Guide Admin linux

resumé: Ce document donne quelques information pour l'utilisateur de stations Linux mise à disposition par la DISI dans les salles TP et les départements de l'institut.

Versions

Actuellement S2IA installe la distribution Fedora Core 13: http://fedoraproject.org/fr/

Connexion

La connexion à une station peut se faire de trois façons.

  • Connexion locale graphique : C'est la méthode par défaut, directement disponible au demarrage de la station via l'invite de connexion graphique, qui ouvrira une session Gnome (le menu session de cette invite propose d'autres environements graphiques que Gnome → KDE, XFCE etc ..).
  • Connexion locale texte : Elle permet de se connecter en mode texte sur la station locale. Cela peut être utile en cas de problemes de connexion graphique. Exemple; dépassement de quota disque, montage du répertoire d'accueil impossible. Si la connexion texte fonctionne cela validera au moins la phase d'authentification (password!). Pour basculer du mode graphique au mode texte, utiliser simultanement les touches ` CTRL ALT F' et inversement ` CTRL ALT F7 '. Certaine configuration dans les départements peuvent avoir plusieurs consoles texte`CTRL ALT F2,F3 ..', la console graphique se trouve toujours en ` CTRL ALT F7' .
  • Connexion distante SSH : Les stations linux sont à la fois client et serveur SSH. Depuis les locaux de l'INT vous pouvez lancer une connexion à distance sur toute machine linux S2IA. Il faut disposer d'un compte sur le serveur aupres duquel elle authentifie les utilisateurs. Si c'est une station double boot (salles TP), il faut qu'elle soit sous Linux !. En dehors de l'INT, les serveur `ssh1.int-evry.fr' et `ssh2.int-evry.fr', ainsi que certains serveurs de département sont ouverts au SSH. SSH offre une connexion texte, mais aussi exporte automatiquement le `DISPLAY' pour l'affichage local d'applications graphiques distantes (exemple: xclock) du moins en interne. Sur les nouvelles versions de SSH pensez a utiliser l'option `-X' pour profiter de l'environement graphique. Pour les aspets avancés de SSH, voir la doc sur ssf (valable pour SSH): http://www.int-evry.fr/mci/user/doutrele/ssf/ssf.html

Pour les autres types de connexion; ftp-anonyme, web intranet,

Bureau gnome

Lors d'une connexion graphique, l'environement par défaut est gnome, il presente un bureau avec des icones gérées par `nautilus', et un panel (barre de tâches) en bas. Les icones du bureau se double clique, pour celles du panel un simple clique suffit.

14cm! s2ia-desktop.ps

Les logiciels

packages RPM

La distribution Linux Fedora fonctionne sur le principe de packages logiciels. Un package contient l'ensemble des fichiers (binaires,doc,configuration) liés à un logiciel. Ces packages sont au format RPM (Redhat Package Management). Il est possible d'interragir avec la base de donnée des packages installés via la commande ` rpm '.

Commande rpm

Comme toute commande Unix, un ` man rpm ' donne une explication détaillée des options de cette commande. Ici on s'interressera aux options d'interogation de la base des packages installés afin de mieux cerner le système que vous utilisez.

Liste des packages

Pour avoir la liste de tous les logiciels installés: ` rpm –query –all' (la liste est longue, il y en a souvent plus d'un millier !)

  $ rpm -qa | more
  device-mapper-1.01.02-1.0
  db4-4.3.27-3
  perl-Filter-1.30-7
  
  ....

