder le répertoire /etc/e-smith/templates-custom/etc/roundcubemail/ qui contient le gabarit qui supprime l'affichage du nom du serveur lors d'une connexion à Webmail, ajoutez cette ligne:

/etc/e-smith/templates-custom/etc/roundcubemail/

N'ajoutez pas de gros répertoires ou fichiers à la Sauvegarde de la configuration.

Assurez-vous de ne pas laisser de lignes vides dans les fichiers modifiés. La syntaxe de la Sauvegarde de la configuration prend en charge uniquement les chemins simples pour les fichiers et répertoires.

Lancement de la sauvegarde de la configuration

Configuration → Sauvegarde (configuration) → CRÉER UNE SAUVEGARDE.


- Si l'écran ne s'affiche pas correctement, on l'agrandit.

- On entre une Description.
- CRÉER UN(E) SAUVEGARDE.


La sauvegarde a été créée et on voit sa description entrée précédemment lors de sa création.
On peut télécharger la sauvegarde sur le poste de travail en cliquant Télécharger.


Enregistrer le fichier | OK.

Ces fichiers ne sont pas très volumineux, quelques Ko seulement.

Enregistrer.

Restauration d'une configuration

On peut récupérer une ancienne sauvegarde stockée sur le poste de travail afin de la restaurer.



Envoyer.



Parcourir.

- On sélectionne la sauvegarde à récupérer.
- Ouvrir.


- On entre une description.
- ENVOYER.

La sauvegarde récupérée apparaît dans la liste et on peut la restaurer en cliquant Restaurer.




Les différents paramètres de la sauvegarde à restaurer apparaissent ci-dessous.

- Si l'option Télécharger les modules automatiquement est cochée, les modules nécessaires sont téléchargés et installés automatiquement.
- RESTAURER.





La tâche est en cours.


La restauration a réussie.

Nous aurions pu récupérer directement cette sauvegarde sans avoir à la télécharger, car elle est dans la liste de celles qui sont encore sur le Serveur NethServer.


Exemple de récupération du fichier de sauvegarde de la configuration

Pour une reprise après sinistre, on peut récupérer le fichier d'une sauvegarde de la configuration directement depuis le fichier backup-config.tar.xz dans le répertoire de stockage - D:\Sauvegarde.

On se rend dans le répertoire de stockage, on claque sur le fichier backup-config.tar.xz → 7-Zip → Ouvrir archive et on navigue jusqu'au répertoire \var/lib\nethserver\backup\history.

Le répertoire des sauvegardes de la configuration du serveur a bien été inclus dans la sauvegarde des données.

Clac sur le fichier s00.tar.xz → Copier vers…


OK.


Le fichier est récupéré.

On peut restaurer cette sauvegarde de la configuration de la même façon que la restauration précédente au paragraphe Restauration d'une configuration.

Sauvegarde des données

Les sauvegardes sont conservées dans: /var/lib/nethserver/backup/duplicity.
NethServer implémente deux types de sauvegarde des données:

  1. Sauvegarde unique (primaire, par défaut, compatible avec les versions antérieures).
  2. Sauvegardes multiples (multi-sauvegardes, multi-moteurs).

La sauvegarde des données peut être effectuée à l'aide de différents moteurs:

Duplicity

Duplicity est le moteur par défaut pour NethServer. Il dispose d'un bon algorithme de compression qui réduira le stockage sur la destination. Duplicity nécessite une sauvegarde complète une fois par semaine. Lorsque le jeu de données est très volumineux, le processus peut prendre plus de 24 heures.

NethServer n’implémente pas le chiffrage des sauvegardes si le moteur est Duplicity.

Applications dorsales20) prises en charge:

  • CIFS
  • NFS
  • USB
  • WebDAV (seulement en cas de sauvegarde unique)

Sauvegarde unique

Il s'agit de la sauvegarde système par défaut pouvant être configurée et restaurée à l'aide de l'interface Web.

  • Peut être planifiée une fois par jour.
  • Peut inclure les journaux système.
  • Envoie des notifications à l'administrateur système ou à une adresse courriel externe.

Répertoire partagé pour les sauvegardes

  • Nos sauvegardes se feront avec le protocole CIFS (Common Internet File System).
  • Elles seront téléversées automatiquement dans le répertoire partagé D:\Sauvegarde que nous allons créer sur le poste de travail Win-8.1.

Il nous faut donc un répertoire partagé sur le poste de travail afin que le Serveur NethServer puisse y déposer les fichiers de la sauvegarde.

- On peut utiliser le répertoire déjà utilisé par les sauvegardes des autres serveurs.
- On peut aussi créer un nouveau répertoire Sauvegarde sur le disque D:\ du poste de travail.



Si Partager avec offre seulement les choix ci-dessous, fermer et ouvrir un autre Explorateur Windows.




Dans les menus de l'Explorateur Windows, Affichage → Options.

- Onglet Affichage.
- Décocher Utiliser l'Assistant Partage (recommandé).
- OK.


- On retourne au dossier Sauvegarde.
- Clac sur le nom du répertoire → Partager avec → Partage Avancé.




Onglet Partage → Partage avancé…

Cocher Partager ce dossier → Nom du partage: Sauvegarde apparaît → Autorisations.



Ajouter…

On entre le nom d'un utilisateur de la machine Windows, ex: michelandre → Vérifier les noms.



Le nom vérifié apparaît → OK.


Sélectionner michelandre → cocher toutes les Autorisations.

Sélectionner Tout le monde → décocher toutes les Autorisations → OK.


OK.


Le répertoire est partagé → OK.


Dans l'Explorateur Windows, l'utilisateur michelandre entre l'adresse du poste de travail: \\182.168.1.81[Entrée].

On voit le répertoire de partage: Sauvegarde.

Tout est correctement paramétré.


Installation du module

Administration → Gestionnaire des logiciels → on coche Sauvegarde → AJOUTER.


APPLIQUER LES CHANGEMENTS.

Recharger la page pour afficher les nouveaux menus.


Sauvegardes (données)

- Configuration → Sauvegarde (données) → onglet Général → on entre les informations demandées.

- On continue à entrer les informations demandées → SOUMETTRE.

