Installation et configuration du  Configuration côté client

serveur NFS sous Centos Le Montage temporaire

Introduction # mkdir /home/share

#mount -t nfs Adresse_ip_serveur: /home/Hamid/partage

NFS (Network File System) est un protocole permettant de
/home/share
monter des disques en réseau. Ce protocole basé sur le principe
client/serveur, a été développé par Sun Microsystems en 1984. Il Demonter le partage
peut servir à l'échange de données entre des systèmes Linux,
macOS ou Windows. L'un de ses avantages est qu'il gère les # umount /home/share
permissions sur les fichiers.
Pour affichez les dossiers monter
• Le port utilisé par NFS c'est 2049.
# df –hT
• NFS est compatible avec l'IPv4 et IPv6
Montage automatique via fstab
 Configuration côté serveur Vi /etc/fstab
Installation et la vérifier le package Adresse_ip_serveur: /home/Hamid/partage /home/share
Sur le serveur Nfs _netdev 0 0
Rpm –qa | grep –i nfs-utils

Dnf -y install nfs-utils Adresse_ip_serveur: /home/Hamid/partage /home/share

Sur le client Nfs defaults 0 0
Rpm –qa | grep –i client-utils
Monter toutes les partitions contenues dans /etc/fstab en
Dnf -y install client-utils tapant la commande :

Créer un dossier partage # mount –a

Mkdir /home/Hamid/partage Lister les informations de montage

Configuration du serveur Nfs se fait dans le fichier #showmount -e <IP_serveur_NFS>

Vi /etc/exports Installation et configuration du

home/Hamid/partage 20.0.0.0/24 ((ro) ou (rw)) serveur SAMBA sous Centos
home/Hamid/partage *.ofppt.lan (ro,all_squash) Installation Samba:
home/Hamid/partage 20.0.0.1 (rw,anonuid=Uid,anongid=gid) #yum install -y samba*
home/Hamid/partage ofppt.lan (rw,no_root_ squash) #dnf install -y samba
home/Hamid/partage *.ofppt.lan (ro,root_squash)
Vérifier l’installation
Démarrer le service NFS
#rpm –qa |grep –i samba
# systemctl start nfs-server.service
Définir le mot de passe samba
# exportfs -ra
#smbpasswd -a user1
Activer le service NFS
Fichier de configuration
# systemctl enable nfs-server.service
#vi /etc/samba/smb.conf
Redémarrer le service NFS
Configuration de fichier
# systemctl restart nfs-server.service
Section global
Pour affichez le dossier partager
Workgroup= Samba
# showmount -e Adresse IP sereveur NFS
Security= User
Désactiver le Firewall
passdb backend= adbsam
#systemctl stop firewalld.service
Configuration du partage # smbmount //@IP serveurSamba/nom_de_partage
/home/samba -o username=user1
[Nom de partage]
# mount -t cifs //@IP serveurSamba/nom_de_partage
Comment = dossier_partager_avec_du_groupe /home/samba -o username=user1

path = /home/tri Montage automatique via fstab

Public = no ou yes Vi /etc/fstab

valid users =user1, @goupe Adresse_ip_serveur: /home/Hamid/partage /home/share

writable = yes CIFS Username=user1,password=123, _netdev 0

0
browseable = yes

create mask = 0765

write list = utilisateur1, utilisateur2, @groupe

Hosts allow= 20.0.0. except 20.0.0.10

create mask : paramètre indique les droits appliqués sur les
fichier

Public : Autoriser ou non les connexions sans mot de passe

valid users : Définir une liste d'utilisateurs autorisés à accéder à

ce repertoire

browseable =yes : Rendre le répertoire visible par les clients,

c'est à dire les autoriser à le voir.

read only = No : Afin de rendre un partage accessible en lecture

et en écriture pour tous.

read only = Yes : C'est le mode par défaut

write list : limiter le nombre des utilisateur doit modifier

Démarrer le service smb

#systemctl start smb.service

Activer le service smb

#systemctl enable smb.service

Redémarrer le service smb

#systemctl restart smb.service

Test de configuration entre le client

Linux

#smbclient //@IP serveurSamba/nom_de_partage -U utilisateur

#smbclient //20.0.0.200/share -U user1

Windows

//@ip_du_serveur/dossier_partagé

//20.0.0.200/share

Le Montage temporaire
#mkdir /home/samba
Installation et configuration du #vi /etc/dhcp/dhcpd6.conf.

serveur DHCP Configuration DHCP IPV6

subnet6 2001:db8:0:1:: /64 {
Vérifier l’installation du serveur DHCP
range6 2001:db8:0:1::129 2001:db8:0:1::254;
#rpm –qa |grep –i dhcp
Option dhcp6.name-servers fec0:0:0:1::1;
Installation des package
Option dhcp6.domain-search "domain.example";
#yum -y install dhcp