Rechercher un logiciel

Il suffit de filtrer avec (` grep') la liste obtenue ci-dessus sur le nom du logiciel recherché. Ici on cherche le logiciel openssh:

  $ rpm -qa | grep -i openssh
  openssh-server-4.2p1-fc4.1
  openssh-askpass-4.2p1-fc4.1
  openssh-askpass-4.0p1-3
  openssh-askpass-gnome-4.2p1-fc4.1
  openssh-4.0p1-3
  openssh-askpass-gnome-4.0p1-3
  openssh-4.2p1-fc4.1
  openssh-clients-4.2p1-fc4.1
  openssh-server-4.0p1-3
  openssh-clients-4.0p1-3

Information sur un logiciel

 Afin de voir les informations et le contenu de ce package:
` rpm --query --list --info nom-de-package' 
  [root@inf-chabrido ~]
  $ rpm -qli openssh-server
  Name        : openssh-server               Relocations: (not
relocatable)
  Version     : 4.0p1                             Vendor: Red Hat, Inc.
  Release     : 3                             Build Date: lun 16 mai
2005 19:36:16 CEST
  Install Date: mer 28 sep 2005 09:01:06 CEST      Build Host:
decompose.build.redhat.com
  Group       : Environnement système/Démons   Source RPM:
openssh-4.0p1-3.src.rpmSize        : 410300                          
License: BSD
  Signature   : DSA/SHA1, ven 20 mai 2005 20:59:14 CEST, Key ID
b44269d04f2a6fd2
  Packager    : Red Hat, Inc. <http://bugzilla.redhat.com/bugzilla>
  URL         : http://www.openssh.com/portable.html
  Summary     : Le démon du serveur OpenSSH.
  Description :
  OpenSSH est mise en oeuvre du protocole SSH (Secure SHell) de OpenBSD.
  
  Ce paquetage comprend le démon Secure Shell (sshd). Le démon sshd
permet
  aux clients SSH de se connecter de façon sécurisée au serveur SSH.
  Vous devrez aussi installer le paquetage openssh.
  /etc/pam.d/sshd
  /etc/rc.d/init.d/sshd
  /etc/ssh
  /etc/ssh/sshd_config
  /usr/libexec/openssh/sftp-server
  /usr/sbin/sshd
  /usr/share/man/man5/sshd_config.5.gz
  /usr/share/man/man8/sftp-server.8.gz
  /usr/share/man/man8/sshd.8.gz
  /var/empty/sshd

Fichier - package

A quel package logiciel appartient tel

 rpm --query --file 
  $ rpm -qf /usr/bin/perl
  perl-5.8.6-15

Logiciels supplémentaires

 Outre le quelque millier de logiciels directement diposnibles dans la

version de base de la Fedora, S2IA à ajouté un certain nombre de logiciels disponibles depuis d'autres repository :

Ceux-ci sont directement disponibles depuis nos mirroirs internes FTP

via l'installateur automatique yum, a ce sujet , voir le dernier chapitre dédié aux administrateurs locaux de leur station.

D'autres logiciels liés aux différentes activités on été repackagé ou

rendu diponible par nos soins via un repository interne (int), exemple: ` scilab octave ' ou encore soumis à licence; ` matlab, client oracle' .Encore une fois ` rpm -qa ' donnera la liste complète des logiciels installés. La liste de logiciels disponible sur la station peut évoluer au fur et a mesure d'apparition/création de nouveaux packages logiciels.

  [root@crotale /var/ftp/pub/othersoft/perso/mci-13/RPMS]
  perl-DBD-Oracle-1.16-1.2.i386.rpm
  oracle-instantclient-basic-10.1.0.4-4.i386.rpm
  lshw-2.04-1.rf.i386.rpm
  lshw-gui-2.04-1.rf.i386.rpm
  matlab-7.0.1-24704.i386.rpm
  ...

Imprimantes

La liste des files d'impression disponible sur la station est donnée

par la commande ` lpstat -v'

EMail

La DISI met à votre disposition thunderbird autoconfiguré pour l'utilisateur connecté à la station: https://developer.mozilla.org/en/MCD

Sur le ` Bureau ' Linux se trouve une icone représentant un boite à

lettre, elle lance Mozilla mail, une icone identique est présente pour les machines double boot en salle TP sur le bureau Windows.