Notification

Onglet Notification.

Notifier
⦿ Toujours
On préfère toujours être notifié lorsqu'une sauvegarde est effectuée.

⦿ Adresse email personnalisée
Pour recevoir les courriels. On entre l'adresse courriel de l'administrateur de tous les serveurs de notre site.

Adresse de l'expéditeur
On spécifie de quel serveur provient la notification.

SOUMETTRE.

Vérifications à la ligne de commande

Propriétés de Sauvegarde (configuration)

On affiche les propriétés de la configuration de Sauvegarde (configuration).

[[email protected] ~]# config show backup-config

backup-config=configuration
    HistoryLength=31
    status=enabled
[[email protected] ~]#
  • HistoryLength: la valeur donnée au paramètre Configuration → Sauvegarde (Configuration) → Automatic backups to keep.
  • status: propriété qui active ou désactive la sauvegarde automatique, peut être activée (enabled) ou désactivée (disabled). La valeur par défaut est activée. Indépendamment de cette propriété, la sauvegarde est toujours exécutée si elle est démarrée manuellement.

Propriétés de Sauvegarde (données)

On affiche les propriétés de la configuration de Sauvegarde (données).

[[email protected] ~]# config show backup-data

backup-data=configuration
    IncludeLogs=enabled
[[email protected] ~]#
  • IncludeLogs: nous avons coché Configuration → Sauvegarde (données) → onglet Général → Advanced options → Include system logs au paragraphe Sauvegardes (données).

On affiche les propriétés de Sauvegarde (données).

[[email protected] ~]# db backups show

backup-data=duplicity
    BackupTime=0 3 * * *
    CleanupOlderThan=56D
    FullDay=0
    Notify=always
    [email protected]
    [email protected]
    Program=duplicity
    SMBHost=192.168.1.81
    SMBLogin=michelandre
    SMBPassword=mot-de-passe
    SMBShare=Sauvegarde
    Type=incremental
    VFSType=cifs
    status=enabled
[[email protected] ~]#

On vérifie la propriété FullDay (dimanche=0, lundi-1, mardi=2…).

Personnalisation

Inclusion de fichiers/répertoires

On peut inclure des fichiers/répertoires supplémentaires en les spécifiant dans le fichier d'inclusion:

/etc/backup-data.d/custom.include

Pour le chemin d'un fichier, il ne faut pas inclure le caractère “/” à la fin du chemin.

Exemple: /etc/profile.d/activer-php72.sh.

Pour le chemin d'un répertoire et de son contenu, il faut inclure le caractère “/” à la fin du chemin.

Exemple: /etc/e-smith/templates-custom/etc/roundcubemail/.

Exclusion de fichiers/répertoire

On peut exclure des fichiers/répertoires supplémentaires en les spécifiant dans le fichier d'exclusion:

/etc/backup-data.d/custom.exclude


Grandeur des fichiers de sauvegarde

Comme on le voit avec la commande db backups show à la section Sauvegardes (données), la propriété VolSize=250 donnera des fichiers de sauvegarde de 250 Mo. Pour une sauvegarde de plusieurs Go, ce paramètre segmentera la sauvegarde en de très nombreux fichiers. Nous ajustons la grandeur des fichiers à 2 Go et ainsi facilitons l'examen du répertoire D:\Sauvegarde sur le poste de travail.

[[email protected] ~]# db backups setprop backup-data VolSize 2048

[[email protected] ~]#

On signale le changement.

[[email protected] ~]# signal-event nethserver-backup-data-update

[[email protected] ~]#

On vérifie.

[[email protected] ~]# db backups show  |  grep VolSize

    VolSize=2048
[[email protected] ~]#


Lancement forcé de la sauvegarde

Première sauvegarde

On peut forcer le lancement d'une sauvegarde en exécutant la commande ci-dessous.

[[email protected] ~]# /sbin/e-smith/backup-data -b backup-data

Backup: backup-data
Backup started at 2019-02-08 13:28:03
Pre backup scripts status: SUCCESS
--------------[ Backup Statistics ]--------------
StartTime 1549650495.78 (Fri Feb  8 13:28:15 2019)
EndTime 1549650497.91 (Fri Feb  8 13:28:17 2019)
ElapsedTime 2.13 (2.13 seconds)
SourceFiles 419
SourceFileSize 24495192 (23.4 MB)
NewFiles 419
NewFileSize 24495192 (23.4 MB)
DeletedFiles 0
ChangedFiles 0
ChangedFileSize 0 (0 bytes)
ChangedDeltaSize 0 (0 bytes)
DeltaEntries 419
RawDeltaSize 24467434 (23.3 MB)
TotalDestinationSizeChange 1963840 (1.87 MB)
Errors 0
-------------------------------------------------

Action 'backup-data-duplicity backup-data': SUCCESS
Post backup scripts status: SUCCESS
Backup status: SUCCESS
Backup ended at 2019-02-08 13:28:19
Time elapsed: 0 hours, 0 minutes, 16 seconds

Disk Usage:
      Size       Used  Available     Use%
 917.83 GB  785.67 GB  132.16 GB    85.6%
[[email protected] ~]#


Cette sauvegarde (1 918 Ko) est complète (full).

On vérifie la date.

[[email protected] ~]# date

Fri Feb  8 13:32:59 EST 2019
[[email protected] ~]#

Même si nous sommes vendredi et que nous avons paramétré les sauvegardes complètes pour les dimanches seulement, cette sauvegarde est complète, car c'est la première à ce jour.

Deuxième sauvegarde

On peut forcer une autre sauvegarde pour générer une incrémentielle.

