Système

DNS ( Domaine Name Service ) est un service populaire dans les entreprises et dans le monde, qui permet la résolution d’adresse IP par un nom d’hôte.

Installation

On sélectionne l’installation basée sur un rôle une fonctionnalité

On sélectionne le serveur sur lequel on veut effectuer l’installation

On sélectionne le rôle que l’on souhaite installer, ici le serveur DNS.

On ajoute les fonctionnalités qui sont nécessaires pour ce rôle.

On passe l’étape des fonctionnalités facultatives.

On peut passer l’étape des explications DNS.

On confirme l’installation.


Configuration de la zone de recherche directe

La zone de recherche directe permet la résolution d’un nom de domaine lié le plus souvent à un serveur, ou un poste de travail pour avoir son adresse IP. Ici on créé une nouvelle zone. Dans cette configuration, mon serveur « WIN-COMPUTING » possède l’IP 192.168.90.1, il sera donc possible d’accéder à ses ressources ( Serveur WEB / Fichiers / DNS / AD ) grâce à son IP ou de par son nom.

L’assistant de création de la zone s’affiche.

Vu que c’est notre premier serveur DNS sur notre réseau local, nous allons choisir « Zone Principale ».

Nous allons choisir le nom de la zone que nous allons lui affecter, ici je mets mon nom de domaine.

On choisit un nom pour notre fichier de zone, je mets le même que celui de mon nom de domaine avec l’extension en .dns.

Pour l’instant nous n’allons pas autoriser la mise à niveau dynamique.

On termine l’assistant de la zone.


Configuration de la zone indirecte

Maintenant que nous savons déterminer l’adresse IP en fonction du nom de l’ordinateur, savoir faire l’inverse peut s’avérer utile. C’est à dire pouvoir découvrir le nom d’un ordinateur ou d’un serveur en fonction de son adresse IP.

L’assistant de création de la zone inversée s’affiche.

Vu que c’est notre premier serveur DNS sur notre réseau local, nous allons choisir « Zone Principale ».

On choisit une « Zone de recherche inversée IPv4 ».

On rentre donc notre ID réseau inversée.

On choisit notre nom de fichier de zone inversée.

Pour l’instant nous n’allons pas autoriser la mise à niveau dynamique.

On peut terminer l’assistant de la nouvelle zone.


DNSSEC

DNSSEC ( Domain Name System Security Extensions ) permet d’ajouter au protocole DNS une couche de sécurité en signant les enregistrements par un système de clef public/privé.

Ici nous pouvons dans la colonne « État DNSSEC » que notre zone n’est pas encore signée.

Pour cela, on fait un clic droit sur notre zone, on place sur curseur sur DNSSEC puis signer la zone.

Si l’on ne possède pas de paramètres spéciaux, on peut utiliser les paramètres par défaut.

On peut maintenant voir que la zone est signée depuis la colonne « État DNSSEC ».

Nous pouvons recommencer l’opération avec la zone de recherche inversée.

Secure-Enhanced linux est un module qui renforce la sécurité de Linux. Il permet de définir des politiques d’accès à différents éléments du système d’exploitation tel que des processus ou des fichiers. Chaque processus est catégorisé, et en fonction de cela les fichiers sont tagués/étiquetés. Pour cela les processus ne pourront accéder qu’aux fichiers associés. Il vient améliorer la sécurité des serveurs en complétant ceux existant, si un processus viendrait à être altéré, il n’aura tout de même accès qu’aux fichiers pour celui-ci.


Les principes

SElinux peut se mettre en trois modes différents:

  • Enforcing : Il est mode par défaut, les accès sont restreints avec des règles pré-défini.
  • Permissive : Ce mode est généralement à considérer comme un mode de déboguage. En mode permissif, les règles SELinux seront interrogées, les erreurs d’accès logguées, mais l’accès ne sera pas bloqué. Ce mode peut être utile pour constater l’ensemble des erreurs SELinux posées par un processus particulier par exemple.
  • Disabled : SELinux est désactivé. Rien ne sera restreint, rien ne sera loggué.