#dnf -y install dhcp

Réservation une adresse IPv6
Host PC1 {
Fichier de configuration
Hardware Ethernet 01:00:80:a2:55:67; 9
#vi /etc/dhcp/dhcpd.conf
fixed-address6 3ffe:501:ffff:100::4321;
Configuration le service DCHP
}
subnet 192.168.1.0 netmask 255.255.255.0 {
Démarrer le service DHCP
default-lease-time 600;
#systemctl Start dhcpd.sevice
max-lease-time 7200;
Activer le service DHCP
Option subnet-mask 255.255.255.0;
#systemctl enable dhcpd.sevice
Option broadcast-address 192.168.1.255;

Option routers 192.168.1.1;

Redémarrer le service DHCP

Option domain-name-servers 192.168.1.3, 192.168.1.2; #systemctl restart dhcpd.sevice

Option domain-name "ofppt.ma"; Vérification de la configuration

Option ntp-servers 192.168.1.1; #dhcpd

Option netbios-name-servers 192.168.1.27; Le fichier Base de données d'attribution

Option nis-domain “nis.ofppt.ma” #Vi /var/lib/dhcpd/dhcpd.leases

Option nis-servers 192.198.2.13 Fichier de l'exemple configuration

Range 192.168.1.10 192.168.1.100; #vi /usr/share/doc/dhcp*/dhcpd6.conf.example

Range 192.168.1.150 192.168.1.200; #vi/usr/share/doc/dhcp*/dhcpd .conf.example

Réservation une adresse IP

Host PC1 {

Option host-name "PC1.example.com";

Hardware ethernet 00:A0:78:8E:9E:AA;

fixed-address 192.168.1.4;

Refus d’un hôte (bloquer une adresse MAC)

Host PC1 {

Hardware ethernet 00:A0:78:8E:9E:AA;

deny booting;

Fichier de configuration DHCPv6

 ldapadd -Y EXTERNAL -H ldapi:/// -f
/etc/openldap/schema/cosine.ldif
Le service open Ldap ldapadd -Y EXTERNAL -H ldapi:/// -f
Installation /etc/openldap/schema/nis.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -f

#yum -y install openldap-clients openldap-servers openldap-
/etc/openldap/schema/inetorgperson.ldif
devel migrationtools

#dnf -y install openldap-clients openldap-servers openldap-devel Redémarrer le serveur

migrationtools systemctl start slapd.service
Vérifiez l’existant du package LDAP Démarrez le service LDAP
#rpm –qa |grep –i openldap-clients openldap-servers openldap- systemctl start slapd.service
devel migrationtools
Activer le service LDAP :
Vérifiez le LDAP
systemctl enable slapd.service
netstat -antup | grep -i 389
Gestion de la base
Configuration
Ajouter le domaine
Configurer le mot de passe root LDAP
#vi domain.ldif
[root@server ~]# slappasswd
dn: dc=tri,dc=local dc: tri
New password:
ObjectClass: top
Re-enter new password:
ObjectClass: domain
Configurer le serveur OpenLDAP :
Ajout de l’unité d’organisation
1. Editer le fichier /etc/openldap /ldap.conf et
#vi stagiaire
modifier la ligne suivante par votre domaine
dn: ou=stagiaire,dc=tri,dc=local
BASE dc=tri,dc=local
ObjectClass: organizationalUnit
2. Editer le fichier
slapd.d/cn\=config/olcDatabase\=\{1\}monitor.ld Ou: stagiaire
if et renseigner votre domaine Ajout du groupe
"cn=Manager,dc=tri,dc=local"
#vi group.ldif
3. Editer le fichier
dn: cn=201,ou=stagiaire,dc=tri,dc=local
slapd.d/cn\=config/olcDatabase\=\{2\}mdb.ldif,
modfier le domaine puis ajouter le mot de passe ObjectClass: posixGroup
crypté cn: 201
olcSuffix: dc=tri,dc=local gidNumber :0
olcRootDN: cn=Manager,dc=tri,dc=local
Ajout de l’utilisateur
olcRootPW: {SSHA} ppNk4zYhzD9PUUohDERGxGJFRzaCzbuA
# useradd user1
Configurer la base de données LDAP #/usr/share/migrationtools/migrate_passwd.pl passwd.txt >
Copiez le fichier de configuration de base de données user1.ldif
exemple dans / var / lib / ldap et mettez à jour les # Cat user1.ldif
autorisations de fichier.
dn: uid=user1,ou=stagiaire,dc=tri,dc=local
#cp /usr/share/openldap-servers/DB_CONFIG.example
/var/lib/ldap/DB_CONFIG uid: user1

#chown ldap:ldap /var/lib/ldap/* cn: user1

objectClass: account
Mettre à jour le Schéma
objectClass: posixAccount
objectClass: top AllowUsers user1 user2 user3

objectClass: shadowAccount Autoriser seulement certains membres de groupes

userPassword: AllowGroups goupe1 groupe2
{crypt}$6$AVyD/mkA$lIt3htNs3iPesXvjPW2G5XaeWwjEA4331AX
fZkpHLcQ1hDyr3PEb Refuser la connexion que de certains utilisateurs.