[[email protected] ~]# /sbin/e-smith/backup-data -b backup-data

Backup: backup-data
Backup started at 2019-02-08 13:35:07
Pre backup scripts status: SUCCESS
--------------[ Backup Statistics ]--------------
StartTime 1549650912.53 (Fri Feb  8 13:35:12 2019)
EndTime 1549650912.95 (Fri Feb  8 13:35:12 2019)
ElapsedTime 0.42 (0.42 seconds)
SourceFiles 422
SourceFileSize 24526628 (23.4 MB)
NewFiles 9
NewFileSize 23980 (23.4 KB)
DeletedFiles 0
ChangedFiles 70
ChangedFileSize 14856835 (14.2 MB)
ChangedDeltaSize 0 (0 bytes)
DeltaEntries 79
RawDeltaSize 457642 (447 KB)
TotalDestinationSizeChange 76371 (74.6 KB)
Errors 0
-------------------------------------------------

Les métadonnées locales et distantes sont déjà synchronisées. Aucune synchronisation nécessaire.
Date de la dernière sauvegarde complète : Fri Feb 08 13:28:03 2019
Aucun ancien jeu de sauvegarde n’a été trouvé, rien n’a été supprimé.
Action 'backup-data-duplicity backup-data': SUCCESS
Post backup scripts status: SUCCESS
Backup status: SUCCESS
Backup ended at 2019-02-08 13:35:14
Time elapsed: 0 hours, 0 minutes, 7 seconds

Disk Usage:
      Size       Used  Available     Use%
 917.83 GB  785.68 GB  132.15 GB    85.6%
[[email protected] ~]#


La deuxième sauvegarde n'est que de (74.6 Ko) et est une incrémentielle (inc), car ce n'est pas la première à ce jour et nous ne sommes pas dimanche.


Troisième sauvegarde

Nous changeons la journée des sauvegardes complètes pour qu'elles aient lieu les vendredis au lieu des dimanches → SOUMETTRE.

On force une troisième sauvegarde.

[[email protected] ~]# /sbin/e-smith/backup-data -b backup-data

Backup: backup-data
Backup started at 2019-02-08 13:44:43
Pre backup scripts status: SUCCESS
--------------[ Backup Statistics ]--------------
StartTime 1549651488.35 (Fri Feb  8 13:44:48 2019)
EndTime 1549651489.30 (Fri Feb  8 13:44:49 2019)
ElapsedTime 0.95 (0.95 seconds)
SourceFiles 422
SourceFileSize 24547401 (23.4 MB)
NewFiles 422
NewFileSize 24547401 (23.4 MB)
DeletedFiles 0
ChangedFiles 0
ChangedFileSize 0 (0 bytes)
ChangedDeltaSize 0 (0 bytes)
DeltaEntries 422
RawDeltaSize 24519532 (23.4 MB)
TotalDestinationSizeChange 1996425 (1.90 MB)
Errors 0
-------------------------------------------------

Les métadonnées locales et distantes sont déjà synchronisées. Aucune synchronisation nécessaire.
Date de la dernière sauvegarde complète : Fri Feb 08 13:28:03 2019
Aucun ancien jeu de sauvegarde n’a été trouvé, rien n’a été supprimé.
Action 'backup-data-duplicity backup-data': SUCCESS
Post backup scripts status: SUCCESS
Backup status: SUCCESS
Backup ended at 2019-02-08 13:44:51
Time elapsed: 0 hours, 0 minutes, 8 seconds

Disk Usage:
      Size       Used  Available     Use%
 917.83 GB  785.68 GB  132.15 GB    85.6%
[[email protected] ~]#


La troisième sauvegarde est complète car nous avons paramétré les complètes pour les vendredis.
Si nous lançons une quatrième sauvegarde, elle sera complète elle aussi, car nous sommes toujours vendredi.

On remet le paramètre des sauvegardes complètes pour les dimanches.


Restauration des données

Marche à suivre:

  1. Nous créons un fichier dans le répertoire personnel de root.
  2. Nous lançons une sauvegarde.
  3. Nous supprimons le fichier créé avant la sauvegarde, celui de la première étape.
  4. Nous récupérons le fichier contenu dans la dernière sauvegarde.

1) - Nous créons un fichier dans le répertoire personnel de root.

[[email protected] ~]# touch toto

[[email protected] ~]#

On vérifie.

[[email protected] ~]# ls -ls toto

0 -rw-r--r-- 1 root root 0 Feb  8 13:55 toto
[[email protected] ~]#

2) - Nous lançons une sauvegarde.

[[email protected] ~]# /sbin/e-smith/backup-data -b backup-data

Backup: backup-data
Backup started at 2019-02-08 13:56:09
Pre backup scripts status: SUCCESS
...
Action 'backup-data-duplicity backup-data': SUCCESS
Post backup scripts status: SUCCESS
Backup status: SUCCESS
Backup ended at 2019-02-08 13:56:17
Time elapsed: 0 hours, 0 minutes, 8 seconds

Disk Usage:
      Size       Used  Available     Use%
 917.83 GB  785.68 GB  132.15 GB    85.6%
[[email protected] ~]#

3) - Nous supprimons le fichier créé avant la sauvegarde, celui de la première étape.

[[email protected] ~]# rm toto

rm : supprimer fichier vide « toto » ? y
[[email protected] ~]#

On vérifie.

[[email protected] ~]# ls -ls toto

ls: impossible d'accéder à toto: Aucun fichier ou dossier de ce type
[[email protected] ~]#


Restauration

Configuration → Restaurer les données.

▼ Backup file
On choisit la dernière sauvegarde.

▼ Mode de restauration
⦿ Restaurer les fichiers dans le chemin original.

Sélectionner un ou plusieurs dossiers ou fichiers à restaurer
On entre toto.

Dans l'arborescence, on choisit /root, le répertoire contenant le fichier à restaurer: /root, apparaît dans - Dossiers ou fichiers à restaurer.

RESTAURER.

Le message sur fond vert, en haut de l'écran: Restauré à la position initiale, indique que le fichier a été trouvé et restauré.

Si nous n'avions rien spécifié sous Sélectionner un ou plusieurs dossiers ou fichiers à restaurer, c'est tout l'arborescence qui aurait été alors restaurée.

Vérification

Nous vérifions que le fichier ait bien été restauré.

[[email protected] ~]# ls -ls toto

0 -rw-r--r-- 1 root root 0 Feb  8 13:55 toto
[[email protected] ~]#

Le fichier a été restauré.

Recherche de fichiers dans les sauvegardes

On peut rechercher un fichier dans les sauvegardes (peut prendre un certain temps).

