SlideShare une entreprise Scribd logo

SEMAINE_6 LI350

B
Belkacem KAID

Le document décrit les étapes de sécurisation d'un environnement de serveurs utilisant iptables, couvrant l'arrêt des serveurs, la configuration des règles de filtrage, et le rétablissement de services tels que NFS, NIS et Amanda. Chaque étape inclut des commandes spécifiques pour tester et valider la connectivité et la sécurité entre les machines. L'objectif final est d'assurer un fonctionnement sécurisé tout en restaurant les services nécessaires de manière efficace.

1  sur  15
Télécharger pour lire hors ligne
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
LI350 Rapport TME LI350 Semaine 6 Réalisé par : KAID Belkacem Nhek Sodara Encadré par : GONZALES Christophe
1 1.Sécurisation par iptables : Etape 1-Arrêt des serveurs En premier lieu pour sécuriser nos machines, on commence par stopper toutes les communications NFS, NIS on fait des démonte les répertoires distants monté par NFS avec la commande umount sur c1NIS, msNIS, ssNIS
2 Après cela on arrête le service ypbind de nos machines Etape 2- Paranoia absolue sur msNIS On édite le fichier /etc/sysconfig/iptables de msNIS , en supprimant toutes les regles de la table filter en s’assurant que INPUT, OUTPUT, FORWARD soient mises à <DROP> On démarre le service iptables via la commande /etc/init.d/iptables start
3 On s’assure du bon fonctionnement en listant nos règles via la commande iptables -L On fait aussi un ping 127.0.0.1, pour vérifier que la machine ne communique plus avec son loopback. Etape 3-Ce sont les autres, les méchants On réédite les iptables de msNIS en ajoutant des règles permettant d’accepter tous les messages envoyés à (interface lo) ainsi que ceux que lui-même envoie. On ajoute : -A INPUT –i lo –j ACCEPT -A OUTPUT –o lo –j ACCEPT
4 On redémarre le service iptables en lançant la commande suivante : /etc/init.d/iptables restart On s’assure que msNIS ne peut toujours pas pinger ssNIS par contre 127.0.0.1 si. Etape 4-Mode paranoia sur c1NIS et ssNIS On fait sur c1NIS et ssNIS ont fait la même chose que ce qu’on a fait sur msNIS en supprimant les règles de la table filter, en conservant les politiques par défaut égales à DROP, et en n’autorisant les communications qu’avec le loopback. Etape 5- ping pour tout le monde On ajoute les règles permettant d’accepter tous les paquets ICMP (protocole utilisé par ping)
5 On ping les autres machines pour s’assurer du bon fonctionnement : Etape 6- Rétablissement de nfs Sur le fichier /etc/services on a su que nos services utilisaient le port 2049 ainsi que les protocoles UDP, TCP. On joute sur msNIS les règles qui vont permettre à notre serveur d'interagir avec ses clients. Pour ce faire on ajoute : Sur la chaine INPUT de msNIS, une règles spécifiant qu’on accepte les paquets provenant des machines de notre réseau (192.168.13.0/24) et à destination du serveur nfs du port 1024. -Sur la chaine OUTPUT de ssNIS (dans iptables), une règle spécifiant qu’on accepte les paquets à destination des machines de notre réseau et provenant de notre serveur nfs. On ajoute ensuite sur ssNIS les règles pour accepter les paquets envoyés vers les serveurs nfs de msNIS.
6 On s’assure du bon fonctionnement en faisant un mount /users sur ssNIS. On essaie de lire/écrire sur ce répertoire à partir de ssNIS : ça marche bien. Etape 7- Et les quotas dans tout ça ? On démarre le service nfs et on observe qu’un service quotas est démarré également. On lance la commande : quota sur ssNIS afin d'afficher les limites d'espace disque imposées aux utilisateurs. On regarde dans l’ /etc/services les ports TCP et UDP utilisés par le démon rquotad, on a trouvé que c'était le port 875. On rajoute dans les iptables de msNIS et de ssNIS règles qui permettront à ssNIS d'interroger le démon rquotad de msnIS. Ça Ne fonctionne toujours pas.
7 Comme quota s'appuie sur un autre service dont il faut permettre l'accès. On ajoute les logs à la fin du fichier /etc/sysconfig/iptables de ssNIS à fin d’identifier de quel service s’agit-il. On ouvre sur un nouveau terminal en mode root le fichier des log e lançant la commande : tail -f /var/log/messages sur ssNIS. Cela nous fait savoir que le service s’appuie sur le port 875. Etape 8- Service RPC Pour voir la liste des services s'appuyant sur RPC qui sont démarrés sur notre machine on lance la commande rpcinfo -p :