Pour pouvoir déterminer le mode actuelle de SElinux, nous pouvons utiliser cette commande pour nous retourner l’un des trois modes cité ci-dessus:

getenforce

Pour pouvoir changer le mode actuelle, nous pouvons utiliser cette commande avec l’attribut que vous souhaitez [0/1/2]:

setenforce 0

Si un problème venait à arriver du à une configuration particulière, SElinux fournit beaucoup de log:

grep sealert /var/log/messages

 

Virtual Data Optimizer est une fonctionnalité qui permet d’optimiser le stockage. Elle réduit la redondance des données avec une compression et une déduplication ( Factorise le stockage ) avant qu’elles soient stockées. Red Hat affirme que les couts de stockage pour les cloud peuvent être réduits de plus de 80%. L’outil est disponible par défaut dans les dépôts de CentOS / Redhat, mais pour Debian il vous faudra compiler le logiciel à la main.

[lwptoc]


Installation & mise en place

Installation des paquets nécessaires:

dnf update && dnf install vdo kmod-kvdo

Identification des partitions:

lsblk

Nous voulons optimiser l’espace qui sera utilisé sur sdb présent à la ligne 8.

On créé la partition sous VDO:

vdo create --name=vdo1 --device=/dev/sdb --vdoLogicalSize=20G

Sur la ligne n°7 nous pouvons voir le disque optimisé et disponible sur /dev/mapper/vdo1.

On formate la partition pour pouvoir l’utiliser.

mkfs.xfs -K /dev/mapper/vdo1

La partition est bien formatée.

Création du dossier qui sera monté sur la partition créée.

mkdir /vdo1

Nous allons ensuite copier le fichier fournit dans la documentation de vdo pour ajouter le service qui fera le montage automatiquement:

cp /usr/share/doc/vdo/examples/systemd/VDO.mount.example /etc/systemd/system/vdo1.mount

On édite le fichier:

vim /etc/systemd/system/vdo1.mount

Modifier comme ce qui suis:

On démarre le service et on l’active au démarrage :

systemctl enable --now vdo1.mount

On vérifie que le service à bien monté notre partition:

mount

Cette ligne à la fin doit apparaitre.

Nous pouvons voir les statistiques de notre partition:

vdostats --human-readable

ESXI est un hyperviseur de type 1. Il a l’avantage de posséder des technologies plus récentes que certains hyperviseur, comparé à proxmox, il est également leader du marché. Il possède une bonne interface connue avec l’hyperviseur de type 2 VMWare Workstation qui permet de faire des machines à distance, et en local via la même interface. Il faut par contre posséder une licence.


Installation

ESXI charge le cd d’installation.

ESXI charge l’installation.

On appuie sur « Entrée ».

On accepte la licence en appuyant sur F11.

Il scan les disques.

On choisit le disque pour l’installation puis « Entrée ».

On choisit le clavier Français puis « Entrée ».

On rentre un mot de passe minimum de 7 caractères et une majuscule, puis « Entrée ».

On écrit sur les disques, on appuie sur « F11 ».

L’installation se déroule.

On nous signale d’enlever le disque d’installation puis « Entrée »

ESXI est lancé, nous pouvons nous connecter sur une interface web à l’adresse indiqué.

Publication mise à jour le 2 Décembre 2020

Gestion Libre de Parc Informatique 🌐 est un logiciel de gestion des services informatiques et de gestion des services informatiques. Il peut se coupler au logiciel OCSInventoryNG 🌐, avec un article dont j’ai écrit pour permettre l’installation 🌐. Nous verrons dans cet article comment installer GLPI sur Debian 10.

Installation

apt-get install -y apache2 mariadb-server mariadb-client php build-essential perl libapache2-mod-perl2 libxml-simple-perl libio-compress-perl libdbi-perl libapache-dbi-perl libdbd-mysql-perl libnet-ip-perl libsoap-lite-perl libxml-libxml-perl libmojolicious-perl nmap snmp php7.3-mysql php7.3-gd php7.3-mbstring php-ldap php-imap php-apcu php-xmlrpc php-soap php-cas php7.3-xml php7.3-intl php7.3-zip php7.3-bz2

Configuration de la base de données

On se connecte sur l’interface mysql

mysql -u root -p

On créer l’utilisateur theophile qui aura comme mot de passe root

create user 'theophile'@'%' identified by 'root';

On créer la base de données

create database glpi;

On attribue tous les droits à l’utilisateur “theophile” sur la base de donnée “glpi”

grant all privileges on glpi.* TO 'theophile'@'%';

On recharge les droits et on quitte mariadb

flush privileges;
exit;