[[email protected] ~]# /sbin/e-smith/backup-data-list -b backup-data | grep toto

Fri Feb  8 13:55:22 2019 root/toto
[[email protected] ~]#

La sauvegarde est fonctionnelle.


ClamAV

Introduction

Référence: https://wiki.nethserver.org/doku.php?id=clamscan.
Il n'y a pas beaucoup de virus conçus pour les distributions Linux, et par conséquent, la plupart des utilisateurs de tels systèmes ne se donnent pas la peine d'utiliser un logiciel antivirus. Toutefois, ceux qui souhaitent pouvoir analyser leur système, ou d’autres systèmes Windows connectés sur un PC Linux via un réseau, peuvent utiliser ClamAV. ClamAV est un moteur antivirus LIBRE conçu pour détecter les virus, les chevaux de Troie, les logiciels malveillants et autres menaces. Il prend en charge plusieurs formats de fichiers (documents, exécutables ou archives). Il utilise des fonctionnalités de balayages en traitement multifil21) et reçoit les mises à jour de sa base de données de signatures au moins 3 à 4 fois par jour.

Installation

Prérequis

Si ce n'est déjà fait, vous devez installer le référentiel stephdl. Référence: https://wiki.nethserver.org/doku.php?id=stephdl_repository.

[[email protected] ~]# yum install -y  http://mirror.de-labrusse.fr/NethServer/7/x86_64/nethserver-stephdl-1.0.7-1.ns7.sdl.noarch.rpm

...
Transaction Summary
============================================================================================
Install  1 Package

Total size: 40 k
Installed size: 40 k
...
Installed:
  nethserver-stephdl.noarch 0:1.0.7-1.ns7.sdl

Complete!
[[email protected] ~]#

Vérification.

[[email protected] ~]# rpm -qa | grep stephdl

nethserver-stephdl-1.0.7-1.ns7.sdl.noarch
[[email protected] ~]#

Installation de ClamAV

[[email protected] ~]# yum install -y nethserver-clamscan --enablerepo=stephdl

...
Transaction Summary
============================================================================================
Install  1 Package  (+1 Dependent package)
Upgrade             ( 6 Dependent packages)

Total download size: 60 k
...
Installed:
  nethserver-clamscan.noarch 0:0.1.2-3.ns7.sdl

Dependency Installed:
  clamav-scanner-systemd.x86_64 0:0.101.2-1.el7

Complete!
[[email protected] ~]#

Mise à jour

On peut manuellement mettre à jour la BD des virus.

[[email protected] ~]# freshclam

ClamAV update process started at Fri April  19 15:13:40 2019
main.cvd is up to date (version: 58, sigs: 4566249, f-level: 60, builder: sigmgr)
daily.cld is up to date (version: 25442, sigs: 1564671, f-level: 63, builder: raynman)
bytecode.cvd is up to date (version: 328, sigs: 94, f-level: 63, builder: neo)
[[email protected] ~]#


On rafraîchit l'interface Web pour afficher le nouveau menu.

Configuration → Scanner Antivirus → onglet Clamscan.

Activer l'analyse des fichiers système
On coche cette case.

⦿ Effectuer une analyse journalière
On choisit l'heure de l'analyse.

Déplacer les fichiers détectés vers la corbeille
On coche cette case.

Oui, je suis totalement sur
On coche cette case.

Comme on le voit, la BD des virus est à jour.

SOUMETTRE.


Onglet Détections, on prend les défauts.

Onglet Fichiers, on prend les défauts.

Onglet PUA, on prend les défauts.


À l'onglet Quarantaine, on peut récupérer les fichiers qui ont généré une fausse alarme.


Onglet Signatures, on prend les défauts.

Lancement manuel d'un balayage

À la console du Serveur NethServer, on peut lancer un balayage en arrière-plan en ajoutant & à la fin de la commande de démarrage.

[[email protected] ~]# /sbin/e-smith/nethserver-clamscan &

[1] 25238
[[email protected] ~]#

On vérifie.

[[email protected] ~]# ps aux | grep -i nethserver-clamscan

root     25238  0.0  0.2 151384  7848 pts/0    S    16:40   0:00 /usr/bin/perl -w /sbin/e-smith/nethserver-clamscan
root     25695  0.0  0.0 112708   988 pts/0    R+   16:47   0:00 grep --color=auto -i nethserver-clamscan
[[email protected] ~]#

L'interface Web affiche que le balayage est En cours d'exécution.


Lorsque le balayage sera terminé, le message ci-dessous apparaît à la console du Serveur NethServer.

[[email protected] ~]#
[1]+  Done                    /sbin/e-smith/nethserver-clamscan
[[email protected] ~]#


On peut examiner le résultat du balayage en allant à: Configuration → Scanner Antivirus → onglet Quarantaine.

Pour la documentation, en anglais seulement, voir:
https://github.com/Cisco-Talos/clamav-faq/tree/master/manual.

Appendice

Écran conventionnel de démarrage

Si nous voulons voir l'écran conventionnel de démarrage tel que ci-contre, il suffit de supprimer un seul paramètre dans le fichier de configuration de grub:

/etc/default/grub

Suppression du paramètre rhgb

Ligne originale dans le fichier /etc/default/grub.

GRUB_CMDLINE_LINUX="crashkernel=auto rd.lvm.lv=VolGroup/lv_root rd.lvm.lv=VolGroup/lv_swap nodmraid rhgb quiet"

Après avoir enlevé le paramètre rhgb.

GRUB_CMDLINE_LINUX="crashkernel=auto rd.lvm.lv=VolGroup/lv_root rd.lvm.lv=VolGroup/lv_swap nodmraid quiet"

On signale le changement en régénérant le fichier de configuration.

[[email protected] ~]# grub2-mkconfig -o /boot/grub2/grub.cfg

Generating grub configuration file ...
Found linux image: /boot/vmlinuz-3.10.0-957.5.1.el7.x86_64
Found initrd image: /boot/initramfs-3.10.0-957.5.1.el7.x86_64.img
Found linux image: /boot/vmlinuz-3.10.0-957.el7.x86_64
Found initrd image: /boot/initramfs-3.10.0-957.el7.x86_64.img
Found linux image: /boot/vmlinuz-0-rescue-8ee070fd1a7a4e8daf17a7dae9f85ac1
Found initrd image: /boot/initramfs-0-rescue-8ee070fd1a7a4e8daf17a7dae9f85ac1.img
done
[[email protected] ~]#

Au prochain réamorçage, le nouveau fichier grub sera effectif.