8 On constate que le portmapper sur lequel s’appuie le démon rquotad est le port 111. On ajoute ensuite les règles pour ce port sur nos machines : Etape 9- Rétablissement du serveur NIS de msNIS A partir de l’étape précédente on sait que le serveur NIS(ypserv) de msNIS s'appuie sur le port 8343. Comme c'est RPC qui décide des ports qu'il utilise pour les services qu'il gère, on souhaite donc que le serveur NIS utilises un port fixe, pour ce faire, on édite le fichier etc/syconfig/network de msNIS en rajoutant : YPSERV_ARGS="-p 8343" On redémarre ypserv juste après en exécutant la commande suivante : /etc/init.d/ypserv restart On s’assure ensuite que ypserv utilise le port 8343 en lançant la commande : rpcinfo –p.
9 On rajoute les règles sur msNIS et ssNIS pour permettre l’accès INPUT et OUTPUT avec le port : 8343. On redémarre le service ypbind sur ssNIS : Pour régler le problème on ajoute dans l’ /etc/sysconfig/network de ssNIS la ligne suivante : OTHER_YPBIND_OPTS="-broken-server" On redémarre ypbind sur ssNIS :
10 Pour tester le bon fonctionnement on lance la commande ypcat passwd : Pour que le service ypbind de c1NIS fonctionne également on procède de la même manière : On ajoute dans le fichier /etc/syconfig/network la ligne OTHER_YPBIND_OPTS="-broken-server" On rajoute les règles sur msNIS et ssNIS pour permettre l’accès INPUT et OUTPUT avec le port : 8343. On redémarre ypserv juste après en exécutant la commande suivante : /etc/init.d/ypserv restart :
11 Etape 10- Rétablissement de l'esclave NIS sur ssNIS On impose à l'esclave NIS de ssNIS d'utiliser le port 8343 en ajoutant la ligne YPSERV_ARGS="-p 8343" dans le fichier /etc/sysconfig/network On rajoute les règles pour ce port : Les données de l'esclave NIS sont ‘pushées’ par le serveur maitre msNIS via le service ypxfwrd,on impose à l’ésclave d’utiliser un port fixe : 8353 retrouvé grace à la commande rpcinfo-p. On ajoute dans l’/etc/sysconfig/network de msNIS : YPXFRD_ARGS="-p 8353" On ajoute les règles pour l'accès de et vers ce port pour les machines msNIS et ssNIS. Pour vérifier le bon fonctionnement on ajoute un nouvel utilisateur : On met à jours les maps du serveur NIS en lançant : /etc/yp/ypinit -m. On s’assure du bon déroulement de la mise à jour en lançant ypcat passwd :
12 On lance ensuite ypwhich pour afficher le serveur auquel on s’adressemsNIS. Etape 11- Rétablissement des sauvegardes d'amanda Les services amandad,amidxtaped et amindexd utilisent des ports bien spécifiés dans le fichier /etc/services. On doit établir des sauvegardes : Sur msNIS et ssNIS on rajoute des règles pour s’échanger des messages sur le démon amandad de msNIS On ajoute sur ssNIS et msNIS les règles indiquant que tous les paquets entrants et sortants de connexions déjà existantes ou en relation avec celles-ci soient autorisés : -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Cela ne suffit pas, on demande au noyeau linux de chercher les entêtes des paquets transitants sur ses cartes réseau des commandes CONNECT et de les marquer comme RELATED en chargeant dans le noyeau de msNIS et de ssNIS le module "ip_conntrack_amanda" : On créé un fichier /etc/modprobe.d/amanda.conf sur les deux machines dont le contenu est : options ip_conntrack_amanda master_timeout=3600 Pour prendre en compte le nouveau fichier sans redémarrer, on lance la commande : modprobe ip_conntrack_amanda Pour vérifier que le module a bien été chargé, on tape la commande lsmod pour lister les modules actuellement chargés dans le noyau
13 Enfin pour que les iptables tiennent compte de ce module, on édite le fichier /etc/sysconfig/iptables-config et on indique que l’on souhaite utiliser le module que l’on a chargé en lançant la commande : IPTABLES_MODULES="ip_conntrack_amanda" On redémarre ensuite le service iptables en lançant : /etc/init.d/iptables restart On exécute après cela sur ssNIS la commande de sauvegarde amdump sous amadabackup.
14 Etape 12- Rétablissement des restaurations d'amanda Vu que les restaurations amrecover sont réalisées à partir de msNIS et exploitent les démons amindexd et amidxtaped de ssNIS qui utilisent les ports 10082 et 10083, on rajoute les règles iptables sur ssNIS et msNIS afin d'autoriser les paquets correspondant à ces services. Puisque amrecover utilise le demon amandad de ssNIS, on rajoute les règles permettant les échanges avec ce démon. Comme les services amandad,amindexd et amidxtaped utilisent de nouveaux ports(alloués dynamiquement) pour échanger des données entre ssNIS et msNIS, on spécifie dans le fichier /etc/amanda/usersBackup/amanda-client.conf de msNIS ces pors en modifiant la ligne du bas du fichier "unreserved-tcp-port” en unreserved-tcp-port 50000, 50030” . Afin de garantir que les ports utilisés sur msNIS soient compris entre 50000 et 50030. Ensuite on rajoute des règles qui permettent les échanges à partir de cette plage de ports. Enfin on lance la commande amrecover sur msNIS à fin de procéder aux restaurations.

