Solaris sous Vmware
Redhat Solaris et commandes Unix/Linux(Redhat-Debian)
Commandes Solaris
et Unix/Linux-(Redhat-Debian)
Solaris
sous Vmware
La version 3.0 ne prend
pas en compte la version Unix Solaris. Il n'est pas possible d'installer
Solaris 6 sous plate-forme Windows.
Il faut tout d'abord installer le produit Vmware sous Linux Debian puis
récupérer l'installation du système Solaris sur un PC windows :
--
Installer Linux Debian ...
-- Installer Vmware
- faire attention que le noyau
possède la même version que les headers en mettant à jour le noyau et les
headrers.
apt-get install image ...
apt-get install headers ....
- les fichiers Include se trouve
dans /usr/src/kernel.../inculde (ceci est demandé par Vmware)
- On utilise la disquette de
Solaris de boot, le CD1 d'installation, le CD 1 software et le CD2 software.
- On choisira de préférence de ne
pas configurer le système (F4) à l'installation, on pourra toujours lancer
la commande kdmconfig au prompt après le boot.
-- On copie ensuite le répertoire Solaris d'installation Vmware sur un PC
Windows 2000 (voir)
On dispose ainsi d'un système Solaris (8-9) sous Windows 2000.
Commandes
Solaris et Unix/Linux(Redhat-Debian)
Système Solaris, Redhat et Debian sont présents.
Operating
system :
http://sunsolve.sun.com
(SOLARIS)
JAVA
JDK
: http://java.sun.com/j2se/1.4/install-solaris.html#requirements (SOLARIS)
PATCH
JAVA :
http://
sunsolve.sun.com/pub-cgi/show.pl?target=patches/J2SE
(SOLARIS)
-
Date:heure (Redhat)
Le démon Network Time Protocol (NTP) synchronise l'horloge du système
avec un serveur temporel à distance ou une source temporelle à distance (un
satellite, par exemple). dateconfig vous permet de configurer un démon NTP pour
synchroniser votre horloge de système avec un serveur à distance. Pour activer
cette fonction, cliquez sur le bouton Activer le protocole de synchronisation de
réseau.
Si vous voulez que ce démon démarre automatiquement à l'amorçage, exécutez
la commande /sbin/chkconfig --level 345 ntpd on pour
activer ntpd pour les niveaux d'exécution 3, 4 et 5
ou serviceconf en x11.
- RAID5
(Redhat)
Par exemple nous disposons d'un serveur DELL PowerEdge
2600 avec un Carte PERC 4/DI
Pour une version Redhat 2.1 Advanced server il a fallut se procurer la disquette
du drivers PERC4/DI chez DELL.
Au boot de l'installation à partir des CD taper "linux dd" et mettre
la disquette du driver.
Nous disposons de 4 disques de 140 GO
(rq: Raid 5 n-1 disque utile)
2 possibilités :
- 3 disques en RAID 5 et un Hot Spare (disque non utilisé mis en secours
du Raid5) donc 4 diques au total.
On dispose donc de 2*140 GO utile. Si un disque "casse" le raid
est reconstitué à partir du HotSpare. On dispose toujours de 2*140GO avec 3
disques ! performances identiques Nous choissisons cette solution
- 4 disques en Raid 5 (sans Hot Spare donc) on dispose de 3*140 GO utile. Si un
disque casse on passe à 2*140GO avec des pertes de performances
Installation solution 1:
- au boot taper [CTRL] , équivalent [CTRL] [m] pour accéder au programme de
configuration.
- add configuration appuyer sur
[espace] choisie les disques de 0à2 online et l'ID=4 (hotspare ou
faillover)
- F10 configuration puis accept.
En cas de crash d'un disque :
- Il faut prévoir l'installation d'un programme sous redhat pour faire remonter
les pannes du RAID : voir plus tard.
- le HotSpare est sollicité, on se retrouve avec 3 disques en Raid5.
- Une fois le nouveau disque en main : on le place dans le rack et on le
déclare en HotSpare : c'est tout !