Fermeture automatique de session (session timeout)

Référence: http://docs.nethserver.org/en/v7/access.html#session-timeouts.
Par défaut (à partir de NethServer 7.5.1804), une session de gestion du serveur se termine après 60 minutes d'inactivité (délai d'inactivité) et expire 8 heures après la connexion (durée de vie de la session).

La commande ci-dessous définit 2 heures de délai d'inactivité et 16 heures de durée de vie de session maximale. Le temps est exprimé en secondes.

[[email protected] ~]# config setprop httpd-admin MaxSessionIdleTime 7200 MaxSessionLifeTime 57600

[[email protected] ~]#

Désactivation des délais.

[[email protected] ~]# config setprop httpd-admin MaxSessionIdleTime '' MaxSessionLifeTime ''

[[email protected] ~]#

Les nouvelles valeurs de délais affecteront les nouvelles sessions. Ils ne changent aucune session active.

Fuseau horaire

Pour le fuseau horaire, il existe un fichier pour Montréal.

[[email protected] ~]# ls -ls /usr/share/zoneinfo/America/ | grep Montreal

 4 -rw-r--r--  3 root root 3477  1 avril 08:27 Montreal
[[email protected] ~]#

Changement du fuseau horaire

On affiche le fuseau horaire actuel.

[[email protected] ~]# ls -l /etc/localtime

lrwxrwxrwx 1 root root 37 19 mai   23:48 /etc/localtime -> ../usr/share/zoneinfo/America/Toronto
[[email protected] ~]#

On change le fuseau horaire pour celui de Montréal.

[[email protected] ~]# timedatectl set-timezone America/Montreal

[[email protected] ~]#

On vérifie.

[[email protected] ~]# ls -l /etc/localtime

lrwxrwxrwx 1 root root 38 22 mai   14:02 /etc/localtime -> ../usr/share/zoneinfo/America/Montreal
[[email protected] ~]#

Le fuseau horaire Montréal est récupéré.

Changement du mot de passe de root

Référence: https://www.rootusers.com/how-to-reset-root-user-password-in-centos-rhel-7/.
Réinitialiser le mot de passe de root est normalement une tâche simple si vous êtes déjà connecté avec les privilèges de root. Toutefois, si vous oubliez le mot de passe et devez le changer, les choses deviennent un peu plus difficiles.
Le processus a changé de la version 6 de CentOS/RHEL (Red Hat Enterprise Linux) à la version 7. Auparavant, vous démarriez en mode mono-utilisateur, puis changiez le mot de passe en tant qu'utilisateur root. À partir de la version 7, les modes équivalents sont: mode de secours et mode d’urgence. Cependant, ces modes d'opération nécessitent le mot de passe de root avant de pouvoir faire quoi que ce soit. Cette section va vous guider dans le nouveau processus pour changer le mot de passe perdu de root. Cette procédure doit être exécutée directement à la console du Serveur NethServer, assurez-vous donc que vous y avez accès avant de commencer.

Comme pour toutes les tâches de maintenance du système, assurez-vous de disposer d'une sauvegarde/instantané du système avant de poursuivre.

Si votre système Linux est en cours d'exécution, redémarrez-le. S'il ne roule pas, démarrez-le.

Pour CentOS 7, le menu de démarrage vous laissera 5 secondes pour sélectionner le noyau du système d’exploitation à démarrer. Ces 5 secondes sont importantes, car elles permettent aux administrateurs de sélectionner différents noyaux ou d’éditer les paramètres du noyau existant avant le démarrage.

Dans le menu de démarrage, appuyez sur “e” pour modifier le noyau existant tel qu'indiqué ci-dessous.


Dans les options de grub, recherchez la ligne débutant par linux16 et allez à la fin. Entrez rd.break à la fin de cette ligne tel qu'indiqué ci-dessous.

rd.break


Appuyez sur [Ctrl] + [x] pour démarrer avec ces options qui vous amèneront à l'invite initramfs avec un shell root.


À ce stade, le système de fichiers racine est monté en mode lecture seule (ro) dans le répertoire /sysroot et doit être remonté avec les autorisations de lecture/écriture (rw) pour que nous puissions réellement apporter certaines modifications. Ceci est réalisé avec la commande mount -o remount,rw /sysroot.

switch_root:/# mount -o  remount,rw  /sysroot

switch_root:/#


Une fois le système de fichiers remonté, changez-le en une prison chroot afin que le répertoire /sysroot soit utilisé comme racine du système de fichiers. Ceci est nécessaire pour que toutes les commandes que nous exécuterons se rapportent à /sysroot. La commande à lancer est chroot /sysroot.

switch_root:/# chroot /sysroot

sh-4.2#


À partir d'ici, le mot de passe de root peut être réinitialisé à l’aide de la commande passwd.

sh-4.2# passwd

Changing password for user root.
New password: Nouveau-mot-de-passe-de-root
Retype new passwd: Nouveau-mot-de-passe-de-root
passwd: all authentification tokens updated successfully.
sh-4.2#


Si vous n'utilisiez pas SELinux, vous pourriez redémarrer à ce stade et tout irait bien. Cependant, par défaut, CentOS/RHEL-7 active SELinux. Nous devons donc corriger le contexte du fichier /etc/shadow. En effet, lorsque la commande passwd est exécutée, elle crée un nouveau fichier /etc/shadow. SELinux n'étant pas en cours d'exécution dans ce mode, le fichier est créé sans aucun contexte SELinux, ce qui peut entraîner des problèmes lors du redémarrage.

On crée le fichier /.autorelabel à l’aide de touch.

sh-4.2# touch /.autorelabel

sh-4.2#

La création de ce fichier effectuera automatiquement un ré-étiquetage de tous les fichiers au prochain démarrage. Notez que cela peut prendre un certain temps en fonction de la quantité de fichiers que vous avez. Peut prendre environ 2 minutes pour un serveur CentOS-7 ordinaire.