Contenu connexe

PDF
Rapport TME_semaine_7_KAID_NHEK
Belkacem KAID
 
PDF
kaid_nhek
Belkacem KAID
 
ODT
Rapport du stage
ibrahim daoudi
 
PPTX
Installation et configuration du servuer ftp et tftp
Amdy Moustapha
 
DOCX
system de gestion Nfs (Network File System)
ninanoursan
 
PDF
04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...
ronanlebalch
 
PDF
Mis en place d'un serveur web avec herbergement multiple sous centos 6.
Manassé Achim kpaya
 
PDF
1.0 install de ubuntu server + ssh + webmin
Osi Pallière
 
Rapport TME_semaine_7_KAID_NHEK
Belkacem KAID
 
kaid_nhek
Belkacem KAID
 
Rapport du stage
ibrahim daoudi
 
Installation et configuration du servuer ftp et tftp
Amdy Moustapha
 
system de gestion Nfs (Network File System)
ninanoursan
 
04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...
ronanlebalch
 
Mis en place d'un serveur web avec herbergement multiple sous centos 6.
Manassé Achim kpaya
 
1.0 install de ubuntu server + ssh + webmin
Osi Pallière
 

Tendances (20)

PDF
2020 (1)
MarouaneBelmallem
 
PDF
SNMP
Bouras Mohamed
 
PPT
Mysql Apche PHP sous linux
Khalid ALLILI
 
PDF
Tp snmp-packet-tracer
Chris Dogny
 
DOCX
Gestion et surveillance du reseau syslogng
Kiemde Franck
 
PDF
Maintenance du système Linux
EL AMRI El Hassan
 
DOC
Tuto pfsense
Angelito Mandimbihasina
 
PDF
Installation de systemes d'exploitation via reseau avec serva
Pape Moussa SONKO
 