- clavier, vidéo
. kdmconfig ...
(SOLARIS)
- Disquette
DOS :
mcopy et mdir : (lecture disquette dos) ou man mtools
cp filename /mnt/floppy (copie
fichier unix vers disquette dos)
gfloppy(gnome) ou kfloppy (kde) formattage de disquette dos.
LINUX:
/sbin/mke2fs /dev/fd0 (faire un file système linux sur une disquette pour
copier des fichiers...)
/dev/fd0 est l'unité alors.
mkbootdisk --device /dev/fd1 version-noyau (Par ex 2.0.31) (créer une disquette
de démarrage) Redhat)
- Configuration réseau :
. Arrêter le dhcp provisoirement : ifconfig hme0 dhcp stop vérifier
par ifconfig -a
.
Arrêter le dhcp définitivement : supprimer le fichier /etc/dhcp.hme0 et
taper ifconfig hme0 dhcp
stop
. Configurer une adresse IP : ifconfig hme0 140.77.50.25 netmask
255.255.255.0 puis route add default 140.77.50.1 vérifier par
netstat -r pour le routage ATTENTION : Si la machine se trouve dans une
zone démilitarisée (DMZ) il est fort probable que le protocole RIP soit
désactivé et dans ce cas il faut renseigner (ou créer!) le fichier /etc/defaultrouter
!!
. Donner le nom à la machine : dans /etc/hostname.hme0 et /etc/hosts et /etc/nodname
! Vérifier le fichier /etc/hosts s'il est à jour pour le nom de la machine
locale !
(SOLARIS)
. Mofifier la configuration réseau dans /etc/sysconfig/network-scripts/ifcfg-carteethernet
ou via la commande netconfig. .Modifier le nom de la machine /etc/sysconfig/network
et dans /etc/hosts (Redhat)
-
Configuration machine
Version
. /bin/uname -a (version)
Patches
. /bin/showrev -p ( Connaitre les patches de l'OS) ou /bin/showrev seul
(SOLARIS)
Packages
. /bin/pkginfo -i <package name> ( Quels sont les packages installés)
(SOLARIS)
Installer un package : Debian
.Vérifier les sources dans /etc/apt/source-liste
. apt-get update (met à jour le journal des soft disponibles) et apt-get
clean pour "nettoyer"
. apt-cache search kde (cherche kde) on trouve task-kde
. apt-get install task-kde (installation) et apt-get -s install task-kde
(simulation d'installation)
.apt-get install --reinstall lyx (réinstallation)
. apt-get remove lys --purge (désinstallation et purge les fichiers)
. dpkg -l
"x*" | more Cela vous donnera la liste de tous les paquets
disponibles commençant par la lettre x. Les guillemets sont importants, sans
ceux-ci, la commande chercherais à passer en paramètre la liste de tous les
fichiers de votre répertoire courant commençant par x (s'il y en a bien sûr),
ce qui est très différent!
(Redhat package)
. rpm -qa |grep compat (Cherche le(s) package(s) sur le disque) avec i:
info
. rpm -ivh foo-1.0-1.i386.rpm (installation)
. rpm -ivh --replacepkgs foo-1.0-1.i386.rpm (réinstallation du package)
. rpm -ivh --replacefiles foo-1.0-1.i386.rpm (réinstallation avec remplacement des fichiers d'un autre paquetage)
(Si dépendance installer le paquetage : "failed dependencies: bar is needed by
foo-1.0-1")
. rpm -e foo (désinstallation)
. rpm -Va (vérification des packages)
. rpm -qf /usr/X11R6/bin/ghostview (trouver le package connaissant le programme)
ou rpm -Vf /usr/bin/paste -> vérifie le package
. rpm -qip sndconfig-0.48-1.i386.rpm (voir les fichiers utilisés par le package)
. ldd /bin/ls (Voir les bibliothèques utilisées par ls par exemple)
Version de logiciel
. /usr/bin/which make (voir si c'est le bon exécutable qui s'exécute avec le
bon utilisateur loggé)
Configuration Eeprom, conf, mémoire
. eeprom (voir la config eeprom)(SOLARIS)
. prtconf ( config)
(SOLARIS)
. /usr/sbin/prtconf | grep size (Voir la taille mémoire)
(SOLARIS)
.cat /proc/meminfo | grep MemTotal (Voir la taille
mémore) (Redhat)
. lspci voir
la configuration harsware (Redhat)
ou l'application Hardware
Browser sous X11 dans le panneau de configuration (Redhat)
. ls /proc/?? voir toute la configuration de la machine :
processus, modules ...