14cm! switchmail.ps
Le mail est accedé par le protocole ` IMAP 'sur le serveur de boite au

lettre. Dans ce mode de fonctionnement ,les mails restent sur le serveur (contrairement à POP où ils sont par défaut téléchargés sur la station locale). Ils pourront ainsi être consultés de n'importe quelle station Linux ou Windows, sans se soucier de son lieu, ni de la configuration du logiciel mozilla. De plus, restants sur le serveur, ils sont sauvegardés. Comme les messages restent sur le serveur de boite au lettre S2IA (molure, alias imap.int-evry.fr), ils peuvent également être consultés directement depuis l'exterieur via la passerelle webmail IMP (https://imp.int-evry.fr/).

Cette connexion se faisant en mode HTTP securisé (https) vous devrez

la premiere fois accepter les certificats. Comme toutes connexions HTTP sécurisées, pensez à vous deconnecter (il y a toujours un boutton/lien deconnexion/logout/sortir ..) sans quoi un utilisateur passant derierre vous sur la station peu avoir acces à votre mail sans s'authentifier (cf tiemout du cookie de session)

 Le serveur de boite au lettre ne disposant pas d'un espace disque

infini, il vous impose un quota d'espace de stockage du mail. Pour consulter l'état de votre quota mail ainsi que pour divers services tels que la redirection de votre mail, ou la mise en place d'un répondeur automatique; (https://email.int-evry.fr/cgi-bin/easysieve.pl).

De plus le logiciel `mutt' reste installé mais non configuré en imap

!. Il peut être utile lors d'un accès exterieure en mode ssh sur le serveur ssh1, il reste un outil de lecture du mail en mode texte tres complet .

Mot de passe

Utiliser l'interface web de changement de mot de passe disponible dans Gaspar (Onglet Etudier → mot de passe)

Installation, Maintenance, Réinstallation

 * Installation : La DISI utilise le système d'installation automatique de ses stations fourni par RedHat/Fedora: ` kickstart'. Un ensemble d'outils permette de gerer ces installation de manière industrielle via [[https://fedorahosted.org/cobbler/|cobbler ]]
  • Maintenance Pour la maintenance des stations, c'est le logiciel `cfengine ' (http://www.cfengine.org) qui se charge de preserver un état de configuration correcte et à jour de la station (possibilité de modifications toutes le 1/2 heures).

. Ce mode de fonctionnement implique une utilisation de package RPM

 pour toutes nouvelles installation de logiciels. Il n'est également
 pas recommandé de stocker des données sur le disque local (/tmp ou
 /usr/local) qui serait effacées à la moindre reinstallation de la
 station.

Sur ce dernier point nous étudions la possibilité pour les stations

 disposant d'espace disque consequent, de créer une partition locale
 qui ne serait pas detruite lors d'une reinstallation de la station
 (/data ...). 
 * Réinstallation  Une réinstallation, du fait de notre sytème
 automatique, peu se faire tres rapidement et peut être nécessaire en
 cas de modifications majeure (nouveau noyau linux, nouvelle
 disribution Fedora, ou encore problèmes inconnu sur la station). 

Les principes d'administration de ces configurations S2IA Linux est

detaillé dans (http://www.int-evry.fr/mci/user/doutrele/linux/).

Administrateur de stations

La DISI réalise (essentiellement pour des portables du personnel de l'INT), des installations de Linux Fedora pour lesquelles le proprietaire est administrateur de la machine , il dispose du compte root (machines papu ). Cela permet a ces utlisateurs de disposer d'une configuration semblable à celle des salles de TP, ainsi que d'une assurance de maintenance de mise à jour et d'intervention. Cela permet aussi suivant les conditions, un acces aux ressources communes (Disques reseaux, annuaire etc …).