On quitte l'environnement chroot.

sh-4.2# exit

exit
sh-4.2#


On quitte le shell racine initramfs (peut prendre un certain temps, être patient…). Le serveur s'amorce.

sh-4.2# exit

logout
...

Vérification

À la console du serveur, vous devriez pouvoir vous connecter et utiliser le système avec le nouveau mot de passe que vous avez créé.


ERROR Failed to send host log message

Cette erreur s'affiche seulement lors de l'amorçage d'un serveur roulant sous VirtualBox.


- On arrête le Serveur NethServer.
- À l'écran VirtualBox, on sélectionne la machine → État actuel (modifié) → Configuration.


Au retour, on amorce le Serveur NethServer et le message ne s'affichera plus.


Affichage → onglet Écran → Contrôleur graphique → on change pour VboxVGA → OK.


Martian source

Si dans le fichier journal /var/log/messages, vous voyez plusieurs lignes telles que ci-dessous, c'est que l'IP de la passerelle du réseau vert de la carte enp0s3 ou les Serveurs DNS ne sont corrects.

...IPv4: martian source 192.168.1.1...
...IPv4: martian source 192.168.1.1...
...IPv4: martian source 192.168.1.1...

Passerelle du réseau de la carte enp0s3

On trouve notre passerelle en lançant un traceroute vers google.com

[[email protected] ~]# traceroute google.com

traceroute to google.com (172.217.165.14), 30 hops max, 60 byte packets
 1  lo0-0-lns03-tor.teksavvy.com (206.248.155.139)  10.367 ms  11.449 ms  11.487 ms
 2  ae0-2150-bdr01-tor.teksavvy.com (69.196.136.172)  11.523 ms  11.793 ms  11.826 ms
 3  72.14.212.134 (72.14.212.134)  11.868 ms  12.430 ms  12.306 ms
 4  74.125.244.161 (74.125.244.161)  12.736 ms 74.125.244.145 (74.125.244.145)  14.002 ms 74.125.244.161 (74.125.244.161)  13.174 ms
 5  216.239.40.255 (216.239.40.255)  13.577 ms  13.923 ms 216.239.41.175 (216.239.41.175)  13.923 ms
 6  yyz12s06-in-f14.1e100.net (172.217.165.14)  13.020 ms  12.009 ms  11.291 ms
[[email protected] ~]#

L'adresse IP de la ligne #1 est 206.248.155.139 et elle est donc la passerelle utilisée par notre connexion.

Configuration → Réseau → Périphérique enp0s3 → Éditer.

On change l'IP de la passerelle pour l'IP de l'interface vert / enp0s3 → 206.248.155.139.

SOUMETTRE.

Serveurs DNS

Référence: https://korben.info/1-1-1-1-ou-9-9-9-9-ou-8-8-8-8-quel-dns-choisir.html.
… Le DNS de Cloudflare est un bon DNS, car il est le plus rapide, mais aussi parce qu'ils ont pris les devants et s'engagent à ne pas revendre les données, et ne conservent pas les logs au-delà de 24h…
Le principal avantage bien sûr, c'est que contrairement au DNS de Google qui permet de mieux vous profiler pour vous balancer de la pub, on sait que Cloudflare ne trempe pas là dedans. Cela reste une boîte américaine, donc c'est évidemment à prendre avec toutes les précautions d'usage…

Référence: pour 8.8.8.8 - https://www.dnsperf.com/dns-resolver/google.

Autre référence: comparaison mondiale des performances de différents DNS:
https://medium.com/@nykolas.z/dns-resolvers-performance-compared-cloudflare-x-google-x-quad9-x-opendns-149e803734e5.

Référence: pour ci-dessous 1.1.1.1 - https://www.dnsperf.com/#!dns-resolvers.

Configuration → Réseau → Serveurs DNS.

On ajuste le DNS Primaire et Secondaire.

Le serveur DNS primaire 1.1.1.1 est le plus rapide et le plus utilisée de tout l'Internet.

Le serveur DNS secondaire 206.248.182.3 est le défaut de notre FAI.

Soumettre.

Si votre FAI filtre l'adresse 1.1.1.1, prendre 8.8.8.8 ou une de celles citées dans la référence ci-dessous:
https://medium.com/@nykolas.z/dns-resolvers-performance-compared-cloudflare-x-google-x-quad9-x-opendns-149e803734e5.

Victoire totale, hissons la bannière de la victoire.


Crédits

© 2017-2018-2019 RF-232
Auteur: Michel-André CLP.
Remerciement: Tous les contributeurs GNU/GPL.
Intégré par: Michel-André Robillard CLP.
Contact: michelandre at micronator.org

Historique des modifications

Répertoire de ce document: E:\000_DocPourRF232_general\RF-232_NethServer\RF-232_Cours_NethServer-101_Cahier-05_VDSL_FQDN_Internet_NethServer_2019-08-05_16h52.odt.

Historique des modifications:

VersionDateCommentaireAuteur
1.0.02017-01-20Début.Michel-André
2.0.02018-03-23Mise à jour.Michel-André
3.0.02018-11-07Mise à jour.Michel-André
4.0.02019-01-12Adaptation pour NethServer-7.6.1810.Michel-André
4.0.12019-04-30- Ajout du logo de Let's Encrypt.
- Ajout du paragraphe But de ce cahier avec diagramme.
- Coquille nethserver-mail-server-2.4.5.
- Coquille dans le nom du domaine de messagerie.
- Ajout pour “martian source”.
- Coquille de devnet au lieu de ~.
- Ajout de ClamAV.
- Ajout de Shell In A Box.
- Ajout du répertoire du gabarit personnalisé pour Roundcubedans la sauvegarde des données.
- Ajout pour l'ajustement des fichiers de sauvegarde - VolSize à 2 GB.
- Ajout d'un fichier de configuration z_well-known.conf pour Apache afin que le répertoire .well-known soit accessible par Let's Encrypt.
- Corrections mineures.
Michel-André
4.0.2 RC-0022019-06-16- Corrections mineures.
- Ajout pour Let's Encrypt; répertoire .well-known.
- Réorganisation du chapitre Messagerie électronique.
Michel-André
4.1.02019-07-15- Corrections orthographiques
- Ajout d'une entrée DNS et d'un alias de messagerie pour le domaine chez NoIP.
- Ajustements pour DokuWiki.
Michel-André
12345678901 12345678901


AVIS DE NON-RESPONSABILITÉ

Ce document est uniquement destiné à informer. Les informations, ainsi que les contenus et fonctionnalités de ce do­cument sont fournis sans engagement et peuvent être modifiés à tout moment. RF‑232 n'offre aucune garantie quant à l'actualité, la conformité, l'exhaustivité, la qualité et la durabilité des informations, contenus et fonctionnalités de ce document. L'accès et l'utilisation de ce document se font sous la seule responsabilité du lecteur ou de l'utilisateur.