Configuration
disque
. /usr/sbin/swap -a (Connaître la taille du Swap)
. prtvtoc /dev/rdsk ( voir la configuration des disques et des partitions)
(SOLARIS)
. df -F ufs (listes les files system) et df -k . (celui en cours)
. -df -h voir les files system plus lisiblement.
(Redhat)
. mountall -l (monte les systèmes locaux dans /etc/vfstab)
- Configuration
X
XDM _ XDMCP ?
Source : http://piapplications.free.fr/linux/JMP-LNX-0002.html
Modifier /etc/X11/xdm/xdm-config en
ajoutant une marque de commentaire (point d'exclamation) devant la ligne
suivante:
DisplayManager.requestPort: 0
Vous devez avoir:
! DisplayManager.requestPort: 0
Modifier la ligne suivante du fichier /etc/X11/xdm/Xaccess
en enlvenat le commentaire:
#* # any host can get a login window
Vous obtenez:
* # any host can get a login window (ou mettre une adresse ip particulière)
Fixez les attributs à 644 sur ce fichier (chmod 644 /etc/X11/xdm/Xaccess)
pour des raisons de sécurité.
La modification suivante porte sur le serveur X. Comme il y en a 3 possibles,
vous devez modifier tous ceux que vous utiliserez via XDMCP.
Si vous utilisez xdm, modifiez le fichier /etc/X11/xdm/xdm-config
Si vous utilisez GNOME (gdm), modifiez le fichier /etc/X11/gdm/gdm.conf
Si vous utilisez KDE2 (kdm), modifiez le fichier /usr/share/config/kdm/kdmrc
Dans chacun des fichiers, vous devez configurez la section [xdmcp]:
[xdmcp]
Enable=true
Port=177
Ne modifiez surtout pas le numéro de port 177.
Editez /etc/inittab et changez la ligne suivante:
id:3:initdefault:
en
id:5:initdefault:
x:5:respawn:/etc/X11/prefdm -nodaemon # (ou le serveur X préféré)
Mettez les attributs du fichier /etc/X11/xdm/Xservers à 444. Mettez les attributs du fichier /etc/X11/xdm/Xsetup_0 à 755.
Editez /etc/X11/XF86Config et vérifiez la ligne suivante (ou modifiez la en conséquence):
FontPath "unix:7100"
Sur le serveur : modifiez le fichier /usr/lib/X11/xdm/Xservers, et rajoutez après laligne
:0 local /usr/X11R6/bin/X la ligne
192.168.0.2:0 foreign
Ceci génère une bannière xdmcp sur le client.
Sur le poste client on installe
un serveur X (postes client) comme X-WinPro's.
On autorise dans cette application
les connexions xdmcp et seulement le client X : notre serveur linux
distant.
FIN XDM-XDMCP
X11 sécurisé :
Si votre serveur est dans une zone sécurisé (DMZ) et que
vous désirez quand même avoir un environnement graphique
il faut :
1°) avoir que des affichages déportés : lancer
un serveur X sur votre poste Windows sans connexion xdmcp et
autoriser le client x :
localhost.
Utiliser un client ssh (putty) et
configuer le X11 fowarding. Effectuer une connexion ssh en tant qu'utilisateur
et le
tunnel sera crée
automatiquement. Il suffit ensuite de lancer xterm ou netscape ou ...
2°) avoir un environnement graphique complet :
Utiliser un poste
sous linux en interne pour avoir une connexion xdmcp standard (voir partie xdmcp).