Configuration d'un acces disque reseau

Normalement l'acces par NFS n'est pas autorisé pour une utilisateur administrateur de sa machine (pour raison de sécurité evidentes !) . Il est quand meme possible d'acceder aux ressources disque du département ou en central par un montage samba (cifs).

Utilisation de pam mount

 Afin d'automatiser le montage du repertoire reseaux au login de

l'utilisateur, on peux utiliser `pam_mount'. Celui-ci suppose que le mot de passe du compte utilisateur local soit le meme que celui de compte 'reseau' (Nis ou Ldap) qui heberge le homedirectory .

Installation: 
  [root@inf-tata ~]
  $ yum install pam_mount
Edition du fichier `/etc/pam.d/system-auth', rajouter la ligne:  
  auth        sufficient    /lib/security/$ISA/pam_mount.so
Il faut aussi modifier la ligne 
  auth        sufficient    /lib/security/$ISA/pam_unix.so likeauth
nullok
  en
  auth        sufficient    /lib/security/$ISA/pam_unix.so
use_first_pass
Puis rajouter la ligne 
  session         optional        /lib/security/$ISA/pam_mount.so
l'utilisateur doit alors avoir sur son compte local le fichier

`.pam_mount.conf'

voici un exemple de contenu 
  mkmountpoint 0
  volume procacci smb samba procacci /home/procacci/smb nosuid,nodev - -
Le `volume' (partage au sens windows) `procacci' sera monté par le

protocole `smb' depuis la machine `samba' (alias de cobra3) dans mon homedirectory locale `/home/procacci/smb'

La saisie du mot de passe à la banniere de connexion gdm montera

automatiquement le repertoire home. Attention en cas d'utilisation hors int, cela impliquera un delais de timeout sur echec de l'ordre de 30secondes …

Utilisation de l'automontage

 L'automounter utilise deux fichiers de configuration, `auto.master et

auto.misc'. exemple de configuration:

  $ cat /etc/auto.master
  /misc   /etc/auto.misc
  $ cat /etc/auto.misc
  windowsshare   
-fstype=smbfs,username=procacci,workgroup=micro,credentials=/etc/smbwind
ows.auth ://aigual/mci
  unixshare   
-fstype=smbfs,username=procacci,credentials=/etc/smbunix.auth
://cobra3/procacci
  $ cat /etc/smbunix.auth
  username=procacci
  password=secret
  $ /etc/init.d/autofs restart
  Stopping automount:                                        [  OK  ]
  Starting automount:                                        [  OK  ]
Ici l'inconvenient majeur est de stocker le mot de passe en clair dans

un fichier :-( . De plus deux fichier smb*.auth sont utiliser car les mot de passes peuvent etre different dans les 2 domaines (windows / unix ).

Utilisation 
  [jehan@calaz /misc]
  $ cd windowsshare
  Sep 28 13:29:55 calaz mount.smbfs[7293]: [2005/09/28 13:29:55, 0]
client/smbmount.c:send_fs_socket(406)
  Sep 28 13:29:55 calaz mount.smbfs[7293]:   mount.smbfs: entering
daemon mode for service \\aigual\mci, pid=7293
  $ df /misc/windowsshare
  Filesystem           1K-blocks      Used Available Use% Mounted on
  //aigual/mci         858652672 129318912 729333760  16%
/misc/windowsshare

Montage manuel

 Sinon, il est tout simplement possible de monter de maniere

interactive (manuelle) le répertoire reseau par la commande suivante:

  $ mkdir /media/smb
  [root@calaz ~]
  $ mount -t smbfs -o username=procacci,workgroup=micro //aigual/mci
/media/smb
  Password:
Mais cela implique de le faire en tant que root !, ce qui n'est pas

genant sur une ce type de machines .

Installation de logiciels

 L'outils de manipulation de package logiciels est yum

http://fedora.redhat.com/docs/yum/.

Configuration S2IA

 Nous avons pre-configuré un certain nombre de répository logiciels

accessibles par yum sur les postes (incluant la clée PGP rpm qui va avec le repository, cf rpm –import …), voir le chapitre 4.7 ci-dessus pour un acces web au repository.