RF‑232 ne peut être tenu pour responsable de dommages de quelque nature que ce soit, y compris des dommages di­rects ou indirects, ainsi que des dommages consécutifs résultant de l'accès ou de l'utilisation de ce document ou de son contenu.

Chaque internaute doit prendre toutes les mesures appropriées (mettre à jour régulièrement son logiciel antivirus, ne pas ouvrir des documents suspects de source douteuse ou non connue) de façon à protéger le contenu de son ordina­teur de la contamination d'éventuels virus circulant sur la Toile.

Toute reproduction interdite Vous reconnaissez et acceptez que tout le contenu de ce document, incluant mais sans s’y limiter, le texte et les images, sont protégés par le droit d’auteur, les marques de commerce, les marques de service, les brevets, les secrets industriels et les autres droits de propriété intellectuelle. Sauf autorisation expresse de RF-232, vous acceptez de ne pas vendre, délivrer une licence, louer, modifier, distribuer, copier, reproduire, transmettre, afficher publiquement, exécuter en public, publier, adapter, éditer ou créer d’oeuvres dérivées de ce document et de son contenu.

Avertissement

Bien que nous utilisions ici un vocabulaire issu des techniques informatiques, nous ne prétendons nullement à la précision technique de tous nos propos dans ce domaine.

1)
FQDN: Dans le DNS, un Fully Qualified Domain Name (FQDN, ou nom de domaine complètement qualifié) est un nom de domaine qui révèle la position absolue d'un nœud dans l'arborescence DNS en indiquant tous les domaines de niveau supérieur jusqu'à la racine. On parle également de domaine absolu, par opposition aux domaines relatifs. Par convention, le FQDN est ponctué par un point final.
Référence: https://fr.wikipedia.org/wiki/Fully_qualified_domain_name.

2)
Table de mappe de clavier: n.f. Disposition des touches d'un clavier.
Référence:http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=18050861#eng.

3)
Smarthost: Un smarthost est un serveur de messagerie via lequel des tiers peuvent envoyer des courriers électroniques et les transférer sur les serveurs de messagerie des destinataires.
Référence:https://en.wikipedia.org/wiki/Smart_host.

4)
Référentiel: En informatique, un dépôt ou référentiel (de l'anglais repository) est un stockage centralisé et organisé de données. Ce peut être une ou plusieurs bases de données où les fichiers sont localisés en vue de leur distribution sur le réseau ou bien un endroit directement accessible aux utilisateurs.La plupart des distributions GNU/Linux utilisent des dépôts accessibles sur Internet, officiels et non officiels, permettant aux utilisateurs de télécharger et de mettre à jour des logiciels compatibles. Ces logiciels sont distribués sous forme de paquets.
Référence:https://fr.wikipedia.org/wiki/D%C3%A9p%C3%B4t_(informatique).

5)
Dossiers partagés: Un dossier partagé est un endroit où un groupe de personnes peut accéder à des fichiers en utilisant Samba(SMB/CIFS).

6)
Mise en forme de trafic - Technique qui permet d'analyser le trafic des données dans un réseau et de l'adapter au débit disponible, de manière à éviter toute forme de congestion.
Référence: http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=8359282.

7)
IPS - Un système de prévention d'intrusion (ou IPS, Intrusion Prevention System) est un outil des spécialistes en sécurité des systèmes d'information, similaire aux IDS, permettant de prendre des mesures afin de diminuer les impacts d'une attaque. C'est un IDS actif, s'il détecte un balayage automatisé, l'IPS peut bloquer les ports automatiquement. Les IPS peuvent donc parer les attaques connues et inconnues. Comme les IDS, ils ne sont pas fiables à 100 % et risquent même en cas de faux positif de bloquer du trafic légitime.
Référence: https://fr.wikipedia.org/wiki/Deep_packet_inspection.

8)
DPI - En informatique et en télécommunication, la Deep Packet Inspection (DPI), en français inspection approfondie des paquets, est l'activité pour un équipement d'infrastructure réseau consistant à analyser le contenu (au-delà de l'en-tête) d'un paquet réseau (paquet IP le plus souvent) de façon à en tirer des statistiques, à filtrer ceux-ci, à les prioriser ou à détecter des intrusions, du spam ou tout autre contenu prédéfini. La DPI peut servir notamment à la censure sur Internet ou dans le cadre de dispositifs de protection de la propriété intellectuelle.
Elle s'oppose au Stateful Packet Inspection, qui ne concerne que l'analyse de l'en-tête des paquets. La DPI peut provoquer un ralentissement sensible du trafic là où elle est déployée.
Référence: https://fr.wikipedia.org/wiki/Syst%C3%A8me_de_pr%C3%A9vention_d%27intrusion.

9)
Port 587 is reserved for email message submission as specified in this document. Messages received on this port are defined to be submissions. The protocol used is ESMTP [SMTP-MTA, ESMTP], with additional restrictions or allowances as specified here.Although most email clients and servers can be configured to use port 587 instead of 25, there are cases where this is not possible or convenient. A site MAY choose to use port 25 for message submission, by designating some hosts to be MSAs and others to be MTAs.
Référence: https://www.ietf.org/rfc/rfc4409.txt.