Autoriser le client x :
x.x.x.x. (adresse IP) et localhost pour le ssh (plus loin)sur le serveur X : on obtient ainsi
un environnement KDE
par exemple.
Utiliser un client
ssh (putty) et configuer le X11 fowarding. Effectuer une connexion ssh sur le
serveur en DMZ
en tant
qu'utilisateur et le tunnel sera crée
automatiquement. Il suffit ensuite de lancer xterm ou netscape ...
-
Voir le contenu texte d'un exécutable : strings
/bin/ls
-
Voir les processus et sniffer les E/S :
Sniffer :
. snoop machine ou plus précis snoop -X0 machine
(SOLARIS)
Voir les proceesus :
. fuser /usr/sbin/sendmail renvoie 956m (m=partagé, 956=procesus)
. truss -f -t -a -p 509 (voir process 509) ou truss -f -t exe -a -p 509 (voir
exe) ou truss -f -t open -a -p 509 (voir les open)
ou truss -aef -o /var/tmp/dump/trace /etc/init.d/dt start
. /usr/proc/bin/ptree (voir les process)
- ps -aux (voir les processus) (Linux)
- top (voir les
processus en temps réel et la mémoire utilisée -> taper sur h pour
l'aide) (Linux)
- ls /proc/?? voir toute la configuration de la machine : processus,
modules ...
- free (voir la mémoire utilisée et le swap) (Linux)
-
Log
/var/adm/
-
Sécurité
Les tunnels cryptés (3
méthodes) :
.ssh -N -f -L localport:localhost:remoteport (Tunnels ssh. ->
N:tunnel only f: tache de fond )
.stunnel -c -d localhost:localport - r remotehost:remoteservice ( Tunnel ssl
avec stunnel. -c:mode client -r: données hotes distant remoteservice:peut
être un port ou un nom de service. avec certificat préciser -v2 et -A path/to/certificat.perm.
. IPSsec : niveau 3 de l'OSI.
Entre deux sites deux passerelles IPSec.
- il faut créer une interface (ifconfig) et l'ajouter au rc.conf.
- deux bases de données sont utilisées SPD (règles d'applications du tunnel
ipsec) et SAD (qui contient les règles) voir -> setkey (c'est le daemon
IKE racoon qui effectue l'échanges des clés)
- on peut utiliser des certificats au format PEMen au lieu des psk moins
fiables voir openssl genrsa ...
FireWall logiciel
(Redhat)
- utilisez la commande lokkit pour démarrer la
version en mode texte de GNOME Lokkit.
Une fois que vous avez démarré le programme, choisissez le niveau
de sécurité approprié pour votre système :
Haute sécurité — Cette option permet de désactiver presque toutes les connexions réseau, sauf les réponses DNS et DHCP, pour que les interfaces réseau puissent être activées. IRC, ICQ et les autres services de messagerie instantanés, ainsi que RealAudioTM ne fonctionneront pas sans proxy.
Faible sécurité — Cette option permet d'interdire les connexions à distance au système, y compris les connexions NFS et les sessions X Window à distance. Les services s'exécutant en deçà du port 1023 n'accepteront pas de connexions, y compris FTP, SSH, Telnet et HTTP.
Désactivation du pare-feu — Cette option ne crée aucune règle de sécurité. Nous recommandons de ne choisir cette option que si le système se trouve sur un réseau de confiance (et non sur Internet), si le système se trouve derrière un pare-feu plus grand, ou si vous écrivez vos propres règles de pare-feu personnalisées.
Si la
carte Ethernet connecte le système à un modem câble ou DSL, nous vous
conseillons de choisir Non. (Hote sysyème)
Pour voir les services actifs du FireWall : service ipchains status
ou
service --status-all
Protection protocole pour tout le monde (1)
Activation du service ipchains
Les règles de pare-feu ne seront actives que si le service ipchains est
en cours d'exécution. Pour lancer manuellement le service, utilisez la
commande :
/sbin/service ipchains restart
Pour vous assurer qu'il sera lancé au
démarrage du système, tapez la commande :
/sbin/chkconfig --level 345 ipchains on
Vous pouvez également utiliser serviceconf pour activer ipchains. On peut s'en servir pour démarrer ou arrêter des services et choisir le mode de démarrage "auto" au manuel.