  $ ls /etc/yum.repos.d/
  atrpms.repo                 fedora.repo.cfsaved          livna.repo
  dag.repo                    fedora-updates.repo          newrpms.repo
  dries.repo                  fedora-updates.repo.cfsaved 
nrpms-mono.repo
  fedora-devel.repo           fedora-updates-testing.repo  nrpms.repo
  fedora-extras-devel.repo    freshrpms.repo              
planetccrma.repo
  fedora-extras.repo          int.repo                     pyvault.repo
  fedora-extras.repo.cfsaved  jpackage.repo                xray.repo
  fedora.repo                 kde-redhat.repo
On peu globalement par le fichier `yum.conf' positionner des options

par défaut, exemple ici on exclu tout update de package xorg-x11* .

  $ cat /etc/yum.conf
  [main]
  cachedir=/var/cache/yum
  debuglevel=2
  logfile=/var/log/yum.log
  pkgpolicy=newest
  distroverpkg=redhat-release
  tolerant=1
  exactarch=1
  retries=20
  obsoletes=1
  Enable=true
  exclude=xorg-x11*
De meme meme on par defaut exclure un repository en postionant

`enabled=0' dans son fichier de configuration, exemple ici on exclue le repository dag:

  $ cat /etc/yum.repos.d/dag.repo
  [dag]
  name=Dag RPM Repository for Fedora Core
  baseurl=ftp://ftp.int-evry.fr/pub/linux/rpmrepo/dag/fedora/$releasever
/en/$basearch/dag
      http://apt.sw.be/fedora/$releasever/en/$basearch/dag
  enabled=0
  gpgcheck=1
  failovermethod=priority
L'option `--enablerepo=dag' de yum pouvant le valider temporairement

lors d'un lancement interactif de yum .

Recherche

 Utiliser l'option search ( ou list , info .... cf man yum) 
  $ yum search vlc
  videolan-client.i386                     0.8.2-3.2.fc4.rf       dries
  videolan-client-devel.i386               0.8.2-3.2.fc4.rf       dries
  vlc.i386                                 0.8.2-0.lvn.1.4       
livna-stable
  mozilla-vlc.i386                         0.8.2-0.lvn.3.4       
livna-stable
  videolan-client.i386                     0.8.2-3.2.fc4         
freshrpms
  ...

Installation

 Exemple d'installation du package vlc, qui depend de 2 libraries ...
  $ yum install vlc
  ...
  Dependencies Resolved
  
  ======================================================================
=======
   Package                 Arch       Version          Repository       
Size
  ======================================================================
=======
  Installing:
   vlc                     i386       0.8.2-0.lvn.3.4  livna-stable     
3.5 M
  Installing for dependencies:
   libdvdcss               i386       1.2.9-1.2.fc4.rf  dries           
  42 k
   libdvdread              i386       0.9.4-7.2.fc4.rf  dries           
  55 k
  
  Transaction Summary
  ======================================================================
=======
  Install      3 Package(s)
  Update       0 Package(s)
  Remove       0 Package(s)
  Total download size: 3.6 M
  Is this ok [y/N]: y
  Downloading Packages:
  (1/2): libdvdcss-1.2.9-1. 100% |=========================|  42 kB   
00:00
  (2/2): libdvdread-0.9.4-7 100% |=========================|  55 kB   
00:00
  Running Transaction Test
  Finished Transaction Test
  Transaction Test Succeeded
  Running Transaction
    Installing: libdvdcss                    #########################
[1/3]
    Installing: libdvdread                   #########################
[2/3]
    Installing: vlc                          #########################
[3/3]
  
  Installed: vlc.i386 0:0.8.2-0.lvn.3.4
  Dependency Installed: libdvdcss.i386 0:1.2.9-1.2.fc4.rf
libdvdread.i386 0:0.9.4-7.2.fc4.rf
  Complete!
  