PDF
Doc portail-captif-pfsense
servinfo
 
PDF
Cisco et-le-simulateur-packet-tracer
Med Ali Bhs
 
PDF
Ccna 4 configuration-de_frame_ relay_hub_and_spoke
Touré Kunda
 
PDF
Guide pfsense
r_sadoun
 
DOCX
Activer les connexions à distance my sql
Ennakhli Said
 
PDF
Rapport des travaux
Bouras Mohamed
 
PDF
Guide mise en oeuvre-pfsensev2
Hichem Chehida
 
PDF
Les commandes CISCO (routeur)
EL AMRI El Hassan
 
PDF
Installation et Configuration de Pfsense
Ismail Rachdaoui
 
PDF
Implémentation d'openvpn
Dimitri LEMBOKOLO
 
PDF
Routeurs cisco-parametres-de-base-17126-l0xxp7
basschuck2411
 
PDF
3.0 install de ubuntu server + tasksel + ftp
Osi Pallière
 
2020 (1)
MarouaneBelmallem
 
SNMP
Bouras Mohamed
 
Mysql Apche PHP sous linux
Khalid ALLILI
 
Tp snmp-packet-tracer
Chris Dogny
 
Gestion et surveillance du reseau syslogng
Kiemde Franck
 
Maintenance du système Linux
EL AMRI El Hassan
 
Tuto pfsense
Angelito Mandimbihasina
 
Installation de systemes d'exploitation via reseau avec serva
Pape Moussa SONKO
 
Doc portail-captif-pfsense
servinfo
 
Cisco et-le-simulateur-packet-tracer
Med Ali Bhs
 
Ccna 4 configuration-de_frame_ relay_hub_and_spoke
Touré Kunda
 
Guide pfsense
r_sadoun
 
Activer les connexions à distance my sql
Ennakhli Said
 
Rapport des travaux
Bouras Mohamed
 
Guide mise en oeuvre-pfsensev2
Hichem Chehida
 
Les commandes CISCO (routeur)
EL AMRI El Hassan
 
Installation et Configuration de Pfsense
Ismail Rachdaoui
 
Implémentation d'openvpn
Dimitri LEMBOKOLO
 
Routeurs cisco-parametres-de-base-17126-l0xxp7
basschuck2411
 
3.0 install de ubuntu server + tasksel + ftp
Osi Pallière
 
Publicité

Similaire à SEMAINE_6 LI350 (20)

PDF
Snort implementation
Rokitta Apollonia
 
PDF
serveur kanne passerelle-sms
Komaps99
 
PDF
Mise en place NFS
iferis
 
PDF
Openssh
TECOS
 
PDF
Mise en place de service NFS ubuntu 22.pdf
ImnaTech
 
PDF
Rapport d’installation d’un serveur de messagerie avec le Webmail Roundcube
Balla Moussa Doumbouya
 
DOCX
Mise en place nagios
JeanFrancoisMARTIN5
 
PDF
Premiers pas avec snort
Fathi Ben Nasr
 
PDF
Principes de fonctionnement unix
webreaker
 
DOC
SOLARIS 10 - Exercise - FR - 2008
Sonny Brabez
 
PDF
presentation installation dun server samba PDF.pdf
UneSsElGharras
 
PDF
Config ip
Mouhsine Najih
 
PDF
Rapport administration systèmes et supervision réseaux tp4 diabang master1 tr
Cheikh Tidiane DIABANG
 
PPT
[DRAFT] Utiliser VmWare pour l'installation d'un Alfresco
PASCAL Jean Marie
 
PDF
Socket tcp ip client server on langace c
mouad Lousimi
 
PDF
Reseau entreprise
SAIDRAISS2
 
DOCX
Mise en place nagios
JeanFrancoisMARTIN5
 
DOCX
Mise en place nagios
JeanFrancoisMARTIN5
 
PDF
Tuto VP IPSEC Site-to-site
Dimitri LEMBOKOLO
 
PDF
Mise en place nagios
JeanFrancoisMARTIN5
 
Snort implementation
Rokitta Apollonia
 
serveur kanne passerelle-sms
Komaps99
 
Mise en place NFS
iferis
 
Openssh
TECOS
 
Mise en place de service NFS ubuntu 22.pdf
ImnaTech
 
Rapport d’installation d’un serveur de messagerie avec le Webmail Roundcube
Balla Moussa Doumbouya
 