Importation du fichier ldif DenyUsers user1 user2 user3

Ajout de l’unité d’organisation Afficher une bannière

ldapadd -x -W -D "cn=Manager,dc=tri,dc=local" -f stagiaire.ldif # Banner /etc/banner

Ajout du groupe Modifier le port d’écoute

ldapadd -x -W -D "cn=Manager,dc=tri,dc=local" -f 201.ldif Port numéro_du_port

Ajout de l’utilisateur Modifier l’interface d’écoute

ldapadd -x -W -D "cn=Manager,dc=tri,dc=local" -f user1.ldif ListenAddress 0.0.0.0

Vérification de l’importation Autoriser /interdire mot de passe vide

#ldapsearch -x -b "dc=tri,dc=local " PermitEmptyPasswords no ou yes

#ldapsearch -x -b "dc=tri,dc=local " –LLL Autoriser interdire authentification par mot depasse

Suppression d'un élément PasswordAuthentication yes

#ldapdelete -v –D "cn=Manager,dc=tri,dc=ma" -W "cn=user1, Limiter le nombre de connexion

ou=stagiaire,dc=tri,dc=local"
MaxSessions 10
Modification d’un attribut MaxStartups 10:30:60
ldapmodify -x -W -D "cn=Manager,dc=tmsir,dc=local" -f ajout.ldif Limiter le nombre de tentative d'authentification
Configuration client Linux MaxAuthTries 4
Installer le packet openldap client Maintenir la connexion
# yum -y install openldap-clients nss-pam-ldapd ClientAliveInterval 600
Configurer l’authentification LDAP: Autoriser authentification par clé
# authconfig-tui PubkeyAuthentication yes
La communication entre le serveur et le client : Activer les logs
# getent passwd NomUtilisateur LogLevel INFO
Tester l’accèer Se connecter par la commande SSH
#su – NomUtilisateurLdap
Authentification par mot de passe
Le service OPENSSH $ssh login@nom du domaine ou adresse IP du serveur

Installation de la vérification du serveur OpenSSH $ ssh -6 <nom_utilisateur> ou <adresse ipv6>

# dnf –y install openssh-server Authentification par clef

# rpm –qa |grep –i openssh-server $ssh-keygen –t rsa –b 2048

Configurer le service SSH Autoriser votre clef publique

Désactiver les connexions SSH en root $ssh-copy-id –i ~/.ssh/id_rsa.pub user@ipmachine

#vi /etc/ssh/sshd_config $scp ~/.ssh/id_rsa.pub

user@ipmachine:/home/user/.ssh/authorized_keys
PermitRootLogin no
Se connecter par Putty (client Windows)
Autoriser/Interdire des utilisateurs
Application Putty permet d’accéder au serveur Linux via le # Les transferts en ASCII sont souvent source de confusions
protocole SSH depuis une machine Windows. Lancer l’outil et
ascii_upload_enable=NO
indiquer le nom du domaine ou l’adresse IP du serveur SSH ainsi
que le numéro de port 22 ascii_download_enable=NO

Configuration de service vsftp # Banniere de bienvenue

Installation ftpd_banner=Bienvenue sur mon ftp perso

#Limiter les utilisateurs à leur répertoire

#dnf install vsftpd
chroot_local_user=YES
Configuration
chroot_list_enable=NO
Le fichier de configuration
allow_writeable_chroot=YES
# vi /etc/vsftpd.conf
# Les heures d’enregistrement des fichiers seront affiches a
#Pas de connexions en mode anonymous l’heure locale use_localtime=YES
anonymous_enable=NO #Le serveur fonctionne en mode standalone
#Spécifie le port sur lequel vsftpd doit être à l'écoute de listen=YES
connexions réseau.
listen_ipv6=NO
listen_port=21
# vérifie que la commande PORT provienne bien du port 20 de la
#Autoriser les utilisateurs locaux puissent se connecter machine cliente connect_from_port_20=YES
local_enable=YES # Par sécurité, on interdit la commande ABOR
#Autoriser les utilisateurs à remonter des fichiers sur le serveur async_abor_enable=NO
write_enable=YES Démarrer et activer le service
#Fixer le masque local a 022 (les fichiers remontés auront des #systemctl enable vsftpd.service
droits en 755)
# systemctl start vsftpd.service
local_umask=022
# systemctl stop vsftpd.service
# Refus des droits d'écriture pour les anonymes (et donc
utilisateurs virtuels) anon_upload_enable=NO