  

Desintallation

 Exemple de desintallation d'une des librairie dont depend `vlc',

alors yum propose de desinstaller tout ce qui concerne cette librairie, ici vlc, mplayer et une autre librairie:

  $ yum remove libdvdcss
  Dependencies Resolved
  
  ======================================================================
=======
   Package                 Arch       Version          Repository       
Size
  ======================================================================
=======
  Removing:
   libdvdcss               i386       1.2.9-1.2.fc4.rf  installed       
 111 k
  Removing for dependencies:
   libdvdread              i386       0.9.4-7.2.fc4.rf  installed       
 127 k
   mplayer                 i386       1.0-0.16.pre7.2.fc4  installed    
    6.9 M vlc                     i386       0.8.2-0.lvn.3.4  installed 
        13 M
  
  Transaction Summary
  ======================================================================
=======
  Install      0 Package(s)
  Update       0 Package(s)
  Remove       4 Package(s)
  Total download size: 0
  Is this ok [y/N]: y
  Downloading Packages:
  Running Transaction Test
  Finished Transaction Test
  Transaction Test Succeeded
  Running Transaction
    Removing  : libdvdcss                    #########################
[1/4]
    Removing  : libdvdread                   #########################
[2/4]
    Removing  : mplayer                      #########################
[3/4]
    Removing  : vlc                          #########################
[4/4]
  
  Removed: libdvdcss.i386 0:1.2.9-1.2.fc4.rf
  Dependency Removed: libdvdread.i386 0:0.9.4-7.2.fc4.rf mplayer.i386
0:1.0-0.16.pre7.2.fc4 vlc.i386 0:0.8.2-0.lvn.3.4
  Complete!

Wifi

 La plupart des portables disposent d'une carte wireless. Bien

qu'apriori S2IA a installé tout ce qu'il faut pour que cela fonctionne, voici un petit memento afin de debugger d'enventuel probleme de wifi:

La carte est-elle vue au boot par le noyau:

Driver

   $ dmesg | grep eth
  eth0: Tigon3 [partno(BCM95751) rev 4001 PHY(5750)]
(PCIX:100MHz:32-bit) 10/100/1000BaseT Ethernet 00:12:3f:1b:1c:4e
  eth0: RXcsums[1] LinkChgREG[1] MIirq[1] ASF[0] Split[0] WireSpeed[1]
TSOcap[1]
  eth0: dma_rwctrl[76180000]
  tg3: eth0: Link is up at 100 Mbps, full duplex.
  tg3: eth0: Flow control is on for TX and on for RX.
  eth0: no IPv6 routers present
ici non car que eth0 , il devrait y avoir une eth1 aussi ...Il faut

alors penser à activer materiellement la carte (touches fn + F2 , ou activation mecanique, ou bios …)

  $ ifconfig -a
  eth0      Link encap:Ethernet  HWaddr 00:12:3F:1B:1C:4E
  ...
  eth1      Link encap:Ethernet  HWaddr 00:13:CE:2D:AA:2A
OK, ici on la voit .
Le package firmware est-il installé
  $ rpm -qa | grep ipw22
  ipw2200-firmware-2.3-2.fc
Cela suppose de redemarrer la machine si il n'etait pas pre-installé !

car ce module est dépendant du noyau et donc de son chargement.