Mise en place nagios
JeanFrancoisMARTIN5
 
Premiers pas avec snort
Fathi Ben Nasr
 
Principes de fonctionnement unix
webreaker
 
SOLARIS 10 - Exercise - FR - 2008
Sonny Brabez
 
presentation installation dun server samba PDF.pdf
UneSsElGharras
 
Config ip
Mouhsine Najih
 
Rapport administration systèmes et supervision réseaux tp4 diabang master1 tr
Cheikh Tidiane DIABANG
 
[DRAFT] Utiliser VmWare pour l'installation d'un Alfresco
PASCAL Jean Marie
 
Socket tcp ip client server on langace c
mouad Lousimi
 
Reseau entreprise
SAIDRAISS2
 
Mise en place nagios
JeanFrancoisMARTIN5
 
Mise en place nagios
JeanFrancoisMARTIN5
 
Tuto VP IPSEC Site-to-site
Dimitri LEMBOKOLO
 
Mise en place nagios
JeanFrancoisMARTIN5
 
Publicité

Plus de Belkacem KAID (8)

ODP
Présentation Sec_res_OK
Belkacem KAID
 
PDF
Mannuel_Attaque_VoIP
Belkacem KAID
 
PDF
PSECRES2017-Projet11-KHATOUN_RIDA-Secu_VoIP-RapFinal
Belkacem KAID
 
PDF
PCONT2016-Projet1.3-Fourmaux-AnalCodecParamVideo-RapFinal
Belkacem KAID
 
PDF
Rapport_PRES__Copy_
Belkacem KAID
 
PDF
Rapport MOGPL
Belkacem KAID
 
PDF
exposé_LI352_KAID_SHI
Belkacem KAID
 
PDF
Rapport - Partie th‚orique
Belkacem KAID
 
Présentation Sec_res_OK
Belkacem KAID
 
Mannuel_Attaque_VoIP
Belkacem KAID
 
PSECRES2017-Projet11-KHATOUN_RIDA-Secu_VoIP-RapFinal
Belkacem KAID
 
PCONT2016-Projet1.3-Fourmaux-AnalCodecParamVideo-RapFinal
Belkacem KAID
 
Rapport_PRES__Copy_
Belkacem KAID
 
Rapport MOGPL
Belkacem KAID
 
exposé_LI352_KAID_SHI
Belkacem KAID
 
Rapport - Partie th‚orique
Belkacem KAID
 

SEMAINE_6 LI350

  • 1. LI350 Rapport TME LI350 Semaine 6 Réalisé par : KAID Belkacem Nhek Sodara Encadré par : GONZALES Christophe
  • 2. 1 1.Sécurisation par iptables : Etape 1-Arrêt des serveurs En premier lieu pour sécuriser nos machines, on commence par stopper toutes les communications NFS, NIS on fait des démonte les répertoires distants monté par NFS avec la commande umount sur c1NIS, msNIS, ssNIS
  • 3. 2 Après cela on arrête le service ypbind de nos machines Etape 2- Paranoia absolue sur msNIS On édite le fichier /etc/sysconfig/iptables de msNIS , en supprimant toutes les regles de la table filter en s’assurant que INPUT, OUTPUT, FORWARD soient mises à <DROP> On démarre le service iptables via la commande /etc/init.d/iptables start
  • 4. 3 On s’assure du bon fonctionnement en listant nos règles via la commande iptables -L On fait aussi un ping 127.0.0.1, pour vérifier que la machine ne communique plus avec son loopback. Etape 3-Ce sont les autres, les méchants On réédite les iptables de msNIS en ajoutant des règles permettant d’accepter tous les messages envoyés à (interface lo) ainsi que ceux que lui-même envoie. On ajoute : -A INPUT –i lo –j ACCEPT -A OUTPUT –o lo –j ACCEPT
  • 5. 4 On redémarre le service iptables en lançant la commande suivante : /etc/init.d/iptables restart On s’assure que msNIS ne peut toujours pas pinger ssNIS par contre 127.0.0.1 si. Etape 4-Mode paranoia sur c1NIS et ssNIS On fait sur c1NIS et ssNIS ont fait la même chose que ce qu’on a fait sur msNIS en supprimant les règles de la table filter, en conservant les politiques par défaut égales à DROP, et en n’autorisant les communications qu’avec le loopback. Etape 5- ping pour tout le monde On ajoute les règles permettant d’accepter tous les paquets ICMP (protocole utilisé par ping)