Protection protocole
avec choix IP : (2)
Pour voir les service
démarrés: ntsysv
Les changements ne sont pas immédiatement actifs lorsque l'application ntsysv
est utilisée.
Vous devez en effet arrêter ou démarrer le service à l'aide
de la commande service démon
stop. Dans l'exemple précédent, remplacez démon
par le nom du service que vous désirez arrêter. Par exemple, httpd.
Remplacez stop par start ou restart
pour démarrer ou redémarrer le service.
Si vous souhaitez arrêter ou démarrer
un service géré par xinetd, utilisez la commande service
xinetd restart.
(cas de ftp,telnet par exemple)
Pour contrôler l'accès aux services d'Internet, vous pouvez utiliser
xinetd.
xinetd fonctionne constamment et surveille tous les ports pour les
services qu'il gère. Lorsqu'une requête de connexion est reçue à
destination de l'un d'eux, xinetd démarre le serveur
approprié à ce service.
Le fichier de configuration de xinetd est /etc/xinetd.conf.
Pour activer ou désactiver le service xinetd,
éditez son fichier de configuration dans le répertoire /etc/xinetd.d.
Si l'attribut disable est placé sur yes,
le service est désactivé. Si l'attribut disable
est placé sur no, le service est activé.
Si vous éditez l'un des fichiers de configuration xinetd
ou changez son statut d'activation à l'aide de ntsysv
ou chkconfig, vous devez redémarrer xinetd
à l'aide de la commande service xinetd restart pour
que le changement prenne effet. Pour une liste des services de réseau contrôlés
par xinetd, affichez le contenu du répertoire /etc/xinetd.d
à l'aide de la commande ls /etc/xinetd.d.
Choix IP : Ordre allow puis deny
/etc/host.allow
ALL: 140.80.1.1
/etc/hosts.deny :
ALL: ALL:
Fin FireWall logiciel
Voir
les services et leurs actions :
chkconfig --list telnet
donne telnet Marche
->voir un service géré par xinetd
chkconfig --list httpd (ou service httpd status pour les service non
gérés par xinetd)
httpd 0:Arrêt 1:Arrêt 2:Arrêt 3:Arrêt 4:Arrêt 5:Arrêt 6:Arrêt
-> voir un service non géré par xinetd mais /etc/rc .d
Attention !!! : montre que les processus qui démarrent au démarrage du
serveur ou paramétrés en tant que tel.
Pour mettre en route un service au démarrage voir plus haut.
Voir
les service et les protocoles "ouverts" :
service --status-all donne : services.txt
ou
service ipchains status
HTTPS
Que faut-il ?
| Nom du paquetage | Situé dans le groupe | Facultatif ? |
|---|---|---|
| apache | System Environment/Daemons | non |
| mod_ssl | System Environment/Daemons | non |
| openssl | System Environment/Libraries | non |
| mm | System Environment/Libraries | non |
| apache-devel | Development/Libraries | oui |
| apache-manual | Documentation | oui |
| openssh | Applications/Internet | oui |
| openssh-askpass | Applications/Internet | oui |
| openssh-askpass-gnome | Applications/Internet | oui |
| openssh-clients | Applications/Internet | oui |
| openssh-server | System Environment/Daemons | oui |
| openssl-devel | Development/Libraries | oui |
| stunnel | Applications/Internet | oui |
D'abord, utilisez la commande cd pour vous
rendre au répertoire /etc/httpd/conf. Supprimez la
fausse clé et le faux certificat qui ont été créés lors de l'installation
à l'aide de la commande suivante :
rm ssl.key/server.key
rm ssl.crt/server.crt
Ensuite, vous devez créer votre propre clé aléatoire. Entrez la
commande suivante :
make genkey
Votre système affiche alors un message qui ressemble à ce qui suit :
umask 77 ; \
/usr/bin/openssl genrsa -des3 1024 > /etc/httpd/conf/ssl.key/server.key
Generating RSA private key, 1024 bit long modulus
.......++++++
................................................................++++++
e is 65537 (0x10001)
Enter PEM pass phrase:
Vous devez maintenant entrer un mot de passe. Pour plus de sécurité,
votre mot de passe devrait être composé d'au moins huit caractères,
contenir des lettres, des chiffres, des signes de ponctuation et ne pas être
un mot du dictionnaire. De plus, n'oubliez pas que votre mot de passe est
sensible à la casse.