Le module noyau est-il bien present 
  $ rpm -qf
/lib/modules/2.6.12-1.1456_FC4/kernel/drivers/net/wireless/ipw2200/ipw22
00.ko
  kernel-2.6.12-1.1456_FC4
<code>
  
  Pour la cas de carte intel (souvent la cas !) , voir si le module
noyau est chargé:
<code>
  $ lsmod | grep ipw
  ipw2200                75084  0
  ieee80211              23237  1 ipw2200

Configuration graphique

lancer `/usr/sbin/system-config-network' et verifier que l'onglet

``materiel'' affiche bien la carte wireless. Ensuite il faut dans l'onget peripherique ajouter un periphérique de type wireless, il suffit de cliquer sur suivant (`managed, winfint') puis à nouveau suivant sur une configuration `dhcp' . Valider le bouton `activer' et la carte devrait fonctionner en dhcp.

documentation http://lea-linux.org/hardware/hard_net/wifi.html

Principes de configuration

 D'une meniere générale, sous Fedora il est bon d'utliser les outils

d'administration qui vont bien.

Configuration systeme

Tout ce qui concerne la configuration de la machine se trouve dans le

menu chapeau rouge → Desktop → system-settings ou directement en ligne de commande avec le prefix `system-config*'

  $ system-config-
  system-config-authentication     system-config-packages
  system-config-date               system-config-printer
  system-config-display            system-config-printer-gui
  system-config-keyboard           system-config-printer-tui
  system-config-language           system-config-rootpassword
  system-config-lvm                system-config-securitylevel
  system-config-mouse              system-config-securitylevel-tui
  system-config-network            system-config-services
  system-config-network-cmd        system-config-soundcard
  system-config-network-druid      system-config-time
  system-config-network-gui        system-config-users
  system-config-network-tui

Démarrage des services

D'une façon graphique -> `system-config-services', autrement en ligne

de commande

  $ chkconfig --list
  $ chkconfig --help
  utilisation : chkconfig --list [nom]
                chkconfig --add <nom>
                chkconfig --del <nom>
           chkconfig [--level <niveaux>] <nom> <on|off|reset>
  $ chkconfig --level 345 ypbind on
Exemple ci-dessus -> demarrage aux runlevels 345 de ypbind .

Securite

 Un firewall (iptables) tourne par defaut
Arret, demarrage, status ...
  $ /etc/init.d/iptables
  Syntaxe : /etc/init.d/iptables
{start|stop|restart|condrestart|status|panic|save}
La configuration se trouve :
  $ cat /etc/sysconfig/iptables
  # Firewall configuration written by system-config-securitylevel
  # Manual customization of this file is not recommended.
  *filter
  :INPUT ACCEPT [0:0]
  :FORWARD ACCEPT [0:0]
  :OUTPUT ACCEPT [0:0]
  :RH-Firewall-1-INPUT - [0:0]
  -A INPUT -j RH-Firewall-1-INPUT
  -A FORWARD -j RH-Firewall-1-INPUT
  -A RH-Firewall-1-INPUT -i lo -j ACCEPT
  -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
  -A RH-Firewall-1-INPUT -p 50 -j ACCEPT
  -A RH-Firewall-1-INPUT -p 51 -j ACCEPT
  -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
  -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
  -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22
-j ACCEPT
  -A RH-Firewall-1-INPUT -p tcp -m tcp -s 157.159.110.145/32  -d 0/0
--syn -j ACCEPT
  -A RH-Firewall-1-INPUT -p udp -m udp -s 157.159.110.145/32  -d 0/0 -j
ACCEPT
  -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
  COMMIT
Les regles peuvent etre modifiées par l'interface graphique, mais elle

n'est pas tres riche en terme de fonctionnalité. On peut alors modifier les règles dans le fichier ci-dessus, faire une `/etc/init.d/iptables restart' apres modification.

SE-linux

Depuis Fedora Core 4 , SE(Security-enhenced)-linux est integré au noyau

et est souvent activé par défaut. En cas de soucis de connexion, fonctionnement, penser a le configurer , voir le desactiver (provisoirement ?) si necessaire … → `system-config-securitylevel' onglet se-linux

http://www.redhat.com/security/innovative/selinux/
documentation/postes_linux/guideutilisateuravance.txt · Dernière modification: 2010/09/07 10:57 par procacci
CC Attribution-Share Alike 3.0 Unported
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0