# pas de création de répertoire Test (client)

anon_mkdir_write_enable=NO $ftp Nom Serveur FTP (ou Adresse IP)

# pas de création, suppression, renommage de répertoire ... Télécharger des fichiers

anon_other_write_enable=NO Vérifier l’emplacement local
# Les actions des utilisateurs soient >get nom fichier
loggees xferlog_enable=YES Télécharger plus d’un fichier
# Les logs seront enregistrés dans le fichier /var/log/vsftpd.log
>mget fichier1 fichier2 fichier3
xferlog_file=/var/log/vsftpd.log
Uploader des fichiers
#Temps avant déconnexion sur une session inactive
Vérifier l’emplacement local
idle_session_timeout=600
>put nom fichier
#Temps avant déconnexion sur une session active
Télécharger plus d’un fichier
data_connection_timeout=120
>mput fichier1 fichier2 fichier3
# Nombre maximum de connexion simultanée
Installer la base de données Berkeley (db4)
max_clients=50
#yum install db4-utils db4
# Nombre maximum de connexion venant de la même IP

max_per_ip=4
Créer un fichier de base de données pour les utilisateurs Ajoutez les paramètres de configuration suivants pour activer
virtuels SSL, puis sélectionnez la version de SSL et TLS à utiliser, à la fin du
fichier.
#db_load -T -t hash -f login.txt login.db #chmod 600
login.db ssl_enable=YES

ssl_tlsv1_2=YES
Configuration du PAM
ssl_sslv2=NO
#vi /etc/pam.d/vsftpd
ssl_sslv3=NO
auth required pam_userdb.so db=/etc/vsftpd/login
Ensuite, ajoutez les options rsa_cert_file et rsa_private_key_file
account required pam_userdb.so db=/etc/vsftpd/login pour spécifier respectivement l'emplacement du certificat SSL et
du fichier de clé privée.
session required pam_loginuid.so
rsa_cert_file=/etc/ssl/vsftpd/vsftpd.pem
Configuration VSFTPD
rsa_private_key_file=/etc/ssl/vsftpd/vsftpd.pem
#vi /etc/vsftpd/vsftpd.conf
Ensuite, ajoutez ces options pour désactiver toute réutilisation
# avec le fichier user_list des connexions de données SSL et définissez les chiffrements SSL
ÉLEVÉS pour autoriser les connexions SSL cryptées
local_enable=YES
require_ssl_reuse=NO
## Activer les utilisateurs virtuels
ssl_ciphers=HIGH
guest_enable = yes
Vous devez également spécifier la plage de ports (port min et
## Les utilisateurs virtuels utiliseront les mêmes autorisations
max) des ports passifs à utiliser par vsftpd pour les connexions
que les utilisateurs anonymes sécurisées, en utilisant respectivement les paramètres
virtual_use_local_privs = yes pasv_min_port et pasv_max_port. En outre, vous pouvez
éventuellement activer le débogage SSL à des fins de dépannage,
# Décommentez ceci pour activer n'importe quelle forme de à l'aide de l'option debug_ssl
commande d'écriture FTP. write_enable = yes
pasv_min_port=40000
## Nom du fichier PAM
pasv_max_port=50000
pam_service_name = vsftpd
debug_ssl=YES
## Home Directory pour les utilisateurs virtuels
Authorizer le service dons le pare-feu
user_sub_token= $ USER
# firewall-cmd --zone=public --permanent –add-port=990/tcp
local_root = / home/ftp/$ USER
# firewall-cmd --zone=public --permanent –add-port=40000-
# Vous pouvez spécifier une liste explicite d'utilisateurs locaux à 50000/tcp
chroot () à leur domicile
# firewall-cmd --reload
# répertoire. Si chroot_local_user est YES, alors cette liste
devient une liste de # utilisateurs à ne pas chrooter ().

chroot_local_user = yes

## Masquer les ID de l'utilisateur

hide_ids = yes

Genérer le certificat SSL/TLS et la clé privée

Créer le dossier ssl/vsftpd pour stocker le certificat TLS/SSL

# mkdir -p /etc/ssl/vsftpd

Générer le certificat TLS/SSL auto-signé et la clé privée avec la

commande suivante:

# openssl req -x509 -nodes -keyout /etc/ssl/vsftpd/vsftpd.pem

-out /etc/ssl/vsftpd/vsftpd.pem -days 365 -newkey rsa:2048