  • 6. 5 On ping les autres machines pour s’assurer du bon fonctionnement : Etape 6- Rétablissement de nfs Sur le fichier /etc/services on a su que nos services utilisaient le port 2049 ainsi que les protocoles UDP, TCP. On joute sur msNIS les règles qui vont permettre à notre serveur d'interagir avec ses clients. Pour ce faire on ajoute : Sur la chaine INPUT de msNIS, une règles spécifiant qu’on accepte les paquets provenant des machines de notre réseau (192.168.13.0/24) et à destination du serveur nfs du port 1024. -Sur la chaine OUTPUT de ssNIS (dans iptables), une règle spécifiant qu’on accepte les paquets à destination des machines de notre réseau et provenant de notre serveur nfs. On ajoute ensuite sur ssNIS les règles pour accepter les paquets envoyés vers les serveurs nfs de msNIS.
  • 7. 6 On s’assure du bon fonctionnement en faisant un mount /users sur ssNIS. On essaie de lire/écrire sur ce répertoire à partir de ssNIS : ça marche bien. Etape 7- Et les quotas dans tout ça ? On démarre le service nfs et on observe qu’un service quotas est démarré également. On lance la commande : quota sur ssNIS afin d'afficher les limites d'espace disque imposées aux utilisateurs. On regarde dans l’ /etc/services les ports TCP et UDP utilisés par le démon rquotad, on a trouvé que c'était le port 875. On rajoute dans les iptables de msNIS et de ssNIS règles qui permettront à ssNIS d'interroger le démon rquotad de msnIS. Ça Ne fonctionne toujours pas.
  • 8. 7 Comme quota s'appuie sur un autre service dont il faut permettre l'accès. On ajoute les logs à la fin du fichier /etc/sysconfig/iptables de ssNIS à fin d’identifier de quel service s’agit-il. On ouvre sur un nouveau terminal en mode root le fichier des log e lançant la commande : tail -f /var/log/messages sur ssNIS. Cela nous fait savoir que le service s’appuie sur le port 875. Etape 8- Service RPC Pour voir la liste des services s'appuyant sur RPC qui sont démarrés sur notre machine on lance la commande rpcinfo -p :
  • 9. 8 On constate que le portmapper sur lequel s’appuie le démon rquotad est le port 111. On ajoute ensuite les règles pour ce port sur nos machines : Etape 9- Rétablissement du serveur NIS de msNIS A partir de l’étape précédente on sait que le serveur NIS(ypserv) de msNIS s'appuie sur le port 8343. Comme c'est RPC qui décide des ports qu'il utilise pour les services qu'il gère, on souhaite donc que le serveur NIS utilises un port fixe, pour ce faire, on édite le fichier etc/syconfig/network de msNIS en rajoutant : YPSERV_ARGS="-p 8343" On redémarre ypserv juste après en exécutant la commande suivante : /etc/init.d/ypserv restart On s’assure ensuite que ypserv utilise le port 8343 en lançant la commande : rpcinfo –p.
  • 10. 9 On rajoute les règles sur msNIS et ssNIS pour permettre l’accès INPUT et OUTPUT avec le port : 8343. On redémarre le service ypbind sur ssNIS : Pour régler le problème on ajoute dans l’ /etc/sysconfig/network de ssNIS la ligne suivante : OTHER_YPBIND_OPTS="-broken-server" On redémarre ypbind sur ssNIS :
  • 11. 10 Pour tester le bon fonctionnement on lance la commande ypcat passwd : Pour que le service ypbind de c1NIS fonctionne également on procède de la même manière : On ajoute dans le fichier /etc/syconfig/network la ligne OTHER_YPBIND_OPTS="-broken-server" On rajoute les règles sur msNIS et ssNIS pour permettre l’accès INPUT et OUTPUT avec le port : 8343. On redémarre ypserv juste après en exécutant la commande suivante : /etc/init.d/ypserv restart :