10)
Greylisting: Le greylisting (mot anglophone signifiant “inscription sur liste grise”) est une technique de lutte anti-spam très simple qui consiste à rejeter temporairement un message électronique, par émission d’un code de refus temporaire au serveur informatique émetteur (MTA). Dans la majorité des cas, les serveurs émetteurs réexpédient le courriel après quelques minutes. La plupart des serveurs émettant des spams ne prennent pas cette peine. Au surplus, s'ils le font, ça laisse le temps aux logiciels piégeurs de spam de les inscrire sur des listes noires de spammeurs.
Référence: https://fr.wikipedia.org/wiki/Greylisting.

11)
Filtrage bayésien du spam: le filtrage bayésien du spam (en référence au théorème de Bayes) est une technique statistique de détection de pourriels s'appuyant sur la classification naïve bayésienne.Les filtres bayésiens fonctionnent en établissant une corrélation entre la présence de certains éléments (en général des mots, parfois d'autres choses) dans un message et le fait qu'ils apparaissent en général dans des messages indésirables (spam) ou dans des messages légitimes (ham) pour calculer la probabilité que ce message soit un spam.Le filtrage bayésien du spam est une technique puissante pour traiter le courrier électronique indésirable. Elle s'adapte aux habitudes de courrier des uns et des autres et produit un taux de faux positifs suffisamment bas pour être acceptable.
Référence: https://fr.wikipedia.org/wiki/Filtrage_bay%C3%A9sien_du_spam.

12)
HAM: par opposition aux messages indésirables, les logiciels de filtrage de courrier électronique tels que SpamAssassin définissent comme “ham”, littéralement “jambon”, tout message électronique légitime.
Référence: https://fr.wikipedia.org/wiki/Spam#Origine_du_terme_%C2%AB_spam_%C2%BB.

13)
IMAP: Au sens strict, Interactive Message Access Protocol, devenu avec IMAP-4 Internet Message Access Protocol (IMAP), est un protocole qui permet d'accéder à ses courriers électroniques directement sur les serveurs de messagerie. Son fonctionnement est donc à l'opposé de POP qui, lui, récupère les messages localement (vers le poste de travail) via un logiciel spécialisé. L'évolution des différentes versions d'IMAP (IMAP 4) en fait aujourd'hui un protocole permettant également de récupérer les messages localement.
Référence: https://fr.wikipedia.org/wiki/Internet_Message_Access_Protocol.

14)
POP: En informatique, le POP (Post Office Protocol, littéralement “protocole de bureau de poste”), est un protocole qui permet de récupérer les courriers électroniques situés sur un serveur de messagerie électronique. En dehors d'un paramétrage spécifique, POP se connecte au serveur de messagerie, s'authentifie, récupère le courrier, “peut” effacer le courrier sur le serveur, et se déconnecte.
Ce protocole a été réalisé en plusieurs versions; respectivement POP1, POP2 et actuellement POP3.
Cette opération transite sur un réseau TCP/IP et utilise le protocole de transfert TCP via le port 110. Ce protocole est défini par la RFC 1939.
Référence: https://fr.wikipedia.org/wiki/Post_Office_Protocol.

15)
Dovecot est un serveur IMAP et POP3 pour les systèmes d'exploitation Unix et dérivés, conçu avec comme premier but la sécurité. Dovecot est distribué en double licence MITx et xGPL version 2.
Référence: https://fr.wikipedia.org/wiki/Dovecot.

16)
DNS Black Listing (DNSBL) est une méthode permettant de consulter une liste noire d'émetteurs de courrier électronique en utilisant le protocole DNS. Le nom DNS Black Listing vient de l'expression anglaise black list qui signifie liste noire.
Référence: https://fr.wikipedia.org/wiki/DNS_Black_Listing.

17)
dispositif: n. m. unité qui assure la réalisation d'une opération particulière, indispensable au bon fonctionnement d'un système informatique, d'une machine ou d'un appareil.
Référence: http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=8357059.

18)
patrimonial: se dit de composants, logiciels ou matériels, issus d'une génération ou d'une version dépassée et qui continuent d'être utilisés, après des ajustements, en même temps que la technologie contemporaine d'une entreprise.Note: Les entreprises ont continué à supporter et à entretenir des environnements patrimoniaux qui auraient dû être changés depuis longtemps.
Référence: http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=8390423.

19)
phrase de passe: Groupe de mots et de caractères alphanumériques ou spéciaux, faisant office de mot de passe, connu de l'utilisateur seulement, qui sert à protéger sa clé privée et à l'identifier lors d'une connexion ou d'un transfert de fichier, tout en lui assurant une plus grande sécurité.
Notes:Les phrases de passe ne diffèrent des mots de passe que par la longueur. Les mots de passe sont généralement très courts - de 6 à 10 caractères -, alors que les phrases de passe peuvent comporter jusqu'à 100 caractères (et même plus). Leur longueur et la combinaison des mots et des caractères alphanumériques contribuent à les rendre plus difficiles à deviner que les mots de passe, et donc plus sûres.
Une phrase de passe doit être: connue que de l'utilisateur, suffisamment longue pour être sûre, difficile à deviner, facile à retenir et à saisir sans erreur. Certains considèrent qu'elle devrait atteindre 80 à 100 caractères pour être vraiment efficace.
Référence:http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=8361195.

20)
Applications dorsales: Programme qui, dans une architecture client-serveur, traite les commandes en provenance de l'application frontale.
Référence: http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=26527120.

21)
Traitement multifil: Traitement multitâche qui se traduit par l'exécution simultanée des fils d'un même processus, et qui permet d'accélérer l'exécution d'un programme par l'exploitation à d'autres fins du temps d'attente imposé au processeur lors de l'accès aux données.Notes:- Le traitement multifil est très utilisé, notamment pour le traitement synchronisé de données audio et vidéo.- Lors du traitement multifil, les fils constituant le processus sont exécutés de façon imbriquée de manière à simuler la simultanéité.- À la différence du multitraitement qui fonctionne au niveau de l'application, le traitement multifil fonctionne au niveau des fils du processus. Il a l'avantage de consommer moins de ressources que le traitement simultané de plusieurs processus. Par contre, il implique la synchronisation du partage des ressources et de la mémoire du processeur entre les différents fils qui composent le processus traité.
Référence: http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=8351242.

nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver.txt · Dernière modification: 2019-10-02 23:23 par michelandre