Téléchargement de l’archive

On se rend dans le dossier adéquat

cd /var/www/html
rm index.html

On télécharge l’archive depuis GitHub 🌐, la dernière en date au moment de la mise à jour de l’article

wget https://github.com/glpi-project/glpi/releases/download/9.5.3/glpi-9.5.3.tgz

On décompresse l’archive

tar -zxvf glpi-9.5.3.tgz

On supprime l’archive

rm glpi-9.5.3.tgz

Configuration du serveur WEB

On modifie le virtualhost

vim /etc/apache2/sites-available/000-default.conf
000-default.conf

On modifie les droits

chown -R www-data:www-data /var/www/html/glpi

On active le module rewrite

a2enmod rewrite

On redémarre le service apache2

systemctl restart apache2

Configuration du SSL

On créer un dossier qui accueillera nos certificats

mkdir /etc/apache2/ssl

On génère la clef

openssl genrsa 2048 > /etc/apache2/ssl/glpi.key

Génération du certificat en fontion de la clef généré précédemment

openssl req -new -key /etc/apache2/ssl/glpi.key -x509 -days 365 -out /etc/apache2/ssl/glpi.crt

On édite le virtualhost d’apache2 pour renseigner les certificats SSL

vim /etc/apache2/sites-available/default-ssl.conf

On redémarre le serveur WEB et notre site sera maintenant accessible depuis HTTPS

systemctl restart apache2

Finalisation de l’installation depuis l’interface WEB

On se rend sur l’interface web grâce à l’adresse IP

GLPI Setup
GLPI Licence
GLPI Installer
GLPI Dépendances
GLPI Base de données
GLPI utilisation de la base
GLPI Statistiques d’usage
GLPI Don
GLPI Installation terminée
GLPI Authentification

On supprime le fichier d’installation pour des raisons de sécurité

rm /var/www/html/glpi/install/install.php

Il peut être important de mettre en place une redondance ou encore un système failover du serveur DNS. Même si Bind sur un système Linux est très stable, on est jamais à l’abri.


Configuration serveur principale

On reprend la même configuration que le serveur configuré précédemment.

On ajoute dans nos zones ainsi que notre fichier d’options, la directive  » allow-transfer » qui autorise le serveur secondaire à faire un transfert de zone pour permettre la réplication

vim /etc/bind/named.conf.local

 

vim /etc/bind/named.conf.options


Configuration serveur secondaire

On édite le fichier de zone

vim /etc/bind/named.conf.local

On redémarre le service Bind9 et on peut s’apercevoir que nos fichiers de zone sont bien apparu !

systemctl restart bind9

ls -l

On peut maintenant indiquer à nos clients via le DHCP nos deux serveurs DNS, le maître en tant que premier et l’esclave en tant que secondaire !

Une faille critique est apparu dans Sudo, toutes les versions de sudo en dessous de 1.8.28 sont concernés.

Connaitre sa version de Sudo

sudo -V

Pour se connecter en tant que super-utilisateur il suffit de taper

sudo -u#-1 -s

Mais il faut pour cela que l’utilisateur soit spécifié dans le fichier sudoers en tant qu’interdiction de devenir root tel que:

theophile ALL=(ALL, !root) ALL

Il existe un plugin qui s’installe sur le serveur GLPI pour permettre de basculer les informations du serveurs OCS sur le server GLPI qui se nomme ocsinventoryng


Installation du plugin

On se déplace dans le répertoire adéquat sur notre server glpi

cd /srv/www/htdocs/glpi/plugins

On télécharge l’archive

wget https://github.com/pluginsGLPI/ocsinventoryng/releases/download/1.6.0/glpi-ocsinventoryng-1.6.0.tar.gz

On décompresse

tar -zxvf glpi-ocsinventoryng-1.6.0.tar.gz

On supprime l’archive

rm glpi-ocsinventoryng-1.6.0.tar.gz

On se rend sur l’interface de GLPI, section –>configuration–>plugins

On aperçoit maintenant notre plugin ajouté

Dans la colonne « Actions » on clique sur le petit dossier avec un + pour dire d’ajouter ce plugin

Si le plugin à bien été installé, une fenêtre à bas à droite s’ouvre comme ceci

Il nous manque plus qu’à l’activé, un nouveau bouton est apparu à la place du dossier avec un +, cliqué dessus