  • 12. 11 Etape 10- Rétablissement de l'esclave NIS sur ssNIS On impose à l'esclave NIS de ssNIS d'utiliser le port 8343 en ajoutant la ligne YPSERV_ARGS="-p 8343" dans le fichier /etc/sysconfig/network On rajoute les règles pour ce port : Les données de l'esclave NIS sont ‘pushées’ par le serveur maitre msNIS via le service ypxfwrd,on impose à l’ésclave d’utiliser un port fixe : 8353 retrouvé grace à la commande rpcinfo-p. On ajoute dans l’/etc/sysconfig/network de msNIS : YPXFRD_ARGS="-p 8353" On ajoute les règles pour l'accès de et vers ce port pour les machines msNIS et ssNIS. Pour vérifier le bon fonctionnement on ajoute un nouvel utilisateur : On met à jours les maps du serveur NIS en lançant : /etc/yp/ypinit -m. On s’assure du bon déroulement de la mise à jour en lançant ypcat passwd :
  • 13. 12 On lance ensuite ypwhich pour afficher le serveur auquel on s’adressemsNIS. Etape 11- Rétablissement des sauvegardes d'amanda Les services amandad,amidxtaped et amindexd utilisent des ports bien spécifiés dans le fichier /etc/services. On doit établir des sauvegardes : Sur msNIS et ssNIS on rajoute des règles pour s’échanger des messages sur le démon amandad de msNIS On ajoute sur ssNIS et msNIS les règles indiquant que tous les paquets entrants et sortants de connexions déjà existantes ou en relation avec celles-ci soient autorisés : -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Cela ne suffit pas, on demande au noyeau linux de chercher les entêtes des paquets transitants sur ses cartes réseau des commandes CONNECT et de les marquer comme RELATED en chargeant dans le noyeau de msNIS et de ssNIS le module "ip_conntrack_amanda" : On créé un fichier /etc/modprobe.d/amanda.conf sur les deux machines dont le contenu est : options ip_conntrack_amanda master_timeout=3600 Pour prendre en compte le nouveau fichier sans redémarrer, on lance la commande : modprobe ip_conntrack_amanda Pour vérifier que le module a bien été chargé, on tape la commande lsmod pour lister les modules actuellement chargés dans le noyau
  • 14. 13 Enfin pour que les iptables tiennent compte de ce module, on édite le fichier /etc/sysconfig/iptables-config et on indique que l’on souhaite utiliser le module que l’on a chargé en lançant la commande : IPTABLES_MODULES="ip_conntrack_amanda" On redémarre ensuite le service iptables en lançant : /etc/init.d/iptables restart On exécute après cela sur ssNIS la commande de sauvegarde amdump sous amadabackup.
  • 15. 14 Etape 12- Rétablissement des restaurations d'amanda Vu que les restaurations amrecover sont réalisées à partir de msNIS et exploitent les démons amindexd et amidxtaped de ssNIS qui utilisent les ports 10082 et 10083, on rajoute les règles iptables sur ssNIS et msNIS afin d'autoriser les paquets correspondant à ces services. Puisque amrecover utilise le demon amandad de ssNIS, on rajoute les règles permettant les échanges avec ce démon. Comme les services amandad,amindexd et amidxtaped utilisent de nouveaux ports(alloués dynamiquement) pour échanger des données entre ssNIS et msNIS, on spécifie dans le fichier /etc/amanda/usersBackup/amanda-client.conf de msNIS ces pors en modifiant la ligne du bas du fichier "unreserved-tcp-port” en unreserved-tcp-port 50000, 50030” . Afin de garantir que les ports utilisés sur msNIS soient compris entre 50000 et 50030. Ensuite on rajoute des règles qui permettent les échanges à partir de cette plage de ports. Enfin on lance la commande amrecover sur msNIS à fin de procéder aux restaurations.