Vous devez vous rappeler ce mot de passe et l'entrer chaque fois que vous
lancez votre serveur Web sécurisé alors tâchez de ne pas l'oublier.
Entrez de nouveau le mot de passe, pour vous assurer qu'il est écrit
correctement. Une fois que c'est fait, un fichier appelé server.key,
contenant votre clé, est créé.
Si vous ne voulez pas entrer votre mot de passe chaque fois que vous lancez
votre serveur Web sécurisé, vous devez utiliser les deux commandes suivantes
à la place de make genkey pour créer la clé. Ces
deux commandes doivent être écrites en entier sur une seule ligne.
Utilisez la commande
/usr/bin/openssl genrsa 1024 > /etc/httpd/conf/ssl.key/server.key
pour créer votre clé. Puis utilisez la commande
chmod go-rwx /etc/httpd/conf/ssl.key/server.key
pour vous assurer que les autorisations sont définies correctement sur
votre clé.
Après avoir utilisé les commandes ci-dessus pour créer votre clé, vous
ne devrez plus utiliser de mot de passe pour lancer votre serveur Web sécurisé.
La désactivation de la fonction de mot de passe de votre serveur
Web sécurisé est un risque potentiel pour la sécurité. Nous NE
vous recommandons PAS de désactiver cette fonction pour votre
serveur Web sécurisé.
Les problèmes associés au fait de ne pas utiliser de mot de passe sont
directement liés à la sécurité maintenue sur l'ordinateur hôte.
Le fichier server.key devrait être la propriété
du super-utilisateur sur votre système et aucun autre utilisateur ne devrait
pouvoir y accéder. Faites une copie de sauvegarde de ce fichier et gardez-la
en lieu sûr. Vous avez besoin de cette copie de sauvegarde car si vous perdez
votre fichier server.key après l'avoir utilisé
pour créer votre demande de certificat, votre certificat ne fonctionnera plus
et le fournisseur de certificats ne pourra rien faire pour vous aider. La
seule solution qui s'offrira à vous sera de demander (et payer) un nouveau
certificat.
Création d'un certificat auto-signé
Vous pouvez créer votre propre certificat auto signé. Sachez cependant
qu'un certificat auto signé n'offre pas les mêmes garanties de sécurité
qu'un certificat signé par un fournisseur de certificats.
make testcert ou (make certreq pour génération
d'une demande de certificat à envoyer à un fournisseur de certificats (CA))
Entrer le mot de passe.
Une fois les informations
données, un certificat auto signé est créé et placé dans /etc/httpd/conf/ssl.crt/server.crt.
Vous devez redémarrer votre serveur sécurisé après avoir créé le
certificat, avec la commande suivante :
sbin/service httpd restart
Vous pouvez arrêter via lokkit le protocole http et autoriser https:tcp
-
Manipulations de fichiers
Commande tar :
echo Le disque 1 contient / et aleph . Le disque 3 les sauvegardes
.............
echo Exemple de Sauvegarde de / vers /sauveyd donc de /dev/rdsk/c0t0d0s0 vers
/dev/rdsk/c0t9d0s0
tar cf - .profile .rhosts .Xauthority .cpr_config .ssh .cshrc | (cd /sauveyd/sauveyd/racine;
tar xpf -)
echo .............
tar cf - devices etc opt usr platform var bin | (cd /sauveyd/sauveyd/racine;
tar xpf -)
echo .............
tar cf - home vol kernel lib sbin | (cd /sauveyd/sauveyd/racine; tar xpf -)
echo termine