Importation

Rendez-vous dans la catégorie –> Outils –> OCS Inventory NG dans GLPI

On clique sur Ajouter un serveur OCS Inventory NG

Pour l’hôte, indiqué son nom, ici ocs car j’ai rajouté une entrée DNS indiquant l’Ip de mon server.
Si vous êtes sur le même server, vous pouvez indiquer localhost.
Si vous n’avez pas fais d’entrée DNS, vous pouvez indiquer l’adresse IP

Indiquez le nom d’utilisateur et le mot de passe de la base de donnée d’OCS

Attention, si en cliquant sur test, votre connexion à la base de donnée à échoué, c’est que MariaDB sur OCS refuse toutes les autres connexions que sur lui même

Sur le serveur OCS, éditer cela:

vim /etc/mysql/mariadb.conf.d/50-server.cnf

Sur la ligne bind-address
mettre bind-address = 0.0.0.0 si l’on veut que tout le monde puisse se connecter
Ou
bind-address = ip_server_glpi si l’on veut que seul le server glpi puisse se connecter.

On redémarre le service Mysql

service mysql restart

La connexion à la base de donnée OCS devrait avoir réussi, sinon c’est qu’il y’a une erreur au niveau de vos identifiants.

Ensuite, notre serveur est bien la, on clique sur Import de l’inventaire puis importation de nouveaux ordinateurs.

Puis on clique sur Importer et on attend que la progression se finissent !

Ensuite on se rend dans Parc, puis Ordinateur, et on voit notre liste de tous les ordinateurs !

 

TFTP: Trivial File Transfert Protocol ( client )
TFTPd: Trivial File Transfert Protocol Daemon ( server )
Utilise par défaut le port 69 en UDP


Mise en place du service

On procède à l’installation des paquets:

apt install -y tftp tftpd

On édite le fichier de configuration principal:

vim /etc/initd.conf

L’attribut alt de cette image est vide, son nom de fichier est Capture-20190625150344-947x69-1.png.

Dans l’encadré rouge se trouve le chemin du dossier de notre server TFTPd. En fonction de cet encadré, nous pouvons créer notre dossier ou se trouveront nos fichiers.

mkdir /srv/tftp

On y attributs tous les droits nécessaires pour que les servers et les équipements réseaux puissent y pousser leurs configurations.

chmod 777 /srv/tftp


Récupération de fichier sur le server TFTPd

Depuis le client, on se déplace dans le répertoire ou l’on veut récupérer ou envoyer son fichier, on présume que l’adresse du server tftpd est 192.168.1.80

Connexion au server:

tftp 192.168.1.80

Récupération du fichier

tftp>get essai.txt

Envoyer un fichier

tftp>put essai.txt

Attention

Avant de pouvoir envoyer un fichier sur le server TFTPd, il faut qu’un fichier du même nom soit préalablement créé dans /srv/tftp au risque d’avoir une erreur:

Error code 2: Access violation

Cela permet d’éviter qu’un pirate puisse venir injecter n’importe quel code malveillant.

Bind pour Berkeley Internet Name Domain est le système de serveur de nom le plus utilisé sur internet.


Installation

On installe les paquets nécessaires

apt-get install bind9 bind9utils dnsutils vim git curl build-essential

On édite le fichier des options pour permettre au server DNS de transmettre la requête à un autre DNS si il n’arrive pas à la résoudre.
De base Bind nous propose de mettre les fichiers de zone dans /var/cache/bind ce qui est bonne proposition car il contient toutes les permissions et tous les droits requis. Il est toute fois possible de le modifier dans le fichier suivant.

vim /etc/bind/named.conf.options

Et on dé-commentes les trois lignes suivantes

On édite le fichier de configuration principal des zones

vim /etc/bind/named.conf.local

Conformément au fichier named.conf.options, nos fichiers de zones seront:
/var/cache/bind/db.garintheophile.fr
/var/cache/bind/db.1.168.192

L’option allow-transfer sera utile pour plus tard dans la configuration de notre serveur secondaire.

On édite le fichier de la zone principale

vim /var/cache/bind/db.garintheophile.fr

On édite le fichier de la zone reverse

vim /var/cache/bind/db.1.168.192

On redémarre le serveur et on recharge la configuration

systemctl restart bind9 && systemctl reload bind9

Retour en haut